Сказ о том, как в одной компании доступом управляли и что из этого вышло
Управление правами доступа в корпоративной сети предприятия, прямо скажем, дело не самое увлекательное и не очень-то простое, однако необходимое. Если компания маленькая, то этот зажигательный
процесс стараются организовать вручную. Что в итоге выходит, особенно с учетом роста бизнеса, и как этого положения удается выбраться, сэкономив людские и временные ресурсы, я и расскажу.
…Жил-был владелец одной маленькой компании. По старинным рецептам медовуху варил да горожанам к празднику поставлял. А как начал в продукт свой травки всякие полезные добавлять да разработал собственный рецепт, от клиентов отбоя не стало. Слава о его заведении далеко по области пошла.
Оснастил он свое производство заморским оборудованием с программным управлением, набрал пару десятков работников, посадил их за компы – сидят-трудятся. Хорошо-о-о-о…
Бизнес растет, года через три стало в компании уже пять сотен сотрудников. Появились руководители отделов, а у тех – подчиненные. Своего меда недостаточно стало, договорился с соседними пчеловодами на поставку сырья. Возникли в отделах разные бизнес-процессы, всякие утвержденные наверху регламенты и даже некоторые информационные системы. Понял владелец – надо всё это хозяйство как-то упорядочить, и написал указ. И принялись сотрудники друг к другу ходить, бумажками перекидываться, доступы с согласованиями просить. Стали тут всякие интересные казусы происходить. А какие, расскажем ниже.
Казус 1. Приходит маркетолог к сисадмину: «Бью тебе челом, добрый человек, дай мне доступ в “2C:Предприятие”, надо мне договора с юристами и бухгалтерией согласовывать». «Не вопрос, – отвечает тот. – Только заполни ты мне бумажку по всей форме, да все 10 параметров непременно укажи». Ушел маркетолог ни с чем и надолго – думу думать, информацию собирать да бумажку заполнять.
Казус 2. Озадачился как-то руководитель отдела по внешним связям, как бы поставщикам-пчеловодам доступ к своим системам организовать, чтобы они поставки свои отслеживали да с пополнением сырья не опаздывали. А дело это серьезное – поставщиков разных много развелось, абы кого во внутренние владения не пустишь, надо его с главным воеводой ИБэшником согласовать. А тот в отпуске оказался – огород в деревне Кукуево вскапывает. И остались поставщики гадать-горевать, ждать возвращения огородника.
Казус 3. Завел у себя в департаменте глава всея продаж специальную программку, в которой вся информация о клиентах и история взаимоотношений с ними хранилась и сейлами токмо использовалась. И так хорошо стало в продажах, так удобно: нужны какому бойцу данные о клиенте – зашел в программку, нашел заказчика и узнал всю его подноготную, все его хотелки с пожелалками.
Одно обидно: стали в эту программку доступ просить все, кому ни попадя: и маркетологи, и финансисты всякие, и другие-прочие. И вроде ведь для повышения продаж да улучшения обслуживания клиентов просят доступ – как дать? В итоге навыдавал глава всем страждущим разрешений, а через год понять не может, кто и зачем в его программку ходит и какие данные оттуда таскает. Год вручную вместе с технарями разбирались (по-модному «ресертификацию прав доступа» проводили), да так и не довели до конца – потонули в бумажках да процедурах.
Казус 4. Пять сотен работников – это вам не двадцать. Надо им учетки выдавать и блокировать, надо доступы в разные системы наподобие сейловой предоставлять – все ручками, ручками. И стали бедные полтора сисадмина (один на полставки работал) как рабы на галере: полдня на управление правами доступа работников тратят, а остальные полдня – на тушение пожара (сеть восстановить после сбоев и нарушений да оборудование подлатать). Все прочие рабочие повинности, как водится, сверхурочно да по выходным. Затосковали хлопцы…
Казус 5. Когда бизнес спорится, тут, как водится, и завистники появляются. Случилась как-то оказия: украл один из секретарей рецептуру новую и базу клиентов, да и передал конкурентам за мзду немалую. Заметили, как обычно, не сразу, а токмо когда заказчики принялись массово к конкуренту уходить. Стало быть, надо выяснить, как этот горе-работник доступ к тайнам получил, кто ему такой доступ дал и по какой такой причине. Эту ответственную задачу поручили работнику ИБ-службы: расследуй, мил человек, сей факт ручками да глазками. Долго копал безопасник – и вглубь, и вширь, да как тут разберешься: полгода прошло с момента злоумышления, уже и среда корпоративная поменялась, и бизнес-процессы. В общем, плюнули на это дело в компании и дальше пошли работать…
Вернемся, однако, от иносказания к реальности. В современной компании аналогичного масштаба вышеописанный процесс «управления» доступом будет выглядеть примерно так (см. схему 1):
Знакомо? Да. Комфортно? Нет. Эффективно? Нет, особенно учитывая тотальную цифровизацию последних лет.
Как видим, если компания уделяет недостаточное внимание администрированию доступа и управлению идентификацией, то ресурсные затраты на решение таких задач вручную могут оказаться колоссальными! Что делать? Конечно, менять подход. Ведь управление идентификацией и авторизацией является ключом к безопасности и имеет большое значение для всех подразделений. Посмотрим, как с этой задачей справился мудрый владелец нашей, уже немаленькой, компании.
…А поглядел он на все эти казусы и понял: пора автоматизировать процесс управления доступом. К тому времени количество работников у него уже к тысяче душ приближалось.
Вызвал он на ковер добрых молодцев – технарей да безопасников – и говорит: «Добудьте мне такую систему, чтобы как скатерть-самобранка работала. Чтобы сама учетки пользователям при приеме на работу создавала, базовые права доступа им выдавала, а при увольнении блокировала. Чтобы во время болезней да отпусков доступ блокировала. Чтобы работнику было немудрено в ней быстренько нужную заявку состряпать, да чтобы заявка эта сама кому надо на согласование уходила. И чтобы всякие нарушения правил выдачи доступа и конфликты разные сама выявляла да устраняла своевременно. Ну и чтобы быстро выдавала всю историческую информацию о предоставленном доступе – хочешь за месяц, хочешь за год – для отчетов всяческих аудиторам да регуляторам. Да для расследований оказий разных подходила».
Подумали-поспрошали безопасники да технари, что за система такая должна быть, и поняли: пришла пора внедрять IdM (identity management), а еще лучше – продвинутую IGA (identity governance and administration)! Что за чудо-юдо такое? А никаких чудес здесь нет: система сама выдает всем работникам доступ когда и куда надобно. Как она так хитро умеет? Да через автоматическое управление жизненным циклом пользователя. Да с помощью действующих политик и инфраструктуры, созданной для обеспечения этого процесса.
Что же она умеет, эта скатерть-самобранка? Во-первых, обнаруживает и анализирует права пользователей – когда, с какой-такой стати и кем выданы. Во-вторых, сама (по заданным политикам) решения принимает – выдать запрошенное право доступа или дать от ворот поворот. Сама же (по запросу) отчеты создает, ежели аудит какой или сертификация доступа потребны. И жизненный цикл контролирует, и их ролями во всяких информационных системах управляет да лишнего делать не дает. Вот такие чудеса!
И внедрил у себя в компании мудрый владелец эту чудо-систему. А как проанализировал эффект, так и ахнул:
-
на 53% сократилось время, которое тратит деловой люд, дабы заявки согласовать, ревизию прав доступа (по-нашему – сертификацию) произвести и т. п.;
-
в системах компании на 15% число лишних пользователей поубавилось, а количество заявок к сисадминам аж на 85% сократилось;
-
плюс ко всему данные из систем для расследования хищений на 50% проще стало добыть.
И было в итоге всем работникам нашей уже немаленькой компании счастье!
…А теперь в реальности посмотрим, как изменился приведенный в схеме 1 процесс управления доступом в результате использования IGA-системы (см. схему 2):
Итого: когда процесс управления правами доступа разработан и автоматизирован, компании не нужно выделять все больше дополнительных средств и ресурсов, чтобы удержаться на плаву и обеспечивать для бизнеса необходимый уровень сервиса и безопасности. Это весьма и весьма ощутимый инструмент экономии ресурсных затрат на управление доступом.
Вот и сказке конец! И я там был, мед сладкий пил, да на ус мотал, как процесс управления доступом сделать простым и эффективным, чтобы понятен всем был да денежки экономил. И, само собой, безопасным – чтобы быстро доступ получать да регламенты не нарушать.
Опубликовано 30.01.2020