Fejléc

IDM rendszer bevezetése: kapaszkodók a folyamat szakaszainak tervezéséhez

Szerző ikon Bikki Mónika

Dátum ikon 2020.07.16

Dacára annak, hogy egy IDM rendszer bevezetésének nagyjából megvannak a mindenki által ismert lépései, a folyamat sok buktatót rejthet magában, ha nem megfelelően mérjük fel egy cég érettségének szintjét. A folyamatok felmérése és a pontos cél meghatározása sokat segíthet abban, hogy a stratégiai tervezés megfelelő irányba induljon és haladjon. Ehhez azonban a stratégiai előkészítés során tisztáznunk kell a rendszerbevezetés pontos rövid- közép- és hosszútávú lépéseit, méghozzá a cég érettségi szintjének megfelelően alakítva azokat.

Cégkategóriák és fontosságuk

Kezdjük azzal, hogy tisztázzuk, miért fontos megfelelő kategóriába besorolni az IDM rendszer kiépítésébe belekezdő cégeket: a rövid- közép- és hosszútávú feladatok ütemezése teljesen eltérően alakulhat az egyes vállalatoknál, azok érettségi szintjétől és céljától függően. Szerintünk ebből a szempontból érdemes három kategóriába sorolni a cégeket.
A legéretlenebb szervezet az, ahol pillanatnyilag képtelenek vagy csak nagy nehézség árán képesek megmondani – akár levelezésekből, papírokból vagy egyéb forrásokból összeszedni -, hogy ki, milyen jogosultsággal rendelkezik, azt ki engedélyezte és arról nem is beszélve, hogy bizonyos napokon egy adott rendszerben kinek, mikor, milyen jogosultsága volt. Ez mellesleg elég ijesztő helyzet, de ez lehet az egyik fő indikátora egy IDM rendszer bevezetésnek, amellyel már audit módban  is hatalmas előrelépést érhetünk el a szervezet életében. Audit módban a forrásrendszerekből gyűjtésre kerülnek az adatok, ezáltal aktuálisan és historikusan is ellenőrizhetővé válnak a beállítások. Sőt, adott esetben olyan rendszerekre is tudunk építeni, amelyek bevonása technikailag nehézségekbe ütközik, mert például nem integrálható megoldásokon alapulnak, vagy csak a menedzselése nem az adott cég hatásköre (pl. banki utaláshoz használt alkalmazás, céges Facebook oldal hozzáférés).

Közepes érettségi szinten már elérhetünk odáig, hogy a jóváhagyási és beállítási folyamatokat is felügyeljük és látható, hogy pontosan ki és mikor hagyott jóvá egyes jogosultsági igényeket. Egy IDM rendszerben kvázi felelősségi köröket tudunk kiosztani, így már nem csak a jogosultságváltozásokat felügyeljük. A rendszer ekkor már nem csak arra képes, hogy figyeljen, folyamatosan gyűjtse az adatokat, és eltárolja a jogosultságok időbeni alakulását, hanem az igénylési folyamatok is menedzselhetők, illetve a jóváhagyási és beállítási teendőket is elvégezhetjük.
Végül a legérettebb kategória az, amikor ezekre a folyamatokra felépíthetők a magas szintű üzleti megoldások is. Így csökkenthetjük a szükséges IT erőforrást azzal, hogy a jogosultság beállításokat a célrendszerekben automatizáltan végzi el az IDM rendszer.

Kiépíthetünk olyan megoldásokat is, melyekkel a vállalat munkatársainak teljes életciklusát, jogosultságait képesek vagyunk bizonyos fokú automatizációval menedzselni. Ezekre összetett folyamatok függeszthetők, és megoldható a szerepkörösítés is, hogy mindenki a saját munkakörének megfelelő jogosultságokat kapjon. Így elkerülhetők az olyan – sajnos – hétköznapi esetek, mint amikor valaki megkéri az IT-s kollégát, hogy az új munkatársnál állítsák már be azt, mint Bélánál is, mert hát úgyis ugyanazt fogják majd csinálni. De Bélának lehetnek olyan jogosultságai is, amelyek nem közvetlenül kapcsolódnak a munkaköréhez, akár korábbi munkaköréből visszamaradt hozzáférésekkel is rendelkezhet. Ezekre nem valószínű, hogy az új kollégának szüksége lesz, és az IT nem fogja tudni eldönteni, hogy melyek a szükséges és elégséges jogosultságok. Egy ilyen rendszer esetében pontosan kialakíthatjuk, hogy Bélának mi a szerepköre (alapjoga), melyek azok a jogok amelyek az adott munkakör ellátásához szükséges, s ha ugyanebbe a szerepkörbe vettünk fel valakit, a szabályozáson alapuló folyamataink már képesek arra, hogy pontosan a megfelelő jogosultságokkal ruházzák fel az új munkatársat is. Se többel, se kevesebbel.

Ugyanígy megoldható, hogy egy kolléga távozása esetén a rendszer letiltsa a felhasználói fiókját, elvegye a jogosultságait stb. Vagyis minden kritikus biztonsági folyamatot biztosíthatunk a dolgozó kilépésekor, amelyek egy ilyen rendszer hiánya esetében hatalmas biztonsági kockázatot jelenthetnek a vállalatra nézve.
De tovább megyünk: az olyan bonyolult folyamatoknál is hatalmas előny ez, mint a munkakörváltás. Ha egy kolléga pozíciót vált a cégen belül, nem kell kézzel összehasonlítgatni, hogy milyen jogosultságokkal rendelkezik jelenleg, mire lenne szüksége és mit kellene megvonni tőle. Egy jól konfigurált IDM rendszer ezt a terhet is leveszi a vállunkról.

A folyamat

Miután sikerült meghatározni egy vállalat érettségi szintjét, máris egyszerűbbé válik a folyamatok tervezése. Ez amúgy szinte minden cég esetében eltér és komoly kockázatokkal jár, ha meggondolatlanul állítják fel az ütemtervet. Ha felkészületlenül állunk neki és fogalmunk sincs, milyen IDM rendszert szeretnénk, azt milyen ütemezéssel vezetnénk be, akkor gyakorlatilag képtelenség a megfelelő terméket kiválasztani. Egy sikersztorihoz – amire lássuk be, minden cég vágyik – alaposan át kell gondolni a lépéseket. Ez amúgy az élet sok területére igaz, miért pont ez lenne kivétel?
Látnunk kell, mi az a cél, amit el szeretnénk érni és mennyi időnk van rá, hogy eljussunk odáig. Persze lehetnek kényszer helyzetek, amikor is egy audit megállapítás miatt adott időre kell eredményt felmutatni, de a legjobb, ha ezeket azért elkerüljük, és időben nekiállunk a tervezésnek. Erre a legjobb módszer a rövid- közép- és hosszútávú tervezés alkalmazása. A sült csirkét sem egyben próbálja meg lenyelni az ember, hanem feldarabolja megfelelő méretű szeletekre. Ráadásul az sem mindig célravezető, ha puszta kézzel esünk neki az ebédnek. Érdemes kiválasztani hozzá a megfelelő eszközöket. Ugyanezt az egyszerű és ésszerű elvet kell alkalmaznunk egy IDM rendszer bevezetésekor is. A pontos felosztáshoz “eszköz” gyanánt érdemes bevonni a folyamatba egy integrátort/tanácsadót, hogy a hatékonyság fokozása végett legyen kéznél olyan szakértő, aki irányítottan képes segíteni az aktuális helyzet felmérésben is.

Mint az előző bekezdésben taglaltuk, az, hogy pontosan honnan, hová és mikorra szeretnénk eljutni, nagyban függ a cég érettségi szintjétől is. Éppen ezért nagyon fontos, hogy precízen tudjuk felmérni az aktuális helyzetet. Emellett el kell dönteni, hogy a nem tisztázott folyamatokat miként kívánjuk dokumentálni, leszabályozni.
Kezdhetünk audit móddal, hogy megtudjuk, pillanatnyilag mi történik a rendszerünkben, s aztán eljuthatunk egészen az automatizálásig. A lényeg, hogy mindezt tudatosan, fokozatosan próbáljuk meg felépíteni.
Nem kell megijednünk attól, ha egy másik cég életében a rövid- közép- és hosszútávú tervezés esetleg teljesen másként alakult. Ez adódhat egyszerűen abból is, hogy teljesen eltérő fejlettségi szinten állt a két vállalat, amikor belekezdett változtatásokba. Egy már meglévő IDM rendszerben például egy audit esetén a historikus adatokból kimutatható, ki, mikor, milyen jogosultságokkal rendelkezett, miközben elképzelhető, hogy egyéb folyamatokat még nem integráltak, így azok felmérése és integrálása csak ekkor kezdődik. Az is lehet egyfajta középtávú cél, hogy idáig eljussunk.
De a végcél például lehet akár az is, hogy az e-mailes ticket küldözgetés helyett a jogosultságbeállítás automatikusan menjen a cégnél. Azonban idáig is apránként, lépésenként kell eljutunk, hogy egy teljesen stabilan, megbízhatóan működő rendszerre tudjuk ráépíteni ezeket a kritikus folyamatokat.

A rövid- közép- és hosszútávú tervek általános részei

Mint a fentiekből is látszik, nehéz általánosan meghatározni azokat az elemeket, amelyek a folyamat három fő szakaszához tartoznak. De azért megpróbálunk néhány példával szolgálni.
A rövidtávú terv egyértelmű része a felmérés és a tervezés. Az, hogy milyen rendszert választunk annak nagyon fontos része, hogy látnunk kell, hol tartunk és hova akarunk eljutni. Különböző IDM rendszerek más-más előnyökkel szolgálhatnak. De ismeret hiányában nehéz kiválasztani azt a rendszert, amely működésben, rugalmasságban, felhasználói oldalon a legjobban kielégíti az igényünket. Egy jó tanácsadó bevonása nagy segítséget jelenthet!
Az előkészítés részeként, ha például van egy HR rendszerünk, de abból kimaradtak a külsős kollégák, akkor ezeket az alapokat le kell fektetni az IDM rendszer felépítése előtt, különben nem kapunk teljes körű szolgáltatást a végén. Lesz egy halom felhasználónk, akikről gőzünk sem lesz, hogy kik is pontosan. Ez rendkívül megnehezíti az ellenőrzést és a jogosultsági kontrollt, pedig az IDM rendszerrel pont az lenne célunk, hogy felügyelni tudjuk a felhasználóinkat. Vagyis a rövidtávú tervben ez esetben szerepelnie kell egy nyilvántartás összeállításnak, és ki kell dolgoznunk, hogy milyen módon érdemes a külsősöket azonosítani, adataikat tárolni.

Rövidtávú terv lehet az alkalmazásaink felmérése, azok kategorizálása, ha még nincs megbízható nyilvántartásunk. Nem biztos, hogy első körben a teljes lefedettség a cél, lehet elég csak a kritikus alkalmazásokra lőni. 
Ha már rövidtávon eljutottunk odáig, hogy kiválasztottuk a rendszert, bevezettük mondjuk audit módban, akkor középtávon specializálhatjuk az IDM működését. Kialakíthatjuk a folyamatokat, szerepköröket, létrehozhatunk különböző szabályokat az automatizáláshoz. De tervezhetjük például egy SOD (Segregation of Duties) rendszerbe integrálását is, amellyel mondjuk egyszerűsíthető az összeférhetetlen szerepkörök kezelése.
S hogy mi kerülhet a hosszú távú tervbe, ha már középtávon túljutottunk az automatizálás egy részén? Nos, ne legyenek kétségeink, hogy lesz még mit tovább automatizálni, hogy a lehető legkevesebbre csökkentsük az emberi beavatkozást. Ráadásul közel sem biztos, hogy eljutunk idáig a középtávú tervvel: ahány cég, annyi szokás.

Összegzésül

Ha a fentiek alapján úgy tűnik, hogy egy IDM rendszer bevezetésének megtervezése nagyjából a lehetetlen küldetések kategóriájába tartozik, nem rögtön kell elkeseredni. Csak arra igyekeztünk rávilágítani, hogy a rövid- közép- és hosszútávú tervezés folyamata az IDM bevezetés esetében rendkívüli módon függ a cég aktuális állapotától. Többek között ezért is javasoljuk az integrátor bevonását a folyamatok tervezésébe, mert ha szakértő hiányában nem látjuk át megfelelően a lehetőségeket és feladatokat, annak beláthatatlan következményei lehetnek a cégre nézve. Márpedig a cél éppen az, hogy az IDM bevezetésével elősegítsük a szervezet hatékonyabb és biztonságosabb működését és erre alapozva sikerre tudjuk vinni a vállalkozást.

Iratkozzon fel a listánkra, hogy értesítést kapjon a témához kapcsolódó egyéb tartalmainkról:

Kapcsolódó bejegyzések

További cikkek →

A NIS2 irányelv és az IDM rendszerek kapcsolata: Hogyan segíti az IDM a szabályozási megfelelést?

Szerző ikon Bikki Mónika

Dátum ikon 2024.10.17

Az IDM rendszerek támogatják a NIS2 megfelelést, biztosítva a jogosultságok átlátható kezelését, auditálhatóságot és az incidensekre való gyors reagálást.

3 alapvető kérdés a jogosultságkezelésedről

Szerző ikon Bikki Mónika

Dátum ikon 2020.02.27

A hatékony jogosultságkezelés alapja három kulcskérdés, amelyek segítenek optimalizálni a hozzáférési folyamatokat és csökkenteni a biztonsági kockázatokat.

A megfelelően kialakított jogosultságkezelés előnyei

Szerző ikon Bikki Mónika

Dátum ikon 2020.05.28

A jogosultságkezelés hatékony rendszere növeli a biztonságot és csökkenti a hozzáférési kockázatokat, támogatva a felhasználói jogok átlátható kezelését.