Что нужно знать, чтобы внедрить IdM

Системные администраторы загружены рутинной работой по созданию, изменению и блокированию учетных записей. По мере роста организации увеличиваются затраты на администрирование, возникают риски информационной безопасности. Из-за разрозненности данных аудита расследование инцидентов ИБ занимает до нескольких недель, при этом половину из них расследовать так и не удается. Знакомо? За последние 2–3 года спрос на системы управления доступом ощутимо вырос. Как решить подробного рода проблемы, редакция обсудила с экспертами:

Виталием Пашенцевым, Сентинел Кредит Менеджмент

Алексеем Плешковым, независимый эксперт

Романом Поповым, «Транснефть»

Андреем Ревяшко, Wildberries

Алексеем Тереховым, «Газпром Нефть»

Ярославом Жиронкиным,«Инфосистемы Джет»

Если вы согласны или напротив, ваше мнение отличается от мнения наших экспертов – пишите в комментариях и не забудьте представиться. Список обсуждаемых вопросов будет продублирован в конце материала.

– Имея опыт использования IdM-системы, как бы вы оценили эффект от ее внедрения? Оказалась ли система по-настоящему полезной?

Виталий Пашенцев, Сентинел Кредит Менеджмент

– К старту внедрения IdM-системы мы шли несколько лет, четко понимая, каких результатов мы хотим добиться. Сейчас с уверенностью можно ответить, что, автоматизировав процессы предоставления доступа и назначения прав, мы значительно разгрузили ИT-подразделение, направив ресурсы на более важные для бизнеса задачи. Повысилась эффективность процесса в целом, сократилось время ожидания доступа, исключен риск "человеческого фактора", а уровень защиты информационной безопасности компании возрос.

Алексей Плешков, независимый эксперт

– Внедрение решения класса IdM в организации –- это вынужденная, но совершенно необходимая мера, реализация которой продиктована в первую очередь требованиями по оптимизации и более эффективному использованию имеющихся ресурсов. Каждый заказчик оценивает эффект от внедрения IdM по-своему. Кому-то нужна четко выстроенная ролевая модель доступа, кто-то заинтересован в проведении инвентаризации и точном учете всех имеющихся карт и ресурсов в любой момент времени, другому важны SLA по изменению прав для удаленно расположенных работников. В нашем случае эффект от внедрения IdM превзошел все ожидания, поскольку синергия автоматизации, помимо прочего, была высоко оценена представителями бизнес-подразделений и фактическими заказчиками процессов оптимизации в лице топ-менеджмента.

Роман Попов, «Транснефть»

– Безусловно! Изменилось многое:

* удовлетворенность пользователей – они получают доступ понятным и простым способом в прогнозируемое время, в любой момент могут увидеть состояние своего запроса. Скорость предоставления доступа существенно выросла;

* снижение нагрузки на ИТ – в большинстве систем ИТ-специалисты полностью исключены из процесса предоставления доступа, управление изменениями осуществляется автоматически;

* повышение информационной безопасности – автоматически отрабатываются такие события, как уход в отпуск, увольнение, перевод по должности, повторный прием на работу и т.п. Ситуация, когда забыли отключить УЗ уволенного сотрудника или отнять доступ переведенного на другую работу, более невозможна. Кроме того, СБ в любой момент, без привлечения (отрыва от работы) ИТ-специалистов может увидеть, кто и куда имеет доступ, кем и когда он предоставлен (согласован), приостановить или отозвать этот доступ;

* актуальность – всегда и везде у пользователей теперь актуальный телефон, фамилия, должность и т.п.;

* порядок – у сервисных и административных УЗ всегда есть хозяин, и, если он уволен, система не даст остаться этим УЗ бесхозными;

* удовлетворенность владельцев ресурсов – они в любой момент понимают, кто имеет доступ к их ресурсам, имеют возможность самостоятельно этим управлять;

* деньги и Compliance – в случае существенных затрат на предоставление доступа (например, стоимость лицензии для использования систем может быть весьма дорогой) на IdM можно возложить функции контроля и ограничения, предоставления временных лицензий;

* снижение окупаемости ИС – был замечательный кейс, когда родственным юридическим лицам ресурсы инфраструктуры предоставлялись по хозрасчету, IdM прекрасно справился с ролью учетной системы.

Переход к бизнес-ролевой модели.

 Это только основное, список можно продолжать…

Все вместе дает существенное снижение стоимости процесса!

В моем понимании это едва ли не единственная система, состоящая из одних плюсов! IdM по-настоящему относится к системам must have!

Андрей Ревяшко, Wildberries

– С ростом компании, а в нашем случае рост за последние годы был бурный, количество новых сотрудников также увеличивается. Наряду с увеличением роста сотрудников, хотим мы этого или нет, увеличивается и количество увольнений. Не представляю как бы мы сейчас работали без IdM, ведь все это происходит на фоне того, что на территорию, к примеру, логистических и складских операций (самые большие по численности) требуется не допускать посторонних. Плюс, выводя нового сотрудника на рабочее место, требуется не допускать его к критичным для компании данным в полном объеме. С учетом вышесказанного ответ об эффекте и пользе IdM у меня однозначный: работать без него на современном и большом предприятии не возможно!

– Изменились ли смежные системы и процессы с внедрением IdM-системы?

Виталий Пашенцев, Сентинел Кредит Менеджмент

– Что касается систем, мы доработали кадровую систему 1С, были добавлены дополнительные формы и поля, необходимые для корректной работы IdM-системы. Изменился также сам процесс заведения пользователей, кадровая служба теперь не занимается рутинной работой по подготовке excel-файла с изменениями в штатном расписании, вся информация формируется в автоматическом режиме, с интервалом синхронизации в 10 мин. Изменился процесс предоставления новых услуг и изменения прав со стороны пользователей, теперь есть возможность воспользоваться порталом самообслуживания, а согласование изменений происходит на стороне бизнеса. В случае наличия соответствующих прав в матрице доступа Dell One Identity Manager вносит изменения без участия ИT-специалистов.

Алексей Плешков, независимый эксперт

– Внедрение IdM будет неэффективным без корректировки смежных процессов. То, что до внедрения делалось в ручном режиме, на бумаге, перекладывалось с места на место, после внедрения полностью автоматизируется, оставляя за участниками процесса исключительно контрольные и корректирующие функции. Меняется SLA по многим совместным процессам с такими группами подразделений, как кадровая служба, служба безопасности, внутренний аудит, руководство и пр. Незаметные на первый взгляд "плюшки" от внедрения со временем становятся явными преимуществами и позволяют экономить ресурсы в совершенно неожиданных местах. К примеру, сокращается количество звонков (как следствие, трафик, тарификация, затраты на содержание каналов) для крупной многофилиальной организации, которые ранее сотрудники совершали для уточнения статусов тех или иных заявок на доступ, с просьбами о корректировках в связи со срочными организационно-штатными (перевод из отдела в отдел) или социальными (изменение фамилии) изменениями.

Роман Попов, “Транснефть”

– Не могу сказать, что какие-то процессы или системы изменились кардинально, однако, как минимум, внедрение IdM стало катализатором пересмотра в сторону улучшения ролевых моделей там, где они уже были, и их разработки в тех системах, где их не было. Это позволяет сделать процессы управления изменениями и мощностью более эффективными. Если говорить о частностях, то упростились, например, ИТ-составляющие кадровых процессов (прием и увольнение сотрудников), учет ИТ-оборудования и т.п.

Андрей Ревяшко, Wildberries

– Конечно изменились, и в лучшую сторону, ведь, проведя интеграцию разрозненных систем с нашей IdM, больше не требуется заводить одни и те же данные сотрудников по несколько раз. Не требуется бегать в поисках ответственных за заведение информации о правах для того или иного человека в какую-либо систему. Все делается в одном периметре – в одной зоне ответственности.

Алексей Терехов, «Газпром Нефть»

– Информационные системы по истечении определенного времени (когда приходит осознание возможностей) меняются в сторону переноса части своего функционала на IdM.

– Можно ли говорить, что IdM-система приносит экономический эффект в виде оптимизации кадрового ресурса?

Виталий Пашенцев, Сентинел Кредит Менеджмент

– Несомненно, когда перед компанией встал вопрос расширения ИT-штата в связи с ростом нагрузки, мы выбрали путь автоматизации. Сам процесс внедрения трудоемкий и требует особого внимания со стороны каждого из подразделений ИT, однако после проекта мы смогли высвободить существующие ресурсы, оптимизировать нагрузку и не нанимать новых сотрудников для монотонной работы.

Алексей Плешков, независимый эксперт

–IdM может приносить экономический эффект в том случае, если внутренние подразделения, задействованные в процессах предоставления и контроля доступа, смогут адаптировать IdM-решение, как принято говорить, с учетом специфики. Сталкивался с мнением кадровых служб о том, что внедрение средства автоматизации предоставления и корректировки прав не разгрузит, а, наоборот, увеличит нагрузку на кадровые службы, поскольку многие вещи, такие как проведение инструктажей, получение подписок в журналах учета, сканирование собственноручных подписей и пр., для вновь принимаемых работников (помимо стандартного инициирования процесса наделения правами) в некоторых реализациях возлагается на кадровые службы. Кадровики старой закалки считают, что временной лаг, который проходил с момента принятия в отношении сотрудника кадрового решения до момента реальной корректировки его прав в системах, давал им (кадрам) возможность безболезненно скорректировать свои решения и допускать технические ошибки, времени на исправление которых хватало за счет длительного исполнения и согласования заявок на изменение прав в системах.

Роман Попов, «Транснефть»

– Высвобождение трудозатрат специалистов, безусловно, есть, но я бы не стал акцентировать на этом внимание. Лично мне не приходилось сталкиваться с ситуацией, когда управлением доступа занимаются отдельно выделенные сотрудники, как правило это дополнительная нагрузка. Снятие данной нагрузки позволяет им более эффективно выполнять основные задачи.

Андрей Ревяшко, Wildberries

– Уверен, что, исходя не только из нашей практики, можно говорить о том, что IdM – это что-то большее, нежели инструмент, облегчающий работу кадрового ресурса. И, как следствие, он вполне себе является инструментом, дающим экономический эффект. Ведь простой нового сотрудника, связанный с невозможностью приступить к своим непосредственным обязанностям, – это потеря денег. Доступ к критичным данным компании уволенного сотрудника – это тоже ущерб, имеющий финансовый эквивалент.

Алексей Терехов, «Газпром Нефть»

– Вопрос спорный и зависит от качества реализации – экономит время, это точно (а время – это и ресурсы, которые высвобождаются у кадров компании).

– В проектах по внедрению автоматизированных систем очень важна поддержка высшего руководства организации. А руководству нужны финансовые показатели. Чем можно аргументировать внедрение IdM?

Виталий Пашенцев, Сентинел Кредит Менеджмент

– Я вам скажу больше, поддержка необходима не только со стороны высшего руководства, но и со стороны служб информационной безопасности. Проект внедрения D1IM курировало сразу два подразделения ИБ и IT, ведь помимо кадровой оптимизации мы предотвращаем риски внутренних угроз по утечке информации.

Случайная ошибка при раздаче прав со стороны Helpdesk, и рядовой сотрудник получает доступ к конфиденциальной информации и ключевым системам. Далее информация попадает в открытый доступ, может быть отправлена злоумышленникам, продана конкурентам, а каковы будут потери от таких действий, посчитать несложно. Статистика показывает, что большинство утечек из высокозащищенных систем происходят по методу социальной инженерии, а подобного рода ошибки попросту упрощают работу хакерам. Благодаря IdM-системе мы минимизируем такие риски, служба безопасности может фиксировать случаи превышения уровня прав, требующие внимания.

Алексей Плешков, независимый эксперт

– Основными аргументами для руководства компании по внедрению IdM может стать расчет по снижению трудозатрат внутренних подразделений, в том числе в части сокращения штатной численности ИТ-администраторов (есть в организации много информационных ресурсов, и для каждого требуется отдельный администратор с уникальными компетенциями) и/или уменьшение временных показателей в SLA по выходу на работу нового сотрудника (для крупных сетевых/розничных компаний это актуально). Не будут восприниматься аргументы в стиле: "это" (внедрение IdM) поможет существенно повысить общую эффективность работы ИТ-отдела или "это" уменьшит время подготовки отчетов по правам доступа при проведении внешних и внутренних аудитов, или "это" позволит сделать прозрачнее внутренние процессы в ИТ и ИБ для бизнес-пользователей -– эту "воду" лучше не передавать за пределы данного комментария.

Андрей Ревяшко, Wildberries

– В целом бизнес считает деньги, и в большинстве случаев финансовое обоснование необходимо. Говоря о IdM в больших компаниях – уверен, что все большее количество руководителей понимают и осознают ее необходимость на таком уровне, что финансовое обоснование нужно лишь при выборе той или иной IdM-системы, но не для обоснования ее существования в принципе.

Алексей Терехов, «Газпром Нефть»

– На стадии приема сотрудника, его перемещения по должностям – сроком простоя из-за отсутствия соответствующих доступов, на стадии увольнения – рисками утечки конфиденциальной информации.

– Можете привести примеры снижения рисков или расследований, в которых помогла IdM-система?

Виталий Пашенцев, Сентинел Кредит Менеджмент

– Наша компания ответственно подходит к вопросу информационной безопасности, вкладывая в развитие данного направления значительные средства, у нас внедрено несколько систем по защите от утечек информации. IdM в данном случае выполняет роль источника дополнительной информации об инциденте. Например, DLP-система фиксирует массовое копирование файлов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ и позволит незамедлительно предотвратить утечку.

Алексей Плешков, независимый эксперт

– В явном виде снижение рисков после внедрения IdM вы не зафиксируете. При этом объективно появятся новые риски, связанные с некорректной работой IdM и возникновении, как и везде, где есть хотя бы минимальная автоматизация, ошибок первого и второго рода. Однако в долгосрочной перспективе при регулярном снижении стоимости владения и эксплуатации IdM, при повышении уровня зрелости процессов в организации, для реализации которых применяются различные функции IdM и при этом количество возникающих инцидентов как минимум стабильное или динамически снижается, приоритет минимизации вероятности реализации отдельных рисковых событий в системе будет также планомерно снижаться.

В качестве примеров расследований можно привести успешное и ресурсонезатратное выполнение запросов внутренних и внешних контроллеров по предоставлению сведений/отчетов о выданных правах в разрезе конкретного пользователя или системы, а также своевременное выявление и блокировку прав для работников, чьи реквизиты доступа по разным причинам поменялись. Из опыта коллег могу привести кейс, в котором с помощью IdM на этапе внедрения был пойман администратор ИТ-ресурса, регулярно изменявший права доступа к целевой системе для определенных учетных записей, выполнявший действия в своих интересах от имени этих учетных записей, а затем возвращающий все права на прежнее место. Наличие триггеров на нетипичное изменение прав и регулярная актуализация матриц конфликтов ролей в IdM позволяют выявлять злоупотребления со стороны ИТ-специалистов, задействованных при эксплуатации критичных систем.

Роман Попов, «Транснефть»

– Отсутствие активных УЗ уволенных сотрудников, автоматический контроль соответствия и выявление расхождений между реальным и согласованным доступом, периодическая переаттестация доступов. Проведение аудитов несколькими кликами мыши (в том числе без привлечения ИТ). Немедленное предоставления или отзыв доступа сотрудниками СБ без потери времени на привлечение ИТ (в том числе без их привлечения/уведомления).

Андрей Ревяшко, Wildberries

– Первое, что пришло в голову, –- это махинация с рабочим временем. Система обозначила момент, говорящий о том, что в СКУД произошла авторизация человека, который пришел  на работу в дневную смену, хотя числится сотрудником ночной смены. Расследование выявило, что это не единичный случай, который носил характер наработки фиктивного времени. С одной стороны, никакого волшебства, но с другой –- сотрудников тысячи, и без, в частности, IdM это становится проблемой.

Алексей Терехов, «Газпром Нефть»

– Сам процесс согласования прав доступа сотрудников с использованием проверок их на SoD-конфликты приводит к снижению рисков наступления инцидентов ИБ.

– С какими сложностями вам пришлось столкнуться (техническими и организационными) при внедрении IdM, прежде чем достигнуть успешного результата?

 Виталий Пашенцев, Сентинел Кредит Менеджмент

– Сильных трудностей мы не испытывали, но есть некоторые особенности. В первую очередь важно провести предпроектное обследование инфраструктуры, описать процессы и актуализировать матрицы доступа во все ИС компании, эта работа может занять до 70% времени всего проекта. Наши системы сильно кастомизированы, стандартные коннекторы IdM "из коробки" не всегда стартовали сразу. Поэтому до внедрения необходимо зарезервировать как внутренние ресурсы, которые будут участвовать в реализации, так и ресурсы компаний – подрядчиков и вендоров, осуществляющих поддержу и развитие текущих систем компании.

Алексей Плешков, независимый эксперт

– В первую очередь сложности имели организационный характер. На убеждение консервативных руководителей в необходимости и эффективности внедрения IdM может уйти львиная доля всего проектного времени. При этом ошибки и неточности, которых не избежать в любом проекте, а тем более в таком сложном и длительном, как внедрение IdM, постоянно сдвигали сроки перевода решения в опытную и промышленную эксплуатацию. При этом необходимо учитывать подверженность регулярным изменениям всех целевых систем (изменение архитектуры, обновление версии, появление новых сущностей и пр.) и связанные с этим обязательные доработки в IdM, стоимость которых не только в рублях, но и в человеко-часах также отдаляла приближение светлого IdM-совместимого будущего.

Роман Попов, «Транснефть»

–1. Недоверие AppTeam (и весьма категоричное): "…Отличная концепция, но реальная жизнь гораздо сложнее, нельзя все формализовать, поэтому применение IdM для сложных систем – это утопия и потребует бОльших ресурсов на поддержание ролевой модели, нежели чем управление доступом по старинке". Для преодоления этого недоверия нужна демонстрация возможностей, ибо лучше один раз увидеть. Для начала запускаем ядро – основные процессы (т.е. прием, смена должности, увольнение) и простые роли (доступ, определяемый группами безопасности в AD, SharePoint и т.п.). Вторым шагом начинаем предлагать централизованную актуализацию информации о пользователях. Дальше, увидев, что это все работает AppTeam решают рискнуть, а потом и вовсе выстраиваются в очередь.

2. Удивительно, но во всех кадровых системах, с которыми я сталкивался, были сложности с ведением руководителя подразделения, точнее, с его формальным автоматическим определением. Пришлось убеждать, ибо знание непосредственного руководителя позволяет автоматизировать и/или упростить многие процессы.

3. Конечно же, целевые системы должны быть готовыми, а именно – иметь методы взаимодействия и ролевую модель. Необходимо закладывать время на пересмотр и/или создание такой ролевой модели.

4. Неожиданности могут возникнуть на этапе определения владельцев ресурсов. Если компания серьезного размера и имеет накопленные за многие годы информационные ресурсы, то может оказаться, что некоторых владельцев установить непросто – всем нужно, но это "не наше". Здесь не обойтись без поддержки руководства и проведения небольшого расследования по выявлению верхнеуровневых заказчиков и сопоставления им владельцев.

Андрей Ревяшко, Wildberries

– У себя на предприятии мы разработали свою IdM-систему (так исторически сложилось), в которую включали, в частности, СКУД-системы. Именно на них испытывали трудности технического характера. Дело в том, что средства по работе с биометрией в ряде случаев не устраивали по скорости работы. В организационном плане проблем не находилось, так как у участников становления IdM-системы было понимание ее важности.

Алексей Терехов, «Газпром Нефть»

– Старые привычные процессы (у каждого они свои), нет желания чего-то менять под общие требования. В IdM входит большое количество смежных подпроцессов, которые необходимо увязать между собой, что бывает достаточно трудно сделать из-за технических и организационных противоречий.

Комментарий эксперта

Ярослав Жиронкин, "Инфосистемы Джет"

Системы управления доступом – не новшество для российского рынка: внедрение подобных систем осуществляется уже больше 10 лет. При этом количество проектов по IdM на российском рынке невелико. По результатам проведенного в 2017 г. первого в России исследования рынка управления доступом, за 12 лет по направлению IdM реализовано чуть более 100 проектов на российском рынке в целом. По сравнению с другими направлениями это очень скромные показатели.

Однако в последние 2–3 года спрос на системы управления доступом ощутимо растет. Наши эксперты связывают это с рядом причин:

1. Современные тренды по информационной безопасности связаны с анализом поведения пользователей (UBA/UEBA), больших объемов данных об инцидентах ИБ и выявлении и предотвращении рисков и инцидентов информационной безопасности. А для качественной работы подобных систем необходима актуальная информация о наборе учетных записей и ролей в информационных системах и кадровых данных. Примерами такой слаженной работы делится участник круглого стола: "…DLP-система фиксирует массовое копирование файлов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ".

2. С другой стороны, каждая компания стремится к сокращению операционных издержек на любых уровнях. В этом аспекте также помогает IdM, но, по нашему опыту, обосновать выгоды на начальном этапе с этой точки зрения достаточно сложно, так как затраты на построение системы превышают объемы текущих издержек на управление учетными записями. Исключение могут составить большие компании (больше 10 тыс. сотрудников), где подобные издержки исчисляются десятками миллионов рублей и выгоды от внедрения IdM являются очевидными. В свою очередь, эффект от внедрения IdM не стоит измерять снижением числа участников процесса управления учетными записями. Выгоды от внедрения заключаются в том, что у сотрудников освобождается время на выполнение более важных для бизнеса задач. Этот факт также отмечают участники круглого стола: "Автоматизировав процессы предоставления доступа и назначения прав, мы значительно разгрузили ИT-подразделение, направив ресурсы на более важные для бизнеса задачи". По этому поводу можно привести метафору со стиральной машиной. Человек покупает машину не для того, чтобы на ней зарабатывать или выгнать кого-то из дома, а для того, чтобы уделять больше времени важным для него задачам, в дополнение обеспечивая чистоту своих вещей. Так и с IdM. Процессы в части управления правами доступа автоматизированы, а сотрудники, участвующие в процессе, занимаются более важными вещами. Параллельно в компании увеличивается уровень информационной безопасности за счет различных механизмов IdM-решения, таких как ресертификация прав доступа, использование матриц SoD-конфликтов, контроль несогласованных полномочий и т.д.

На сегодняшний день мы видим, что IdM является не только системой управления доступом, но и неотъемлемой частью всей информационной структуры компании, а также базовым элементом для построения современных систем обеспечения информационной безопасности. Комментарии участников круглого стола подтверждают этот факт.

Если вы согласны или напротив, ваше мнение отличается от мнения наших экспертов – пишите в комментариях и не забудьте представиться. Список обсуждаемых вопросов:

– Имея опыт использования IdM-системы, как бы вы оценили эффект от ее внедрения? Оказалась ли система по-настоящему полезной?

– Изменились ли смежные системы и процессы с внедрением IdM-системы?

– Можно ли говорить, что IdM-система приносит экономический эффект в виде оптимизации кадрового ресурса?

– В проектах по внедрению автоматизированных систем очень важна поддержка высшего руководства организации. А руководству нужны финансовые показатели. Чем можно аргументировать внедрение IdM?

– Можете привести примеры снижения рисков или расследований, в которых помогла IdM-система?

– С какими сложностями вам пришлось столкнуться (техническими и организационными) при внедрении IdM, прежде чем достигнуть успешного результата?