Экономическая эффективность IdM
Информационная безопасность Информационная безопасность

Проекты внедрения IdM зачастую требуют больших вложений, и часто у заказчиков возникают вопросы

Главная>Информационная безопасность>Экономическая эффективность IdM
Информационная безопасность Тема номера

Экономическая эффективность IdM

Дата публикации:
03.04.2014
Посетителей:
564
Просмотров:
564
Время просмотра:
2.3

Авторы

Автор
Дмитрий Бондарь В прошлом - менеджер по развитию направления IdM Центра информационной безопасности компании «Инфосистемы Джет»
Проекты внедрения IdM зачастую требуют больших вложений, и часто у заказчиков возникают вопросы: насколько эти инвестиции оправданы, окупится ли проект, что мы получим в итоге? В нашей статье мы рассмотрим основные составляющие эффекта от внедрения IdM. Основой для этого служит наш опыт, отзывы наших клиентов и фактические показатели, полученные по результатам выполненных проектов.

 

 

Эффект от внедрения IdM можно разделить на три категории: снижение рисков, сокращение времени ожидания доступа и уменьшение ручного труда. Сокращение рисков – это всевозможные инциденты безопасности, которые с внедрением IdM становятся невозможными или менее вероятными. Эту категорию достаточно сложно однозначно перевести в денежный эквивалент, и каждая компания должна самостоятельно оценивать ее значение для себя. Сокращение времени ожидания доступа – это ускорение процесса предоставления прав сотрудникам. Здесь с финансовой точки зрения можно оценить время простоя персонала. Под сокращением ручного труда подразумеваются потенциальные действия сотрудников, которые система выполняет автоматически. Эта категория достаточно понятным образом переводится в финансовую плоскость – через сэкономленные человеко-дни. Теперь подробнее рассмотрим каждую категорию.

 

Снижение рисков информационной безопасности

IdM сокращает риски доступа в информационные системы компании под незаблокированными учётными записями (УЗ), с несогласованными полномочиями, с избыточными правами доступа, с полномочиями, предоставляющими возможности для злоупотреблений, и т.д.

 

Рис. 1. Основные векторы возврата инвестиций от IdM

 

К незаблокированным учётным записям относятся активные УЗ уволенных сотрудников и лишние неучтённые УЗ. Со временем, без специального контроля, таких учётных записей в системах накапливается довольно много. Это приводит к рискам неправомерного доступа к информации: что может быть проще, чем воспользоваться существующей УЗ. У наших клиентов возникали инциденты, когда самая большая активность производилась от учётных записей сотрудников, которые уже не работают в компании. IdM автоматически блокирует доступ при увольнении сотрудников и ведёт персональный учёт владельцев УЗ. Поэтому после внедрения IdM подобные риски доступа исключаются.

 

Отметим, что несогласованные полномочия – это права доступа, которые не были согласованы для сотрудника в соответствии с регламентом предоставления доступа. Они могут стать следствием ошибки при вводе данных (человеческий фактор) или нарушения регламентов. Это приводит к тому, что пользователи получают неучтённый избыточный доступ. IdM автоматически исполняет заявки, исключая человеческий фактор, и отслеживает несогласованные полномочия.

 

Избыточные права доступа появляются у сотрудников по мере смены должностей, если их не пересматривать при каждом переводе, и за счёт временных прав доступа, которые в результате не отзываются. Мы периодически сталкиваемся с ситуациями, когда человек переходит, например, из ИТ-департамента в финансовый с сохранением имеющихся полномочий и в результате получает возможности для злоупотреблений. Чтобы бороться с избыточным доступом, некоторые компании вводят ежегодный пересмотр прав доступа руководителями (он также предписывается стандартом ISO 27001). Однако, по отзывам наших заказчиков, он отнимает столько времени и сил, что его предпочитают не проводить. IdM автоматизирует процессы пересмотра прав доступа при переводе по должности, а также периодического пересмотра прав доступа руководителями.

 

Последняя существенная категория рисков, которые IdM позволяет снизить, – это SoD-конфликты, или конфликты разделения полномочий. Их суть в том, что человек может получить взаимоисключающие с точки зрения бизнес-процесса полномочия, которые дают ему почву для злоупотреблений. Примерами могут быть права на проведение финансовых операций и на их аудит, на выбор подрядчика и на его утверждение, на выпуск пластиковых карт и на прикрепление их к счетам клиентов. Если такие конфликты в организации определены, IdM позволяет обеспечить их контроль и управление.

 

Сокращение времени ожидания доступа

 

IdM-решение автоматически предоставляет сотрудникам доступ к информационным системам при приёме на работу, ускоряет согласование заявок на доступ и автоматически их исполняет. Это значительно сокращает время ожидания предоставления прав доступа. Для новых сотрудников это означает более быстрое включение в бизнес-процесс, для остальных – незначительное повышение производительности труда. Эффект можно оценить, посчитав время простоя новых сотрудников. Чем крупнее компания, тем он будет больше. При этом эффект можно рассматривать как для времени исполнения заявки, так и для всего процесса предоставления доступа в целом. Распространённый KPI на исполнение ИТ-службой заявок на доступ составляет 3 дня. IdM сокращает это время до нескольких минут. Если говорить о процессе в целом, мы можем привести пример одной крупной географически распределённой компании: получение прав доступа ее сотрудниками, включая согласование, до появления IdM в среднем занимало 2 недели. После внедрения IdM время сократилось до 3 дней.

 

Уменьшение ручного труда

 

Наиболее очевидным результатом внедрения IdM в части сокращения ручного труда является автоматическое создание и блокирование УЗ пользователей. Когда человек приходит на работу, IdM автоматически создаёт ему базовый набор УЗ, устанавливает им пароли и назначает полномочия. Аналогично при увольнении сотрудника IdM автоматически блокирует все его учётные записи. Объём заявок, который таким образом перекладывается с администраторов на IdM, можно оценить на основании текучки кадров. Уволенный сотрудник обычно заменяется новым. Для первого все учётные записи необходимо заблокировать, второму – создать новые. Взяв за основу среднее количество УЗ у сотрудника, можно оценить эффект такой автоматизации. Для компании с 5000 сотрудников, текучкой кадров в 30% и пятью УЗ на сотрудника мы получаем 15 000 заявок по отдельным учётным записям в год.

 

Эффект от внедрения IdM можно разделить на три категории: снижение рисков, сокращение времени ожидания доступа и уменьшение ручного труда

 

Вторым по значимости результатом является автоматическое исполнение заявок на доступ. Когда пользователь запрашивает себе дополнительные права доступа либо переводится по должности, в IdM создаются соответствующие заявки. После прохождения процесса согласования IdM автоматически исполняет их и применяет необходимые изменения в информационных системах. По нашему опыту, количество заявок на дополнительные права доступа в течение года равно примерно половине от числа сотрудников. Объём переводов по должности в среднем составляет 30% от численности персонала. Таким образом, в компании с 5000 сотрудников набегает 4000 заявок в год, каждая из них может затрагивать несколько систем.

 

Третьим является сбор данных для расследования инцидентов информационной безопасности и ИТ-аудита. Сюда относится получение информации об актуальных правах доступа пользователей, об истории согласования прав, о владельцах учётных записей, различной информации для ИТ-контролей. В IdM все эти данные доступны в виде отчётов. Объём таких задач зависит от частоты возникновения инцидентов и проведения аудитов. По опыту наших заказчиков, сбор данных по одному инциденту может занимать 1–2 дня, а на проведение аудита или процедуры периодического пересмотра прав доступа ИТ-подразделение тратит 1,5–2 месяца.

Ещё одним аспектом автоматизации является сервис восстановления паролей. Если пользователь забыл пароль, он обычно звонит в службу поддержки. IdM даёт пользователям возможность восстановить его самостоятельно, с помощью контрольных вопросов. Такая автоматизация позволяет сократить количество обращений в службу поддержки, что особенно важно компаниям, которые приобретают эту услугу у сторонних организаций. Объём сэкономленных часов можно рассчитать на основании статистики сброса паролей.

 

Итак, мы рассмотрели основные экономические преимущества использования IdM, основываясь на результатах наших проектов. Эти данные могут помочь оценить эффект от внедрения системы IdM, а также обосновать экономическую целесообразность ее внедрения бизнес-руководству.

Уведомления об обновлении тем – в вашей почте

Беседа со Степаном Масленниковым, директором департамента бизнес-информации и службы заказчика ТНК-BP

Мы обратились в компанию ТНК-BP с просьбой поделиться своим экспертным мнением по этой теме, и на вопросы нам ответил директор департамента бизнес-информации и службы заказчика ТНК-ВР Степан Масленников.

Первое российское исследование рынка систем управления доступом (IdM)

Настоящее исследование посвящено рынку систем управления доступом – Identity Management (IdM) или, как их часто называют в последнее время, Identity Governance & Administration (IGA)

Так сложилось, что не получилось! Правильный подход к внедрению IdM

Как осуществляется подготовка к IdM-проектам и почему стандартный подход не всегда работает? Какие этапы должна включать подготовка? Что дает аудит перед стартом IdM-проекта?

Новые возможности Forefront Identity Manager 2010

Проблемы управления учетными записями и доступом, с которыми сталкиваются сегодня коммерческие компании и государственные организации, затрагивают практически все бизнес-процессы. Недостаточное внимание к этим вопросам приводит к росту затрат, увеличению рисков и снижению продуктивности сотрудников.

Identity Management: взгляд Sun Microsystems

Развитие сетевого сообщества подчиняется тем же законам, что и развитие общества, за одним исключением: все процессы идут во много раз быстрее

Защита персональных данных в бизнес-приложениях средствами Oracle Identity Management и смежными решениями

Нормативные документы по информационной безопасности, в том числе по защите персональных данных, рекомендуют использование прошедших в установленном порядке процедуру оценки соответствия (сертифицированных) средств защиты информации (СЗИ) для обеспечения информационной безопасности автоматизированной системы (АС) предприятия.

"Разрешите представиться"

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности

Преимущества для бизнеса, обеспечиваемые решением для управления идентификационными данными и доступом

Сегодня организации сталкиваются с множеством задач, в том числе связанных с растущим количеством пользователей, приложений и точек доступа. При этом им необходимо заботиться о выполнении регулирующих норм.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня