-我们应该买一头牛...
-有必要在哪里取款?
“三从Prostokvashino”
为了使您与管理层就实施项目的需要进行的对话不会归结为卡通片中的这种简短对话,您需要提前准备论点。 多年以来,我们一直在实施访问权限管理(IdM)系统,在这段时间里,与客户交谈时,我们听说了各种合理的预算方法。 今天,我们在一篇文章中收集了这些生活技巧。 在削减范围内-逐步指南和用于计算投资回收期,提高运营效率和系统总拥有成本的公式示例。 所有这些都通过IdM的实现来说明,但是一般原则几乎适用于所有IT系统。
任何理由都应包括具体数字中列出的实施预期收益。 对于IdM,它可以基于以下列表中的一个或多个条件:
- 性能改善;
- 降低信息安全事件的风险;
- 符合法规/行业标准
- 支持组织的当前策略。
如果证明公司预算合理的过程不是很严格地形式化,则一般的考虑可能足以批准。 但是,通常情况下,管理层仍然要求将所有东西转换成等值的货币,并指出返回投资回收期的时间。
让我们更详细地考虑可以依靠哪些好处来证明IdM实施项目的合理性以及何时/如何使用它们。
绩效提升实施IdM确实可以改善许多性能指标。 例如,减少手动授予员工访问权限的应用程序流,并加快其执行速度。 减少为审计员或信息安全服务准备数据所需的时间和人力。 减少有关访问请求状态的技术支持电话数量。
为了衡量运营效率的提高,指标包括:
- 雇用未决人员访问信息系统时员工的停机时间。
- 与用户的雇用,解雇,工作调动和其他要求有关的管理用户帐户的操作数。
- 与信息系统中用于访问或更改密码的应用程序状态有关的支持呼叫次数。
- 收集员工访问权限数据所需的时间,例如,在审核过程中或应安全部门的要求。 有时,有关员工可以访问的位置的简单信息收集可能需要几天的时间。
- IT和信息安全人员检查经理对员工的访问权限所需的时间。 为了减少访问权限的冗余,由许多标准提供了该措施,但是实际上,由于非常高的复杂性,几乎没有实施该措施。 例如,在拥有10,000名员工的组织中,每个员工大约需要1天的时间。
当通过改进绩效指标来证实时,重要的是这些指标很重要,以便对业务流程产生明显的影响。 例如,在人员流动较大的情况下,减少颁发授权的期限和减少新雇员的停工时间至关重要。
转换为财务指标最简单的方法是在实施系统后提高性能。 因此,您需要计算在实施IdM之前提供访问的“工作量”以及之后的多少。
在实施IdM之前计算访问控制成本我们将在一个理论示例上考虑计算原理,但是,当证实预算时,您应该使用描述特定组织实际情况的指标。 假设一家公司有10,000名员工。 为了评估访问控制成本,我们使用两个指标:
- 未及时获得访问权的员工因停机而造成的损失;
- 执行访问应用程序的成本。
在这里,您还可以考虑审核和审查员工对信息系统的访问权的“成本”,但这不是每个组织都具有的更具体的需求,因此为简单起见,我们将其隐藏在后台。
因员工停工而损失为了评估因员工停机而造成的损失,我们使用员工流失指标,该指标反映了一年内离开公司并需要更换新员工的员工的平均比例。 这将为我们提供每年平均需要提供信息资源以使他们能够充分开展工作的新员工人数。
视公司的行业和特定专家的活动类型而定,营业额水平可能会有很大差异。
招聘公司Antal Russia的统计数据假设我们的公司在物流领域工作,人员流动率为25%。 因此,一年之内,我们必须授予2500名新员工的访问权限。
在下一阶段,我们将需要计算新员工获得IP访问的平均时间。 根据组织的规模和区域网络的可用性,此指标可能会在1天到2周之间变化。 根据我们的经验,平均市场指标是3个工作日,因此我们将使用它。
接下来,我们需要评估一名员工因停机而造成的公司损失额。 正如他们所说,这里的一切都很独特。 损失额在很大程度上取决于公司的规模,存在的地区,企业的规模,甚至取决于雇员的职位。 例如,对于技术支持员工而言,无法访问信息系统会带来绝对的停机时间。 AXO经理的工作效率可以在很大程度上不使用IP的情况下确保企业的生命,而缺少访问权限当然不会造成太大的影响。 为了不被指控在实地过度,我们将平均计算为50%。
要计算在等待必要权利时因员工停机而造成的损失,您还需要确定组织的平均“员工成本”,而无需考虑奖金和开销。 在我们的示例中,这是69570.64卢布。 在一个月内,平均每天20-21个工作日,也就是说,员工的工资成本平均每天约为3 313卢布。
因此,我们考虑。 上面我们已经指出,授予访问权限需要3个工作日,在此期间,员工的工作效率为50%。 那是3 747 * 3 * 0.5 = 4969.5卢布。 由于一名新员工的停工,公司蒙受了损失。 在这一年中,我们有2500卢布,也就是总共获得了12,423,750卢布。
执行访问应用程序的成本为了估算执行访问应用程序的成本,我们使用以下指标:
- 执行访问应用程序的专家数量。 在我们的示例中,这是50个人。
- 他们投入这项工作的工作时间百分比为25%。
根据该专家的全国平均总工资(79,718.39卢布),我们发现公司每年在执行申请上花费79,718.39 * 12 * 50 * 0.25 = 11,957,758.5卢布。
或者,您可以将请求的平均数量(通常可以从Service Desk系统获取此信息),请求的平均执行时间作为计算的基础,并估算执行这些请求所花费的实际时间。 在这种情况下,应针对每种类型的系统分别进行计算,因为它们的差异可能很大。 例如,提供对Active Directory的访问需要5到10分钟,但是这种访问对于公司的所有员工都是必需的。 提供对SAP景观的访问可能需要20到30分钟,但并非每个人都需要这种访问。
结果,我们得到了这些成本的一些估计。 在我们的计算中,总额为2600万卢布(见表1)。
IdM实施后计算访问控制成本此外,为了评估项目的投资回报,有必要将引入的IdM之后收到的金额与类似成本的估算值进行比较,再加上实施本身和系统维护的成本。
为特定公司实施IdM的费用将由您的供应商或集成商高兴地计算。 根据我们的估计,在拥有10,000名员工的企业中采用IdM系统将使该公司平均在市场上花费2500万卢布。 不包括年度技术支持。
现在让我们弄清楚引入IdM之后我们的成本将如何变化。
首先,我们计算IdM系统将提供给员工的访问权限的百分比。 通常,如果组织拥有一些在雇用时分配给员工的基本权力,那么IdM会自动为他们提供权力。 但是,即使IdM不能提供整个基本集,也只能提供80%。 如果公司每年损失12,423,750卢布。 由于等待使用权的员工停工,现在这一数额减少了80%,达到2,448,750卢布。
现在,让我们估算一下,无需人工干预,IdM系统将能够自动执行多少百分比的应用程序。 根据经验,如果系统通过连接器连接到IdM,则可以自动化所有100%的应用程序以访问系统。 但是,这需要大量工作来创建每个全职角色的功能权力目录,因此,实际上,自动执行的应用程序的平均百分比较低,大约为80%。 我们将考虑到并非所有信息系统都将通过IdM连接器进行连接这一事实,因此我们将该指标降低到50%。 因此,提供访问的费用将从11,957,758.5卢布减少。 高达5978 879.25卢布。
因此,在引入IdM之后,与访问控制相关的相同过程每年会使公司便宜15 917 879.25卢布。 总计将达到8,463,629.25卢布。 但是与此同时,技术支持成本将被添加到其中。 假设公司为此任务分配了一名员工。 专家的工作费用来自表1(访问控制费用的计算),即 79,718.39卢布 事实证明,每年大约有956,620.68卢布将用于IdM支持。 总费用为9,420,249.93卢布。
结果,引入该系统的成本为2500万卢布,分配了一名专家来支持该系统,在整个公司范围内雇用和执行50%的应用程序时,自动授予了80%的权利,从系统投入运行之日起的投资回收期将超过一年半(请参阅表2)。
有时,出于这种理由,使用了分析报告,这些报告主要来自外国分析师。 他们提供了有关系统实施效果的一些数字。 例如,报告承诺IT员工可以节省多达14%的IdM,支持电话的访问量将减少52%,不必要的帐户将减少10%。 不幸的是,这些数字并不总是反映俄罗斯的现实。
减少事故风险IdM的实施使您可以减少许多信息安全风险或确保及时发现相关事件:
- 不一致地提供访问信息系统的风险,
- 由于他们的帐户未被阻止而被解雇的员工的访问风险,
- 未按时撤销其权利的承包商未经授权进入的风险,
- 员工过度权力的风险。
通常,在通过信息安全风险证明系统实施的合理性时,对于管理层之前是否曾发生过类似事件至关重要。 (如果不是,那么为什么要保护自己免受这些风险的侵害?)好吧,正如一位信息安全服务部门负责人喜欢说的那样,建议人们不要锁门,因为他们以前从未被抢劫过!
但是,如实践所示,此类事件不时发生,其后果可能非常明显。 在我们的实践中,有一种情况是银行分支机构由于员工“感染”代表其帐户加密关键数据的病毒而闲置了几天,而该员工根本无法访问该病毒。 在这种情况下,损坏相对容易转换为卢布,但是并非所有与访问违规有关的信息安全事件都不会发生。
减少IdM系统的信息安全风险是什么? 可以引用以下示例:
- 下岗员工的活跃账户。
- 不一致的访问权限或不应具有的访问权限。
- 过多的访问权限(由于在组织内部转移员工而没有撤回不必要的权限,可能会“成倍增加”,这是由于基于“像另一名员工的职位相似”的原则授予员工权利)。
- 已按时同意并授予但未按时撤消的访问。
- 为满足技术需要而临时创建的帐户,但随后未删除。
- 使用已取消身份的(组)帐户。
通常,就通过信息安全进行辩护而言,业务对信息安全的态度至关重要。 在某处将其视为正式功能,而在某处则将其视为业务关键。 如果信息安全对业务不是必不可少的,那么最好通过其他文章来证明实施的合理性。
符合法规/标准要求这部分理由与属于外部监管机构(例如,俄罗斯联邦中央银行)或内部(例如,制定活动标准的上级组织)要求的组织有关。 前者包括在证券交易所进行交易的组织。
IdM的实施使您能够根据SRT BR,PCI DSS,SoX,ISO 27001等标准满足访问控制要求。 这些要求通常由组织措施来满足,但是接受外部审核的大型组织通常会收到有关使用IdM类系统清理和减少访问控制风险的建议。
如果有外部审计师的建议,那么通过标准实施IdM的理由就相当顺利了。
支持当前的组织策略证实解决方案的这种方法部分是对先前解决方案的编译,但实际上将重点放在其他方法上,使用上述选项作为一组参数。 这种方法的想法是通过系统实施来支持组织的正在进行的任务,战略或正在进行的计划。 例如,如果一家公司将目标放在提高流程效率上,那么IdM完全适合该计划的实施,从而有助于降低与停机时间和人工相关的访问控制流程的成本。 如果公司计划进行首次公开募股,IdM可以成为增加公司资本的一种手段。 在我们的实践中,这种情况已经不止一次。
如果项目适合管理层所做变更的大纲,则使用适当的语言来传达其有用性要容易得多。 在这种情况下,先前的方法可以用作更实质性的论据,以增强预期的效果。
总结以上是我们亲自在实践中遇到的证明IdM实施项目合理性的多种通用方法。 我们的目标是表明可以从哪个方面着手解决这个问题,并提供指导,在哪种情况下最好使用一种或另一种辩护方式。 但是,在每个公司中,此过程都非常有创意:它具有自己的详细信息,程序,演示格式,甚至有自己的“语言”,并且始终是独立的。 仍然希望您在这项艰巨的任务中取得创造性的成功,并且我们希望我们的建议将有助于在管理层面前为您认为必要的任何解决方案的实施辩护。
作者:Solar inRights开发与推广主管Dmitry Bondar