6 minute read
Сказ о том, как в одной компании доступом управляли и что из этого вышло
from ITExpert02_2020
by dark_angel_
Управление правами доступа в корпоративной сети предприятия, прямо скажем, дело не самое увлекательное и не очень-то простое, однако необходимое. Если компания маленькая, то этот зажигательный процесс стараются организовать вручную. Что в итоге выходит, особенно с учетом роста бизнеса, и как этого положения удается выбраться, сэкономив людские и временные ресурсы, я и расскажу.
Advertisement
text: Людмила Севастьянова, менеджер по продвижению Solar inRights компании «Ростелеком-Солар»
…Жил-был владелец одной маленькой компании. По старинным рецептам медовуху варил да горожанам к празд нику поставлял. А как начал в продукт свой травки всякие полезные добав лять да разработал собственный рецепт, от клиентов отбоя не стало. Слава о его заведении далеко по области пошла. Оснастил он свое производство за морским оборудованием с программным управлением, набрал парудесятков работников, посадил их за компы — си дят-трудятся. Хорошо-о‑о‑о… Бизнес растет, года через три ста ло в компании уже пять сотен сотрудников. Появились руководители отделов, а у тех — подчиненные. Своего меда
недостаточно стало, договорился с соседними пчеловодами на поставку сырья. Возникли в отделах разные бизнес-процессы, всякие утвержденные наверху регламенты и даже некоторые информационные системы. Понял вла делец — надо всё это хозяйство как-то упорядочить, и написал указ. И приня лись сотрудники друг к другу ходить, бумажками перекидываться, доступы с согласованиями просить. Стали тут всякие интересные казусы происходить. А ка кие, расскажем ниже. Казус 1. Приходит маркетолог к сисадмину: «Бью тебе челом, добрый че ловек, дай мне доступ в “2C: Предприятие”, надо мне договора с юристами и бухгалтерией согласовывать». «Не во прос, — отвечает тот. — Только заполни ты мне бумажку по всей форме, да все десять параметров непременно укажи». Ушел маркетолог ни с чем и надолго — думу думать, информацию собирать да бумажку заполнять. Казус 2. Озадачился как-то руководи тель отдела по внешним связям, как бы поставщикам-пчеловодам доступ к сво им системам организовать, чтобы они поставки свои отслеживали да с попол нением сырья не опаздывали. А дело это серьезное — поставщиков разных мно го развелось, абы кого во внутренние владения не пустишь, надо его с глав
ным воеводой ИБэшником согласовать. А тот в отпуске оказался — огород в де ревне Кукуево вскапывает. И остались поставщики гадать-горевать, ждать воз вращения огородника. Казус 3. Завел у себя в департамен те глава всея продаж специальную программку, в которой вся информация о клиентах и история взаимоотноше ний с ними хранилась и сейлами токмо использовалась. И так хорошо стало в продажах, так удобно: нужны какому бойцу данные о клиенте — зашел в про граммку, нашел заказчика и узнал всю
его подноготную, все его хотелки с по желалками. Одно обидно: стали в эту программ ку доступ просить все, кому ни попадя: и маркетологи, и финансисты всякие, и другие-прочие. И вроде ведь для по вышения продаж да улучшения обслуживания клиентов просят доступ — как не дать? В итоге навыдавал глава всем
страждущим разрешений, а через год понять не может, кто и зачем в его про граммку ходит и какие данные оттуда таскает. Год вручную вместе с технаря ми разбирались (по-модному «ресертификацию прав доступа» проводили), да так и не довели до конца — потонули в бу мажках да процедурах. Казус 4. Пять сотен работников — это вам не двадцать. Надо им учетки выдавать и блокировать, надо доступы в разные системы наподобие сейловой предоставлять — все ручками, ручка ми. И стали бедные полтора сисадмина (один на полставки работал) как рабы на галере: полдня на управление права ми доступа работников тратят, а остальные полдня — на тушение пожара (сеть восстановить после сбоев и нарушений да оборудование подлатать). Все про чие рабочие повинности, как водится, сверхурочно да по выходным. Затоско вали хлопцы… Казус 5. Когда бизнес спорится, тут, как водится, и завистники появляют ся. Случилась как-то оказия: украл один из секретарей рецептуру новую и базу клиентов, да и передал конкурентам за мзду немалую. Заметили, какобычно, не сразу, а токмо когда заказчики приня лись массово к конкуренту уходить. Стало быть, надо выяснить, какэтотгоре-работник доступ к тайнам получил, кто ему такой доступ дал и по какой такой при чине. Эту ответственную задачу поручили работнику ИБ-службы: расследуй, мил человек, сей факт ручками да глазка
ми. Долго копал безопасник — и вглубь, и вширь, да как тут разберешься: пол года прошло с момента злоумышления, уже и среда корпоративная поменялась, и бизнес-процессы. В общем, плюнули на это дело в компании и дальше пош ли работать… Вернемся, однако, от иносказания к реальности. В современной компа нии аналогичного масштаба вышеописанный процесс «управления» доступом будет выглядеть примерно так (см. схе му 1): Знакомо? Да. Комфортно? Нет. Эф фективно? Нет, особенно учитывая тотальную цифровизацию последних лет. Как видим, если компания уделяет недостаточное внимание администриро ванию доступа и управлению идентификацией, то ресурсные затраты на решение таких задач вручную могут оказаться колоссальными! Что делать? Конечно, ме нять подход. Ведь управление идентификацией и авторизацией является ключом кбезопасности и имеетбольшоезначение для всех подразделений. Посмотрим, как с этой задачей справился мудрый владе лец нашей, уже немаленькой компании. …Апоглядел он на все эти казусы и по нял: пора автоматизировать процесс управления доступом. К тому времени количество работников у него уже к ты сяче душ приближалось. Вызвал он на ковер добрых молод цев — технарей да безопасников — и говорит: «Добудьте мне такую систему, чтобы как скатерть-самобранка работала. Чтобы сама учетки пользователям при приеме на работу создавала, базовые права доступа им выдавала, а при уволь нении блокировала. Чтобы во время болезней да отпусков доступ блокировала. Чтобы работнику было немудрено в ней быстренько нужную заявкусостряпать, да чтобы заявка эта сама комунадо на согла сование уходила. И чтобы всякие нарушения правил выдачи доступа и конфликты разные сама выявляла да устраняла сво евременно. Ну и чтобы быстро выдавала всю историческую информацию о предо ставленном доступе — хочешь за месяц, хочешь за год — для отчетов всяческих аудиторам да регуляторам. Да для расследований оказий разных подходила». Подумали-поспрошали безопасники да технари, что за система такая должна
быть, и поняли: пришла пора внедрятьIdM (identitymanagement), а еще лучше —про двинутую IGA (identity governance and administration)! Что за чудо-юдо такое? А никаких чудес здесь нет: система сама выдает всем работникам доступ когда и куда надобно. Как она так хитро уме ет? Да через автоматическое управление жизненным циклом пользователя. Да с помощью действующих политик и ин фраструктуры, созданной для обеспечения этого процесса. Что же она умеет, эта скатерть-са мобранка? Во‑первых, обнаруживает и анализирует права пользователей — когда, с какой-такой стати и кем выда ны. Во‑вторых, сама (по заданным политикам) решения принимает — выдать запрошенное право доступа или дать от ворот поворот. Сама же (по запросу) отчеты создает, ежели аудит какой или сертификация доступа потребны. И жиз ненный цикл контролирует, и их ролями во всяких информационных системах управляет да лишнего делать не дает. Вот такие чудеса!
И внедрил у себя в компании мудрый владелецэтучудо-систему. А какпроана лизировал эффект, так и ахнул: • на 53% сократилось время, которое тратит деловой люд, дабы заявки со гласовать, ревизию прав доступа (понашему—сертификацию) произвести и т. п.; • в системах компании на 15% число лишних пользователей поубавилось, а количество заявок к сисадминам аж на 85% сократилось;
• плюс ко всему данные из систем для расследования хищений на 50% про ще стало добыть. И было в итоге всем работникам на шей уже немаленькой компании счастье! …А теперь в реальности посмотрим, как изменился приведенный в схе ме 1 процесс управления доступом в результате использования IGA-системы (см. схему 2): Итого: когда процесс управления пра вами доступа разработан и автоматизирован, компании не нужно выделять все больше дополнительныхсредств и ресур сов, чтобы удержаться на плавуи обеспечивать для бизнеса необходимый уровеньсервиса и безопасности. Это весьма и весьма ощутимый инструмент эконо мии ресурсных затрат на управление доступом. Вот и сказке конец! И я там был, мед сладкий пил, да на ус мотал, как процесс управления доступом сделать простым и эффективным, чтобы поня тен всем был да денежки экономил. И, само собой, безопасным — чтобы быстро доступ получать да регламен ты не нарушать.
