Опыт работы современных крупных компаний показывает, что задача управления учетными данными пользователей – задача рутинная, не требующая высокой квалификации специалистов и потребляющая колоссальное количество человеческих и временных ресурсов. ЦКР – не исключение. Эффективным решением становится внедрение IdM (Identity Management, класс систем, используемых для управления учетными записями пользователей и доступом пользователей к информационным системам). В ЦКР такая система получила название СУДР (Система Управления Доступом и Ресурсами) и стала одним из самых масштабных и амбициозных проектов в Компании. О ней мы и поговорили с Дмитрием Назаровым, начальником отдела информационной безопасности Управления ИТ-инфраструктуры и информационной безопасности ЦКР-ИТ.
Дмитрий после 15-летнего опыта в информационных технологиях на просторах банковской сферы осознанно «переметнулся» на сторону информационной безопасности. Процесс погружения в новую область происходил в течении трех лет.
«В какой-то момент мне стало тесно в той роли, которую видят обыватели в типичном айтишнике. Ведь информационные технологии – это многогранная структура, которая включает колоссальный вид направлений: разработка программного кода, тестирование программных продуктов, сопровождение инфраструктуры, сетевые технологии, поддержка пользователей, огромное количество пластов. Не хотел выбирать одну узкую область. Однажды обстоятельства начали складываться так, что к моим обязанностям «подтянулись» функции ИБ. Теперь – это моя область».
О том, как и зачем в ЦКР появился СУДР, а также какую роль сыграл в развитии Дмитрия – в материале ниже.
Дмитрий, расскажи пожалуйста, как все началось и с какими проблемами столкнулись при внедрении IdM решения?
Подступаться к IdM мы начали почти сразу, параллельно с внедрением других системы, в частности локальной инфраструктуры, на старте ЦКР в 2019 году. Еще до начала проекта невооруженным глазом стали заметны проблемы с ведением пользовательских учетных данных, согласованием запросов доступа, предоставлением требуемых полномочий, аудитом предоставленных доступов. Не были определены процессы и маршруты, запросы на регистрацию учетных записей и предоставление доступа направлялись по электронной почте в формате Excel, там же в почте согласовывались, там же в почте передавались в работу. Процедура была длительной и слабо контролируемой, переписка в почте зачастую терялась, запросы не поступали в работу, статус по запросам так же был не очевиден. Например, новый сотрудник выходит на работу, а у него – ни доступов, ни рабочего места. В итоге из-за непрописанного процесса и ручного управления работник обеспечивался всем необходимым в течении двух, а то и четырех недель. Маршруты для заявок были не прозрачными, процесс - хаотичным, а результат- несвоевременным.
Второй стала проблема информационной безопасности. Работник уволился, а никто кроме HR этого не знает. Таким образом доступы и учетные записи бывших сотрудников оставались активными, а это огромные риски.
Изначально цели внедрения были следующие:
- сократить время на организацию доступов и рабочего пространства до 4х часов, вовлеченность новых сотрудников в максимально короткий срок;
- выстроить и автоматизировать процессы в схеме управления доступом;
- высвободить человеческие ресурсы, и дать возможность профильным специалистам выполнять профильные задачи;
- иметь инструменты для проведения быстрого и качественного аудита выданных полномочий.
Но стало очевидно, что недостаточно просто автоматизировать весь этот хаос шаблонным решением. Ну попадает из HR информация в систему, ну покрутил IdM что-то внутри себя. От этого «ни горячо, ни холодно», что происходит дальше, никто не знает. Мы начали с внедрения системы, не изучив целевые бизнес-процессы, и она начала самостоятельно генерить активности. Получилось, что технологиям сказали: «ДА!», а логике – НЕТ.
Именно с этого момента мы поняли, что шаблонный подход нужно менять и свернули в нужном для нас направлении. Мы полностью отрисовали сквозные бизнес-процессы, в частности процесс трудоустройства. Он начинался на этапе подбора, когда сотрудник еще даже не в статусе кандидата, что стало нашей «точкой входа». Система высчитывала все необходимые мероприятия в адекватном режиме и своевременно уведомляла вовлеченные направления. Всего было описано более 30 бизнес-процессов.
Можешь ли сказать, что проект завершен? Как сейчас функционирует система и какие планы на будущее?
Проект плавно перешел в эксплуатацию, но мы прекрасно понимаем — это непрерывный улучшайзинг! Наш СУДР —живая система, которая может развиваться бесконечно. Партнер дорабатывает сейчас объем, но партнер уйдет, а мы будем продолжать. Без ложной скромности скажу, что аналогов у СУДР нет.
Планы на ближайший год достаточно амбициозные: систему можно развивать как горизонтально, так и вертикально. Поясню. Горизонтальное развитие – про технический апгрейд: актуализация и модернизация имеющихся возможностей, перестройка архитектуры, повышение скорости обработки запросов, изменение логики обработки процессов и многое другое. Другой аспект – это тиражирование: предложение данного решения внешним заказчикам, последующее управление и сопровождение процессов.
Что касается, вертикального развития, то это, конечно, инновации. Новые бизнес-процессы. В идеях и обсуждениях, например, «цифровое трудоустройство», подключение новых Клиентов и много другое.
Звучит интересно, это один из ключевых ИТ-трендов в ближайшие два года.
Да, думаю, это масштабная тема для будущего материала!Ты сказал, что у СУДР нет аналогов. Почему?
Система претерпела колоссальное количество кастомизаций и «тюнинга», текущая конфигурация системы такая, что от коробки ничего не осталось. Описание и внедрение такого значительного количества бизнес процессов позволило удовлетворить требования как функциональных заказчиков со стороны ИТ, так и со стороны бизнеса. Мы приходили на референсы во многие компании и просили показать коллег, как работают их системы: есть мощные решения, но как будто без индивидуальной заточки. Наша эксклюзивность именно в этом: наша система – очень под нас.
Кстати, важно отметить и количественные эффекты. В результате внедрения системы удалось высвободить порядка четырех FTE специалистов ИТ-инфраструктуры, столько же FTE специалистов Базис и двух специалистов информационной безопасности, которых необходимо было бы привлекать практически в полной загрузке на наших объёмах без системы. В целом процесс автоматизации управления доступами и ресурсами позволил сэкономить порядка 15 FTE в человеческих ресурсах. В текущий момент под управлением системы находится более двухсот информационных систем, в общем объеме порядка ста тысяч ролей.Последний вопрос, Дмитрий. Что тебе лично дал этот проект?
ЦКР – тот самый вызов, когда требуется применить свои знания, опыт и наработки, накопленные за прошлый многолетний период. Внедрение IdM помогло развить себя с точки зрения методологии и аналитики процессов, возросли управленческие навыки. Пришлось научиться (и я продолжаю это делать) коммуницировать не как исполнитель, а с вопросами на равных. Если вы спросите любого простого айтишника, что для него значит каждое новое требование от бизнеса, то в большинстве случаев услышите в ответ: «проблема». Будучи руководителем, мне удалось изменить свое отношение, увидеть многое с разных сторон и осознать важность единой цели и заинтересованности. Я не просто делаю, то, что нужно другим, я понял, почему нужно делать и как, чтобы это было нужно всем.