Správa Identit: Čím se inspirovat u větších společností?
Každá společnost má vlastní pravidla a procesy a správa identit není výjimkou. Ve větších firmách bývají již pravidla a procesy nastavené. V menších firmách bývá více volnosti. Na začátku vyberu 3 situace, které ve velkých firmách bývají komplexněji řešeny. Jedná se o zastupitelnost, procesy správy účtů a IT bezpečnost. Následně si ukážeme aktivity, které jsou vhodné zlepšit v jakékoli firmě a jsou součástí identity managementu. Zkontrolujeme nástupy a odchody zaměstnanců, automatizaci těchto procesů a zefektivníme správu licencí.
Jak se liší správa identit u menší a velké společnosti?
Počet IT specialistů a zaměstnanců (zastupitelnost)
Velikost firmy budeme zjednodušeně rozdělovat podle obratu a počtu zaměstnanců. V článku budeme porovnávat menší firmu se 100 zaměstnanci a větší firmu s 900 zaměstnanci. Celkově můžeme říci, že větší společnost má více IT odborníků a zároveň pracuje s větším objemem administrativních úkonů. Zastupitelnost specialistů může fungovat dobře, ale jsou dny, kdy se sejde příliš mnoho věcí zároveň. Jeden z příkladů je první den v měsíci, kdy se řeší nástupy a odchody. Co se pak stane, když ten samý den je také nedostupný sdílený disk či nefunguje síť v kanceláři. Stresová situace vyvolává i při dobře řízeném systému správy účtů možnost chyby či opomenutí. Proti tomu v druhém extrému, v malé firmě můžete mít jednoho IT specialistu, který řeší pár změn a nástupů za rok. Zná všech 20 zaměstnanců jménem a jejich potřeby. V této situaci se zřejmě nevyplatí mít dva IT specialisty, protože pro ně není dostatek práce. Zastupitelnost z pohledu správy IT prostředků a účtů je tedy téměř nulová a řeší se až při nastalé krizové situaci.
Počet systémů (procesy a dokumentace, automatizace)
S růstem firmy roste počet systémů a serverů. Ať už se jedná o rozšíření MS produktů o Sharepoint, přidání SAP modulů nebo specializované aplikace pro nemocnice jako třeba systémy řady FONS. Stejně jako počet systémů typicky roste také počet uživatelských účtů nejenom kvůli zvyšujícímu se počtu zaměstnanců, ale i dalším subjektům, jako jsou externí pracovníci nebo třeba dodavatelské účty. Vidíme i častější změny v infrastruktuře jako je například migrace účtů AD do cloudového řešení a použití služeb jako O365. Nastavené procesy změn, dokumentace a manuály pro tyto systémy jsou nedílnou součástí velké firmy a je povinností je udržovat aktuální. Správa identit může být plně nebo částečně automatizovaná. Například nástup nového zaměstnance může vypadat následujícím způsobem: HR pracovník zadá údaje do personálního systému. Zaměstnanci se díky zavedenému identity manager SW následně vytvoří základní účty do e-learningového systému a Active Directory se základním oprávněním. Emailem je zaslána informace na IT oddělení pro přípravu laptopu, další email je odeslán na nadřízeného a kolegy, kteří ho budou zasvěcovat a informovat o tom, jak firma a jednotlivá oddělení fungují.
V menší firmě s několika IT specialisty může být sdílená databáze informací a evidence IT majetku. Dokumenty a databáze nemusí být často aktualizovány, protože si kolegové předávají informace ústně nebo emailem. Používají několik jednoduchých skriptů pro zjednodušení procesu nástupu, například založení Active Directory účtu přes Powershell skript. Zbytek úkonů dělají ručně v systémech a klikáním. Nastavení a předání prvotních hesel probíhá typicky osobní návštěvou nového zaměstnance na IT oddělení nebo přes prostředníka, například vedoucího. Výjimkou nejsou bohužel ani případy, kdy je počáteční heslo všem uživatelům nastaveno stejné a uživatelé by si jej měli po nástupu změnit.
Audit (bezpečnost a prevence)
Ve velkých firmách probíhá interní audit IT bezpečnosti nebo konkrétních přístupů často jednou rok, v bankách může probíhat i několikrát ročně. Kontrolují se schválení přístupů do aplikací, kdo a kdy založil účet, na základě čeho a podobně. Auditem je kontrolováno, zda se nastavené procesy dodržují a zvyšuje se tím interně bezpečnost.
V malých a středních firmách mohou být také nastavená pravidla, avšak stále je mnoho práce prováděno manuálně a je zde prostor pro kreativitu nebo chybu jednotlivce. Interní audit se často nedělá a rozdíly v oprávněních a atributech uživatelských účtů mohou vést v budoucnu k chybám, nekonzistenci dat a třeba i nebezpečné kumulaci oprávnění. Náprava chyb pak bývá spojena zejména s akutní potřebou vyvolanou například změnou v infrastruktuře – nový IT systém apod.
Nebojte se auditu, považujte audit jako kamaráda, který vám ukáže slabá a problémová místa a navede vás, co lze ve vaší organizaci zlepšit.
Co mají IT oddělení společné a co můžeme v menších firmách zlepšit?
Nástupy a odchody zaměstnanců
IT specialisté musí dostávat informace od HR oddělení včas, aby stihli připravit laptop a účty pro nové kolegy a kolegyně. Nástup nového zaměstnance je proces, který někdo musí vykonat. Předat novému zaměstnanci informace jako heslo do počítače, vstupní kartičku a kód do kanceláře. Pokud zodpovědná osoba chybí, musí mít za sebe zástup (kolega, outsourcing přes firmu, automatizace).
Ověřte si, zda komunikace mezi IT a HR oddělením je v pořádku a informace se předávají. Jak řešíte překlepy a opravy ve jméně, mateřskou dovolenou? Dostává IT oddělení informace včas či dostatečně dopředu? Jaké základní přístupy má nový zaměstnanec mít nastavené? Víte jak dlouho trvá založení účtů pro nového zaměstnance? Kdo má předat navazující informace novému kolegovi? Je předávání hesel bezpečné, je vaší bezpečnostní politikou vynucována změna výchozího hesla? Kdo další může založit účty, pokud je hlavní osoba nedostupná? Pokud znáte odpovědi za IT a HR oddělení, tak vám komunikace funguje.
Nástupy jsou důležité, protože bez účtů nemůžou zaměstnanci pracovat, ale z hlediska bezpečnosti bychom rozhodně neměli zapomínat na odchody uživatelů a následnou deaktivaci jejich účtů. Jak na to nezapomenout?
Automatizace
Správa identit lze automatizovat. Automatizací zde chápejte “šetřit čas a omezovat chybovost”. Automatizace může začít jednoduchým Powershell skriptem pro vytvoření účtu v AD a MS Exchange. Toto je základní příklad pro velkou i malou firmu na kterém se v budoucnosti dá stavět. Dále můžeme automaticky každému zaměstnanci přiřadit základní AD skupiny, například ho zařadit do mailinglistů nebo mu dát základní práva na sdílené disky nebo automaticky vygenerovat předávací protokol IT majetku při odchodu zaměstnance.
Vytvoření účtu v cloudové službě nebo na míru napsaném IT systému už z pohledu automatizace nemusí být tak triviální jako napsání skriptu do AD. Pokud se ale dostanete do databáze daného systému či má systém dostupné API pro správu účtů, pak správa identit je řešitelný úkol. Poohlédněte se po Identity manager SW (IdM, IAM), které nastavují pravidla pro jednoduché i komplexní procesy. Příkladem může být třeba komplexní nástroj CzechIdM.
Finance
V IT se snažíme ušetřit za licence O365 a licence VPN přístupů, které souvisí přímo se správou účtů. Správným nastavením O365 licencí pouze potřebným uživatelům a jejich automatickým odebíráním můžete ušetřit desetitisíce korun každý měsíc. Jakým způsobem spravujete licence u vás? Máte nejvyšší licenci E5 nebo by vám stačila O365 E3/E1? Máte nějaký nástroj nebo licence přidělujete ručně? Kolik máte licencí navíc a nevyužíváte je? Zkuste si licence a uživatele projít a zjistíte, zda máte nějaké navíc.
Správu licencí je možné řešit automaticky pomocí různých management nástrojů, ale většinou řeší pouze licence a instalace. Některé open source Identity managery jako třeba CzechIdM umí řešit správu licencí a k tomu mají dalších funkce na správu uživatelů, které jsem popsal v tomto článku.
Závěr – správa identit lze zlepšit vždy
Malých i velkých rozdílů ve správě IT přístupů mezi společnostmi je hodně a v tomto článku jsem se zaměřil zejména na rozdíly v klíčové oblasti, kterou je správa identit. Zlepšování není nikdy dost a pokud bych si musel vybrat jednu věc ke zlepšení, tak bych zvolil automatizaci. Automatizace se samozřejmě vyplatí více, když máte stovky a více uživatelů. Pozor, účty ale nemusí být jen zaměstnanecké – účty mívají externisté, zákazníci, dodavatelé, stážisté a brigádníci a další osoby.
Pokud vaše firma nemá velký počet účtů, ale je v plánu růst, zkuste si alespoň základní business a IT procesy nastavit (pravidla pro příchozí uživatele, odchody, bezpečné předávání hesla, recertifikace přístupů a audity). V budoucnu se vám to vyplatí a můžete na tom stavět a funkčnost rozšiřovat.
Článek vám pomohl? Pošlete ho IT kolegům, kteří mohou nástroje vyzkoušet a pomoci vám procesy vylepšit.
V navazujícím článku kolega Luboš Sova porovnává proces nástupu nového zaměstnance do firmy s identity managementem CzechIdM a bez něj.
Mohlo by vás také zajímat k tématu správa identit
- Co je to Identity Management?
- Jak zabrátit vendor lock-in?
- Modely spolupráce s dodavatelem IDM.
- Jak jednoduše napojit Active Directory do identity manageru CzechIdM v 5 jednoduchých krocích?
- Co připravit v AD pro napojení do Identity manageru CzechIdM.