В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
При грамотной постановке задач еще на начальной стадии проекта внедрение IdM-системы станет мощным и эффективным инструментом для достижения целей бизнеса. Помимо задач автоматизации бизнес-процессов и снижения издержек на администрирование, в настоящее время подобные решения способны приносить существенную пользу, например, предотвращать мошеннические операции.
В нашей практике есть множество примеров успешных внедрений IdM, когда инициаторами проекта выступали в том числе и бизнес-подразделения, требующие от системы решения комплексных задач. Такие системы развиваются в компании из года в год, приводят к быстрому возврату инвестиций на внедрение, делают взаимодействие бизнеса с IT-инфраструктурой прозрачнее, тем самым становясь одной из центральных интеграционных систем в компании.
Системы централизованного управления доступом, построенные на основе технологий Identity Management, все чаще применяются крупными компаниями. Количество внедрений IdM-систем за последние несколько лет неуклонно растет. Но как сделать IdM максимально полезной для бизнеса? В данной статье мы хотели бы поделиться "секретами успеха" подобных проектов.
Не секрет, что в большинстве крупных компаний, использующих IT-системы в своих основных бизнес-процессах, существует проблема отсутствия эффективного взаимодействия между бизнес-пользователями и IT-специалистами при предоставлении прав доступа к информационным ресурсам. Как правило, корни таких проблем лежат в невозможности однозначного предоставления бизнес-ролей сотрудникам в информационных системах конкретными транзакциями, техническими ролями, атрибутами учетных записей и членством в группах безопасности.
Работающий с АБС- или ERP-системой сотрудник бизнес-подразделения видит задачу предоставления прав доступа как появление у него возможности выполнить ту или иную бизнес-функцию. При этом он может и не догадываться, что для выполнения его запроса сотрудникам IT и ИБ необходимо выполнить целый ряд операций. Поэтому запросы на предоставление прав доступа "в свободной форме" требуют значительных ресурсных и временных затрат со стороны обслуживающих IT-системы специалистов. Для их выполнения необходимо выполнить "перевод" запроса на понятный техническому специалисту язык. Проконтролировать корректность такого "перевода" довольно сложно, что может привести к назначению избыточных прав доступа.
Часто встречается и обратная ситуация, когда в заявке на доступ, например, в SAP содержатся наименования технических ролей, не имеющих описания, понятного бизнес-пользователю. В этом случае зачастую запрашивается избыточный перечень ролей либо появляется необходимость создания новой роли под конкретный запрос, что приводит к неконтролируемому росту количества ролей в системах.
Однозначная трактовка запросов прав доступа бизнесом и IT может стать одним из главных достижений при внедрении IdM. При правильном подходе добиться такого результата возможно, внедрив механизмы, позволяющие бизнес-пользователям самостоятельно участвовать в наполнении каталога прав и информационных ресурсов, а также группировать технологические роли и ресурсы в бизнес-роли, тем самым создавая ролевую модель.
Возможности современных IdM-решений позволяют выполнять автоматизированную генерацию бизнес-ролей пользователей на основе анализа истории запросов прав, а также пересечения тех или иных полномочий у разных групп пользователей. После обработки полученной информации итоговые бизнес-роли согласуются с их владельцами и загружаются в IdM для последующего автоматизированного назначения либо запроса через каталог информационных ресурсов самими пользователями.
Для поддержания созданной таким образом ролевой модели в актуальном состоянии в компании внедряются и автоматизируются процессы периодического пересмотра и актуализации ролей их владельцами на регулярной основе. Автоматизировать такие процессы позволяют смежные с IdM решения Role Management и Identity Analytics, являющиеся компонентами комплексной IdM-системы.
По статистике, в развитых странах от мошеннических махинаций компании теряют до 15% своей выручки. Поэтому в ряде компаний уже работают механизмы борьбы с внутренним мошенничеством. Как правило, задача борьбы с фродом решается путем внедрения систем, выявляющих подозрительные транзакции на прикладном уровне либо на уровне СУБД. Подобные решения несомненно полезны, однако отсутствие SoD-контроля может свести на нет всю пользу от них. Ведь при выполнении мошеннических действий злоумышленник действует в рамках имеющихся у него полномочий, не создавая при этом подозрительную активность, на выявление которой нацелены стандартные anti-fraud решения.
Важным шагом в борьбе с мошенничеством в IT-системах должно стать внедрение механизмов превентивного контроля SoD-конфликтов. Полноценно реализовать такую функциональность возможно только при наличии правильно сконфигурированной IdM-системы, автоматизирующей процесс предоставления доступа к критичным бизнес-приложениям.
Для крупных бизнес-приложений (ERP, CRM, АБС), как правило, уже существуют решения по анализу конфликтующих транзакций на основании заложенной в них SoD-матрицы (например, SAP GRC Access Control для SAP ERP, Oracle GRC для бизнес-приложений Oracle). При внедрении таких решений производится доработка матрицы SoD-конфликтов с учетом специфики бизнес-процессов заказчика, затем SoD-модуль интегрируется с IdM. В IdM дорабатывается процесс согласования, запускаемый при автоматизированном предоставлении прав доступа (например, при переводе с должности на должность) либо при их запросе из каталога информационных ресурсов. В существующий workflow добавляется дополнительный шаг, на котором запрашиваемые права в бизнес-приложении анализируются на наличие SoD-конфликтов. По результатам анализа либо права предоставляются (если SoD-конфликтов не обнаружено), либо заявка приостанавливается до принятия решения о действиях.
На наш взгляд, наиболее сложная задача в части построения системы превентивного контроля SoD-конфликтов – выявление несовместимых полномочий на кросс-платформенном уровне. Невозможно найти универсальную готовую матрицу SoD-конфликтов для всех IT-систем, ведь у каждого заказчика внедрены различные приложения, работают уникальные бизнес-процессы. Для решения задачи кросс-платформенного контроля SoD-конфликтов необходимо создание уникальной для конкретной компании матрицы несовместимых полномочий.
Построение SoD-матрицы может быть реализовано только при непосредственном участии заказчика, ведь в большинстве случаев именно на бизнес-уровне можно выявить возможные SoD-конфликты. Однако итоговая матрица должна содержать не просто перечень конфликтующих бизнес-функций, она должна описывать конфликты на гораздо более низком, технологическом уровне. Решение данной задачи снова упирается в необходимость "перевода" бизнес-функций в технические транзакции, роли и полномочия. Достигнуть прозрачного создания и последующего управления кросс-платформенной SoD-матрицей возможно только при наличии правильно внедренной IdM-системы.
Автоматизация кросс-платформенных процессов выявления SoD-конфликтов реализуется с помощью специализированных подсистем, подключаемых к IdM. Такие подсистемы могут быть разработаны под конкретного заказчика, однако для достижения более качественных результатов управления SoD-конфликтами рекомендуется использовать готовые решения крупных вендоров, например, Oracle Identity Analytics. Готовые решения имеют весь необходимый функционал для описания матрицы кросс-платформенных SoD-конфликтов любой сложности, при этом позволяя прозрачно интегрироваться с уже внедренными IdM-и GRC-решениями.
Правильно внедренная система централизованного управления доступом становится важным инструментом для бизнес-пользователей. Она позволяет упростить взаимодействие с IT-системами, повысить эффективность работы, а также снизить ряд ключевых операционных и IT-рисков. В этой статье рассмотрены лишь несколько ключевых преимуществ, получаемых компанией, внедрившей полноценное IdM-решение. По нашему опыту, необходимо учитывать отраслевую специфику. Так, для финансового сектора и ритейла IdM может использоваться для более быстрого и эффективного развертывания прикладной IT-инфраструктуры сети клиентских офисов, для компаний нефтегазового сектора IdM может служить целевой системой при ведении взаиморасчетов между подразделениями и региональными управлениями компании.
Для заказчиков, предоставляющих услуги клиентам через Интернет, IdM в сочетании с системой Access Management может стать основой портала самообслуживания. Ключевым элементом успеха таких проектов является глубокое знание командой внедренцев технологий управления доступом и понимание отраслевой специфики заказчика.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2011