Nos artigos anteriores, já discutimos o que é o IdM, como entender se sua organização precisa desse sistema, quais tarefas ele resolve e como justificar o orçamento de implementação para o gerenciamento. Hoje falaremos sobre as etapas importantes que a própria organização deve seguir para atingir o nível certo de maturidade antes de implementar o sistema IdM. Afinal, o IdM é projetado para automatizar processos, e a automação do caos é impossível.
Até que a empresa cresça para o tamanho de uma grande empresa e acumule vários sistemas de negócios diferentes, geralmente não pensa em controle de acesso. Portanto, os processos de obtenção de direitos e controle de poderes não são estruturados e pouco favoráveis à análise. Os funcionários preenchem as solicitações de acesso conforme desejarem, o processo de aprovação também não é formalizado e, às vezes, simplesmente não existe. É impossível descobrir rapidamente o acesso de um funcionário, quem o coordenou e com que base.
Considerando que o processo de automação de acesso afeta dois aspectos principais - dados pessoais e dados de sistemas de informação a serem integrados, consideraremos as etapas necessárias para garantir que a implementação do IdM ocorra sem problemas e não cause rejeição:
- Análise de processos de pessoal e otimização do suporte de banco de dados para funcionários em sistemas de pessoal.
- Análise de dados de usuários e direitos, bem como atualização de métodos de controle de acesso em sistemas de destino planejados para serem conectados ao IdM.
- Atividades organizacionais e envolvimento da equipe no processo de preparação para a implementação do IDM.
Dados de RH
A fonte de dados pessoais na organização pode ser uma, ou talvez várias. Por exemplo, uma organização pode ter uma rede de filiais bastante ampla e cada filial pode usar sua própria base de pessoal.
Primeiro, você precisa entender quais dados básicos sobre os funcionários estão armazenados no sistema de gerenciamento de pessoas, quais eventos são registrados e avaliar sua integridade e estrutura.
Muitas vezes acontece que nem todos os eventos de pessoal são anotados na fonte de pessoal (e, mais frequentemente, são anotados fora do prazo e não muito corretamente). Aqui estão alguns exemplos típicos:
- os feriados não são registrados, suas categorias e termos (regulares ou longos);
- o emprego de meio período não é fixo: por exemplo, enquanto em licença prolongada para cuidar de um filho, um funcionário pode trabalhar simultaneamente em regime de meio período;
- o status real do candidato ou funcionário já foi alterado (admissão / transferência / demissão) e a ordem deste evento está atrasada;
- o funcionário é transferido para uma nova posição em tempo integral por meio de demissão, enquanto o sistema de pessoal não registra informações de que se trata de uma demissão técnica.
Também vale a pena prestar atenção especial na avaliação da qualidade dos dados, pois quaisquer erros e imprecisões recebidos de uma fonte confiável, que são sistemas de RH, podem ser caros no futuro e causar muitos problemas ao implementar o IdM. Por exemplo, os funcionários de recursos humanos costumam preencher os cargos dos funcionários no sistema de pessoal em um formato diferente: letras maiúsculas e minúsculas, abreviações, diferentes números de espaços e similares. Como resultado, a mesma posição pode ser fixada no sistema de pessoal nas seguintes variações:
- Gerente Sênior
- gerente sênior
- gerente sênior
- Art. gerente ...
Muitas vezes você tem que lidar com diferenças na ortografia do seu nome:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
Para automação adicional, essa confusão é inaceitável, especialmente se esses atributos são um sinal importante de identificação, ou seja, os dados sobre o funcionário e suas credenciais nos sistemas são comparados precisamente por nome e sobrenome.
Além disso, não devemos esquecer a possível presença na companhia de nomes e nomes completos. Se uma organização possui mil funcionários, pode haver poucas coincidências e, se 50 mil, isso pode se tornar um obstáculo crítico para a operação correta do sistema IdM.
Resumindo tudo isso, concluímos: o formato para inserir dados na base de pessoal da organização deve ser padronizado. Os parâmetros de entrada do nome completo, posições e unidades devem ser claramente definidos. A melhor opção é quando o funcionário não conduz os dados manualmente, mas os seleciona de um diretório pré-criado da estrutura de departamentos e posições, usando a função "selecionar" disponível na base de pessoal.
Para evitar erros adicionais na sincronização e não lidar com a correção manual de discrepâncias nos relatórios, a
maneira mais preferida de identificar funcionários é inserir um ID para cada funcionário da organização. Esse identificador será atribuído a cada novo funcionário e aparecerá no sistema de pessoal e nos sistemas de informação da organização como um atributo obrigatório da conta. Não importa se é composto por números ou letras - o principal é que ele é exclusivo para cada funcionário (por exemplo, muitos usam o número pessoal do funcionário). No futuro, a introdução desse atributo facilitará muito o vínculo de dados sobre o funcionário na fonte de pessoal com suas contas e credenciais nos sistemas de informação.
Portanto, todas as etapas e mecanismos da contabilidade de pessoal precisarão ser analisados e organizados. É possível que alguns processos tenham que mudar ou modificar. Esse é um trabalho tedioso e trabalhoso, mas é necessário; caso contrário, a falta de dados claros e estruturados sobre eventos pessoais resultará em erros no processamento automático. Na pior das hipóteses, processos não estruturados não podem ser automatizados.
Sistemas de destino
O próximo passo é descobrir quantos sistemas de informação queremos integrar na estrutura do IdM, quais dados sobre usuários e seus direitos estão armazenados nesses sistemas e como gerenciá-los.
Em muitas organizações, acredita-se que aqui vamos instalar o IdM, configurar os conectores para os sistemas de destino e, com a onda de uma varinha mágica, tudo funcionará, sem nenhum esforço adicional de nossa parte. Então, infelizmente, isso não acontece. Nas empresas, o cenário dos sistemas de informação está se desenvolvendo e aumentando gradualmente. Cada um dos sistemas pode ter uma abordagem diferente para conceder direitos de acesso, ou seja, diferentes interfaces de controle de acesso são configuradas. Em algum lugar, o controle acontece através da API (interface de programação de aplicativos), em algum lugar do banco de dados usando procedimentos armazenados, em algum lugar as interfaces de interação podem estar completamente ausentes. Vale a pena estar preparado para o fato de que você terá que revisar muitos processos existentes para gerenciar contas e direitos nos sistemas da organização: alterar o formato dos dados, refinar as interfaces de interação com antecedência e alocar recursos para esses trabalhos.
Modelo de função
Você provavelmente se deparará com o conceito de um modelo de comportamento mesmo na fase de escolha de um provedor de soluções IdM, pois esse é um dos principais conceitos no campo do gerenciamento de direitos de acesso. Nesse modelo, o acesso aos dados é fornecido por meio de uma função. Uma função é um conjunto de acessos que são minimamente necessários para que um funcionário em uma determinada posição desempenhe suas funções funcionais.
O controle de acesso baseado em funções tem várias vantagens inegáveis:
- cessão simples e eficiente de direitos iguais a um grande número de funcionários;
- mudança operacional de acesso para funcionários com o mesmo conjunto de direitos;
- eliminação da redundância de direitos e delimitação de poderes incompatíveis para os usuários.
A matriz de funções é criada primeiro separadamente em cada um dos sistemas da organização e depois escalada para todo o cenário de TI, onde as funções globais de negócios são formadas a partir das funções de cada sistema. Por exemplo, a função comercial "Contador" incluirá várias funções separadas para cada um dos sistemas de informações usados no departamento de contabilidade de uma empresa.
Recentemente, é considerado “melhor prática” criar um modelo, mesmo no estágio de desenvolvimento de aplicativos, bancos de dados e sistemas operacionais. Ao mesmo tempo, as situações não são incomuns quando as funções não estão configuradas no sistema ou simplesmente não existem. Nesse caso, o administrador deste sistema deve inserir as informações da conta em vários arquivos, bibliotecas e diretórios diferentes que fornecem as permissões necessárias. O uso de funções predefinidas permite conceder privilégios para realizar uma gama completa de operações em um sistema com dados compostos complexos.
As funções no sistema de informações, em regra, são distribuídas para cargos e unidades de acordo com a estrutura da equipe, mas também podem ser criadas para determinados processos de negócios. Por exemplo, em uma organização financeira, vários funcionários do departamento de liquidação ocupam a mesma posição - o operador. Mas dentro do departamento também há uma distribuição em processos separados para diferentes tipos de operações (externa ou interna, em diferentes moedas, com diferentes segmentos da organização). Para que cada uma das áreas de negócios de um departamento forneça acesso ao sistema de informações de acordo com as especificações necessárias, é necessário incluir direitos em funções funcionais separadas. Isso fornecerá um conjunto mínimo de poderes suficientes, sem incluir direitos excedentes, para cada uma das áreas de atividade.
Além disso, para sistemas grandes com centenas de funções, milhares de usuários e milhões de permissões, é uma boa prática usar uma hierarquia de funções e herança de privilégios. Por exemplo, a função pai, o Administrador, herdará os privilégios das funções filho: Usuário e Leitor, pois o Administrador pode fazer o mesmo que o Usuário e o Leitor, além de ter direitos adicionais de administrador. Usando uma hierarquia, não há necessidade de especificar novamente os mesmos direitos em várias funções de um módulo ou sistema.
No primeiro estágio, você pode criar funções nesses sistemas em que o número possível de combinações de direitos não é muito grande e, como resultado, é fácil gerenciar um pequeno número de funções. Esses podem ser direitos típicos exigidos por todos os funcionários da empresa em sistemas publicamente disponíveis, como o Active Directory (AD), sistemas de correio, Service Manager e similares. Em seguida, as matrizes de função criadas para sistemas de informações podem ser incluídas no modelo de função geral, combinando-as em funções de negócios.
Usando essa abordagem, no futuro, ao implementar o sistema IdM, será fácil automatizar todo o processo de concessão de direitos de acesso com base nas funções criadas no primeiro estágio.
NB Não tente incluir imediatamente o maior número possível de sistemas na integração. No primeiro estágio, os sistemas com uma arquitetura mais complexa e uma estrutura de gerenciamento de direitos de acesso são melhor conectados ao IdM em um modo semi-automático. Ou seja, com base em eventos de pessoal, para realizar apenas a geração automática de um aplicativo de acesso, que será recebido pelo administrador, e ele configurará os direitos manualmente.
Depois de concluir com êxito o primeiro estágio, você pode estender a funcionalidade do sistema para novos processos de negócios avançados, automação e dimensionamento completos com a adição de sistemas de informações adicionais.
Em outras palavras, para se preparar para a implementação do IdM, é necessário avaliar a prontidão dos sistemas de informação para o novo processo e avançar no desenvolvimento de interfaces de interação externa para gerenciar contas e direitos do usuário, se essas interfaces não estiverem disponíveis no sistema. A questão da criação faseada de funções nos sistemas de informação para controle de acesso integrado também deve ser abordada.Atividades organizacionais
Não ignore os problemas organizacionais. Em alguns casos, eles podem desempenhar um papel decisivo, porque o resultado de todo o projeto geralmente depende da interação eficaz entre os departamentos. Para fazer isso, geralmente recomendamos a criação de uma equipe de participantes do processo na organização, que incluirá todas as unidades envolvidas. Como esse é um ônus adicional para as pessoas, tente explicar antecipadamente a todos os participantes no processo futuro seu papel e significado na estrutura da interação. Se você "vender" a idéia do IdM nesta fase para seus colegas, poderá evitar muitas dificuldades no futuro.
Freqüentemente, os departamentos de segurança da informação ou de TI são os "proprietários" de um projeto de implementação do IdM em uma empresa, e as opiniões das unidades de negócios não são levadas em consideração. Esse é um grande erro, porque somente eles sabem como e em quais processos de negócios cada recurso é usado, quem precisa ter acesso a ele e quem não. Portanto, na fase de preparação, é importante indicar que é o proprietário da empresa responsável pelo modelo funcional, com base em quais conjuntos de direitos de usuário (funções) no sistema de informações são desenvolvidos e também que essas funções são atualizadas. Um modelo não é uma matriz estática que foi criada uma vez e você pode se acalmar com isso. Este é um "organismo vivo" que deve mudar, atualizar e desenvolver constantemente, após mudanças na estrutura da organização e na funcionalidade dos funcionários. Caso contrário, os problemas associados aos atrasos no fornecimento do acesso serão iniciados ou haverá riscos à segurança da informação associados aos direitos de acesso excessivos, o que é ainda pior.
Como você sabe, “existem sete babás de uma criança sem olho”, portanto, uma empresa deve desenvolver uma metodologia que descreva a arquitetura do modelo, a interação e a responsabilidade de participantes específicos do processo por mantê-la atualizada. Se uma empresa possui muitas áreas de atividade comercial e, consequentemente, muitas divisões e departamentos, então para cada área (por exemplo, empréstimos, operações, serviços remotos, conformidade e outras), curadores separados devem ser nomeados como parte do processo de controle de acesso baseado em função. Por meio deles, será possível receber rapidamente informações sobre alterações na estrutura da unidade e os direitos de acesso necessários para cada função.
Não deixe de contar com o apoio da liderança da organização para resolver situações de conflito entre departamentos - participantes do processo. E os conflitos ao introduzir qualquer novo processo são inevitáveis, acredite em nossa experiência. Portanto, precisamos de um árbitro que resolva possíveis conflitos de interesse, para não perder tempo devido a mal-entendidos e sabotagens de outras pessoas.
NB Um bom começo para aumentar a conscientização é o treinamento da equipe. Um estudo detalhado do funcionamento do processo futuro, o papel de cada participante minimizará as dificuldades de mudar para uma nova solução.
Lista de verificação
Para resumir, resumimos as principais etapas que devem ser tomadas pela organização que está planejando a implementação do IdM:
- limpar dados pessoais;
- insira um parâmetro de identificação exclusivo para cada funcionário;
- avaliar a prontidão dos sistemas de informação para a implementação do IDM;
- desenvolver interfaces de interação com sistemas de informação para controle de acesso, se ausentes, e alocar recursos para esses trabalhos;
- desenvolver e construir um modelo;
- criar um processo de gerenciamento de modelos e incluir curadores de cada linha de negócios;
- selecione vários sistemas para conexão inicial com o IdM;
- criar uma equipe de projeto eficaz;
- Recrutar o apoio da gerência da empresa;
- treinar funcionários.
O processo de preparação pode ser difícil, portanto, se possível, envolve consultores.
A implementação de uma solução de IdM não é uma etapa fácil e crucial e, para sua implementação bem-sucedida, são importantes os esforços de cada lado individualmente - funcionários de unidades de negócios, serviços de TI e segurança da informação e a interação de toda a equipe como um todo. Mas os esforços valem a pena: após a introdução do IDM na empresa, o número de incidentes relacionados a poderes excessivos e direitos não autorizados nos sistemas de informação diminui; o tempo de inatividade do funcionário desaparece devido à falta / longa espera pelos direitos necessários; devido à automação, os custos de mão-de-obra são reduzidos e a produtividade dos serviços de segurança da informação e TI é aumentada.