Экономическая ценность внедрения решений класса Identity
Сегодня рынок систем информационной безопасности, который включает в себя и IDM-решения, продолжает активно развиваться. Решения IDM (identity management) представляют собой систему централизованного управления учетными записями пользователей, их правами доступа, паролями, сертификатами и пр.
Раньше решения класса Identity были наиболее востребованы среди компаний-гигантов. Сегодня же всё больше организаций понимают необходимость повышения уровня безопасности и увеличения скорости работы с учетными данными и управлением правами доступа пользователей.
Долго или дорого
Обычно при трудоустройстве новый сотрудник получает от кадрового работника должностные инструкции и заполняет ряд необходимых документов. Затем информация о сотруднике вносится в картотеку кадровой системы, после чего он назначается на определенную должность.
Любая позиция подразумевает под собой зарплатную ставку, набор полномочий и соответствующий уровень доступа к корпоративным ресурсам. Сегодня каждый человек так или иначе связан с информационными системами. Для работы сотруднику необходим компьютер с установленной электронной почтой, браузером, какими-то серверными системами, специальными мессенджерами или специализированным программным обеспечением исходя из его должностной инструкции.
Но, допустим, в компанию принято сразу 10 новых сотрудников. Следовательно, системному администратору потребуется выдать каждому из них компьютер, создать учетные записи, настроить работу необходимых сервисов, предоставить доступы. Обычно этот процесс занимает до нескольких рабочих дней, ведь администратор не может работать на всех устройствах одновременно.
И это только базовый набор. А если должность новичка предполагает более сложные задачи, ему потребуется подключить более высокий уровень доступа, создать учетные записи в системах безопасности. При этом администратор не может тратить на это 100% своего рабочего времени. Таким образом, процесс предоставления доступа одному человеку, когда он уже начинает заниматься непосредственно бизнес-процессами компании, может затянуться на две-три недели.
Для экономии времени можно нанять второго администратора, который будет заниматься только этими задачами. Однако ему придется платить зарплату, выплачивать за него налоги. При этом бывают месяцы, когда нет ни новых сотрудников, ни увольнений, или начинается сезон отпусков, когда второй сотрудник будет простаивать из-за отсутствия рабочих задач. И это только временные издержки. Помимо этого, порядка 3-5 тыс. рублей в день уходит на содержание одного сотрудника. Таким образом, организация тратит более 50 тыс. рублей ежемесячно на сотрудника, который выкладывается не на 100%.
А как же риски?
Существуют также риски в сфере информационной безопасности, связанные с человеческим фактором. Системный администратор может просто устать, завести неформальные отношения с кем-то из коллег или состоять в конфликте. В результате воздействия этих факторов он может забыть удалить доступ сотрудника после увольнения, расширить его уровень доступа, поставить лицензируемое ПО, которое не требуется сотруднику для выполнения работы, при этом компания будет регулярно платить за продление лицензии. И это еще минимальные риски, чем крупнее компания, тем серьезнее могут быть экономические потери.
Система управления доступом
Решения класса Identity направлены на то, чтобы сократить временные и финансовые затраты, за счет автоматизации процессов управления доступами.
Рассмотрим на примере. Обычно установка и настройка «1С» занимает порядка двух часов: требуется включить компьютер, ввести имя пользователя и пароль, установить и запустить решение, затем произвести ряд настроек. Система IDM способна сократить этот процесс до 15 секунд. Она обращается непосредственно к базе данных информационной системы и заводит там учетную запись для пользователя, после чего ему (или кадровому работнику, если сотрудник еще проходит стадию оформления и подписания документов) будет направлено уведомление на почту с логином и паролем. Получается, что вместо двух-трех недель ожидания доступа от системного администратора сотрудник получает все необходимые подключения уже в тот момент, когда еще сидит в кадровой службе и заполняет документы на трудоустройство.
Такое решение позволяет сэкономить от нескольких часов до нескольких недель. Система поможет заменить реального системного администратора, что также приведет к снижению финансовых издержек компании на содержание ИТ-кадров.
Как это работает?
Например, работник кадровой службы ставит отметку о принятии сотрудника на должность, скажем, менеджера по продажам. Эта позиция подразумевает под собой некую ролевую модель, включающую в себя штатное расписание с добавленным к должности списком полномочий и соответствующих доступов. После отметки кадровой службы система IDM анализирует ролевую модель должности и предоставляет необходимые менеджеру по продажам доступы. И это происходит моментально. Из имени и фамилии сотрудника по заранее установленным правилам формируется логин и пароль, которые передаются кадровому работнику. Сотруднику остается только получить оборудование. Когда он подключает его к сети, автоматически появляются все необходимые приложения и доступы.
Кроме того, использование решений класса Identity сокращает время на согласование с отделом информационной безопасности или руководством, когда работнику требуется выдать какой-то дополнительный доступ.
Экономическая эффективность
Обычно внедрение IDM-решения требует существенных вложений, поэтому заказчиков интересует, насколько эти инвестиции оправданны и окупится ли проект.
Для ответа на этот вопрос мы рекомендуем использовать калькулятор ROI, который помогает рассчитать экономическую эффективность через график окупаемости. Калькулятор оценивает зарплату администратора и среднее время, которое он тратит на обработку одной заявки от отдела кадров, число наймов и увольнений сотрудников. Из всех этих чисел можно построить график окупаемости использования IDM-систем.
В чем же здесь экономия? Она заключается в том, что, если злоумышленник похитил какие-то важные данные, для компании это большие имущественные и репутационные риски, однако компания может продолжать работать.
Но если вдруг какой-то обиженный сотрудник, обладающий полными правами доступа к системе, решит отомстить и навредить компании, отключив сервер или удалив базу данных, это может привести к остановке бизнес-процессов. От таких потерь компания сможет восстановиться с очень большим трудом. И здесь мы уже говорим об огромных экономических рисках. В нашей практике встречался подобный случай, когда сотрудник с высоким уровнем доступа допустил непреднамеренную ошибку, что привело к совершению потенциально опасных действий, которые обошлись компании в несколько миллионов рублей ущерба.
В целом экономическая эффективность внедрения решений класса Identity складывается из:
-
экономии времени за счет автоматизации процессов;
-
снижения затрат на содержание ИТ-сотрудников;
-
минимизации влияния человеческого фактора;
-
снижения рисков из-за ошибок и избыточных полномочий;
-
снижения рисков, способных нанести критический ущерб организации.
Хотя расчеты экономической эффективности для каждой организации будут индивидуальными, в целом, по нашему опыту, снижение финансовых издержек обычно составляет от 15%, что позволяет компании экономить сотни тысяч рублей в месяц при численности пользователей в несколько тысяч человек.
Рассмотрим на примере кейса
Одной из лидирующих компаний в сфере страховых услуг с численностью пользователей 11 тыс. человек и 15 информационными системами требовалось существенно ускорить процесс предоставления доступа своим новым сотрудникам.
Внедренная экспертами Softline система Identity Manager позволила организации сократить среднее время выдачи доступов на 30%. Также за счет автоматизации процессов снизилось количество ошибок, устранение которых могло занимать до нескольких дней. Помимо этого, удалось существенно сократить финансовые затраты на привлечение отдельных сотрудников для ИТ-администрирования.
Система IDM помогла сделать бизнес заказчика более динамичным, поскольку новые сотрудники стали включаться в работу гораздо быстрее за счет оперативно полученных необходимых для них доступов.
PAM-системы на страже безопасности
Представлять угрозу для информационной безопасности компании могут как администраторы, обладающие полными привилегиями, так и рядовые сотрудники с избыточными правами. Сотрудник, обладающий высоким уровнем доступа и администраторскими привилегиями, способен очень быстро обрушить бизнес-процессы в организации, что может привести к существенным потерям для любой компании, независимо от отрасли.
В борьбе с такими рисками мы рекомендуем использовать PAM-системы и системы многофакторной аутентификации. Эти решения становятся неким шлюзом, через который потенциально опасные действия администратора могут контролироваться службой информационной безопасности.
Заключение
В заключение хотелось бы отметить, что сегодня решения класса Identity помогают всё большему числу компаний избежать серьезных рисков, связанных с компрометацией учетных записей, ошибочно выданными или не вовремя отключенными доступами. Снижение влияния человеческого фактора позволяет снизить риски, возникающие в результате неправомерного использования доступа к информационным ресурсам и системам. При этом важно понимать, что риски могут быть связаны как с преднамеренными действиями, так и случайными ошибками в работе сотрудников. Однако такие действия могут нанести серьезный финансовый и репутационный ущерб компании.
IDM-решения позволяют построить систему информационной безопасности таким образом, чтобы минимизировать риски потенциально опасных действий из-за неправомерного доступа, а также сократить временные и экономические издержки путем автоматизации процессов управления доступами.
Опубликовано 10.10.2022