Аналитика и комментарии

09 марта 2016

Оптимизация ресурсов: метод «Инфосистемы Джет»

Оптимизация ресурсов – одна из самых актуальных на сегодня тем для кредитных организаций. В условиях сокращения персонала банкам приходится выполнять тот же объем работ. Поэтому бизнес заинтересован в максимальной оптимизации и автоматизации всех существующих процессов. Для финансовых организаций, активно использующих информационные системы и имеющих большой штат сотрудников, одним из инструментов оптимизации ресурсов может стать ролевая модель прав доступа.

Права доступа: проблемные точки

Все организации рано или поздно сталкиваются с проблемой увеличения количества прав доступа к различным ресурсам, которые могут запрашиваться пользователями. В некоторых системах наборы прав доступа (ИТ-роли) исчисляются десятками тысяч. И сотрудники компании регулярно тратят рабочее время, чтобы разобраться в этом обширном списке.

В некоторых банках процесс получения сотрудниками доступа к информационным системам довольно длительный и запутанный. Специальные отделы аналитиков и методологов принимают заявки от сотрудников в свободной форме. После получения заявки необходимый набор прав формируется специалистами в ручном режиме и отправляется на согласование пользователю. После этого сотрудник формирует итоговую заявку и повторно отправляет ее на согласование – в контролирующие инстанции и на исполнение. Если в компании нет такого специального отдела, на пользователя ложится нагрузка по самостоятельному поиску необходимых прав. После согласования и выполнения заявки зачастую выясняется, что часть выданных полномочий не подходит для конкретного филиала, часть уже не используются, а тех, что предоставлены, недостаточно для работы. Мало того, что составление заявок отнимает время у офисных сотрудников, на эту же задачу тратит время системный администратор: вместо того чтобы администрировать ИС, он разбирает поток заявок и назначает десятки полномочий в день. Проводя обследование в одном из банков с общим штатом в 6000 человек, мы выяснили, что администраторы тратили 134 человеко-дня в месяц на разбор и обработку заявок на доступ. 

Наиболее популярна заявка «Мне как у коллеги», куда вписывается ФИО сотрудника, со схожими, как кажется, должностными обязанностями. При этом никто не гарантирует, что у этого коллеги права не избыточны. В итоге у сотрудников накапливается огромное количество ненужных прав, которые сложно контролировать. А избыточные права сотрудников на доступ к информационным системам увеличивают риск утечки конфиденциальной информации. 

При «ручной» выдаче прав в процессе задействованы одновременно специалисты ИТ-отдела, службы информационной безопасности и рядовые сотрудники. Отсутствие автоматизации оборачивается для большой компании расходом огромного количества ресурсов исключительно на организацию вспомогательных процессов. 

Наличие ролевой модели позволяет не только оптимизировать временные затраты сотрудников, но и учитывать лицензии на использование информационных систем: в рамках создания ролевой модели разрабатываются регламенты, которые позволяют это делать на регулярной основе. В одной из компаний мы обнаружили 1500 учетных записей, не имевших привязки к реальным пользователям. Оказалось, что они закреплены за уволенными сотрудниками. С учетом стоимости пользовательской лицензии любой популярной ERP-системы удаление неактуальных учетных записей дает существенную экономию. 

Для решения вышеперечисленных проблем компании инициируют проекты по внедрению IdM-системы, но зачастую без предварительной систематизации прав доступа. Если систематизация не проводилась в процессе внедрения, результатом становится автоматизированный хаос: полномочия раздаются и отзываются автоматически, но неразбериха с правами остается. Через некоторое время компании понимают, что используют возможности IdM-системы не полностью. Несколько лет назад появился тренд более осмысленного внедрения IdM-решений, когда внедрению системы предшествует проект по оптимизации ролевой модели прав доступа. 

Немного теории… 

Ролевые модели чаще всего разрабатываются в соответствии со следующими принципами: 

  • должностная ролевая модель – выделение ролей на базе должностных обязанностей сотрудников; 
  • функциональная ролевая модель – выделение ролей на базе функциональных задач; 
  • гибридная модель, совмещающая подходы должностной и функциональной ролевых моделей. 

Роли на базе должностей. Данный подход идеально подходит компаниям, где жестко соблюдаются регламенты и правила и ведется строгий контроль предоставленного доступа. Разработка ролей строится на основе должностных инструкций сотрудников компании. Для каждой должности ответственные за ролевую модель собирают перечень функциональных обязанностей и необходимых полномочий в информационных системах. Ролевая модель, построенная по этому принципу, охватывает и классифицирует потребности всех сотрудников, но она наиболее сложна как в разработке, так и в дальнейшей поддержке. Основная сложность в том, что в одном отделе могут работать сотрудники, выполняющие одну и ту же работу, но имеющие разные должности. Кроме того, если меняется организационная структура компании, модель приходится значительно дорабатывать.  

Роли на базе функциональных задач. Этот подход оптимален с точки зрения соотношения результатов и затраченных усилий. Для построения этого типа ролевой модели в компании выделяют основные и наиболее часто запрашиваемые группы прав.  Затем они выделяются в отдельные бизнес-роли (например, «доступ в интернет», «годовая отчетность 2016» и пр.), которые сотрудник может запрашивать самостоятельно по мере необходимости. В лучшем случае этот подход покрывает 70–80% потребностей в доступе.

Гибридная модель. Гибридный подход совмещает два предыдущих принципа. Разработка модели для базовых должностей (например, «Кассир», «Операционист», «Бухгалтер») идет следующим образом: выбираются минимальные наборы прав доступа, которые обычно содержат базовые полномочия для этих должностей, и присваиваются сотрудникам при приеме на работу. Все необходимые сверх этого права запрашиваются дополнительно. Гибридная модель наиболее востребована среди финансовых организаций, поскольку она гибка в построении и поддержке, требует умеренных ресурсных затрат, удобно автоматизируется системами контроля доступа. 

… и практики

Мы не рекомендуем стремиться к идеальному результату, распределяя все права доступа по бизнес-ролям, чтобы при перемещении по должности сотрудник получал ИТ-роли в строгом соответствии со своей позицией в структуре компании. Такой подход нерационален. Наша практика показывает, что после включения в бизнес-роли 80% ИТ-ролей временные и финансовые затраты на распределение прав доступа резко возрастают. Если вовремя не остановиться, на проект можно потратить массу ресурсов, но так его и не завершить. 

Перед каждой компанией стоят свои задачи, и важно, чтобы решение было рационально настроено под требования бизнеса. В одном из банков мы столкнулись с задачей, когда к стандартной роли «Кассир» необходимо было добавить дополнительный территориальный признак. Права доступа у кассиров одинаковые, но за счет привязки к филиалу они видят платежи и перемещения только по своему региону. Кассир может заболеть или срочно уехать в командировку, а загруженность коллег не позволяет найти ему замену в своем отделении. На этот случай мы выстроили в банке ролевую модель с учетом вре́менных перемещений. Разработанный механизм переназначения полномочий позволяет сотруднику на замене приступить к выполнению обязанностей моментально и без дополнительных согласований со службой безопасности. По истечении срока замены он так же быстро возвращается к своим обязанностям в «родном» филиале. Такая схема позволяет обеспечивать бесперебойную работу региональных отделений банка и ограничивать доступ к информации в соответствии с внутренним регламентом.

Если вы планируете внедрение или уже используете IdM-решение, мы в любом случае рекомендуем оценить задачи и цели, которые стоят как перед бизнесом, так и перед службой информационной безопасности. Как показывает практика, внешний аудит зачастую оказывается полезнее самой пристальной внутренней ревизии. Сторонняя экспертиза позволяет объективно подойти к анализу и изменению существующих бизнес-процессов, к которым внутри организации все уже успели привыкнуть. Построение ролевой модели и внедрение регламентов по ее поддержанию позволяют оптимизировать ресурсы администраторов ИТ-систем, службы безопасности, рядовых сотрудников. 

В итоге компания сокращает свои расходы не только за счет экономии человеческих ресурсов, но и за счет строгого учета пользовательских лицензий. 

И, самое главное, выстроенный процесс позволяет компании экономить время и средства на регулярной основе благодаря созданным регламентам. 

текст Павел Кудрин, начальник отдела программных решений Центра информационной безопасности компании «Инфосистемы Джет»
Поделиться:
 

Возврат к списку