Ada dua cara untuk membangun role model dalam sebuah sistem informasi.
Pendekatan pertama
Peran dikembangkan berdasarkan model fungsional . Pendekatan ini dimungkinkan jika organisasi memiliki departemen teknolog khusus, sebut saja "Departemen teknologi organisasi (OTO)". Di bank kami, departemen seperti itu adalah bagian dari departemen TI. Departemen akan menerjemahkan kebutuhan bisnis yang dijelaskan dalam model fungsional ke dalam bahasa TI: bahasa hak / opsi / kekuasaan yang harus disediakan dalam sistem untuk menjalankan fungsi tertentu.
Pendekatan ini juga baik ketika sistem baru dioperasikan dan model peran dibentuk dari awal. Pertama, Anda perlu mencari tahu, bersama dengan manajer TI sistem, bagaimana hak diberikan, apakah ada peran atau grup internal dalam sistem. Kemudian, bersama dengan kepala unit bisnis dan ahli teknologi relativitas umum, Anda perlu mengembangkan peran, termasuk hak yang diperlukan di dalamnya. Kemudian peran yang dibuat harus dikoordinasikan dengan pemilik sistem dari bisnis , sejak ia bertanggung jawab atas pelaksanaan proses bisnis, dengan departemen pengendalian internal untuk menghindari konflik lintas sistem dan dengan departemen keamananagar kebijakan keamanan yang disetujui perusahaan tidak dilanggar. Setelah itu, sistem dapat dioperasikan dan diberikan hak sesuai dengan model peran yang disetujui.
Pendekatan kedua
Peran dibentuk dari hak yang sudah diberikan kepada karyawan. Dalam kebanyakan kasus, inilah yang perlu Anda lakukan. sistem telah beroperasi untuk waktu yang lama dan perlu untuk menyelesaikan kekacauan dalam hak pengguna yang telah terakumulasi selama bertahun-tahun beroperasi. Ada beberapa keanehan di sini.
Jika sistemnya tidak terlalu besar dan hanya ada sedikit hak yang berbeda di dalamnya, maka tidak sulit untuk mengidentifikasi kesamaan hak yang tumpang tindih di antara karyawan pada posisi yang sama. Dari mereka, Anda dapat membuat peran, lalu mengirimkannya untuk mendapat persetujuan dan persetujuan kepada kepala, pemilik sumber daya dan selanjutnya di sepanjang rantai, seperti dalam kasus pertama. Jika sistem memiliki banyak hak (kekuasaan), dan digunakan oleh banyak karyawan dari departemen yang berbeda, maka tugas menjadi lebih rumit. Dalam hal ini, utilitas khusus datang untuk menyelamatkan, disebutPenambangan peran yang mempermudah tugas. Mereka mengumpulkan hak yang cocok untuk pekerjaan tertentu ke dalam peran standar yang ditinjau dan disetujui oleh pemangku kepentingan.
Membangun model peran menggunakan pendekatan kedua
Di perusahaan keuangan besar kami, kami membangun model peran menggunakan pendekatan kedua untuk menertibkan sistem yang sudah berfungsi. Bagi mereka yang hak penggunanya sedikit, kami mengambil sampel yang sudah dibersihkan (hanya pengguna aktif). Kami telah mengembangkan template untuk mengisi matriks peran untuk setiap sistem: ingat bahwa matriks peran adalah peran (seperangkat hak) dalam kaitannya dengan departemen perusahaan dan posisi di dalamnya. Template telah dikirim ke pemilik sistem ini untuk diselesaikan. Mereka, pada gilirannya, mengumpulkan informasi dari departemen di mana sistem digunakan, dan mengembalikan templat yang sudah selesai untuk koordinasi lebih lanjut dengan layanan keamanan informasi dan pengendalian internal. Template yang sudah selesai, yaitu matriks peran, kemudian digunakan dalam memberikan akses berbasis peran serta disertakan dalam proyek otomatisasi di masa mendatang.
Sayangnya, tidak ada matriks dan sistem seperti itu di mana semua hak dapat secara jelas dibagi menjadi peran dan peran terikat pada posisi. Karena dalam hal ini Anda akan mendapatkan beberapa peran yang cukup universal, di mana beberapa hak akan menjadi mubazir. Atau, sebaliknya, ada terlalu banyak peran, dan ini tidak lagi berbasis peran, tetapi akses pribadi berdasarkan metode diskresioner, yang kami tulis di bagian pertama. Seringkali dalam organisasi besar, peran mungkin tidak diperlukan untuk suatu posisi, tetapi untuk fungsi tertentu. Misalnya, beberapa karyawan mungkin memegang posisi yang sama tetapi menjalankan fungsi yang berbeda. Oleh karena itu, masuk akal untuk menambahkan bagian dari fungsionalitas yang sama ke peran dasar yang akan ditetapkan secara default. Dan tinggalkan beberapa fungsi unik karyawan untuk pendaftaran hak atas permintaan individu,yang dikirim untuk persetujuan sesuai dengan prosedur yang ditetapkan oleh perusahaan.
Contoh template untuk mengisi matriks peran
Template kami terlihat seperti ini. Pada lembar pertama di sebelah kiri (vertikal) posisi dan divisi terdaftar, dan di atas (secara horizontal) peran. Di persimpangan, perlu ditetapkan penanda yang menunjukkan departemen mana yang membutuhkan peran / peran mana. Kami menandai dengan isian berwarna: hijau - peran yang harus disediakan secara default, saat ditunjuk untuk suatu posisi; kuning - peran yang dapat diminta untuk posisi atau departemen tertentu dengan permintaan tambahan terpisah.
Pada lembar kedua, kami menempatkan panduan yang menunjukkan pengisian peran dengan hak individu (kekuasaan).
Lembar ketiga berisi matriks konflik SOD (larangan kemungkinan kombinasi peran).
Saya harus segera mengatakan bahwa kami mendekati topik konflik SOD pada perkiraan pertama, karena itu adalah aktivitas besar yang terpisah dengan prosesnya sendiri. Larangan kombinasi kekuasaan tertentu dapat ditetapkan baik dalam kerangka peran terpisah, dan antar peran, dan dalam interaksi lintas sistem. Selain itu, penting untuk menyiapkan proses menangani konflik SOD dan mengembangkan skenario untuk menanggapinya. Ini adalah topik untuk pertimbangan terpisah.
Untuk sistem dengan banyak pengguna dan struktur hak yang cukup beragam, sangat sulit untuk membuat matriks secara manual. Untuk tujuan ini, kami menggunakan alat khusus untuk membangun penambangan peran model peran... Alat-alat ini dapat sangat berbeda dalam logika pekerjaan, biaya, kegunaan dan karakteristik lainnya. Tetapi prinsip operasi dan tujuan yang mereka miliki bersama adalah mengumpulkan informasi tentang hak-hak karyawan saat ini dalam sistem informasi, menganalisis pengulangan hak-hak ini untuk karyawan dengan atribut yang sama, menggabungkan hak-hak ini ke dalam peran dan, pada akhirnya, membangun model peran dasar tertentu yang mencerminkan arus status.
Sekarang, dengan berlalunya waktu dan bekerja di sebuah perusahaan yang mengembangkan perangkat lunak untuk kontrol akses, saya memahami bahwa ada metode yang lebih efektif untuk membangun model peran dalam sistem besar. Semakin cepat sebuah organisasi mengadopsi alat perapihan otomatis, proses pembuatan model peran akan semakin lancar dan mudah. Dalam hal ini, sistem otomatis akan menjadi asisten atau bantuan dalam membangun peran. Penerapan sistem kontrol akses otomatis (IdM / IGA) harus dimulai dengan menghubungkan sumber personel dan sistem target untuk mengunggah data serta pemetaan dan analisisnya. Dengan menggunakan alat khusus yang dibangun ke dalam solusi kontrol akses, Anda dapat secara efektif membangun proses yang diperlukan berdasarkan otomatisasi sejak awal.Ini secara signifikan akan mengurangi biaya persalinan dan menghilangkan terapi kejut di masa depan. Misalnya proses pengerjaan akun akan berjalan lebih cepat dan efisien yaitu pada tahap pertama:
- pemblokiran ditemukan akun tidak sah,
- identifikasi akun yatim piatu,
- mengidentifikasi dan mendaftarkan akun karyawan eksternal, dll.
- mengotomatiskan pembuatan akun saat mempekerjakan karyawan dan memblokir akun saat pemecatan.
Dan sudah pada tahap kedua, penggunaan sistem kontrol akses otomatis memungkinkan untuk meningkatkan efisiensi bekerja dengan hak pengguna dan membangun model peran, khususnya:
- menerapkan metode yang berbeda untuk membandingkan hak untuk pengguna yang berbeda,
- melakukan Penambangan peran otomatis dan identifikasi hak pencocokan untuk kategori pengguna tertentu dengan analisis dan persetujuan selanjutnya. Hal ini membuat pembuatan matriks hak akses yang diperlukan menjadi jauh lebih cepat dan mudah.
Kami sedang menerapkan peraturan baru tentang hak akses
Kami sampai pada titik di mana perusahaan dapat mulai hidup sesuai dengan peraturan kontrol akses yang baru: memberikan akses, memodifikasi dan mencabut, dengan mempertimbangkan struktur barunya. Apa yang harus ada dalam peraturan ini:
- Hak akses ditentukan oleh ada / tidak adanya model peran untuk sistem informasi tertentu. Seperti disebutkan di atas, tidak mungkin membuat matriks peran untuk semua IS sekaligus, Anda perlu bertindak secara bertahap, sesuai dengan rencana yang disetujui.
- Jika belum ada model peran yang disetujui dalam sistem, maka hak, setidaknya, harus disepakati dengan kepala departemen dan pemilik sumber daya.
- Jika model peran dikembangkan dan disetujui, maka hak ditetapkan / diubah berdasarkan model tersebut.
- , .
. , , , .
. -, .
-, , , . IdM/IGA-, , . , , . , . , , . - . , .. , , . , , . . , .
Model peran tidak boleh statis. Dia, seperti organisme hidup, harus beradaptasi dengan perubahan yang terjadi dalam organisasi. Apa alasan untuk memperbaikinya?
Pertama adalah perubahan struktur organisasi dan staf.Dalam organisasi besar, saya yakin akan hal ini dari pengalaman saya sendiri, perubahan seperti itu dapat terjadi hampir setiap hari. Perubahan sering dikaitkan dengan penggantian nama departemen dan posisi. Pada saat yang sama, fungsinya tetap sama, namun demikian, perubahan ini harus tercermin dalam model peran dan semua penyesuaian harus dilakukan secara tepat waktu. Jika terjadi penggabungan divisi atau sebaliknya divisi menjadi kelompok / departemen tersendiri, maka perubahannya lebih global. Mereka mempengaruhi fungsionalitas karyawan, yang perlu direvisi, untuk memperbarui model fungsional dan, atas dasarnya, membuat perubahan pada peran yang ada. Atau, rancang dan terapkan peran baru dalam model peran.
Kedua, perubahan proses bisnis perusahaan.Bisnis tidak boleh statis: proses dan mekanisme baru diperkenalkan yang memungkinkan peningkatan pekerjaan setiap divisi. Ini meningkatkan layanan pelanggan, meningkatkan penjualan, dan membantu mencapai tujuan strategis. Pengenalan setiap proses bisnis baru harus diperhitungkan dalam model peran. Peran baru akan muncul, atau peran yang sudah ada harus ditingkatkan, dan mereka perlu menyertakan opsi dan hak baru.
Ketiga adalah perubahan arsitektur sistem.Perusahaan secara berkala menonaktifkan sistem lama dan menjalankan yang baru. Misalkan sistem lama dinonaktifkan dan fungsionalitas yang dilakukan karyawan di dalamnya harus ditransfer ke sistem baru. Untuk melakukan ini, Anda harus merevisi semua peran sistem lama dan relevansinya, menganalisis peran yang dibuat dari sistem baru dan membuat matriks perbandingan peran lama dan baru. Sangat mungkin bahwa untuk beberapa periode transisi peran ini akan ada secara paralel sampai semua fungsionalitas yang diperlukan ditransfer ke sistem baru dan model peran disempurnakan. Kemudian Anda dapat berhenti menggunakan peran sistem lama, mencabut akses pengguna, dan mengirim data dari sistem lama ke arsip.
Semua perubahan yang kami lihat menunjukkan bahwa diperlukan proses terpisah agar model peran tetap mutakhir. Ini harus memperhitungkan semua aktivitas organisasi yang terkait dengan akses ke sumber daya informasi. Ini harus mencakup proses untuk memperbarui model peran, yang direncanakan sebelumnya sehingga semua perubahan yang diperlukan dilakukan tepat waktu. Ini adalah permulaan aplikasi untuk mengubah peran / peran dalam mode otomatis atau manual, dan koordinasi dan persetujuan perubahan dan komisioningnya dengan pembaruan proses terkait. Semua ini harus dicatat dalam peraturan untuk memelihara dan memperbarui model peran, di mana juga perlu untuk menunjukkan siapa yang bertanggung jawab untuk setiap langkah proses.
Selain perubahan role model berdasarkan alasan di atas, diperlukan revisi hak yang sistematis dan terencana. Secara khusus, untuk perusahaan keuangan, tinjauan rutin semacam itu diperlukan oleh supervisor. Revisi membantu mengidentifikasi kesenjangan dalam model hak yang ada dan meningkatkan kontrol atas hak pengguna. Solusi untuk masalah ini sangat disederhanakan dengan sistem IGA / IdM, yang memungkinkan otomatisasi proses revisi (sertifikasi ulang) pada frekuensi tertentu.
Mari kita simpulkan
Kontrol akses menggunakan model berbasis peran meningkatkan tingkat keamanan informasi perusahaan, sejak akses menjadi lebih transparan, terkelola dan terkontrol. Ini juga mengurangi beban departemen IT dalam hal administrasi. Apa yang dapat dilakukan lebih mudah dengan kontrol akses berbasis peran?
- Anda akan dapat memberikan hak yang sama kepada banyak karyawan di posisi yang sama atau bekerja di departemen yang sama. Cukup memberi mereka peran yang sama.
- Anda dapat mengubah hak karyawan dari satu posisi dengan cepat, dalam beberapa klik. Cukup menambah atau menghapus hak sebagai bagian dari peran bersama.
- Anda akan dapat membangun hierarki peran dan menetapkan aturan untuk mewarisi otoritas, yang menyederhanakan struktur akses.
- Anda akan dapat memasuki divisi otoritas (SOD) - larangan kombinasi satu peran dengan peran lainnya.
Namun, membangun model peran saja tidak menyelesaikan masalah kontrol akses yang berkualitas tinggi dan efektif di perusahaan besar - ini hanya salah satu langkah. Jika Anda membangun panutan dan menenangkannya, setelah beberapa waktu itu akan menjadi usang, dan pekerjaan hebat yang dilakukan akan benar-benar tidak berguna. Mengapa?
- - , , - .
- - , -.
- .
- C .
- , , , .
- .
Semua alasan ini menunjukkan bahwa yang penting adalah serangkaian tindakan untuk kontrol akses. Kami membutuhkan alat otomatisasi, proses dan mekanisme kerja, dukungan, pengembangan, pembaruan, dan penskalaannya sesuai dengan siklus hidup perusahaan.
Penulis: Lyudmila Sevastyanova, Manajer Promosi, Solar inRights