Избавляемся от потерь, связанных с предоставлением доступа

Логотип компании
Избавляемся от потерь, связанных с предоставлением доступа
Как сэкономить бюджет компании с помощью IdM, снизив затраты на управление доступом?

Кто из нас в детстве не играл в слова? Придумываем какое-нибудь, пишем его на бумаге, и каждый участник составляет из его букв новые. Если в образце 5-6 букв, то новых слов наберется около десятка, а если из 10-15 – уже в разы больше.

Этот процесс напоминает развитие компаний в современном мире. Увеличивается персонал, расширяется ландшафт используемых информационных ресурсов – как структурировать доступ сотрудников в информационные системы (ИС) и управлять им без потерь и рисков для бизнеса? Решение таких задач под силу продуктам класса IdM (Identity Management).

Автоматизация управления доступом: зачем и как

Сначала разберемся в понятиях. Решения класса IdM появились на российском рынке довольно давно, более 10 лет назад. Сначала это были исключительно зарубежные разработки, но постепенно начали появляться и отечественные: специфика у российского бизнеса все-таки есть, и кто, как не свои родные аналитики и разработчики, глубже понимает его потребности.

С тех пор эти продукты эволюционировали вслед за развитием и цифровизацией бизнеса, однако законодателями мод по-прежнему остаются наши зарубежные партнеры. От них к нам пришла и новая концепция управления доступом – IGA (identity governance and administration), которая фокусируется на контроле деятельности человека в информационном ландшафте и связанных с этим процессах управления правами доступа, ресурсами и структурами, а также на риск-ориентированных моделях регламентации прав.

Российские поставщики решений на сегодняшний день предлагают широкий спектр услуг в области управления правами, а в некоторых случаях даже опережают западных коллег по части эргономики интерфейсов и кастомизации процессов. Но российскому пользователю наименование IdM все же ближе, поэтому будем оперировать именно этим термином.

Итак, в обобщенном виде схема работы IdM-системы выглядит следующим образом:

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 1

С одной стороны, IdM интегрирована с доверенными кадровыми источниками, получая из них все события, связанные со статусом работника в компании (прием на работу, перевод на другую штатную должность, увольнение, отпуск, изменение личных данных и т. п.), а с другой – двусторонне интегрирована с подключенными целевыми ИС: в процессе работы осуществляются анализ полученных из них данных и управление правами пользователей на основании кадровых событий.

IdM осуществляет управление доступом либо полностью в автоматическом режиме, либо с привлечением уполномоченного лица (например, в случае согласования прав). Это зависит от настройки согласно утвержденным процессам в компании.

Для ручного управления предусмотрен интерфейс взаимодействия, которым пользуются не только администраторы и контролирующие подразделения, но и рядовые сотрудники, которым требуется оформить заявку для получения дополнительных прав, согласовать запрос или поменять пароль.

Сокращение потерь с использованием IdM

Одна из болевых точек крупных компаний – простои сотрудников в ожидании доступа к информационным системам. Это особенно критично в случае высокой доли работников невысокой квалификации и частой ротации кадров, например в торговых или финансовых организациях, предлагающих продукты и услуги для клиентов. Штат отделов продаж либо кол-центров такой компании может достигать нескольких тысяч человек.

На ручное оформление и предоставление доступа для нового сотрудника в российских компаниях в среднем уходит три рабочих дня. При этом выполнять свои обязанности, не имея доступа к необходимым ИС, в нынешних цифровых реалиях практически невозможно, а значит, рабочее время новичков будет оплачиваться впустую. Принимая во внимание текучесть таких кадров (по данным агентства Antal Russia, в индустрии розничной торговли в 2018 году она составила 45%, а в финансовой сфере – 25%), получается, что если на предприятии занято, например, 2000 человек, то в год ей придется предоставить права доступа 900 новым сотрудникам. Умножаем эту цифру на три дня и на среднюю зарплату по отрасли (на октябрь ‘2018 – 34,4 тыс. рублей) – и получаем почти 93 млн рублей. В столице, соответственно, потери будут еще больше.

Сюда следует добавить и затраты по ручной обработке каждой заявки на доступ со стороны администратора ИТ-подразделения, для чего надо создать учетную запись, предоставить права, сформировать и оформить результат по заявке. При изменении позиции или увольнении сотрудника необходимо в ручном режиме аннулировать права и заблокировать учетные записи. Количество заявок, ожидающих очереди, может измеряться сотнями. В дополнение к этому ИТ-подразделения вынуждены тратить время, отвечая на звонки и электронные обращения, касающиеся доступа сотрудников.

В одной из финансовых компаний со штатом 8000 пользователей системой IdM было выполнено за месяц около 13 тыс. операций, включающих: создание/удаление учетных записей, блокировку/разблокировку доступа, предоставление/изменение/аннулирование прав, изменение паролей и учетных данных и т. п. Если оптимистично оценить время ручного исполнения одной операции в 5 минут, то экономия при автоматизации таких операций составит 135 человеко-дней.

Таким образом, для успешного развития любой отрасли в современных реалиях большую роль играют цифровизация и автоматизация процессов. С использованием IdM сразу после регистрации в кадровой базе приказа о приеме сотрудника на работу автоматически будут созданы учетные записи: информационные системы будет содержать определенный набор прав (ролей), которые требуются работнику для выполнения должностных обязанностей, и в течение одного-двух часов он сможет приступить к работе. При этом участия в процессе ИТ-персонала не потребуется.

Рис. 1. Учетные записи, автоматически созданные сотруднику на основании занимаемой должности

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 2

Рис. 2. Базовые роли, автоматически назначенные сотруднику на основании занимаемой должности

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 3

Полномочия можно назначать как полностью автоматически, так и после ручного согласования сгенерированных системой заявок. Система IdM позволяет настроить автоматизированный процесс согласований, соответствующий всем утвержденным процедурам компании. Маршрут согласований может быть последовательным и параллельным: при тайм-ауте или в случае нарушения установленных ограничений в рамках SLA (Service Level Agreement) предусмотрена автоматическая эскалация на вышестоящего руководителя или его заместителя. Согласование может быть выполнено в полном объеме либо часть полномочий отклонена, и заявитель получит уведомление с указанием причин. При этом на автоматическое выполнение заявки направится только согласованная ее часть.

Рис. 3. Частичное согласование по заявке

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 4

При назначении согласования система IdM автоматически направляет уведомление в электронную почту сотрудника, от которого требуется согласование прав доступа. Интерактивная ссылка, указанная в письме, перенаправляет сотрудника к объекту согласования.

Читайте также
IT-World разбирался, почему монолитные корпоративные системы — это бомба замедленного действия и как избежать ошибок при проектировании.

Рис. 4. Почтовое уведомление о назначении согласования

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 5

Доступ к целевым системам компании предоставляется в автоматическом режиме либо по заявкам на основании предварительно настроенных базовых ролей. IdM позволяет задать перечень полномочий для сотрудников каждой организационной единицы компании — департамента, управления, отдела и т. д. На все роли, созданные для подразделений, распространяется правило наследования по иерархии. То есть при трудоустройстве в штатное подразделение сотруднику будут назначены роли вышестоящего подразделения плюс его собственная роль.

Пример организационной структуры компании

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 6

Пример наследования прав в данной структуре

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 7

При изменении структуры организации или функциональной модели ролевую модель также легко модифицировать — добавить в базовый набор права или удалить лишние полномочия.

Рис. 5. Настройка базовых ролей согласно организационной структуре

Избавляемся от потерь, связанных с предоставлением доступа. Рис. 8

Выводы

Что имеем в сухом остатке? Внедрение автоматизированной системы управления доступом – IdM – позволяет сократить время простоев сотрудников, минимизировать затраты ИТ-службы на ручное выполнение заявок и консультирование/информирование пользователей. Всё это существенно сокращает издержки, обеспечивает непрерывность бизнеса и контроль за ситуацией с правами доступа на каждом этапе работы предприятия.

Опубликовано 05.06.2019