Александр Санин, коммерческий директор компании «Аванпост»: Учитывая эту тенденцию, мне очень часто приходится делать расчеты экономической эффективности подобного рода решений, и расчет эти вполне себе убедительно показывают, что время пришло. Период окупаемости современной системы IDM стал приближаться к одному — полутора годам, что еще лет пять назад было просто невозможно из-за высокой стоимости владения. Некоторое время тому назад я готовил довольно подробный материал, отражающий экономию, которую получит предприятие после внедрения IDM. Сегодня мы рассмотрим подробно такой интересный аспект внедрения IDM-систем как стоимость внедрения.
Безусловно, стоимость внедрения — важный показатель, и в ряде случаев он съедает значительную долю бюджета на постреоние системы. Стоимость внедрения решения класса IDM складывается из нескольких значимых факторов. Во-первых, это время и стоимость разработки/доработки коннекторов к тем информационным системам заказчика, с которыми предстоит интеграция. Во-вторых, это время и стоимость работы аналитиков и специалистов на разработку актуальной ролевой модели и матрицы доступа на предприятии. В-третьих, уже менее существенную часть составляет само проведение работ по развертыванию и тестированию решения, а также по согласованию новых бизнес-процессов, связанных с управлением доступа. К сожалению, от этого никуда не деться. Волшебной унивсальной пилюли, нейтрализующей данные факторы, не существует, но зато имеются вполне разумные инструменты, котоыре позволят существенно сэкономить на внедрении.
Именно второй фактор, связанный с разработкой ролевой модели и матрицы доступа, очень часто становится тем камнем преткновения, о который разбиваются сроки, бюджет проекта и, в итоге, сам факт его успешности. Дело в том, что любой IDM-системе для корректного начала работы просто необходима такая ролевая модель, ведь именно на базе такой модели и будет функционировать система. Однако на практике почти в 99 случаев мы сталкиваемся с ее полным отсутствием, и, как следствие, тратим огромные силы и ресурсы на попытки ее создания. Если взглянуть на этот процесс более детально, то мы увидим, что даже сам подход к разработке подобной модели на крупном предприятии просто обречен на провал с самого начала. Типичный сценарий создания ролевой модели предусматривает полную инвентаризацию интегрируемых информационных ресурсов, сбор данных о доступе к ресурсам сотрудников, анализ полученных результатов, создание матрицы, группировку полномочий в роли и согласование полученных результатов с владельцами ресурсов и администраторами. При необходимости провести подобный анализ 10−15 ИТ-системам в организации, где работают более тысячи сотрудников, очень скоро станет понятно, что сделать это качественно просто нереально. Сроки работ будут увеличиваться, и как следствие, через несколько месяцев, даже при условии получения первых результатов, они уже не будут отражать актуальное состояние дел в ИТ-ресурсах, которые к этому времени успеют существенно видоизмениться в соответствии с потребностями бизнеса. Никакие человеческие ресурсы не смогут в короткие сроки вручную создать подобную ролевую модельи матрицу доступа. Именно поэтому нам на помощь начали приходить автоматизированные механизмы.
Так, в середине 2013 года одна из российских компаний объявила о выпуске дополнительного функционала к IDM-решению под названием Role Management & Ananlytics. Данный функционал призван решить проблему автоматизированного создания матрицы доступа. Рассмотрим принцип работы этой надстройки.
При использовании Role Management & Analytics в рамках проекта по внедрению IDM ролевая модель и матрица доступа будут формироваться практически автоматически. Другими словами, все шаги, связанные с выполнением долгих и рутинных операций, как-то инвентаризация ИТ-ресурсов, с которыми происходит интеграция, сбор сведений о пользователях и об организационно-штатной структуре компании, будут выполнены полностью автоматически. Для этого решение IDM разворачивается в режиме анализа, настраиваются коннекторы к целевым системам, которые собирают из конечных систем всю необходимую информацию за считанные минуты. На выходе мы получаем очень большой массив информации, где собраны все данные о пользователях: Ф.И.О., должность, подразделение, табельный номер, перечень прав и привилегий во всех ИТ-системах, с которыми проведена интеграция.
А затем начинается самое интересное!
Далее необходимо этот массив информации проанализировать, и на его основе выстроить ролевую модель. И тут вступает в работу аналитический аппарат, заложенный в основу Role Management & Analytics. Принцип его работы основан на математическом сравнении и пересечении множеств. То есть система начинает сравнивать конкретные доступы у пользователей с одинаковыми должностями и находить пересечения. Далее при выставлении определенной релевантности Role Management & Analytics сформирует рекомендованную ролевую модель. Проще всего это можно показать на примере.
Допустим, в ООО «Компания» работает 7 специалистов бухгалтерии и они в своей работе используют 5 ИТ-ресурсов. У каждого из бухгалтеров свой набор прав доступа к этим ИТ-ресурсам. Таким образом, в рамках анализа мы получим примерно следующую информацию:
- 100% сотрудников имеют доступ к ИТ-ресурсам 1 и 2;
- 90% сотрудников имеют доступ к ИТ-ресурсу 4;
- 60% сотрудников имеют доступ к ИТ-ресурсам 3 и 5;
После этого нам необходимо выставить релевантность. То есть принять решение, какие ИТ-ресурсы с точки зрения частоты встречаемости попадут в базовую роль. В нашем случае если установить релевантность на уровне 80%, то в базовую роль будут рекомендованы ИТ-ресурсы 1,2,4.
Таким образом, использование автоматизированного механизма создания ролевой модели и матрицы доступа значительно упрощает и облегчает процесс внедрения, что позволяет существенно сократить сроки и стоимость внедрения IDM-решения.
Если говорить о цифрах в части экономии времени и денег, можно так же привести несколько примеров. Так, в компании численностью порядка 3 500 сотрудников, при интеграции с 10 ИТ-системами применение Role Management & Analytics позволило сократить сроки внедрения с планируемых 13 месяцев до 4 месяцев, что в свою очередь вылилось в финансовую экономию порядка 1,6 млн. рублей. Другой показательный пример в компании меньшего масштаба, в которой работает порядка 1 000 сотрудников, при интеграции с 5 ИТ-системами — время внедрения удалось сократить с плановых 10 месяцев до 3 месяцев и показать финансовую экономию порядка 1 млн руб.
Так или иначе, мы надеемся, что представленная в данной статье информация и примеры помогут вам лучше ориентироваться в современных IDM-решениях, в их функционале и скрытых подводных камнях при внедрении.