Сергей Босхамжиев: Если верить в проект, ценность идеи и правильность подхода — всё получится!

Главный элемент любого проекта ИТ или ИБ — это люди. Заказчики, подрядчики, коллеги, партнёры — все они оказывают влияние на процессы, помогая в продвижении или усложняя реализацию. О том, как не потерять мотивацию в сложном проекте по внедрению IdM-системы, правильно расставить приоритеты и показать ценность решения, мы поговорили с Сергеем Босхамжиевым из ПАО СК «Росгосстрах».

Сергей, вы прошли уже весьма большой путь с проектом по управлению доступом. Расскажите, пожалуйста, о его основных этапах.

С. Б.: Вопрос внедрения IdM в «Росгосстрахе» начали прорабатывать в 2020 году: стало понятно, что мы тратим много ресурсов, времени и сил сотрудников на то, чтобы предоставлять доступ в компании. Казалось бы, тема вполне известна, многие организации её уже автоматизировали различными способами — скриптами или полноценными решениями — и облегчили свою жизнь, но у нас всё было не так. 

В конце года мы провели предпроект в виде тестирования одного из решений: выполнили аудит нашей инфраструктуры в части управления полномочиями, буквально за две недели развернули продукт, интегрировали с Active Directory, сформировали несколько бизнес-ролей, запустили базовые сценарии запроса и выдачи доступов. По итогам было принято решение о запуске проекта IdM.

Сначала мы провели изучение рынка (в шорт-лист попало четыре производителя), оценили функциональные возможности и стоимость решений, опыт внедрения и другие параметры. Одними из ключевых параметров для нас были технологическая гибкость и открытость платформы, возможность самостоятельного развития инсталляции. В объявленном конкурсе победителем было признано решение на базе One Identity Manager.

К концу 2021 года мы смогли развернуть продукт и интегрироваться с четырьмя информационными системами, которые управлялись через группы AD и в которых мы успели за это время полностью проработать ролевую модель. На 2022 год у нас был большой план по реализации предоставления прав доступа для сотрудников массовых позиций. 

В процессе изучения ролевой модели на уровне всей компании мы выделили набор наиболее массовых позиций и должностей с интенсивной ротацией кадров. Это конкретные бизнес-роли: «Агент», «МАГ» (менеджер агентской группы), «МОП» (менеджер офисных продаж) и «НСО» (начальник страхового отделения). Нашей задачей стала автоматизация предоставления доступов, чтобы такие сотрудники приступали к полноценному выполнению обязанностей в день приёма на работу, без простоев и задержек. Пожалуй, это была самая амбициозная задача из всего проекта, потому что по факту эти люди работают в наиболее больших и сложных информационных системах и нам пришлось одновременно разобраться не только с бизнес-ролями сотрудников, но и со структурой доступа внутри каждой информационной системы. 

При этом большинство систем пришлось дорабатывать, чтобы получить нужную степень интеграции для управления. Это был непростой путь, приходилось очень плотно коммуницировать с коллегами в других департаментах, доказывать важность нашего проекта. И мы справились — запустили под управление Identity Manager девять новых систем с массовым доступом.

Большие затраты на управление доступом были основным фактором для обоснования запуска проекта?

С. Б.: Безусловно, неэффективное использование времени, затраты на администрирование, человеческий фактор — всегда на поверхности. В нашей компании в год возникает около 40 тысяч задач в связи с приёмом, увольнением, переводом сотрудников или запросом прав доступа к информационным системам. Прямые и косвенные издержки, связанные с простоем сотрудников или неэффективным использованием специалистов ИТ и техподдержки, при таком масштабе весьма значительны.

Также в рамках проекта мы взялись снизить риски в информационной безопасности: решить вопрос со своевременной блокировкой учётных записей уволенных сотрудников, автоматизировать процесс пересмотра прав доступа, усилить контроль за выдачей доступов в обход существующего порядка и упростить подготовку отчётности по правам доступа.

Как складывалось взаимодействие с коллегами в процессе реализации проекта?

С. Б.: В самом начале пути большинство руководителей подразделений и техлидов относились к проекту скептически. Они считали нашу идею практически нереализуемой, поэтому относились к задаче без особого энтузиазма. Каждый находил свой аргумент «против»: сложная ролевая модель, отсутствие программных интерфейсов (API) в его информационной системе, неудачный личный опыт автоматизации и так далее. 

Мы начали интеграцию с несложных, но массовых в рамках организации сервисов (как пример — Atlassian Jira) и стали использовать их как внутреннюю историю успеха. Бывали даже забавные случаи, когда руководители подразделений до нашей презентации не знали, что какое-то приложение их сотрудники уже получают автоматом по базовой бизнес-роли. И постепенно риторика изменилась: нам стали больше доверять, готовность к совместной работе повысилась. У многих руководителей буквально открылись глаза на проблематику: есть подразделения, где процесс заказа необходимых доступов — это оформление большого количества заявок без чёткого понимания, кому что действительно необходимо, с разными сроками выполнения и большим простоем сотрудников в ожидании получения всех необходимых доступов. Когда они поняли, что Identity Manager может взять на себя весь процесс управления доступом, оперативно генерировать учётные записи для одинаковых ролей и так же быстро их блокировать (всё это прозрачно, понятно и без стресса) — дело пошло быстрее и проще.

Как вы планируете развивать систему в дальнейшем?

С. Б.: У нас ещё есть несколько информационных систем, которыми IdM пока не управляет, и наша основная задача на 2023 год — подключить все целевые системы и перейти в формат поддержки и вертикального развития. Мы планируем доработать вопрос с отчётностью, создадим несколько новых отчётов для владельцев бизнес-ресурсов и ИБ, разберёмся с процессом аттестации / ресертификации доступов, пересмотрим некоторые ролевые модели. Также мы должны завершить тонкую настройку системы после перехода на новые кадровые источники.

При формировании планов развития и направлений дальнейшего движения мы в первую очередь смотрим на статистику в системе поддержки (service desk). Например, берём топ систем, по которым больше всего заявок на получение доступа или запросов на блокировку полномочий. Отслеживаем заявки также и в разрезе пользователей: какие категории сотрудников и из каких подразделений чаще всего обращаются к нам. Это помогает выставлять правильные приоритеты на будущее, а также получать быструю обратную связь по внесённым изменениям.

Сергей, расскажите, пожалуйста, о вашей команде. Кто сопровождает платформу IdM?

С. Б.: Есть руководитель проекта, а у него в команде — технический специалист (он же администратор) и аналитик. Также нам помогает ещё один человек, кто-то вроде проектного менеджера, который ведёт ролевую модель, поддерживает коммуникацию и взаимодействие с другими подразделениями и бизнес-заказчиками. Таким образом, четыре человека сопровождают весь процесс управления доступом в компании со штатом порядка 10 тысяч штатных сотрудников и более 30 тысяч страховых агентов. Важно отметить, что у ребят есть ещё и другие задачи, они далеко не на 100 % загружены работой с Identity Manager. Мне нравится такой подход: поддерживая две-три системы, специалист не попадает в рутину, ему не скучно, а мы создаём определённую отказоустойчивость и безопасность, распределяя компетенции по нескольким сотрудникам.

Спустя почти три года как вы оцениваете продукт One Identity с точки зрения функциональности?

С. Б.: Как инструмент One Identity Manager очень мощен. С учётом количества сотрудников в «Росгосстрахе», специфики наших бизнес-процессов, требований к доступности — мы сделали правильный выбор. Безусловно, проекты IdM простыми не бывают, нужны время и силы, чтобы запустить систему «в полный рост». У нас получилось разбить весь проект на этапы, подтянуть нужные ресурсы и фиксировать достигнутые результаты в каждой ключевой точке. И сейчас всё выглядит для нас гораздо проще и понятнее, несмотря на то что система активно живёт вместе с компанией: меняются подразделения, корректируются бизнес-роли, добавляются новые управляемые системы.

У нас был большой страх на определённых этапах проекта — и в 2021 году, и в 2022-м. Например, когда мы забирали под управление IdM процесс изменения учётных записей в Active Directory, переживали, что что-то может пойти не так: заблокируем всех пользователей или отберём у кого-то нужные права. Перепроверяли по несколько раз каждое изменение, запускали процессы «волнами», настраивали контрольные процедуры и планы восстановления. Identity Manager позволяет всё это предусмотреть, и у нас всё получилось, всё работает.

Считаю забавным тот факт, что у нас нет сертифицированных специалистов по системе, мы не проходили вендорских обучающих курсов. Во-первых, у One Identity хорошая техническая документация, в которой можно найти ответы почти на все вопросы по настройке и эксплуатации. Во-вторых, нам передали знания и некоторые наработки во время внедрения. И вообще, сама платформа вполне интуитивно и логично построена — можно самостоятельно сделать необходимые доработки и индивидуализации. При этом почти всегда можно найти несколько вариантов решения задачи — это круто!

К примеру, мы реализовали сценарий проставления «иммунитета» для конкретных сотрудников: когда человек увольняется, согласно политикам организации его учётные записи блокируются, а полномочия отзываются. Нам было необходимо иметь возможность исключения из правил — даже если в кадровой системе сотрудник отмечен как уволенный, под его учётными данными могут продолжать какое-то время работать критически значимые бизнес-процессы. И мы в Identity Manager это сделали.

Ещё нам очень пригодилась возможность работать с несколькими кадровыми источниками. У нас есть сценарии, когда специалист может быть в штате и одновременно иметь агентский договор, у него будут учётные записи в двух кадровых системах, может быть несколько приёмов / перемещений / увольнений в разных комбинациях. В Identity Manager мы смогли это настроить: срабатывают нужные политики в зависимости от ситуации, проставленных приоритетов, текущего статуса сотрудника и так далее.

Учитывая большое количество сотрудников в компании, как вы используете портал самообслуживания One Identity Manager?

С. Б.: Сейчас у нас все доступы выдаются автоматически на основании соответствующей бизнес-роли, дополнительную (расширенную) роль можно запросить через систему Service Desk, интегрированную с IdM, то есть портал самообслуживания IdM как таковой не используется. Считаю, что такой подход правилен: сотрудник не должен заниматься запросами дополнительного доступа, а должен получать права на основании шаблонов и заданных сценариев, тем более что Identity Manager позволяет реализовать такой подход.

Возможно, в дальнейшем мы внедрим процесс самостоятельного запроса прав на конкретные сервисы, если штатная структура и функциональная матрица станут более сложными. Пока же ролевой доступ даёт нам все преимущества по скорости получения прав доступа, прозрачности и безопасности управления ими.

Как специалисты по информационной безопасности вовлечены в проект IdM?

С. Б.: Мы коммуницируем с ИБ с самого начала проекта. Всю бизнес-логику, ролевые модели, процессы оповещения и согласования мы обсуждаем вместе. По умолчанию сам процесс предоставления доступов в организации не может проходить без участия офицера информационной безопасности.

В нашем случае коллеги из ИБ активно участвуют в запуске новых систем в контуре IdM: проводят анализ и аттестацию существующих доступов, актуализируют полномочия пользователей, чтобы не допустить их избыточности. В части подготовки отчётности также настроено взаимодействие в случае расследований или проведения аудитов.

По нашей статистике, проекты IdM чаще всего «вырастают» из департаментов ИБ. Как получилось, что в «Росгосстрахе» эту систему полностью курирует ИТ?

С. Б.: Как говорится, так сложилось исторически. Я и мой руководитель пришли в «Росгосстрах» из другой организации, где мы плотно участвовали в проекте IdM — разбирали ролевые модели, дорабатывали целевые системы для интеграции — и видели реальный результат. Как я уже говорил, здесь изначально не было какой-то автоматизированной системы, процесс получения доступа не всегда был понятным и прозрачным. Мы принесли идею, поняли, что тут она принесёт большую пользу в рамках всей организации, нашли единомышленников — и побежали.

Хочу добавить, что успех напрямую зависит от твоей мотивации, от вдохновения. Если ты веришь в проект, веришь в ценность идеи и правильность твоего подхода — всё получится!

Нельзя не согласиться! Спасибо за рассказ!