В рубрику "Концепции безопасности" | К списку рубрик | К списку авторов | К списку публикаций
- К старту внедрения IdM-системы мы шли несколько лет, четко понимая, каких результатов мы хотим добиться. Сейчас с уверенностью можно ответить, что, автоматизировав процессы предоставления доступа и назначения прав, мы значительно разгрузили ИT-подразделение, направив ресурсы на более важные для бизнеса задачи. Повысилась эффективность процесса в целом, сократилось время ожидания доступа, исключен риск "человеческого фактора", а уровень защиты информационной безопасности компании возрос.
- Внедрение решения класса IdM в организации - это вынужденная, но совершенно необходимая мера, реализация которой продиктована в первую очередь требованиями по оптимизации и более эффективному использованию имеющихся ресурсов. Каждый заказчик оценивает эффект от внедрения IdM по-своему. Кому-то нужна четко выстроенная ролевая модель доступа, кто-то заинтересован в проведении инвентаризации и точном учете всех имеющихся карт и ресурсов в любой момент времени, другому важны SLA по изменению прав для удаленно расположенных работников. В нашем случае эффект от внедрения IdM превзошел все ожидания, поскольку синергия автоматизации, помимо прочего, была высоко оценена представителями бизнес-подразделений и фактическими заказчиками процессов оптимизации в лице топ-менеджмента.
- Безусловно! Изменилось многое:
Переход к бизнес-ролевой модели.
Это только основное, список можно продолжать…
Все вместе дает существенное снижение стоимости процесса!
В моем понимании это едва ли не единственная система, состоящая из одних плюсов! IdM по-настоящему относится к системам must have!
- С ростом компании, а в нашем случае рост за последние годы был бурный, количество новых сотрудников также увеличивается. Наряду с увеличением роста сотрудников, хотим мы этого или нет, увеличивается и количество увольнений. Не представляю как бы мы сейчас работали без IdM, ведь все это происходит на фоне того, что на территорию, к примеру, логистических и складских операций (самые большие по численности) требуется не допускать посторонних. Плюс, выводя нового сотрудника на рабочее место, требуется не допускать его к критичным для компании данным в полном объеме. С учетом вышесказанного ответ об эффекте и пользе IdM у меня однозначный: работать без него на современном и большом предприятии не возможно!
- Что касается систем, мы доработали кадровую систему 1С, были добавлены дополнительные формы и поля, необходимые для корректной работы IdM-системы. Изменился также сам процесс заведения пользователей, кадровая служба теперь не занимается рутинной работой по подготовке excel-файла с изменениями в штатном расписании, вся информация формируется в автоматическом режиме, с интервалом синхронизации в 10 мин. Изменился процесс предоставления новых услуг и изменения прав со стороны пользователей, теперь есть возможность воспользоваться порталом самообслуживания, а согласование изменений происходит на стороне бизнеса. В случае наличия соответствующих прав в матрице доступа Dell One Identity Manager вносит изменения без участия ИT-специалистов.
- Внедрение IdM будет неэффективным без корректировки смежных процессов. То, что до внедрения делалось в ручном режиме, на бумаге, перекладывалось с места на место, после внедрения полностью автоматизируется, оставляя за участниками процесса исключительно контрольные и корректирующие функции. Меняется SLA по многим совместным процессам с такими группами подразделений, как кадровая служба, служба безопасности, внутренний аудит, руководство и пр. Незаметные на первый взгляд "плюшки" от внедрения со временем становятся явными преимуществами и позволяют экономить ресурсы в совершенно неожиданных местах. К примеру, сокращается количество звонков (как следствие, трафик, тарификация, затраты на содержание каналов) для крупной многофилиальной организации, которые ранее сотрудники совершали для уточнения статусов тех или иных заявок на доступ, с просьбами о корректировках в связи со срочными организационно-штатными (перевод из отдела в отдел) или социальными (изменение фамилии) изменениями.
- Не могу сказать, что какие-то процессы или системы изменились кардинально, однако, как минимум, внедрение IdM стало катализатором пересмотра в сторону улучшения ролевых моделей там, где они уже были, и их разработки в тех системах, где их не было. Это позволяет сделать процессы управления изменениями и мощностью более эффективными. Если говорить о частностях, то упростились, например, ИТ-составляющие кадровых процессов (прием и увольнение сотрудников), учет ИТ-оборудования и т.п.
- Конечно изменились, и в лучшую сторону, ведь, проведя интеграцию разрозненных систем с нашей IdM, больше не требуется заводить одни и те же данные сотрудников по несколько раз. Не требуется бегать в поисках ответственных за заведение информации о правах для того или иного человека в какую-либо систему. Все делается в одном периметре - в одной зоне ответственности.
- Информационные системы по истечении определенного времени (когда приходит осознание возможностей) меняются в сторону переноса части своего функционала на IdM.
- Несомненно, когда перед компанией встал вопрос расширения ИT-штата в связи с ростом нагрузки, мы выбрали путь автоматизации. Сам процесс внедрения трудоемкий и требует особого внимания со стороны каждого из подразделений ИT, однако после проекта мы смогли высвободить существующие ресурсы, оптимизировать нагрузку и не нанимать новых сотрудников для монотонной работы.
- IdM может приносить экономический эффект в том случае, если внутренние подразделения, задействованные в процессах предоставления и контроля доступа, смогут адаптировать IdM-решение, как принято говорить, с учетом специфики. Сталкивался с мнением кадровых служб о том, что внедрение средства автоматизации предоставления и корректировки прав не разгрузит, а, наоборот, увеличит нагрузку на кадровые службы, поскольку многие вещи, такие как проведение инструктажей, получение подписок в журналах учета, сканирование собственноручных подписей и пр., для вновь принимаемых работников (помимо стандартного инициирования процесса наделения правами) в некоторых реализациях возлагается на кадровые службы. Кадровики старой закалки считают, что временной лаг, который проходил с момента принятия в отношении сотрудника кадрового решения до момента реальной корректировки его прав в системах, давал им (кадрам) возможность безболезненно скорректировать свои решения и допускать технические ошибки, времени на исправление которых хватало за счет длительного исполнения и согласования заявок на изменение прав в системах.
– Высвобождение трудозатрат специалистов, безусловно, есть, но я бы не стал акцентировать на этом внимание. Лично мне не приходилось сталкиваться с ситуацией, когда управлением доступа занимаются отдельно выделенные сотрудники, как правило это дополнительная нагрузка. Снятие данной нагрузки позволяет им более эффективно выполнять основные задачи.
- Уверен, что, исходя не только из нашей практики, можно говорить о том, что IdM - это что-то большее, нежели инструмент, облегчающий работу кадрового ресурса. И, как следствие, он вполне себе является инструментом, дающим экономический эффект. Ведь простой нового сотрудника, связанный с невозможностью приступить к своим непосредственным обязанностям, - это потеря денег. Доступ к критичным данным компании уволенного сотрудника - это тоже ущерб, имеющий финансовый эквивалент.
- Вопрос спорный и зависит от качества реализации - экономит время, это точно (а время - это и ресурсы, которые высвобождаются у кадров компании).
- Я вам скажу больше, поддержка необходима не только со стороны высшего руководства, но и со стороны служб информационной безопасности. Проект внедрения D1IM курировало сразу два подразделения ИБ и IT, ведь помимо кадровой оптимизации мы предотвращаем риски внутренних угроз по утечке информации.
Случайная ошибка при раздаче прав со стороны Helpdesk, и рядовой сотрудник получает доступ к конфиденциальной информации и ключевым системам. Далее информация попадает в открытый доступ, может быть отправлена злоумышленникам, продана конкурентам, а каковы будут потери от таких действий, посчитать несложно. Статистика показывает, что большинство утечек из высокозащищенных систем происходят по методу социальной инженерии, а подобного рода ошибки попросту упрощают работу хакерам. Благодаря IdM-системе мы минимизируем такие риски, служба безопасности может фиксировать случаи превышения уровня прав, требующие внимания.
- Основными аргументами для руководства компании по внедрению IdM может стать расчет по снижению трудозатрат внутренних подразделений, в том числе в части сокращения штатной численности ИТ-администраторов (есть в организации много информационных ресурсов, и для каждого требуется отдельный администратор с уникальными компетенциями) и/или уменьшение временных показателей в SLA по выходу на работу нового сотрудника (для крупных сетевых/розничных компаний это актуально). Не будут восприниматься аргументы в стиле: "это" (внедрение IdM) поможет существенно повысить общую эффективность работы ИТ-отдела или "это" уменьшит время подготовки отчетов по правам доступа при проведении внешних и внутренних аудитов, или "это" позволит сделать прозрачнее внутренние процессы в ИТ и ИБ для бизнес-пользователей - эту "воду" лучше не передавать за пределы данного комментария.
- В целом бизнес считает деньги, и в большинстве случаев финансовое обоснование необходимо. Говоря о IdM в больших компаниях - уверен, что все большее количество руководителей понимают и осознают ее необходимость на таком уровне, что финансовое обоснование нужно лишь при выборе той или иной IdM-системы, но не для обоснования ее существования в принципе.
- На стадии приема сотрудника, его перемещения по должностям - сроком простоя из-за отсутствия соответствующих доступов, на стадии увольнения - рисками утечки конфиденциальной информации.
- Наша компания ответственно подходит к вопросу информационной безопасности, вкладывая в развитие данного направления значительные средства, у нас внедрено несколько систем по защите от утечек информации. IdM в данном случае выполняет роль источника дополнительной информации об инциденте. Например, DLP-система фиксирует массовое копирование файлов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ и позволит незамедлительно предотвратить утечку.
- В явном виде снижение рисков после внедрения IdM вы не зафиксируете. При этом объективно появятся новые риски, связанные с некорректной работой IdM и возникновении, как и везде, где есть хотя бы минимальная автоматизация, ошибок первого и второго рода. Однако в долгосрочной перспективе при регулярном снижении стоимости владения и эксплуатации IdM, при повышении уровня зрелости процессов в организации, для реализации которых применяются различные функции IdM и при этом количество возникающих инцидентов как минимум стабильное или динамически снижается, приоритет минимизации вероятности реализации отдельных рисковых событий в системе будет также планомерно снижаться.
В качестве примеров расследований можно привести успешное и ресурсонезатратное выполнение запросов внутренних и внешних контроллеров по предоставлению сведений/отчетов о выданных правах в разрезе конкретного пользователя или системы, а также своевременное выявление и блокировку прав для работников, чьи реквизиты доступа по разным причинам поменялись. Из опыта коллег могу привести кейс, в котором с помощью IdM на этапе внедрения был пойман администратор ИТ-ресурса, регулярно изменявший права доступа к целевой системе для определенных учетных записей, выполнявший действия в своих интересах от имени этих учетных записей, а затем возвращающий все права на прежнее место. Наличие триггеров на нетипичное изменение прав и регулярная актуализация матриц конфликтов ролей в IdM позволяют выявлять злоупотребления со стороны ИТ-специалистов, задействованных при эксплуатации критичных систем.
- Отсутствие активных УЗ уволенных сотрудников, автоматический контроль соответствия и выявление расхождений между реальным и согласованным доступом, периодическая переаттестация доступов. Проведение аудитов несколькими кликами мыши (в том числе без привлечения ИТ). Немедленное предоставления или отзыв доступа сотрудниками СБ без потери времени на привлечение ИТ (в том числе без их привлечения/уведомления).
- Первое, что пришло в голову, - это махинация с рабочим временем. Система обозначила момент, говорящий о том, что в СКУД произошла авторизация человека, который пришел на работу в дневную смену, хотя числится сотрудником ночной смены. Расследование выявило, что это не единичный случай, который носил характер наработки фиктивного времени. С одной стороны, никакого волшебства, но с другой - сотрудников тысячи, и без, в частности, IdM это становится проблемой.
- Сам процесс согласования прав доступа сотрудников с использованием проверок их на SoD-конфликты приводит к снижению рисков наступления инцидентов ИБ.
- Сильных трудностей мы не испытывали, но есть некоторые особенности. В первую очередь важно провести предпроектное обследование инфраструктуры, описать процессы и актуализировать матрицы доступа во все ИС компании, эта работа может занять до 70% времени всего проекта. Наши системы сильно кастомизированы, стандартные коннекторы IdM "из коробки" не всегда стартовали сразу. Поэтому до внедрения необходимо зарезервировать как внутренние ресурсы, которые будут участвовать в реализации, так и ресурсы компаний - подрядчиков и вендоров, осуществляющих поддержу и развитие текущих систем компании.
- В первую очередь сложности имели организационный характер. На убеждение консервативных руководителей в необходимости и эффективности внедрения IdM может уйти львиная доля всего проектного времени. При этом ошибки и неточности, которых не избежать в любом проекте, а тем более в таком сложном и длительном, как внедрение IdM, постоянно сдвигали сроки перевода решения в опытную и промышленную эксплуатацию. При этом необходимо учитывать подверженность регулярным изменениям всех целевых систем (изменение архитектуры, обновление версии, появление новых сущностей и пр.) и связанные с этим обязательные доработки в IdM, стоимость которых не только в рублях, но и в человеко-часах также отдаляла приближение светлого IdM-совместимого будущего.
- 1. Недоверие AppTeam (и весьма категоричное): "…Отличная концепция, но реальная жизнь гораздо сложнее, нельзя все формализовать, поэтому применение IdM для сложных систем - это утопия и потребует бОльших ресурсов на поддержание ролевой модели, нежели чем управление доступом по старинке". Для преодоления этого недоверия нужна демонстрация возможностей, ибо лучше один раз увидеть. Для начала запускаем ядро – основные процессы (т.е. прием, смена должности, увольнение) и простые роли (доступ, определяемый группами безопасности в AD, SharePoint и т.п.). Вторым шагом начинаем предлагать централизованную актуализацию информации о пользователях. Дальше, увидев, что это все работает AppTeam решают рискнуть, а потом и вовсе выстраиваются в очередь.
2. Удивительно, но во всех кадровых системах, с которыми я сталкивался, были сложности с ведением руководителя подразделения, точнее, с его формальным автоматическим определением. Пришлось убеждать, ибо знание непосредственного руководителя позволяет автоматизировать и/или упростить многие процессы.
3. Конечно же, целевые системы должны быть готовыми, а именно – иметь методы взаимодействия и ролевую модель. Необходимо закладывать время на пересмотр и/или создание такой ролевой модели.
4. Неожиданности могут возникнуть на этапе определения владельцев ресурсов. Если компания серьезного размера и имеет накопленные за многие годы информационные ресурсы, то может оказаться, что некоторых владельцев установить непросто – всем нужно, но это "не наше". Здесь не обойтись без поддержки руководства и проведения небольшого расследования по выявлению верхнеуровневых заказчиков и сопоставления им владельцев.
- У себя на предприятии мы разработали свою IdM-систему (так исторически сложилось), в которую включали, в частности, СКУД-системы. Именно на них испытывали трудности технического характера. Дело в том, что средства по работе с биометрией в ряде случаев не устраивали по скорости работы. В организационном плане проблем не находилось, так как у участников становления IdM-системы было понимание ее важности.
- Старые привычные процессы (у каждого они свои), нет желания чего-то менять под общие требования. В IdM входит большое количество смежных подпроцессов, которые необходимо увязать между собой, что бывает достаточно трудно сделать из-за технических и организационных противоречий.
Системы управления доступом – не новшество для российского рынка: внедрение подобных систем осуществляется уже больше 10 лет. При этом количество проектов по IdM на российском рынке невелико. По результатам проведенного в 2017 г. первого в России исследования рынка управления доступом, за 12 лет по направлению IdM реализовано чуть более 100 проектов на российском рынке в целом. По сравнению с другими направлениями это очень скромные показатели.
Однако в последние 2–3 года спрос на системы управления доступом ощутимо растет. Наши эксперты связывают это с рядом причин:
1. Современные тренды по информационной безопасности связаны с анализом поведения пользователей (UBA/UEBA), больших объемов данных об инцидентах ИБ и выявлении и предотвращении рисков и инцидентов информационной безопасности. А для качественной работы подобных систем необходима актуальная информация о наборе учетных записей и ролей в информационных системах и кадровых данных. Примерами такой слаженной работы делится участник круглого стола: "…DLP-система фиксирует массовое копирование файлов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ".
2. С другой стороны, каждая компания стремится к сокращению операционных издержек на любых уровнях. В этом аспекте также помогает IdM, но, по нашему опыту, обосновать выгоды на начальном этапе с этой точки зрения достаточно сложно, так как затраты на построение системы превышают объемы текущих издержек на управление учетными записями. Исключение могут составить большие компании (больше 10 тыс. сотрудников), где подобные издержки исчисляются десятками миллионов рублей и выгоды от внедрения IdM являются очевидными. В свою очередь, эффект от внедрения IdM не стоит измерять снижением числа участников процесса управления учетными записями. Выгоды от внедрения заключаются в том, что у сотрудников освобождается время на выполнение более важных для бизнеса задач. Этот факт также отмечают участники круглого стола: "Автоматизировав процессы предоставления доступа и назначения прав, мы значительно разгрузили IT - подразделение, направив ресурсы на более важные для бизнеса задачи". По этому поводу можно привести метафору со стиральной машиной. Человек покупает машину не для того, чтобы на ней зарабатывать или выгнать кого-то из дома, а для того, чтобы уделять больше времени важным для него задачам, в дополнение обеспечивая чистоту своих вещей. Так и с IdM. Процессы в части управления правами доступа автоматизированы, а сотрудники, участвующие в процессе, занимаются более важными вещами. Параллельно в компании увеличивается уровень информационной безопасности за счет различных механизмов IdM-решения, таких как ресертификация прав доступа, использование матриц SoD-конфликтов, контроль несогласованных полномочий и т.д.
На сегодняшний день мы видим, что IdM является не только системой управления доступом, но и неотъемлемой частью всей информационной структуры компании, а также базовым элементом для построения современных систем обеспечения информационной безопасности. Комментарии участников круглого стола подтверждают этот факт.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2018