Подписаться
Читать в телеграм
Эффект от внедрения IdM можно разделить на три категории: снижение рисков, сокращение времени ожидания доступа и уменьшение ручного труда. Сокращение рисков – это всевозможные инциденты безопасности, которые с внедрением IdM становятся невозможными или менее вероятными. Эту категорию достаточно сложно однозначно перевести в денежный эквивалент, и каждая компания должна самостоятельно оценивать ее значение для себя. Сокращение времени ожидания доступа – это ускорение процесса предоставления прав сотрудникам. Здесь с финансовой точки зрения можно оценить время простоя персонала. Под сокращением ручного труда подразумеваются потенциальные действия сотрудников, которые система выполняет автоматически. Эта категория достаточно понятным образом переводится в финансовую плоскость – через сэкономленные человеко-дни. Теперь подробнее рассмотрим каждую категорию.
Снижение рисков информационной безопасности
IdM сокращает риски доступа в информационные системы компании под незаблокированными учётными записями (УЗ), с несогласованными полномочиями, с избыточными правами доступа, с полномочиями, предоставляющими возможности для злоупотреблений, и т.д.
Рис. 1. Основные векторы возврата инвестиций от IdM
К незаблокированным учётным записям относятся активные УЗ уволенных сотрудников и лишние неучтённые УЗ. Со временем, без специального контроля, таких учётных записей в системах накапливается довольно много. Это приводит к рискам неправомерного доступа к информации: что может быть проще, чем воспользоваться существующей УЗ. У наших клиентов возникали инциденты, когда самая большая активность производилась от учётных записей сотрудников, которые уже не работают в компании. IdM автоматически блокирует доступ при увольнении сотрудников и ведёт персональный учёт владельцев УЗ. Поэтому после внедрения IdM подобные риски доступа исключаются.
Отметим, что несогласованные полномочия – это права доступа, которые не были согласованы для сотрудника в соответствии с регламентом предоставления доступа. Они могут стать следствием ошибки при вводе данных (человеческий фактор) или нарушения регламентов. Это приводит к тому, что пользователи получают неучтённый избыточный доступ. IdM автоматически исполняет заявки, исключая человеческий фактор, и отслеживает несогласованные полномочия.
Избыточные права доступа появляются у сотрудников по мере смены должностей, если их не пересматривать при каждом переводе, и за счёт временных прав доступа, которые в результате не отзываются. Мы периодически сталкиваемся с ситуациями, когда человек переходит, например, из ИТ-департамента в финансовый с сохранением имеющихся полномочий и в результате получает возможности для злоупотреблений. Чтобы бороться с избыточным доступом, некоторые компании вводят ежегодный пересмотр прав доступа руководителями (он также предписывается стандартом ISO 27001). Однако, по отзывам наших заказчиков, он отнимает столько времени и сил, что его предпочитают не проводить. IdM автоматизирует процессы пересмотра прав доступа при переводе по должности, а также периодического пересмотра прав доступа руководителями.
Последняя существенная категория рисков, которые IdM позволяет снизить, – это SoD-конфликты, или конфликты разделения полномочий. Их суть в том, что человек может получить взаимоисключающие с точки зрения бизнес-процесса полномочия, которые дают ему почву для злоупотреблений. Примерами могут быть права на проведение финансовых операций и на их аудит, на выбор подрядчика и на его утверждение, на выпуск пластиковых карт и на прикрепление их к счетам клиентов. Если такие конфликты в организации определены, IdM позволяет обеспечить их контроль и управление.
Сокращение времени ожидания доступа
IdM-решение автоматически предоставляет сотрудникам доступ к информационным системам при приёме на работу, ускоряет согласование заявок на доступ и автоматически их исполняет. Это значительно сокращает время ожидания предоставления прав доступа. Для новых сотрудников это означает более быстрое включение в бизнес-процесс, для остальных – незначительное повышение производительности труда. Эффект можно оценить, посчитав время простоя новых сотрудников. Чем крупнее компания, тем он будет больше. При этом эффект можно рассматривать как для времени исполнения заявки, так и для всего процесса предоставления доступа в целом. Распространённый KPI на исполнение ИТ-службой заявок на доступ составляет 3 дня. IdM сокращает это время до нескольких минут. Если говорить о процессе в целом, мы можем привести пример одной крупной географически распределённой компании: получение прав доступа ее сотрудниками, включая согласование, до появления IdM в среднем занимало 2 недели. После внедрения IdM время сократилось до 3 дней.
Уменьшение ручного труда
Наиболее очевидным результатом внедрения IdM в части сокращения ручного труда является автоматическое создание и блокирование УЗ пользователей. Когда человек приходит на работу, IdM автоматически создаёт ему базовый набор УЗ, устанавливает им пароли и назначает полномочия. Аналогично при увольнении сотрудника IdM автоматически блокирует все его учётные записи. Объём заявок, который таким образом перекладывается с администраторов на IdM, можно оценить на основании текучки кадров. Уволенный сотрудник обычно заменяется новым. Для первого все учётные записи необходимо заблокировать, второму – создать новые. Взяв за основу среднее количество УЗ у сотрудника, можно оценить эффект такой автоматизации. Для компании с 5000 сотрудников, текучкой кадров в 30% и пятью УЗ на сотрудника мы получаем 15 000 заявок по отдельным учётным записям в год.
Эффект от внедрения IdM можно разделить на три категории: снижение рисков, сокращение времени ожидания доступа и уменьшение ручного труда
Вторым по значимости результатом является автоматическое исполнение заявок на доступ. Когда пользователь запрашивает себе дополнительные права доступа либо переводится по должности, в IdM создаются соответствующие заявки. После прохождения процесса согласования IdM автоматически исполняет их и применяет необходимые изменения в информационных системах. По нашему опыту, количество заявок на дополнительные права доступа в течение года равно примерно половине от числа сотрудников. Объём переводов по должности в среднем составляет 30% от численности персонала. Таким образом, в компании с 5000 сотрудников набегает 4000 заявок в год, каждая из них может затрагивать несколько систем.
Третьим является сбор данных для расследования инцидентов информационной безопасности и ИТ-аудита. Сюда относится получение информации об актуальных правах доступа пользователей, об истории согласования прав, о владельцах учётных записей, различной информации для ИТ-контролей. В IdM все эти данные доступны в виде отчётов. Объём таких задач зависит от частоты возникновения инцидентов и проведения аудитов. По опыту наших заказчиков, сбор данных по одному инциденту может занимать 1–2 дня, а на проведение аудита или процедуры периодического пересмотра прав доступа ИТ-подразделение тратит 1,5–2 месяца.
Ещё одним аспектом автоматизации является сервис восстановления паролей. Если пользователь забыл пароль, он обычно звонит в службу поддержки. IdM даёт пользователям возможность восстановить его самостоятельно, с помощью контрольных вопросов. Такая автоматизация позволяет сократить количество обращений в службу поддержки, что особенно важно компаниям, которые приобретают эту услугу у сторонних организаций. Объём сэкономленных часов можно рассчитать на основании статистики сброса паролей.
Итак, мы рассмотрели основные экономические преимущества использования IdM, основываясь на результатах наших проектов. Эти данные могут помочь оценить эффект от внедрения системы IdM, а также обосновать экономическую целесообразность ее внедрения бизнес-руководству.
