Как организовать надежную защиту коммерческих данных и при этом не сделать безопасность помехой на пути развития бизнеса? Как сохранить гибкость бизнес-процессов и выстроить прозрачную схему разделения ответственности между сотрудниками? Как разгрузить ИТ
Вершина пирамиды
В современных методах управления бизнесом процессный подход завоевал устойчивую позицию наравне с функциональным. Модель организации, в которой каждый отдел был ориентирован только на выполнение своих узкоспециальных задач (функций) и практически не координировал своих действий с остальными подразделениями, оказалась неэффективной. Поэтому внимание теоретиков и практиков управления было перенесено на определение сквозных бизнес-процессов, которые пронизывают всю организацию и направлены на достижение конечных бизнес-целей.
Участниками подобных бизнес-процессов становятся сотрудники, занимающие самые разные должности и работающие в самых разных подразделениях, а их полномочия (роли) могут существенно изменяться от задачи к задаче. Права и обязанности конкретных работников невозможно закрепить раз и навсегда. Они должны быть гибкими, «плавающими», легко настраиваемыми.
Как показывает практика, такой подход удобнее всего реализовать с помощью набора бизнес-ролей, который исчерпывающе описывает права и полномочия сотрудников, исходя из их функциональных обязанностей и места в организационной иерархии. Создание единой корпоративной модели бизнес-процессов и привязанных к ним бизнес-ролей дает полную картину разделения прав и обязанностей в компании, облегчает понимание и контроль сфер ответственности каждого руководителя и рядового сотрудника, позволяет гибко и прозрачно модифицировать их.
Как правило, проект внедрения корпоративной системы ролевого доступа (Enterprise Role Management) начинается с внедрения системы единой авторизации Enterprise Single Sign-on, которая позволяет сотруднику авторизоваться сразу во всех доступных ему системах, лишь один раз назвав свои логин и пароль. Следующим этапом становится внедрение инструментов Identity & Access Management, которые обеспечивают централизованное распределение прав доступа. Итогом внедрения и вершиной этой «пирамиды» и является ролевое управление.
В чьих интересах?
Исторически во многих компаниях управление доступом формируется как наследие времен «лоскутной автоматизации», когда в каждом отделе и для каждой задачи использовалось свое специализированное приложение.
Инициатором создания ролевой модели и ответственным за ее внедрение и развитие может выступать любое заинтересованное подразделение: организационный департамент, который отвечает за определение бизнес-процессов, метрик и KPI; служба безопасности, которой необходимо гарантировать соблюдение нормативных требований; ИТ-служба, которая стремится распространить наработанный опыт управления доступом к информационным системам в масштабах всей компании. Но в первую очередь ролевая система выгодна топ-менеджменту, заинтересованному в четком и прозрачном распределении ответственности и централизованном управлении доступом к ресурсам, в том числе такому важному, как информация.
Помимо стратегических целей, внедрение ролевого доступа облегчает решение некоторых чисто тактических задач. Например, для компаний, участвующих в торгах на Нью-Йоркской бирже, система ролевого доступа облегчит прохождение ежегодных аудитов на соответствие требованиям закона Сарбейнса – Оксли, а для российских компаний — выполнение Федерального закона о защите персональных данных ФЗ-152.
Фактическая реализация подобных проектов может различаться, поскольку определяется во многом конечной целью проекта. Например, в компании «ВымпелКом» создание ролевой матрицы ответственности было обусловлено стремлением ИТ-департамента воплотить в жизнь уже частично реализованную концепцию процессного управления в части ИТ-поддержки бизнеса. У другого оператора связи заказчиками выступали службы ИТ и безопасности — соответственно, и система создавалась там с учетом требований организации доступа к ИТ-ресурсам.
Что касается экономического обоснования, то единственно правильным является взгляд с точки зрения бизнеса: если система тем или иным способом облегчает развитие компании, то ее целесообразность очевидна, а значит, тем быстрее удастся выделить средства и приступить к ее практической реализации.
Измеримая польза
Согласно отчету международной исследовательской группы META за 2008 год, в среднестатистической компании с численностью персонала порядка 10 тыс. человек около 48% запросов в службу поддержки связаны с проблемами предоставления доступа, получения паролей и прочими аналогичными задачами. Стоимость процессов по предоставлению доступа в крупной компании может превышать миллион долларов, и это свидетельствует о неэффективности существующих способов управления доступом «вручную».
Внедрение ролевой системы корпоративного уровня позволит охватить и автоматизировать, полностью или частично, все задачи управления доступом ко всевозможным ИТ-сервисам, начиная от организации рабочего места для нового сотрудника и заканчивая прохождением всего процесса согласования любых изменений в правах и полномочиях.
Эффективность системы ролевого доступа тем выше, чем большее число бизнес-приложений компании она охватывает. Кроме того, ролевой доступ позволяет разумно ограничить и права самих ИТ-администраторов, которые больше не смогут монопольно и бесконтрольно обращаться к базам данных и пользовательским каталогам.
Еще одной заметной статьей экономии, зависящей от внедрения ролевого подхода, является сокращение непрофильных для компании расходов, связанных с предотвращением утечки информации или ликвидацией ее последствий. Например, при обнаружении несанкционированного доступа к конфиденциальным данным клиентов компании пришлось бы не только срочно заняться поиском и ликвидацией «дыр» в сфере защиты информации, но и оповестить о неприятном инциденте своих клиентов (и значит, оплатить услуги контакт-центра), а также донести до рынка информацию о предпринятых мерах по ужесточению политики безопасности и восстановить репутацию фирмы (то есть провести специальную PR-программу, которая объяснит клиентам и партнерам, что было сделано во избежание подобных ситуаций в будущем). В реальности эти дополнительные расходы могут исчисляться миллионами долларов! Ролевой доступ позволяет ограничить область действий и тем самым снизить вероятность нелегитимных действий со стороны сотрудников.
Как это реализуется на практике
В идеале любой проект, связанный с построением ролевой модели, должен начинаться с анализа бизнес-процессов компании и выявления существующих, хоть и неформально, бизнес-ролей. Обследование ведется сразу с двух сторон: с позиций ИТ-службы и с позиций бизнеса.
С точки зрения бизнеса, именно владелец должен формировать список бизнес-ролей с понятным бизнес-контекстом (например, оператор контакт-центра, администратор СУБД и т. п.), а также контролировать процесс реализации этих ролей в информационных системах.
С точки зрения ИТ-службы, информационные системы уже содержат наборы преднастроенных пользовательских ролей, состоящих из перечня доступных функций (например, заведение нового клиента, формирование отчета, просмотр документа). Но эти наборы могут заметно отличаться в различных приложениях, что создает ИТ-службе дополнительные сложности при их формализации.
Аккуратное сопоставление ролевых моделей, предоставляемых ИТ-службой и владельцами бизнес-процессов, чаще всего становится самой сложной частью проекта. Фактически эта задача равнозначна переводу ролевых моделей с языка бизнеса на язык ИТ.
После того как точки соприкосновения ИТ и бизнеса найдены, можно переходить к следующему этапу — инвентаризации ролей. Для этого производится выгрузка соответствующих данных из службы каталогов, почтовой системы, кадровой системы, приложений для поддержки производственных процессов (например, для банка — это АБС, для телекома — биллинг и CRM). Процедура инвентаризации помогает выявить потенциальные лазейки, так называемые мертвые души (когда роль сотрудника сохраняется в системе даже после его увольнения), а также дополнить список ИТ-ролей.
Роли накладываются на организационную структуру компании и корпоративные бизнес-процессы, что дает в итоге полноценную трехмерную картину ситуации «как есть» (as is). Затем наступает черед нормализации данных — выявления закономерностей, унификации названий и т. п. После этого создается трансформационная матрица, она описывает те роли, которые следует удалить, создать или модифицировать, а также сотрудников, права которых следует урезать или, напротив, расширить. Этот список окончательно согласуется с владельцами бизнес-процессов и ИТ-администраторами, и в результате получается единая карта ролей и доступов — целевая картина (to be).
Данные карты ролей и доступов передаются в систему класса Enterprise Role Management (она позволяет создавать и изменять бизнес-роли, управлять ими, связывать их с информационными системами), а также в систему Identity & Access Management (отвечает за управление доступом пользователей). И на завершающем этапе эти инструменты должны быть интегрированы с корпоративной HR-системой, в которой хранится организационная структура компании и которая инициирует определенные шаги, связанные с различными кадровыми изменениями.
Разработка карты бизнес-ролей, ИТ-ролей и доступов — это долгая и педантичная ручная работа, но от нее зависит успех всего проекта. Следует понимать, что ролевая модель — не догма, а динамичная структура. Даже в пределах одной компании карта ролей может различаться от филиала к филиалу, это обусловлено разной численностью персонала, неодинаковой функциональной нагрузкой подразделений. Ролевая модель отражает различные информационные срезы: продуктовый, региональный, клиентский.
Любая компания жива, пока в ней происходят изменения. Запуск маркетинговых кампаний, создание новых продуктов — все это подразумевает доступ к разным информационным системам, выделение особых прав для тех подразделений, которые участвуют в этих проектах. С ролевой моделью все это делается очень просто — на время проекта к существующим срезам добавляется еще один. Такое управление обеспечивает информационную безопасность компании и четкое понимание того, как эти изменения будут вписываться в существующую структуру и влиять на другие бизнес-процессы компании.
Организационный фундамент
У любого проекта существует заказчик — ответственный руководитель, который формирует политику управления процессом и контролирует его развитие. Он определяет, кем, как и в какие сроки должны выполняться задачи и функции.
Все действия в рамках внедрения и поддержания системы ролевого доступа регулируются специальным набором документов: положением об управлении доступом, регламентами предоставления доступа, ролевой моделью, отчетами об аудитах и аттестации. Задачи управления, роли и функции могут быть разделены между разными подразделениями — как правило, это ИТ-администраторы, релиз-менеджеры приложений, офицеры безопасности, служба поддержки. Поэтому важно обеспечить эффективную кооперацию подразделений, координацию их совместных действий.
В первую очередь заказчик, как правило, стремится автоматизировать работу с наиболее критичными для бизнеса или масштабными информационными системами (теми, которыми пользуется максимальное число сотрудников), поскольку именно они представляют максимальную угрозу утечки информации. Вопреки ожиданиям, бухгалтерские и финансовые системы далеко не всегда идут «в первом эшелоне». При оптимальном варианте в контуре управления Identity & Access Management окажутся в конце концов все информационные системы компании.
Александр Чижов — директор департамента консалтинга и разработки компании «Астерос»; Alexander.Chizhov@asteros.ru
Как известно, дьявол кроется в мелочах. Чтобы проект сложился максимально успешно, необходимо помнить о нескольких простых моментах:
- ролевая система управления доступом к ИТ-сервисам должна внедряться не одномоментно, а постепенно, последовательно охватывая одну информационную систему за другой;
- до начала проекта должны быть проведены максимально полный аудит и анализ существующих доступов и ключевых ролей;
- важнейшим условием создания эффективной системы является высокое качество данных, полученных от информационных систем и владельцев бизнес-процессов; не стоит жалеть времени на проверку собранной информации;
- при реализации практически любого инновационного проекта распространенной проблемой является внутренний саботаж; необходимо выявлять внутри компании заинтересованных лиц, которые станут движущей силой проекта, смогут предотвратить или ослабить сопротивление сотрудников, довести проект до конца.