Наталья Понамаренко: Делаем процесс управления пользователями и доступом "работающим с одной кнопки"

Наталья Понамаренко: Делаем процесс управления пользователями и доступом "работающим с одной кнопки"

Наталья Понамаренко

Родилась в 1989 г. Окончила Московский государственный университет путей сообщения в 2011 году по специальности «Информационные системы и технологии». Стаж работы в области информационных технологий – 10 лет.

Разноплановый опыт поддержки и реализации проектов автоматизации бизнес-процессов. Участвовала в двух крупных проектах по внедрению систем и процессов, связанных с доступом пользователей: внедрение системы SAP GRC и внедрение системы IDM.

...

В рамках интервью IAM Talking представители заказчика — X5 Retail Group — в лице начальника отдела управления полномочиями Натальи Понамаренко и руководителя группы управления полномочиями Александры Голубевой обсудили с вендором тонкости внедрения IdM от One Identity, рассказали о поддержке системы и об этапах её становления, дали советы тем, кто только планирует устанавливать решение по управлению доступом на своём предприятии. Со стороны One Identity участвовали менеджер развития проектов Эвелина Гатаулина, руководитель технического отдела Кирилл Карташёв и руководитель представительства в России и СНГ Яков Фишелев.

Я. Ф.: Коллеги, мы продолжаем серию наших мероприятий IAM Talking, которые посвящены рассказам о внедрении IdM, PAM и других технологий, которые входят в Identity Access Management (IAM).

Хотел начать общение с вопроса о том, как всё начиналось, как долго эта тема развивалась у вас в компании, какими были предпосылки, задачи IdM-проекта?

Н. П.: Компания проделала достаточно долгий путь, прежде чем почувствовать необходимость в данном продукте. К моменту обращения к рынку с вопросом, какие же существуют продукты IdM, в компании уже были выстроены процессы, был реализован ряд проектов по управлению доступом. Реализовывался он сотрудниками отдела управления полномочиями и доступом, который существовал у нас достаточно давно. В компании — очень большое количество систем, и децентрализованно управлять всеми пользователями, особенно с учётом её роста и количества сотрудников, практически невозможно. Поэтому наш отдел был сформирован давно, мы с Александрой работаем в компании тоже давно, уже порядка 10 лет. То есть все процессы уже были стандартизированы, уже были реализованы ролевые модели в большинстве крупных систем; там, где не было ролевых моделей, если углубляться в «технику», доступ предоставляли через Active Directory, что позволяло нам, повторюсь, стандартизировать наши процессы, выстроить процесс предоставления доступа достаточно плавным и постепенно прийти к моменту автоматизации. Потому что (моё личное мнение) залог качественной автоматизации — это автоматизация процесса существующего, а не когда у нас автоматизация идёт параллельно с выстраиванием процесса. Было несколько проектов, в которых я участвовала, и обычно такие проекты идут очень тяжело.

Я. Ф.: Всё равно в рамках такой крупной организации без автоматизации, наверное, совсем невозможно. Может быть, были какие-то скрипты или это было реализовано в каком-то другом виде?

Н. П.: Да, мы начинали не с нуля. Естественно, что автоматизация была. И, ещё раз повторюсь, она была децентрализованной, то есть что-то управлялось PowerShell-скриптами, что-то управлялось через SAP-системы, которых у нас в компании тоже очень много.

Мы можем сказать, что у нас на момент, когда мы пришли к IdM, уже была централизованная система по управлению пользователями.

Я. Ф.: Ориентир был на SAP?

Н. П.: Да — может быть, потому, что это понятнее и у нас очень много таких продуктов, так как мы являемся очень крупным клиентом SAP. Я не могу представить компании такого класса, такого масштаба, как мы, такого количества пользователей и внутренних процессов без SAP-системы, потому что наши процессы невозможно было бы автоматизировать без данного продукта.

Соответственно, у нас очень много решений от SAP, и также у SAP очень много существующих стандартных решений по автоматизации. Поэтому так исторически сложилось, что автоматизация предоставления доступа в SAP была плавной и логичной в рамках развития данного продукта.

Другие системы — не такие централизованные: где-то управлялись скриптами, где-то — процессами. Вручную, но процессами, так как их у нас к моменту старта текущего проекта по внедрению IdM уже было много и люди, которые управляли пользователями, были в нашем отделе. Соответственно, было легко отследить валидность исполнения всех процессов и сотрудники понимали весь процесс предоставления доступа в целом, а не разрозненно к каждой системе. Ведь большинство процессов по управлению сотрудниками — общие: такие процессы, как «создание сотрудника», имеют общие правила вне зависимости от системы, «блокировки» по увольнению либо по переводу уже существовали.

Александра Голубева, руководитель группы управления полномочиями X5 Retail Group

Александра Голубева

Родилась в 1990 году. В 2013 году окончила экономический факультет Российского государственного аграрного университета им К. А. Тимирязева по специальности «экономист-менеджер». С 2009 года по настоящее время работает в X5 Retail Group.

Стаж работы в области информационных технологий – 11 лет, из которых 7 лет посвящены поддержке и развитию процесса управления доступом.

Опыт реализации различных проектов – от организации процессов Service Desk и внедрения self-сервисов до участия в проекте внедрения IDM.

Однако компания развивается, набирает обороты, с каждым годом у нас всё больше магазинов, больше сотрудников, которые занимаются поддержкой, поддерживают развитие магазинов, работают в магазинах. В связи с этим мы пришли к пониманию, что все текущие процессы возможно автоматизировать, сделать предоставление доступа и управление пользователями прозрачным для них самих. Не только для тех людей, которые выполняют данную работу, но и для сотрудников, которые используют услугу предоставления доступа, чтобы это тоже было прозрачно.

И, конечно же, как и любая другая компания, мы задумались и пришли к тому, что нам необходимо реагировать — предоставлять доступ не по запросу сотрудников, а по изменениям HR (например, по приёму сотрудников на работу).

Мы пришли к автоматизации и начали изучать рынок на предмет того, какие продукты для этого нам подойдут.

Я. Ф.: Сколько занял этот подготовительный этап?

Н. П.: Официально, если мы сейчас совместно вспомним, то мы стартовали проект, наверное, в августе 2019 года. За год до этого мы понимали, что у нас этот проект уже будет, мы начали свои внутренние работы по подготовке, по пониманию того, каким будет объём данного проекта, и начали изучать рынок.

Э. Г.: Как вы формировали техническое задание, на что опирались, как наполняли его функциональностью? Можете немного поподробнее рассказать? Каким отделом готовилось техническое задание?

А. Г.: Бизнес-требования тоже формировались непосредственно нашим же подразделением. Никто кроме нас не смог бы его составить, потому что, как Наталья уже сказала, мы полностью знаем весь этот процесс по большинству систем нашей компании. Соответственно, кому как не нам его готовить? Бизнес-требование было сформировано исходя из тех потребностей в автоматизации, которые мы понимали спустя годы работы с ручным предоставлением доступа в информационные системы нашей компании.

Э. Г.: Как вы составляли список вендоров, производителей, которые были бы вам интересны, которые отвечали бы вашим потребностям? Как вы осуществляли выбор?

А. Г.: Мы опирались на квадрант Gartner, дальше планировали встречи с каждым из вендоров, то есть вендоры показывали свои продукты. Далее уже был конкурс.

Я. Ф.: Я помню, у вас была очень большая команда, которая состояла из сотрудников разных отделов. Все были вовлечены.

Н. П.: Да, у нас в команде была и информационная безопасность, которая сопровождала нас и на предпроектных этапах, и на всех этапах внедрения проекта. Также подспорье появилось, возможно, когда мы формировали ТЗ, когда проводили свои внутренние работы. Александра проводила очень много встреч с фокус-группами, в которые входили сотрудники, пользователи изо всех ключевых сфер деятельности нашей компании. Встречи проводились в течение месяца.

Я. Ф.: Про команду: какие роли? Можете назвать численность? Просто интересно, насколько у вас внутренний ресурс задействован в этом проекте.

А. Г.: Немногочисленная команда была с нашей стороны. Какие роли? — был руководитель проекта и 2–3 эксперта. У нас не было конкретных ролей, мы были универсальны.

Н. П.: Вся наша текущая команда, Александра правильно говорит, — 3 человека: Александра, я и Мария, наш руководитель, участвовавшая очень плотно на старте данного проекта. Также нам всегда помогала информационная безопасность, которая присутствовала на всех наших прошлых встречах. Все сотрудники нашего отдела также участвовали в различных выгрузках, в различных задачах, которые тоже так или иначе косвенно касались проекта. Поэтому ответа на вопрос, сколько конкретно людей участвовало в проекте, нет, потому что мы изначально понимали, что вся текущая команда перепрофилируется и уже сейчас переходит на сторону автоматизации. Постоянно участвовала внутренняя команда.

Я. Ф.: Ваш отдел, отдел управления полномочиями — где именно в структуре компании он находится?

А. Г.: IT.

Я. Ф.: ИБ были просто одним из отделов, которые участвовали? Какие-то свои пожелания высказывали? А какие ещё отделы были вовлечены?

Э. Г.: В какой степени участвовал HR?

К. К.: Я бы отметил отдел управления архитектурой — они задавали направление работы.

Н. П.: Кирилл правильно подметил, что мы говорим только про внутреннюю команду. Кроме постоянного присутствия информационной безопасности нас постоянно поддерживала архитектура. У нас был выделенный архитектор, который вёл весь наш проект и на текущий момент сопровождает нашу систему.

Относительно участия других отделов я упомянула работу, которая выполнялась Александрой, собрания фокус-групп, но мы понимали, что, возможно, мы не сможем обеспечить участие всех на этапе проекта. Поэтому перед проектом мы, собирая фокус-группы, уже проговаривали его с коллегами, и в таком виде участие всех коллег было. Но, возможно, чуть ранее там были и HR, и технические владельцы систем.

Я. Ф.: Какие процессы были первыми, которые вы начали автоматизировать?

А. Г.: Логично, что первыми мы автоматизировали те процессы, которые дают нам больше бизнес-эффективности от их автоматизации — процессы по приёму сотрудников (с созданием учётных записей, предоставлением доступа) и блокировке.

Я. Ф.: Вы примерно помните, когда у вас был запущен первый процесс? Сколько это заняло по времени? Некоторые коллеги интересуются, насколько это может быстро происходить — или медленно, — особенно учитывая размер компании.

А. Г.: Кирилл может меня поправить, но это был декабрь. В декабре мы уже начали создавать доменные учётные записи. Я помню, что мы выходили на новогодние праздники с тяжёлым сердцем, но с надеждой в душе.

Н. П.: Если учитывать, что наш проект длился всего год, то времени ждать и сомневаться у нас не было.

Я. Ф.: Я просто помню — мы с Кириллом тогда были на связи, — присутствовал определённый стресс.

Н. П.: Мне кажется, что у Кирилла в принципе с нами был определённый стресс, потому что он, как мы успели понять, человек достаточно размеренный и выдержанный. Ему нужно было всё взвесить, а на «взвесить» времени было не так много. У нас темпы соответствуют темпам развития нашей компании: очень динамичны.

Я. Ф.: Хотел спросить о системах: с точки зрения охвата какие системы участвовали в проекте?

Н. П.: Тут нужно сразу разделять: системы, которыми мы управляем, и системы, которые нам помогают управлять. Как сказала Александра, чтобы компания могла быстро получать бизнес-выгоду, были выбраны, как и у многих других компаний, системы, где есть стандартные коннекторы, то есть Active Directory, управление доменными учётными записями компании, почтовая система и, конечно же, наша торговая программа, с помощью которой работают наши магазины, — GK. Александра может поподробнее рассказать про данную систему.

А. Г.: Для понимания того, почему именно GK Retail — мы её называем «ГК Ритейл» — с точки зрения объёмов: это — основная торговая программа в магазинах, а магазинов у нас уже более 16 тысяч. Соответственно, у нас в компании подход к GK Retail таков, что система децентрализованна, то есть сколько торговых объектов в компании, столько и «инстансов» (экземпляров. — Прим. ред.) GK.

Нет единого централизованного инструмента, решения, которое объединяет всех пользователей изо всех этих магазинов. Поэтому нам приходится управлять напрямую в каждом магазине. Логично, что мы её выдвинули в фокус проекта как ключевую.

Я. Ф.: Подключение бизнес-систем — это всегда ответственный момент, от этого зависит основной бизнес компании. Вопрос, наверное, адресую Кириллу, потому что это была действительно повышенная ответственность. Учитывая объёмы (кстати, 16 тысяч — это только одной сети, магазинов вообще-то больше), как этот процесс проходил с технической точки зрения?

К. К.: Волнительно.

Вообще, в нашей практике настолько тиражной системы не было. Исчисляем обычно десятками (максимум — сотнями), здесь счёт — на тысячи. IdM стал тем местом, где мы объединили данные буквально из каждого магазина.

Если посмотреть на карту страны, то получается, что система раз в сутки точно подключается к каждому магазину и как-то с ним взаимодействует. Была собрана информация, саму торговую систему коллегам пришлось дорабатывать, чтобы она могла быть интегрирована с нашим решением. В итоге эта работа также была запущена в «пилот» (в том смысле, что в некую реальную эксплуатацию) спустя три–четыре месяца после старта проекта.

Я. Ф.: Но это же накладывает определённые требования ещё и с точки зрения масштабирования и производительности?

К. К.: Эта задача как раз позволила нам раскрыть возможности платформы в части горизонтального масштабирования, точнее и внимательнее думать о том, как в течение рабочего дня построить процессы, чтобы они успевали сделать то, что требуется, побывать, опять же, в каждом магазине, прочитать или получить информацию.

«Сайзинг» (планирование аппаратного обеспечения. — Прим. ред.) без европейских коллег мы бы, наверное, сами не сделали, потому что нам не от чего было отталкиваться, поэтому брали некоторые референсные значения. Сейчас, спустя год работы, мы можем видеть, что с задачей он справляется, но в то же время сайзинг был интересно запрошен «на вырост» — на несколько лет вперёд, поэтому заложен некий резерв.

Но, по существу, каждый квартал мы совместно делаем если не перебалансировку, то ревизию того, как и что работает. Иногда — по отклонениям, иногда — превентивно, потому что процессов в системе запускается больше, взаимозависимостей больше — приходится наблюдать.

Я. Ф.: Я, кстати, хочу ещё отметить просто для того, чтобы наши зрители могли понять роли в проекте: может быть, в начале я об этом подробно не сказал, но Кирилл — представитель именно технической команды One Identity, при этом был и подрядчик. И сейчас продолжается поддержка. Мы как вендор, наша техническая команда продолжает поддерживать проект.

Н. П.: Я бы добавила, что не только поддерживать, но и развивать.

К. К.: Я ещё раз про коллег из архитектуры скажу, что это — очень важный момент, когда в компании есть направляющая рука, которая знает инфраструктурные особенности, топологию сети или что-то другое, которая может подсказать конкретную технологию взаимодействия — зачастую этого не хватает в реальных проектах. У нас есть с чем сравнить. Просто иногда просят «под ключ»: решите, придумайте сами за нас. Бывает, что погрузиться тяжело.

Я. Ф.: Уровень подготовки, уровень вовлечённости создаёт более комфортные условия, чем у многих других наших заказчиков, которые часто говорят: «Мы хотим, чтобы было всё хорошо и быстро».

Н. П.: Да, у многих, кто стартует проекты, есть такая иллюзия, что можно заказать проект «под ключ» какому-нибудь вендору или внедренцу и проект будет реализован. Я могу сказать, что такого не бывает. Чудес не бывает, потому что без совместной работы невозможно получить полноценный и качественный продукт. Ведь мы как заказчики не можем на старте проекта быть полностью уверены, что это наши финальные требования. И при развитии и реализации одного требования мы можем задуматься: а необходимо ли нам другое, второе требование, которое мы выставляли, или, возможно, нужно что-то скорректировать?

Поэтому Александра всегда «подсвечивала» момент: когда мы писали ТЗ, мы не боялись, что мы не укажем всё, что мы чего-то не учтём. И поэтому здесь было достаточно комфортно работать, потому что с двух сторон все понимали, что невозможно сформировать начальное ТЗ и только по нему идти в течение всего этого года и не отклоняться. И мы понимали также, что наши требования — не финальные, они могут быть даже не идеальными. В момент реализации мы пересматривали, меняли своё мнение, меняли тактику.

Если вернуться к тому, с чего мы начали — к системам, которые участвовали в данном проекте, — то мы с вами сейчас, таким образом, «подсветили» управляемые системы, которые вошли в фокус проекта. Ещё раз напомню, что это — Active Directory, GK, почтовый сервис Exchange; Skype у нас также участвовал.

Если мы говорим про системы, которые нам помогали настраивать всё это, то, конечно же, в первую очередь стоит отметить систему кадрового администрирования. В нашей компании это — SAP HR. Соответственно, если быть честными, мы потратили пару месяцев на настройку интеграции, на настройку коннектора к SAP HR. Несмотря на то что он стандартен, это — также работа (чтобы ни у кого не было иллюзий, потому что когда люди слышат «стандартный коннектор», все думают, что он включается каким-то рубильником и дальше всё идёт само; нет). Также нужно определиться с тем, что мы хотим получать из кадровой системы, как мы хотим это обрабатывать. И сказать, что мы сейчас настроили и ничего не будем менять, нельзя. Интеграция с кадровой системой — «живая», она меняется от новых систем, от дальнейшего, что нас ждёт — развития бизнес-ролей, ролевой модели (именно бизнес-ролей, не технических); всё это потребует развития и интеграции.

Соответственно, также мастер-системой у нас была SAP ERP, откуда мы получаем определённые данные. Ещё мы в рамках проекта настроили коннектор к SAP GRC, через которую мы уже пробовали предоставлять доступ в SAP. И в дальнейшем мы будем использовать её как систему мастер-данных для SoD-рисков (Segregation of Duties, разделение полномочий. — Прим. ред.), для предоставления доступа в SAP.

Также у нас была система технической поддержки — MFSM, которую мы сразу подключили, потому что ещё в середине проекта поняли: возможно, мы не всеми системами сможем сразу управлять, но можем быть единой точкой предоставления доступа для всех систем. Поэтому у нас появился термин «неуправляемо-управляемый», «неуправляемая система». Cистема MFSM помогает нам собрать необходимую информацию для предоставления доступа в те системы, которыми IdM ещё не управляет, пройти рабочий процесс по согласованию доступа и поставить в MFSM задачу коллегам из поддержки — выполнить действия по предоставлению доступа. Поэтому MFSM у нас также уже участвовала в проекте.

Я. Ф.: Может быть, какая-нибудь SMS-система?

А. Г.: Одной из основных систем, которую мы подключали в рамках проекта, была GK. У нас там работают сотрудники розницы, это — директора магазинов, заместители, кассиры и так далее. Но в нашей компании — такая инфраструктура, что не у всех сотрудников розницы есть электронная почта. И с целью всё-таки доставить конечному пользователю информацию о том, какой логин и пароль ему присвоен в информационной системе, у нас внутри компании был реализован микросервис по отправке SMS, с которым мы благополучно интегрировались для выполнения этой функции.

Я. Ф.: Я могу ошибаться, но у вас же были подключены какие-то вспомогательные системы ИБ? SIEM?

Н. П.: Да, мы в рамках проекта — уже под его финал, что логично — реализовывали это: когда у нас уже были определённые логи работы с пользователями, мы отдавали их в SIEM.

Я. Ф.: Про системы понятно. Теперь: с чем всё-таки сталкивается бизнес-пользователь? Я так понимаю, что ему предоставляется некий набор стандартных бизнес-ролей, а дальше, когда он хочет что-то заказать, — опишите, пожалуйста, как это происходит, его работу на портале, какие у него есть функции.

А. Г.: У нас реализован портал самообслуживания — портал IdM, мы его позиционируем как единое окно для подачи запросов на доступ. С чем сталкивается пользователь, заходя на него? — с тем, что ему нужно сделать новый запрос на доступ. И, соответственно, он в перечне выбирает себе необходимую систему. Каталог большой — систем много. Был и есть подход по логической группировке. Пользователи видят не всё, а только то, что им нужно.

Я. Ф.: С точки зрения согласующих людей какие есть категории задач, которые выполняются на портале, и категории пользователей? Какой функционал реализован?

А. Г.: Подача запроса и получение согласований, отслеживание статуса запроса — в том числе и по запросам на те системы, про которые говорила Наталья, по неуправляемым системам, то есть мы интегрируемся с MFSM и получаем в обратную сторону, к себе, информацию, статус выполнения этого запроса. Соответственно, пользователь также может видеть его на портале. Пользователи могут отслеживать свой статус, видеть согласующих сотрудников.

Я. Ф.: Пользователь может поторопить кого-то?

А. Г.: При желании — да.

Я. Ф.: Это уже получается некое изменение опыта пользователя — то, что они стали иметь такие возможности. А руководители могут посмотреть, что у их подчинённых? Какие доступы у них есть?

Н. П.: Потенциально — могут, но пока мы ещё не можем похвастаться данными возможностями портала, потому что у нас не так много управляемых систем. Если подытожить, чем закончился проект, — тем, что мы создали пакетные роли, базовые, где мы предоставляем доступ в Active Directory. То есть человек пришёл на работу и сразу, автоматически может зайти в домен, а если это директор магазина, то мы ему ещё сразу предоставляем доступ в торговую программу.

Всё остальное — через портал. И, соответственно, сейчас на портале ключевые пользователи — это все сотрудники компании; есть как инициаторы, так и согласующие. Всё зависит от рабочего процесса для системы, для ресурса, который размещён на портале, они — разные. Одни из ключевых пользователей портала — сотрудники информационной безопасности, которые валидируют большинство запросов.

Александра может рассказать про любимую часть портала — про внешних сотрудников.

Я. Ф.: Можете рассказать о вовлечённости сотрудников в использование системы сейчас? Или статистикой вы пока не занимались?

Н. П.: Вовлечённость у нас — максимальная. Потому что почти все новые и текущие сотрудники знают про систему, с ней сталкиваются, где-то даже не подозревая об этом. ИБ сейчас очень активно выстраивает свои процессы, используя систему IdM.

Я. Ф.: Отчёты, наверное, формируют?

Н. П.: Отчёты мы начинаем формировать.

Я. Ф.: С точки зрения информационной безопасности: процессы ресертификации, разделения полномочий — это ещё вас ожидает впереди?

Н. П.: Да.

А. Г.: Наверное, можно добавить о вовлечённости со стороны сотрудников компании. Наталья сказала, что с помощью информационной безопасности каждый сотрудник вынужден идти на портал и запрашивать доступ, потому что это — единое окно, единственный способ это сделать.

Ещё у нас в течение операционного периода работы компании внедряется очень большое количество новых информационных систем, и мы не так давно стали работать по принципу, согласно которому каждая новая информационная система должна быть подключена к автоматическому управлению IdM, то есть быть «IdM-ready». Поэтому отсюда ещё возникает большая вовлечённость — не только со стороны сотрудников, но и со стороны различных подразделений информационных технологий, архитектуры.

Н. П.: Да, как нам передавали опыт, так и мы теперь всем рассказываем, что правильное управление учётными записями — из единой точки. Кирилл очень долго передавал нам свой опыт, и мы теперь делимся с коллегами в компании данным опытом и обосновываем им эту необходимость.

У нас в компании есть штатные сотрудники — те, которые оформляются на бессрочный трудовой договор и заведены в кадровой системе.

Однако у нас есть и внештатные сотрудники — подрядные организации, которые выполняют проекты. Очень много внештатных сотрудников у нас в IT, также они присутствуют в бизнесе.

Э. Г.: А сотрудников, которые не имеют учётных записей, вы к какой категории относите?

Н. П.: Сейчас мы говорим, что в фокусе деятельности IdM находятся те сотрудники, которые имеют учётные записи в Active Directory. Именно это позволяет нам управлять ими. Есть кадровая система, с помощью которой мы можем видеть сотрудников, и другая часть у нас присутствует в AD. У внештатных сотрудников тоже есть много нюансов. Александра может поподробнее рассказать.

Я. Ф.: То есть какая-то автоматизация там «завязана»? Есть договоры с этими организациями, и если, например, договор уже истёк? Такие вещи, я знаю, очень часто вызывают проблемы, без автоматизации доступ по-прежнему остаётся.

А. Г.: На данном этапе заключены договоры с контрагентами для департамента информационных технологий. Эти договоры не централизованы, то есть мы не можем сейчас получать откуда-то данные по их срокам действия с дальнейшей их пролонгацией и так далее. Поэтому мы были вынуждены запрашивать у пользователя обосновывающие документы, которые валидирует информационная безопасность, на этапе создания запроса на нашем портале.

В процессе ведения внешних сотрудников они прикрепляют всё это на портале в соответствующем разделе, далее данные документы отсматривает информационная безопасность при согласовании выдачи доступа сотруднику внешней подрядной организации. Это накладывает определённые сложности, поэтому вопрос автоматизации этого процесса стоит у компании в планах по развитию.

Н. П.: Основная сложность заключается в том, что в компании, конечно же, есть и с этой системой электронный документооборот. Чтобы ни у кого не было ошибочного понимания: у нас есть где электронно согласовывать эти договоры, но они заключаются с компанией, а у компании есть сотрудники. Речь идёт о ведении именно сотрудников компании, потому что все прекрасно понимают, что мы «покупаем» лишь некое количество людей, а конкретный их состав может меняться. Не знаю, есть ли в других компаниях какой-то опыт применения систем, где ведутся сотрудники контрагентов, но у нас такого на данный момент нет.

Уже есть мысли, как это автоматизировать и предоставлять доступ контрагентам более плавно, чтобы не требовалось прикрепление всех договоров — потому что у нас кроме договора прикрепляется ещё NDA (Non-Disclosure Agreement, соглашение о неразглашении. — Прим. ред.), список сотрудников; всё это выполняет куратор. Если проект велик или этот менеджер ведёт несколько проектов, то количество людей исчисляется десятками. Это достаточно сложно, трудозатратно, поэтому мы сейчас думаем, рассматриваем совместно с информационной безопасностью различные варианты того, как этот процесс сделать эффективнее — со стороны ИБ, но при этом не за счёт куратора.

Почему это очень важно? — потому что чем понятнее и прозрачнее процесс, тем меньше желание его обойти.

Поэтому, если мы делаем сложный процесс на входе, конечно же, мы не можем гарантировать, что куратор будет эффективно справляться с блокировкой тех сотрудников, которые уже не работают в проекте. У него будет такой момент: «я сейчас заблокирую, а он завтра ко мне придёт».

Впрочем, здесь речь даже не о человеческом факторе. Легко заблокировать человека, зная, что завтра по нажатию одной кнопки ты его разблокируешь. А если ты будешь знать, что ещё неделю после этого ты его будешь согласовывать? И это происходит не потому, что ты не хочешь выполнять свои функции, а потому, что человек через неделю может просто не приступить к работе.

Поэтому очень важно сделать этот процесс понятным и «работающим с одной кнопки».

Я. Ф.: Мы обсудили уже довольно большой охват, и мне интересно: у вас сейчас идёт второй этап? Или как вы его называете?

Н. П.: Мы его называем «этапом стабилизации». Действительно, у нас есть отдельный этап, который сейчас валидирует и будет запускать информационная безопасность. У них сейчас — проект оценки. В этот второй этап будет включён ряд важных для нашей компании информационных систем, которые будут в дальнейшем подключаться к IdM.

Мы будем подключать все SAP-системы компании, а у нас их действительно очень много — наверное, все решения SAP присутствуют; CMDB (Configuration Management Database, база данных управления конфигурацией. — Прим. ред.), так как испытываем большую потребность в данных, которые хранятся в CMDB; будем подключать PUM / PAM — управление административными учётными записями.

Я. Ф.: Подводя итоги первого этапа, часто спрашивают, сколько он занимает — с учётом специфики вашей организации. И я знаю, что было давление — в позитивном смысле. У вас был же, наверное, поставлен некий дедлайн, срок, когда нужно было запустить систему? Каков был срок и удалось ли его выполнить?

Н. П.: Самое интересное — мы уже подмечали, — ноябрь–декабрь. Вы представляете, что если в августе мы только подписывали договор, а в ноябре уже начали управлять пользователями, то очень сложно отвечать на такой вопрос — потому что у нас есть ощущение, что мы сразу начали управлять пользователями. Мы несколько месяцев потратили на основные работы, и эффект от внедрения мы получали с первых же дней, с первых же дней мы начали управлять пользователями.

Мы были готовы реагировать на мероприятия, которые нам даёт HR. Да, возможно, не в полной мере.

Да, возможно, мы где-то сдерживались, чтобы не возникло негативного эффекта для пользователей. Но у нас не было такого, что разработали все процессы в «предпроде» или тесте и сидели долго ждали, взвешивали.

Я. Ф.: То есть вы бы хотели, чтобы было так, но у вас не было возможности?

Н. П.: Сложно говорить, хотели ли бы мы, потому что у нас вся команда достаточно амбициозна, вся команда X5 нацелена на результат, а результат важно видеть сразу. Как и в любых нововведениях, в любых стартапах, «передержать» очень вредно для достижения цели и поставленных планов.

Я. Ф.: Мы работаем со многими заказчиками, в частности постоянно взаимодействуем с нашими европейскими коллегами, поэтому удивительно, что так быстро удалось всё сделать. Во многом, думаю, это — за счёт вашей организации. Потому что каким бы хорошим продукт ни был, если нет внутренней структуры организации, понимания, желания и правильного настроя, то, наверное, сложно выполнить такое и в такие сроки.

А. Г.: Я бы добавила, что невозможно без качественной и грамотной команды внедрения.

К. К.: И команды сопровождения. Потому что некоторые заказчики расслабляются и наблюдают, как внедряется продукт, минимально участвуют, проверяют, контролируют. Здесь коллеги сразу были готовы сопровождать.

Н. П.: Планы большие, как мы уже подчеркнули. И с помощью команды Кирилла их сейчас уже начинаем реализовывать, делаем те настройки, выстраиваем те процессы, которые помогут в 2021 году выполнить наши планы по подключению SAP-систем.

У нас есть очень важный аспект — мы научились реагировать на кадровые мероприятия, а ещё очень важно уметь реагировать на изменения структуры.

Мы — очень большая компания, у нас сложная организационная структура, мы — динамичны, структура — не статична, мы постоянно развиваемся, изменяемся. У нас в компании сейчас идёт период цифровой трансформации. И всё это порождает, естественно, изменения в структуре HR. Соответственно, у нас сейчас основная задача, тоже на 2021 год, — научиться корректно, правильно и своевременно реагировать на изменения кадровой структуры.

Ещё — ряд систем, которые я уже называла, достаточно больших систем, которые нам необходимо подключить. У нас в компании — огромное количество систем, которые мы ежедневно подключаем в рамках операционной деятельности, и 2021 год будет именно таким же динамичным, потому что после внедрения проекта прошло не так много времени, мы немногие системы успели подключить.

Наш вектор развития — составление пакетных ролей, бизнес-ролей; больше автоматизации.

На выходе проекта, как я уже говорила, мы получили быстрый доступ в домен и в торговую программу, плюс ещё в ряд систем. Амбиции на конец 2021 года — выдавать базовый доступ, а под ним мы подразумеваем весь необходимый доступ для каждого рядового сотрудника отдела по мероприятиям приёма. Это — очень большая работа.

Я. Ф.: Во всех компаниях — по-разному: где-то процент того, что можно упаковать в эту роль, достаточно высок (для стандартизованных), а где-то — может быть, для бэк-офиса — он может быть низким.

Н. П.: Да, действительно.

Я. Ф.: Очень интересно, планы у вас — амбициозные.

Исходя из вашего опыта, можете ли дать компаниям, которые начинают процесс сейчас, какие-то советы? Как-то предостеречь коллег от упущений? Где и на что обратить дополнительное внимание?

А. Г.: Совет, наверное, по команде, которая должна сопровождать внедрение: это должны быть не только сотрудники из подразделений информационных технологий, но и обязательно информационная безопасность. И очень рекомендую, чтобы были сотрудники из кадровых подразделений.

Я. Ф.: Такие вовлечённые стейкхолдеры?

А. Г.: Да, потому что от них нужно черпать подход к управлению кадрами.

Я. Ф.: Вообще, специалистов по IdM на рынке не так много.

Н. П.: Их нет.

Я. Ф.: Да. Насколько вы вообще рекомендуете IdM? Насколько вам комфортно, насколько вы довольны этими задачами? Может быть, если люди сейчас посмотрят наше интервью и тоже захотят этим заниматься, — насколько это тяжело? Возможно, прессинг слишком большой?

Н. П.: Комфортно ли работать с системой?

Я. Ф.: Не только с системой — с идеей, с этими задачами.

Э. Г.: Насколько перспективно вкладываться в это направление?

А. Г.: Надо чётко понимать собственные потребности. Если в компании достигнут предел, который говорит о том, что нужно автоматизировать; когда и расходы, и обратная связь от пользователей говорят, что пора.

Н. П.: Здесь уже есть понимание, что компания развивается, объёмы увеличиваются, сотрудники растут. Если процессы уже стали понятны, то принимается решение, что необходима автоматизация. А каким именно способом — уже каждая компания решает сама. Конечно же, найти специалиста по IdM сложно. Это — большой фактор, который нам в компании стоит понять. Мы пытаемся вырастить, нарастить свои компетенции, и также ищем…

Я. Ф.: Может быть, кто-то посмотрит интервью и…

Н. П.: Да, я, конечно, готова была уже и с номером телефона, и с рекламой вакансии; рады всем. Мы готовы собеседовать людей, ищем людей, которые хотят развиваться, ищем готовых специалистов на этапе внедрения, стабилизации. На нашем этапе нам нужны готовые специалисты, но также мы развиваем и свои компетенции и рады тем, кто хочет обучаться.

Я. Ф.: Мы как вендор можем обеспечить и обучение.

Я думаю, что можно подвести некий итог нашего интервью. Я бы хотел сказать, что нам очень приятно, что у нас есть такой заказчик — действительно крупная компания. С такими планами, с функционалом, который используется. И я надеюсь, что — может быть, через какое-то время — можно будет подвести ещё итог дополнительный: как вы развиваете дальше эти новые бизнес-системы, новые процессы.

Я ещё раз хотел поблагодарить всех участников с нашей стороны (One Identity) и вас. Спасибо за применение наших технологий; ждём новых интересных историй в будущем. Спасибо.

Н. П.: Они будут. Спасибо.

А. Г.: Спасибо.