Портал №1 по управлению цифровыми
и информационными технологиями

Что сложного в управлении доступом?

polar_viewsВопрос, вынесенный в заголовок, я мог бы задать и по-другому – а что, собственно, простого в управлении доступом? Как в том известном выражении про описание стакана оптимистом и пессимистом при одном и том же уровне воды в нём.

Действительно, давайте посмотрим на управление доступом с этих полярных точек зрения. Ведь истина где-то посередине. Пусть они будут эдакими Сциллой и Харибдой, а я постараюсь сыграть роль Одиссея, пытающегося лавировать между ними.

Начнём с первой: "управление доступом – это просто, ничего сложного в нём нет". Я полагаю, что среди приверженцев этой точки зрения есть как условные немногочисленные "гуру", давно постигшие дзэн, и потому не спускающиеся со своих горних высей, и "практики", уверенно (в некоторых случаях с приставкой само-) считающие, что организованный ими процесс полон и правилен.

Мне, как практику, интересно пообщаться с такими же практиками. Что бы я у них спросил, какие вопросы бы задал. Перво-наперво, выяснил бы, что собой представляет для них процесс. Бывает так, что для кого-то управление доступом ограничивается учётом выданных и отозванных прав доступа и подготовкой выгрузок по требованиям внешних аудиторов по информационной безопасности. Затем стал бы интересоваться, а как организовано управление множеством прав доступа в информационных ресурсах, каков охват управления этим множеством – охвачен ли весь ИТ-ландшафт, производится ли какая-то их группировка по пользователям, формируются ли группы / профили / роли бизнес-пользователей. Как эти наборы поддерживаются в актуальном состоянии.

Потом поднял бы к вопросы операционной деятельности. Например, налажена ли интеграция с кадровой системой, откуда приходят все данные по сотрудникам и их текущему статусу (принят на работу, перемещён по должности, в отпуске и т.д.). Уточнил бы, как организован заказ доступов для сотрудника, можно ли выбрать набор доступов "как у того" (у другого сотрудника), можно ли выбрать отдельные роли внутри информационных ресурсов. Далее перешёл бы к вопросам контроля выданных доступов: какова частота и периодичность проверок правомочности выданных прав, как организована работа по устранению выявленных несоответствий.

У некоторой части моих собеседников в результате нашей небольшой дискуссии наверняка останутся открытые вопросы, на которые они затруднятся ответить, что будет означать, что, скорее всего, они уже вряд ли сторонники первой точки зрения. И вопросы организации управления доступом для них будут не такими простыми, как представлялось им ранее.

Те, кто придерживается второй точки зрения – "управление доступом – это сложно, там всё непросто", это, на мой взгляд, обжёгшиеся на внедрении IDM-решения и / или страдающие от недостатка и возможностей средств автоматизации процесса. Да, действительно, одна из самых важных фаз подобного проекта – формирование матрицы бизнес-ролей. Учитывая, что бизнес-процессы постоянно меняются, нужно учитывать и закладываться на эти изменения в ходе самого проекта и, что на мой взгляд важнее – создать действующую структуру на стороне самого предприятия, отслеживающую данные изменения и вносящую корректировки. После завершения проекта, именно она будет заниматься актуализацией матрицы. Что касается средств автоматизации, то какого-то недостатка в них я не вижу.

Таким образом, по моему мнению, ничего страшного, сложного, как и простого и лёгкого в управлении доступом нет. Это постоянная кропотливая работа в части всех практик процесса.

Комментариев: 3

  • Андрей другой

    Действительно, какого либо недостатка в инструментальных средствах нет. Они есть для  предприятий любого размера и сложности внутренней организации. НО – все эти средства построены под ролевую модель управления доступом. И вот тут действительно возникают проблемы. Где их, эти роли, взять? Единственный разумный путь получения списка ролей и соответствующих им прав доступа – через поддерживаемую в актуальном состоянии модель бизнес процессов, а это редко у кого есть. Но без этого нормально организовать процесс управления доступом невозможно.

    • Где их, эти роли, взять? Единственный разумный путь получения списка ролей и соответствующих им прав доступа — через поддерживаемую в актуальном состоянии модель бизнес процессов, а это редко у кого есть. Но без этого нормально организовать процесс управления доступом невозможно.

      На мой взгляд, это не камень преткновения на пути создания ролевой модели. Можно двигаться итеративно. Пусть в первом приближении состав бизнес-ролей своего подразделения сообщит сам руководитель подразделения. На недавнем своём вебинаре я затрагивал этот вопрос.

      • Андрей другой

        С нашими руководителями из бизнеса проблема в том, что они мыслят категориями штатного расписания, а не процессами и ролями. Т.е. он может рассказать вам чем в общем у него занимается экономист 3 категории, но не может сказать какие именно операции прямо сейчас и почему выполняет этот человек, и какие уровни доступа этому человеку нужны для выполнения этих операций. Т.е. уровни доступа не для экономиста 3 категории, а для роли, исполняющей операцию "ввод счетов", на пример.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM