Портал №1 по управлению цифровыми
и информационными технологиями

Что сложного в управлении доступом?

polar_viewsВопрос, вынесенный в заголовок, я мог бы задать и по-другому — а что, собственно, простого в управлении доступом? Как в том известном выражении про описание стакана оптимистом и пессимистом при одном и том же уровне воды в нём.

Действительно, давайте посмотрим на управление доступом с этих полярных точек зрения. Ведь истина где-то посередине. Пусть они будут эдакими Сциллой и Харибдой, а я постараюсь сыграть роль Одиссея, пытающегося лавировать между ними.

Начнём с первой: "управление доступом — это просто, ничего сложного в нём нет". Я полагаю, что среди приверженцев этой точки зрения есть как условные немногочисленные "гуру", давно постигшие дзэн, и потому не спускающиеся со своих горних высей, и "практики", уверенно (в некоторых случаях с приставкой само-) считающие, что организованный ими процесс полон и правилен.

Мне, как практику, интересно пообщаться с такими же практиками. Что бы я у них спросил, какие вопросы бы задал. Перво-наперво, выяснил бы, что собой представляет для них процесс. Бывает так, что для кого-то управление доступом ограничивается учётом выданных и отозванных прав доступа и подготовкой выгрузок по требованиям внешних аудиторов по информационной безопасности. Затем стал бы интересоваться, а как организовано управление множеством прав доступа в информационных ресурсах, каков охват управления этим множеством — охвачен ли весь ИТ-ландшафт, производится ли какая-то их группировка по пользователям, формируются ли группы / профили / роли бизнес-пользователей. Как эти наборы поддерживаются в актуальном состоянии.

Потом поднял бы к вопросы операционной деятельности. Например, налажена ли интеграция с кадровой системой, откуда приходят все данные по сотрудникам и их текущему статусу (принят на работу, перемещён по должности, в отпуске и т.д.). Уточнил бы, как организован заказ доступов для сотрудника, можно ли выбрать набор доступов "как у того" (у другого сотрудника), можно ли выбрать отдельные роли внутри информационных ресурсов. Далее перешёл бы к вопросам контроля выданных доступов: какова частота и периодичность проверок правомочности выданных прав, как организована работа по устранению выявленных несоответствий.

У некоторой части моих собеседников в результате нашей небольшой дискуссии наверняка останутся открытые вопросы, на которые они затруднятся ответить, что будет означать, что, скорее всего, они уже вряд ли сторонники первой точки зрения. И вопросы организации управления доступом для них будут не такими простыми, как представлялось им ранее.

Те, кто придерживается второй точки зрения — "управление доступом — это сложно, там всё непросто", это, на мой взгляд, обжёгшиеся на внедрении IDM-решения и / или страдающие от недостатка и возможностей средств автоматизации процесса. Да, действительно, одна из самых важных фаз подобного проекта — формирование матрицы бизнес-ролей. Учитывая, что бизнес-процессы постоянно меняются, нужно учитывать и закладываться на эти изменения в ходе самого проекта и, что на мой взгляд важнее — создать действующую структуру на стороне самого предприятия, отслеживающую данные изменения и вносящую корректировки. После завершения проекта, именно она будет заниматься актуализацией матрицы. Что касается средств автоматизации, то какого-то недостатка в них я не вижу.

Таким образом, по моему мнению, ничего страшного, сложного, как и простого и лёгкого в управлении доступом нет. Это постоянная кропотливая работа в части всех практик процесса.

Учебные курсы и сертификация
специалистов по ИТ-менеджменту

Комментариев: 3

  • Андрей другой

    Действительно, какого либо недостатка в инструментальных средствах нет. Они есть для  предприятий любого размера и сложности внутренней организации. НО — все эти средства построены под ролевую модель управления доступом. И вот тут действительно возникают проблемы. Где их, эти роли, взять? Единственный разумный путь получения списка ролей и соответствующих им прав доступа — через поддерживаемую в актуальном состоянии модель бизнес процессов, а это редко у кого есть. Но без этого нормально организовать процесс управления доступом невозможно.

    • Где их, эти роли, взять? Единственный разумный путь получения списка ролей и соответствующих им прав доступа — через поддерживаемую в актуальном состоянии модель бизнес процессов, а это редко у кого есть. Но без этого нормально организовать процесс управления доступом невозможно.

      На мой взгляд, это не камень преткновения на пути создания ролевой модели. Можно двигаться итеративно. Пусть в первом приближении состав бизнес-ролей своего подразделения сообщит сам руководитель подразделения. На недавнем своём вебинаре я затрагивал этот вопрос.

      • Андрей другой

        С нашими руководителями из бизнеса проблема в том, что они мыслят категориями штатного расписания, а не процессами и ролями. Т.е. он может рассказать вам чем в общем у него занимается экономист 3 категории, но не может сказать какие именно операции прямо сейчас и почему выполняет этот человек, и какие уровни доступа этому человеку нужны для выполнения этих операций. Т.е. уровни доступа не для экономиста 3 категории, а для роли, исполняющей операцию "ввод счетов", на пример.


Добавить комментарий

Ваш адрес email не будет опубликован.

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Внедрение ИИ для вашей службы поддержкиВнедрение ИИ для вашей службы поддержки
      Но что на самом деле означает внедрение ИИ для возможностей ITSM вашей организации, особенно для службы технической поддержки?
    • Бесплатная конференция IT-Entrance для тех, кто хочет стать айтишниками
        28 мая в Минске пройдет бесплатная 11-я международная конференция IT-Entrance. Это мероприятие для тех, кто хочет попасть в IT, для начинающих IT-специалистов уровня junior с
    • ITIL 4 Specialist: High-velocity IT. Что внутри?
      В дополнение к уже опубликованным обзорам курсов по направлению Managing Professional (MP) сертификационной линейки ITIL4, сегодня мы рассмотрим еще один модуль – ITIL 4 Specialist: High-velocity IT (HVIT).
    • Весення уборка в бэклоге продукта: порядок за четыре шага!
      Каждая команда, которая ведёт разработку ПО в соответствии с практиками Agile, имеет бэклог продукта или по крайней мере думает, что он у неё есть. Кажется, что это очень простой инструмент, но на практике я регулярно сталкиваюсь с неумением им пользоваться для планирования работы разработчиков. Давайте попробуем разобраться, для чего нужен бэклог продукта и как извлечь из него максимум пользы. 
    • Warranty и Utility в ITIL4
      У услуг, которыми мы управляем в рамках Service есть две основные характеристики: гарантия — Warranty и Utility — полезность. Эти характеристики нужны нам, чтобы определить, будет ли услуга способствовать достижению результатов, которые нужны пользователю, а как следствие — создавать для них ценность.
    • Шесть практик для лучшего взаимодействия бизнеса и ИТ
      Хотели бы вы, чтобы руководители предприятий и ИТ могли лучше работать вместе, совместно работать над проектами и в полной мере обмениваться информацией? Если вы похожи на большинство ИТ-руководителей, ответ — да. Преимущества эффективного сотрудничества между бизнесом и ИТ включают в себя специальные проекты, которые лучше соответствуют бизнес-целям, улучшенное управление изменениями и более активное участие в новых инициативах.
    • Используйте технологии для повышения эффективности рабочего процесса вашей ИТ-команды
      Эффективное рабочее место создает, так сказать, хорошо смазанную машину, повышая итоговую прибыль и, как следствие, успех вашего бизнеса. Дополнительное время на работе не всегда означает большее достижение. Важно то, что вы делаете с тем временем, которое у вас есть, а это все об эффективности рабочего процесса.
    • Хранение данных и «внутренний хомяк»
      Хранение информации, которая больше не пригодится, сопряжено со огромным количеством рисков. Иллюстрация этому — череда сливов персональных данных пользователей крупных сервисов, которую мы могли наблюдать с января по март. Кажется, что предприятиям нужны правила, когда и как избавляться от данных.
    • Action BiasAction Bias — известная ловушка, в которую мы всё равно постоянно попадаем
      Action Bias: склонность к реагированию и действию, даже если это не приведёт к положительным результатам. «Делать хоть что-то» создаёт иллюзию загрузки ресурсов полезной работой.
    • бэклог27 антипаттернов бэклога продукта
      Эта статья показывает 27 распространённых антипаттернов продуктового бэклога, включая процесс уточнения бэклога продукта, ограничивающих успех вашей Скрам-команды.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT