Избавляемся от потерь, связанных с предоставлением доступа
Кто из нас в детстве не играл в слова? Придумываем какое-нибудь, пишем его на бумаге, и каждый участник составляет из его букв новые. Если в образце 5-6 букв, то новых слов наберется около десятка, а если из 10-15 – уже в разы больше.
Этот процесс напоминает развитие компаний в современном мире. Увеличивается персонал, расширяется ландшафт используемых информационных ресурсов – как структурировать доступ сотрудников в информационные системы (ИС) и управлять им без потерь и рисков для бизнеса? Решение таких задач под силу продуктам класса IdM (Identity Management).
Автоматизация управления доступом: зачем и как
Сначала разберемся в понятиях. Решения класса IdM появились на российском рынке довольно давно, более 10 лет назад. Сначала это были исключительно зарубежные разработки, но постепенно начали появляться и отечественные: специфика у российского бизнеса все-таки есть, и кто, как не свои родные аналитики и разработчики, глубже понимает его потребности.
С тех пор эти продукты эволюционировали вслед за развитием и цифровизацией бизнеса, однако законодателями мод по-прежнему остаются наши зарубежные партнеры. От них к нам пришла и новая концепция управления доступом – IGA (identity governance and administration), которая фокусируется на контроле деятельности человека в информационном ландшафте и связанных с этим процессах управления правами доступа, ресурсами и структурами, а также на риск-ориентированных моделях регламентации прав.
Российские поставщики решений на сегодняшний день предлагают широкий спектр услуг в области управления правами, а в некоторых случаях даже опережают западных коллег по части эргономики интерфейсов и кастомизации процессов. Но российскому пользователю наименование IdM все же ближе, поэтому будем оперировать именно этим термином.
Итак, в обобщенном виде схема работы IdM-системы выглядит следующим образом:
С одной стороны, IdM интегрирована с доверенными кадровыми источниками, получая из них все события, связанные со статусом работника в компании (прием на работу, перевод на другую штатную должность, увольнение, отпуск, изменение личных данных и т. п.), а с другой – двусторонне интегрирована с подключенными целевыми ИС: в процессе работы осуществляются анализ полученных из них данных и управление правами пользователей на основании кадровых событий.
IdM осуществляет управление доступом либо полностью в автоматическом режиме, либо с привлечением уполномоченного лица (например, в случае согласования прав). Это зависит от настройки согласно утвержденным процессам в компании.
Для ручного управления предусмотрен интерфейс взаимодействия, которым пользуются не только администраторы и контролирующие подразделения, но и рядовые сотрудники, которым требуется оформить заявку для получения дополнительных прав, согласовать запрос или поменять пароль.
Сокращение потерь с использованием IdM
Одна из болевых точек крупных компаний – простои сотрудников в ожидании доступа к информационным системам. Это особенно критично в случае высокой доли работников невысокой квалификации и частой ротации кадров, например в торговых или финансовых организациях, предлагающих продукты и услуги для клиентов. Штат отделов продаж либо кол-центров такой компании может достигать нескольких тысяч человек.
На ручное оформление и предоставление доступа для нового сотрудника в российских компаниях в среднем уходит три рабочих дня. При этом выполнять свои обязанности, не имея доступа к необходимым ИС, в нынешних цифровых реалиях практически невозможно, а значит, рабочее время новичков будет оплачиваться впустую. Принимая во внимание текучесть таких кадров (по данным агентства Antal Russia, в индустрии розничной торговли в 2018 году она составила 45%, а в финансовой сфере – 25%), получается, что если на предприятии занято, например, 2000 человек, то в год ей придется предоставить права доступа 900 новым сотрудникам. Умножаем эту цифру на три дня и на среднюю зарплату по отрасли (на октябрь ‘2018 – 34,4 тыс. рублей) – и получаем почти 93 млн рублей. В столице, соответственно, потери будут еще больше.
Сюда следует добавить и затраты по ручной обработке каждой заявки на доступ со стороны администратора ИТ-подразделения, для чего надо создать учетную запись, предоставить права, сформировать и оформить результат по заявке. При изменении позиции или увольнении сотрудника необходимо в ручном режиме аннулировать права и заблокировать учетные записи. Количество заявок, ожидающих очереди, может измеряться сотнями. В дополнение к этому ИТ-подразделения вынуждены тратить время, отвечая на звонки и электронные обращения, касающиеся доступа сотрудников.
В одной из финансовых компаний со штатом 8000 пользователей системой IdM было выполнено за месяц около 13 тыс. операций, включающих: создание/удаление учетных записей, блокировку/разблокировку доступа, предоставление/изменение/аннулирование прав, изменение паролей и учетных данных и т. п. Если оптимистично оценить время ручного исполнения одной операции в 5 минут, то экономия при автоматизации таких операций составит 135 человеко-дней.
Таким образом, для успешного развития любой отрасли в современных реалиях большую роль играют цифровизация и автоматизация процессов. С использованием IdM сразу после регистрации в кадровой базе приказа о приеме сотрудника на работу автоматически будут созданы учетные записи: информационные системы будет содержать определенный набор прав (ролей), которые требуются работнику для выполнения должностных обязанностей, и в течение одного-двух часов он сможет приступить к работе. При этом участия в процессе ИТ-персонала не потребуется.
Рис. 1. Учетные записи, автоматически созданные сотруднику на основании занимаемой должности
Рис. 2. Базовые роли, автоматически назначенные сотруднику на основании занимаемой должности
Полномочия можно назначать как полностью автоматически, так и после ручного согласования сгенерированных системой заявок. Система IdM позволяет настроить автоматизированный процесс согласований, соответствующий всем утвержденным процедурам компании. Маршрут согласований может быть последовательным и параллельным: при тайм-ауте или в случае нарушения установленных ограничений в рамках SLA (Service Level Agreement) предусмотрена автоматическая эскалация на вышестоящего руководителя или его заместителя. Согласование может быть выполнено в полном объеме либо часть полномочий отклонена, и заявитель получит уведомление с указанием причин. При этом на автоматическое выполнение заявки направится только согласованная ее часть.
Рис. 3. Частичное согласование по заявке
При назначении согласования система IdM автоматически направляет уведомление в электронную почту сотрудника, от которого требуется согласование прав доступа. Интерактивная ссылка, указанная в письме, перенаправляет сотрудника к объекту согласования.
Рис. 4. Почтовое уведомление о назначении согласования
Доступ к целевым системам компании предоставляется в автоматическом режиме либо по заявкам на основании предварительно настроенных базовых ролей. IdM позволяет задать перечень полномочий для сотрудников каждой организационной единицы компании — департамента, управления, отдела и т. д. На все роли, созданные для подразделений, распространяется правило наследования по иерархии. То есть при трудоустройстве в штатное подразделение сотруднику будут назначены роли вышестоящего подразделения плюс его собственная роль.
Пример организационной структуры компании
Пример наследования прав в данной структуре
При изменении структуры организации или функциональной модели ролевую модель также легко модифицировать — добавить в базовый набор права или удалить лишние полномочия.
Рис. 5. Настройка базовых ролей согласно организационной структуре
Выводы
Что имеем в сухом остатке? Внедрение автоматизированной системы управления доступом – IdM – позволяет сократить время простоев сотрудников, минимизировать затраты ИТ-службы на ручное выполнение заявок и консультирование/информирование пользователей. Всё это существенно сокращает издержки, обеспечивает непрерывность бизнеса и контроль за ситуацией с правами доступа на каждом этапе работы предприятия.
Опубликовано 05.06.2019