Ольга Зыгина: В чём секрет успешного внедрения IdM-системы? Надо быть смелее!

Ольга Зыгина: В чём секрет успешного внедрения IdM-системы? Надо быть смелее!

Ольга Зыгина

Окончила Казахский государственный университет по специальности «Механика и прикладная математика».

С 2000 по 2007 годы работала в дирекции корпоративных продаж АО «Казахтелеком», управляла службой сопровождения клиентов.

С 2007 года — руководитель отдела разработки продуктов и затем менеджер проектов в ИТ ТОО «КаР-Тел» (бренд Beeline).

...

Ольга Зыгина, менеджер ИТ-проектов в «Билайне Казахстан», рассказала Anti-Malware.ru об опыте внедрения IdM-системы One Identity Manager, организационных и технических особенностях проекта.

Нам очень интересен опыт вашей компании по внедрению IdM-системы. Как возникла такая задача?

О. З.: Я присоединилась к проекту, когда платформа уже была развёрнута и поставлена «на паузу». Об этом, как и о технических особенностях внедрения, я ещё расскажу. А основной причиной старта проекта стали требования по улучшению процессов управления учётными записями. Ещё в 2015 году служба информационной безопасности подняла вопрос об автоматизации блокировок доступа сотрудников к ИТ-системам. Для компании с численностью более трёх тысяч человек и имеющей в инфраструктуре несколько десятков систем это — непростая задача.

То есть на старте проекта основной движущей силой было стремление соответствовать требованиям по безопасности. А что говорили представители бизнеса?

О. З.: От бизнеса в тот момент не было чётких сигналов, что их что-то не устраивает. Было недовольство, например, из-за долгого получения доступов, но решительных мер ещё не требовали.

Ваша компания работает в разных странах; есть ли у вас общий стандарт или единые требования к определённым классам продуктов?

О. З.: Такого стандарта нет, мы можем выбирать то, что наиболее эффективно решает конкретные задачи в нашей инфраструктуре. Но если в группе компаний уже используется интересующее нас решение, мы обязательно смотрим на опыт коллег.

Как стартовал проект внедрения?

О. З.: Изначально IdM-системой занималось подразделение информационной безопасности, они развернули платформу и начали запускать базовую функциональность. Но работы двигались очень медленно, скорее всего из-за высокой загрузки коллег и низкого приоритета темы. На этом этапе подключились мы (в том числе я, как менеджер проектов ИТ), взяв систему в проработку; это было начало 2018 года. Потребовалось некоторое время на изучение возможностей One Identity Manager и на согласование подходов ко внедрению, но стартовали достаточно быстро — через 3–4 месяца мы уже работали в продуктивной среде. Хочу отметить один момент, очень важный для начального этапа: нужно сразу искать союзников внутри компании, рассказывать, какую пользу принесёт IdM-система руководителям подразделений и владельцам бизнес-систем. Отсутствие заинтересованности и вовлечённости ключевых людей серьёзно мешает (а точнее, не помогает) ходу проекта.

Что касается процедуры внедрения: с чего вы начали?

О. З.: Начали, конечно, с подключения кадровых источников, а их у нас несколько. Один из них называется New Financial System, его подключили первым и взяли оттуда данные по сотрудникам и их учёткам. Следующий шаг — Active Directory. Когда эти две системы интегрировали с IdM, сразу стало возможным реализовывать основные сценарии — выдачу и блокировку учётных записей. Затем мы начали постепенно настраивать остальные системы. Долго, например, конфигурировался коннектор к биллинговой системе Amdocs Ensemble, в силу большого количества ролей в этой целевой системе. Непросто подключали CRM. Благодаря управлению через IdM администраторы этих систем полностью освобождены от рутины управления учётными записями. Больше десяти систем мы подключили с помощью самостоятельно разработанных коннекторов и реализовали только процесс блокировки. То есть при кадровом событии «увольнение сотрудника» учётные записи в целевых системах автоматически блокируются с помощью их собственных внутренних процедур. Сейчас мы постепенно включаем все сценарии управления жизненным циклом.

Вы упомянули, что у вас несколько кадровых источников. Как вы работали в этом направлении?

О. З.: После того как мы синхронизировались с основной кадровой системой, следующим этапом мы наладили коннектор к кадровой системе нашего сервисного партнёра, который осуществлял для нас услуги колл-центра. У них использовалась 1С, и мы наладили вычитку кадровых данных из этой системы. Буквально на днях мы отключили этот коннектор, так как колл-центр теперь — часть «КаР-Тела», и так же недавно узнали, что надо готовиться к подключению нового юридического лица, создаваемого в группе компаний. Далее мы сделали личный кабинет на базе портала самообслуживания Identity Manager и в нём организовали регистрацию сотрудников розничной сети. Это большая сеть, очень много людей, но эти сотрудники не числятся у нас, они трудоустроены в магазинах наших партнёров. Для этой категории пользователей, о которых у нас нет кадровой информации, мы сделали в личном кабинете возможность регистрации (и, соответственно, возможность предоставления и отзыва прав). После этого у нас собралась полная информация обо всех людях, работающих в ИТ-системах компании. Причём надо учесть, что люди очень часто перемещаются внутри этих компаний, и сейчас мы отслеживаем все такие передвижения.

Скажите, а как в IdM-системе учитываются изменения связанные с переходом сотрудников из одного юридического лица в другое? Это не требует каких-то ручных действий, всё делается автоматически?

О. З.: Есть одно условие, которое требует административного вмешательства: мы договорились, что система не применяет новое кадровое назначение к человеку, который ещё не уволен в старом источнике. Только уволенного и заблокированного человека можно принять в новом месте. Иногда нужно дополнительно проконтролировать и ускорить применение соответствующего изменения в HR-системе.

Получается, что IdM-системой охвачены все сотрудники. Какое это количество человек?

О. З.: IdM управляет сейчас 5500 сотрудниками. Чтобы справиться с проблемой нескольких источников кадровых данных, мы взяли за уникальный идентификатор ИИН (индивидуальный идентификационный номер гражданина Казахстана). Сейчас это решение кажется таким очевидным, а тогда — революция, ведь в кадровых системах уже был ID — табельный номер. Порядка стало намного больше.

Насколько сложно далась вам ролевая модель? Закончили ли вы уже её разработку?

О. З.: Ролевые модели — отдельный сложный проект. В компании очень много подразделений, и согласно заведённым в Identity Manager ролям пока выдано не очень много доступов. Многие подразделения просто не поддаются «шаблонизации», но мы двигаемся в этом направлении.

Важный этап, который помог нам серьёзно продвинуться, — проект интеграции колл-центра в структуру Beeline. Колл-центр — это огромный штат и большая текучка, но ролей (или типов доступов) немного. Причём в этот раз мы получили от бизнеса чёткое указание обеспечить непрерывность работы: вчера сотрудник работал в одной организации, сегодня принят в другую и тут же выходит на дежурство с доступом ко всем системам. С января по июль мы постепенно переводили сотрудников, параллельно настраивали ролевые модели и запускали процессы — было сложно, но мы справились.

Это красивая история: чёткая прикладная задача и полноценная её реализация с помощью Identity Manager.

О. З.: История очень показательна. Хорошо, когда ролевая модель позволяет не создавать и не согласовывать множество заявок на доступы, высвобождая таким образом ресурсы, и часы, потраченные на рутинный, совсем не творческий труд, освобождаются для других, более полезных дел. Но ещё лучше, что мы убрали время простоя сотрудника, время ожидания нужных доступов.

Менеджмент доволен тем, как всё получилось?

О. З.: Безусловно доволен, ведь мы автоматизировали много процессов и помогли сделать работу колл-центра по настоящему безостановочной. Мы хотим рассказать об этом подпроекте более широкому кругу коллег, чтобы показать реальную ценность использования IdM-системы.

Как сейчас вовлечены в проект специалисты по информационной безопасности?

О. З.: Система решила задачи, поставленные информационной безопасностью, все SOX-значимые системы охвачены, доступы блокируются автоматически и в течение нескольких минут. Теперь информационная безопасность выступает больше как заказчик: выставляет требования, которые нужно реализовать с помощью IdM, запрашивает запуск какого-то нового процесса — например, сделать блокировку учётных записей для пользователей, которые неактивны более трёх месяцев, — а мы эти запросы реализуем. Также периодически готовим для них отчёты и аналитику. Конечно, в IdM остались возможности, которые мы ещё не используем; думаю, это вопрос времени. В этом году мы начали разработку матрицы для контроля конфликтов полномочий (Segregation of Duties) в одной из новых систем, здесь мы будем плотно работать вместе.

Как вы используете портал самообслуживания Identity Manager?

О. З.: Как я уже говорила, на базе портала самообслуживания мы реализовали личный кабинет для заведения и контроля внешних пользователей, он по сути стал ещё одной кадровой системой, источником кадровых данных, и активно используется.

Ваши коллеги из «Билайна Узбекистан» тоже внедряют One Identity Manager. Есть ли у вас общение с ними, какой-то обмен опытом?

О. З.: Да, конечно, мы с ними общаемся. У нас в группе компаний используется много общих, одинаковых систем, поэтому наши пути очень похожи. Обмен наработками помогает быстрее и эффективнее двигаться с процессом внедрения. Недавно мы обсуждали переход на новую кадровую систему: это большой проект, который затронет всю организацию. И мы должны провести серьёзную подготовительную работу, чтобы этот переход не отразился на работе сотрудников, на наших процессах управления доступом.

Как вы планировали процесс внедрения? Хотели ли получить систему «под ключ» от интегратора?

О. З.: Мы изначально были настроены на самостоятельное внедрение и развитие — планировали, что после обучения справимся собственными силами. Но позже поняли, что так не получится. Система непростая, мощная, со множеством нюансов. Поддержка вендорской команды нам очень помогла. И помогает до сих пор, ведь проект активно развивается.

Что посоветуете тем, кто только ещё начинает такой проект? На ваш взгляд, в чём секрет успешного внедрения IdM-системы?

О. З.: Если сказать коротко — надо быть смелее! Если бы у меня были сегодняшние знания на момент, когда мы начали внедряться, я бы намного решительнее сделала многие вещи и мы бы уже сильнее продвинулись. Этот проект надо запускать очень активно — выработать позицию, отбросить сомнения. Обязательно нужно заручиться поддержкой коллег и руководства, найти заинтересованных внутри организации. Второй важный момент — не пытаться делать всё сразу и не заниматься длительной подготовкой. Например, в определённый момент мы решили: мы не будем сейчас выдавать все роли в полном объёме, не будем заниматься переводами из подразделения в подразделение, а станем работать только с принятыми и с уволенными. И когда мы отделили этот диапазон и с этого начали, процесс пошёл, система заработала. Попытка охватить всё сразу вызывает мысль, что ты сейчас что-то упустишь, что-то не учтёшь. Идти шаг за шагом — это нормально, так мы и движемся.

Ольга, спасибо за рассказ! Успехов!