Управление правами доступа в корпоративной сети предприятия, прямо скажем, дело не самое увлекательное и не очень-то простое, однако необходимое. Если компания маленькая, то этот зажигательный процесс стараются организовать вручную. Что в итоге выходит, особенно с учетом роста бизнеса, и как этого положения удается выбраться, сэкономив людские и временные ресурсы, я и расскажу.
Жил-был владелец одной маленькой компании. По старинным рецептам медовуху варил да горожанам к празднику поставлял. А как начал в продукт свой травки всякие полезные добавлять да разработал собственный рецепт, от клиентов отбоя не стало. Слава о его заведении далеко по области пошла. Оснастил он свое производство заморским оборудованием с программным управлением, набрал пару десятков работников, посадил их за компы — сидят-трудятся. Хорошо-о-о-о.
Бизнес растет, года через три стало в компании уже пять сотен сотрудников. Появились руководители отделов, а у тех — подчиненные. Своего меда недостаточно стало, договорился с соседними пчеловодами на поставку сырья. Возникли в отделах разные бизнес-процессы, всякие утвержденные наверху регламенты и даже некоторые информационные системы. Понял владелец — надо всё это хозяйство как-то упорядочить, и написал указ. И принялись сотрудники друг к другу ходить, бумажками перекидываться, доступы с согласованиями просить. Стали тут всякие интересные казусы происходить. А какие, расскажем ниже.
Казус первый
Приходит маркетолог к сисадмину: «Бью тебе челом, добрый человек, дай мне доступ в „2C: Предприятие“, надо мне договора с юристами и бухгалтерией согласовывать». «Не вопрос, — отвечает тот. — Только заполни ты мне бумажку по всей форме, да все 10 параметров непременно укажи». Ушел маркетолог ни с чем и надолго — думу думать, информацию собирать да бумажку заполнять.
Казус второй
Озадачился как-то руководитель отдела по внешним связям, как бы поставщикам-пчеловодам доступ к своим системам организовать, чтобы они поставки свои отслеживали да с пополнением сырья не опаздывали. А дело это серьезное — поставщиков разных много развелось, абы кого во внутренние владения не пустишь, надо его с главным воеводой ИБэшником согласовать. А тот в отпуске оказался — огород в деревне Кукуево вскапывает. И остались поставщики гадать-горевать, ждать возвращения огородника.
Казус третий
Завел у себя в департаменте глава всея продаж специальную программку, в которой вся информация о клиентах и история взаимоотношений с ними хранилась и сейлами токмо использовалась. И так хорошо стало в продажах, так удобно: нужны какому бойцу данные о клиенте — зашел в программку, нашел заказчика и узнал всю его подноготную, все его хотелки с пожелалками.
Одно обидно: стали в эту программку доступ просить все, кому ни попадя: и маркетологи, и финансисты всякие, и другие-прочие. И вроде ведь для повышения продаж да улучшения обслуживания клиентов просят доступ — как дать? В итоге навыдавал глава всем страждущим разрешений, а через год понять не может, кто и зачем в его программку ходит и какие данные оттуда таскает. Год вручную вместе с технарями разбирались (по-модному «ресертификацию прав доступа» проводили), да так и не довели до конца — потонули в бумажках да процедурах.
Казус четвертый
Пять сотен работников — это вам не двадцать. Надо им учетки выдавать и блокировать, надо доступы в разные системы наподобие сейловой предоставлять — все ручками, ручками. И стали бедные полтора сисадмина (один на полставки работал) как рабы на галере: полдня на управление правами доступа работников тратят, а остальные полдня — на тушение пожара (сеть восстановить после сбоев и нарушений да оборудование подлатать). Все прочие рабочие повинности, как водится, сверхурочно да по выходным. Затосковали хлопцы...
Казус пятый
Когда бизнес спорится, тут, как водится, и завистники появляются. Случилась как-то оказия: украл один из секретарей рецептуру новую и базу клиентов, да и передал конкурентам за мзду немалую. Заметили, как обычно, не сразу, а токмо когда заказчики принялись массово к конкуренту уходить. Стало быть, надо выяснить, как этот горе-работник доступ к тайнам получил, кто ему такой доступ дал и по какой такой причине. Эту ответственную задачу поручили работнику ИБ-службы: расследуй, мил человек, сей факт ручками да глазками. Долго копал безопасник — и вглубь, и вширь, да как тут разберешься: полгода прошло с момента злоумышления, уже и среда корпоративная поменялась, и бизнес-процессы. В общем, плюнули на это дело в компании и дальше пошли работать...
Вернемся, однако, от иносказания к реальности. В современной компании аналогичного масштаба вышеописанный процесс «управления» доступом будет выглядеть примерно так (см. схему 1):
Знакомо? Да. Комфортно? Нет. Эффективно? Нет, особенно учитывая тотальную цифровизацию последних лет.
Как видим, если компания уделяет недостаточное внимание администрированию доступа и управлению идентификацией, то ресурсные затраты на решение таких задач вручную могут оказаться колоссальными! Что делать? Конечно, менять подход. Ведь управление идентификацией и авторизацией является ключом к безопасности и имеет большое значение для всех подразделений. Посмотрим, как с этой задачей справился мудрый владелец нашей, уже немаленькой, компании.
А поглядел он на все эти казусы и понял: пора автоматизировать процесс управления доступом. К тому времени количество работников у него уже к тысяче душ приближалось.
Вызвал он на ковер добрых молодцев — технарей да безопасников — и говорит: «Добудьте мне такую систему, чтобы как скатерть-самобранка работала. Чтобы сама учетки пользователям при приеме на работу создавала, базовые права доступа им выдавала, а при увольнении блокировала. Чтобы во время болезней да отпусков доступ блокировала. Чтобы работнику было немудрено в ней быстренько нужную заявку состряпать, да чтобы заявка эта сама кому надо на согласование уходила. И чтобы всякие нарушения правил выдачи доступа и конфликты разные сама выявляла да устраняла своевременно. Ну и чтобы быстро выдавала всю историческую информацию о предоставленном доступе — хочешь за месяц, хочешь за год — для отчетов всяческих аудиторам да регуляторам. Да для расследований оказий разных подходила».
Подумали-поспрошали безопасники да технари, что за система такая должна быть, и поняли: пришла пора внедрять IdM (identity management), а еще лучше — продвинутую IGA (identity governance and administration)! Что за чудо-юдо такое? А никаких чудес здесь нет: система сама выдает всем работникам доступ когда и куда надобно. Как она так хитро умеет? Да через автоматическое управление жизненным циклом пользователя. Да с помощью действующих политик и инфраструктуры, созданной для обеспечения этого процесса.
Что же она умеет, эта скатерть-самобранка? Во-первых, обнаруживает и анализирует права пользователей — когда, с какой-такой стати и кем выданы. Во-вторых, сама (по заданным политикам) решения принимает — выдать запрошенное право доступа или дать от ворот поворот. Сама же (по запросу) отчеты создает, ежели аудит какой или сертификация доступа потребны. И жизненный цикл контролирует, и их ролями во всяких информационных системах управляет да лишнего делать не дает. Вот такие чудеса!
И внедрил у себя в компании мудрый владелец эту чудо-систему. А как проанализировал эффект, так и ахнул:
- на 53% сократилось время, которое тратит деловой люд, дабы заявки согласовать, ревизию прав доступа (по-нашему — сертификацию) произвести и т. п.;
- в системах компании на 15% число лишних пользователей поубавилось, а количество заявок к сисадминам аж на 85% сократилось;
- плюс ко всему данные из систем для расследования хищений на 50% проще стало добыть.
И было в итоге всем работникам нашей уже немаленькой компании счастье!
А теперь в реальности посмотрим, как изменился приведенный в схеме 1 процесс управления доступом в результате использования IGA-системы (см. схему 2):
Итог
Когда процесс управления правами доступа разработан и автоматизирован, компании не нужно выделять все больше дополнительных средств и ресурсов, чтобы удержаться на плаву и обеспечивать для бизнеса необходимый уровень сервиса и безопасности. Это весьма и весьма ощутимый инструмент экономии ресурсных затрат на управление доступом.
Вот и сказке конец! И я там был, мед сладкий пил, да на ус мотал, как процесс управления доступом сделать простым и эффективным, чтобы понятен всем был да денежки экономил. И, само собой, безопасным — чтобы быстро доступ получать да регламенты не нарушать.
Подписывайтесь на канал, чтобы ничего не пропустить.
Все новости на сайте it-world.ru