Почему проваливаются проекты по управлению доступом и учетными записями
Опыт PwC.
IAM (Identity & Access Management) – cистема управления учетными записями, обеспечивающая надлежащий доступ к технологическим ресурсам соответствующих лиц организаций. О том, как не допустить ошибок при внедрении системы, в нашей статье.
Внедрение IAM дорого обходится и очень часто заканчивается катастрофой. Обычно это вызвано тем, что внедрение происходит по тем же принципам, что и в случае с любой другой ИТ-системой: рекрутируем максимум ИТ-специалистов и разработчиков и ожидаем позитивный результат. При этом самое главное остается без внимания.
IAM-проект — это в первую очередь культура и взаимодействие внутри организации, а только потом уже технологии.
Сколько раз такое случалось, что внедрённая система только усиливала операционный хаос внутри организации, превращаясь в дорогостоящее бремя. Ни о каком снижении издержек или повышении прибыли в таком случае говорить не приходится.
Непонимание, зачем нужна IAM
Как обычно происходит формирование бюджета на IAM-систему? Закладывается стоимость программных продуктов, выбирается наименее дорогостоящий способ внедрения (зачастую – собственными силами), и, сразу после этого, запускается процесс закупки. К сожалению, это путь в никуда. Если в организации не понимают или не знают, как осуществляется доступ сотрудников, клиентов, партнеров, разработчиков и администраторов, как создаются их учетные записи, IAM система не спасет. Невозможно автоматизировать и проконтролировать то, чего нет. IAM – это средство автоматизации и контроля.
Для успешного внедрения нужно понимать, как в настоящий момент осуществляется управление учетными записями и доступом (официально и неофициально), куда движется бизнес, как будет развиваться ИТ-инфраструктура в ближайшие 3-5 лет, планируется ли внедрение «облачных сервисов» и т.п.
Работающая IAM-система должна управлять учетными записями и доступом к десяткам других ИТ-систем, каждая из которых управляется по-своему. Владельцы и операционные команды этих систем часто сопротивляются нововведениям, предпочитая работать «по-старинке», или, что еще хуже, в обход новых процессов и технологий.
Отсутствие поддержки со стороны руководства
Ключевые лица организации должны понимать бизнес-функцию IAM-систем и следить за издержками и возвратом инвестиций. Руководители – это связующее звено между различными департаментами, которые могут использовать фрагменты систем, выполняющих функции IAM .
Попытка организовать взаимодействие между департаментами без поддержки руководства практически обречена на провал.
Более того, если система IAM полностью отдана на откуп ИТ или ИБ, любое необходимое решение, связанное с изменением бизнеса, финансами или персоналом, либо существенно затягивает выполнение проекта, либо вообще не принимается.
Отсутствие IAM-стратегии и дорожной карты
В крупных организациях, где любой проект – важная инвестиция, разработка стратегии и дорожной карты IAM стало нормой. Данные документы не только создают, но и постоянно обновляют в рамках активно меняющегося бизнеса и технологического ландшафта.
IAM-стратегия – это документ, который описывает и объясняет бизнес-ценность технологий IAM для бизнеса, ИТ, ИБ, маркетинга, HR и других ключевых отделов и лиц организации.
В документе должно присутствовать описание текущего состояния IAM-процессов и технологий, определено их целевое состояние, а также детально описан путь перехода от одного состояния к другому в виде последовательности проектов, включая их обоснование со стороны экономических, технологических факторов и значений рисков.
Как построить работающую стратегию IAM
Процесс создания работающей стратегии IAM отличается от стратегий ИТ и ИБ спецификой области применения. Например, при оценке состояния бизнеса нужно принимать в расчет всю структуру организации, выявлять все пробелы, имеющие отношение к учетным записям, сотрудникам, клиентам, контрагентам и так далее. После этого – спроецировать процессы на лучшие мировые практики. Результатом такого анализа станет модель зрелости для определения направления и контроля развития IAM.
Все обнаруженные проблемы классифицируются по уровню влияния на бизнес, причем желательно определить не только качественную, но и количественную (финансовую и рисковую) характеристику, которая поможет руководителям организации принимать решения по бюджетированию проектов в рамках полноценной IAM-программы. Анализ проблем также затрагивает вопросы эксплуатации текущих IAM-систем и сервисов, процессы запуска новых ИТ-решений и услуг организации.
Архитектура IAM-решений должна быть плавно встроена в ИТ-архитектуру организации. Поэтому помимо бизнес-модели, важно создать эталонную IAM-архитектуру, в рамках которой можно будет определять все потенциальные ограничения, стандарты интеграций, приложения, сервисы и данные и использовать их при разработке требований и технических заданий.
Кроме того, необходимый перечень IAM-инициатив на ближайшие 3-5 лет нужно распределить по дорожной карте и согласовывать с руководителями организации. Они позволяют IAM-программе быть успешной и действительно приносить прибыль и снижать издержки.
Как понять, что стратегия работает
В моей практике было несколько интересных примеров. В одном из них, в компании, работающей в области энергетики, основательно подошли к замене системы управления учетными записями – провели сравнение предложений вендоров на рынке, определили компоненты, которые им необходимы, купили продукт, идеально вписывающийся в цели организации, и приступили к внедрению. Внедрение застопорилось в течение первых двух месяцев, так как текущая модель доступа в организации была полностью отделена от того, что предлагала новая система. Причина была банальна – управление ролями не было включено в изначальную оценку, возник дисбаланс в том, что касается первого и в том, как доступ к ряду приложений предоставляется. Во втором случае, компания PwC разработала организации стратегию IAM, которая покрывала все сервисы IAM, и соответствующую дорожную карту. В процессе обследования мы обнаружили ряд пробелов, которые нужно было закрыть как можно скорее, причем для их закрытия не требовалось внедрять каких-то сверхъестественных ресурсоёмких систем – просто изменить текущие процессы, убрать несколько прав доступа и т.п. В процессе разработки дорожной карты мы разработали карточки инициатив, которые отслеживали бы бизнес-результат каждой инициативы, а также создали управляющий комитет, который занимался управлением IAM в организации.
Дальнейшие события показали, что наша стратегия работает – после трансформации ряда ключевых финансовых сервисов в облако ряд инициатив, которые планировали к запуску, стал бесполезен для бизнеса, на что управляющий комитет и обратил внимание – в результате организация акцентировала последующие IAM проекты на том, что действительно нужно сейчас и в ближайшем будущем, а не на том, что казалось бы очень релевантно несколько месяцев назад.
В середине века цифровизации необходимо по-новому смотреть на инвестиции в ИТ-проекты и проекты кибербезопасности, важно оценивать и контролировать их ценность, возврат инвестиций, а также следить за тем, что предлагаемое цифровое решение релевантно к бизнес-функции, которое оно обеспечивает. IAM-программа ответственна за критичные компоненты бизнеса – клиентов, партнеров и сотрудников. Акцент на операционную эффективность и применение современных и инновационных технологий должен быть простым, гибким и понятным на всех уровнях организации. Именно тогда можно будет заложить полноценный фундамент для программы цифровой трансформации бизнеса.