Как оценить эффективность внедрения IDM в банке

журнал «Банковские технологии», февраль 2014

В последнее время все больше компаний с высоким уровнем автоматизации, ежедневно имеющих дело с персональными данными и другой важной информацией, доступ к которой должен быть строго регламентирован, задумываются над внедрением решения для управления и контроля доступа к информационным ресурсам компании, известное на рынке как IDM.

Перечислю основные задачи, на решение которых рассчитывают компании, внедряя IDM систему:

    автоматизация управления учетными записями и, как следствие, снижение затрат на администрирование многочисленных информационных систем; внедрение документооборота электронных заявок и их оперативное согласование, что экономит время бизнес-пользователей на получение прав доступа к необходимым ресурсам; непрерывный контроль соответствия запрошенных и действующих прав сотрудников, что позволяет обнаруживать несоответствия в режиме реального времени и быстро принимать меры, тем самым предотвращая утечки информации; управление доступом на основе ролевой модели, что обеспечивает прозрачность процесса получения прав доступа для бизнес-пользователей.

Все эти задачи в большем или меньшем объеме решаются современными IDM-системами, в том числе и системой КУБ, разработчиком которой является компания ТрастВерс. При выборе решения организации нужно определиться, какие задачи для нее наиболее актуальны и должны быть решены в первую очередь, в какие сроки должен быть реализован проект, насколько принципиален для компании уровень технической поддержки, наличие «горячей линии», русскоязычной документации и так далее.

НЕ нашли? Не то? Что вы ищете?

Почему же компании уже не только крупного, но и среднего бизнеса приходят к необходимости внедрения IDM и какие дорогостоящие ресурсы они рассчитывают уменьшить или оптимизировать после реализации проекта?

Ресурсы на администрирование, связанные с кадровыми перемещениями:

прием нового сотрудника на работу, повышение должности, перевод сотрудника в другой отдел, отпуска, командировки, больничные, увольнения. Все эти изменения требуют корректировки прав доступа к большому количеству информационных систем, в поддержке каждой из которых задействовано иногда даже по несколько системных администраторов. По статистике, в компаниях, не имеющих системы автоматизированного управления правами доступа, 48% рабочего времени ИТ-специалистов тратится именно на такие рутинные операции. Если в компании имеется около 1000 автоматизированных рабочих мест и порядка десятка целевых систем, доступ пользователей к которым необходимо предоставлять, блокировать или менять, количество ежедневных операций по изменению доступа обычно не менее 10. Каждому такому изменению предшествует заявка, нередко составленная в бумажном виде, которую нужно согласовать с руководителем подразделения, владельцем ресурса, ответственным за информационную безопасность и так далее.

Внешний и внутренний аудит. Руководству компании и ответственным за информационную безопасность очень важно иметь ответы на следующие вопросы. Соответствуют ли текущие права доступа сотрудников действующей в компании политике информационной безопасности? Насколько полностью и своевременно блокируются учетные записи и удаленный доступ к ресурсам у уволенных сотрудников? Соблюдаются ли требования регуляторов?

Риски утечки коммерчески важной информации из-за неправильной организации доступа к корпоративным ресурсам, что может повлечь за собой финансовые и репутационные потери.

Для того чтобы принять окончательное решение о внедрении IDM системы, нужно понять, как быстро окупится это внедрение и что при этом выиграет компания.

Сроки возврата инвестиций для IDM рассчитываются исходя из разницы затрат на владение IDM-системой и экономией ресурсов, которую получает компания за определенный период после внедрения решения. Смотрим на разницу трудозатрат компании при внедренной IDM-системе и без нее на следующих операциях:

    согласование прав доступа; исполнение инструкций на выдачу доступа; обеспечение доступа новым сотрудникам, выдача базовых прав; внутренний аудит службами ИБ и ИТ на соответствие реальных прав доступа тем, что должны быть; простой сотрудников до предоставления запрошенных прав; комплексный аудит ИБ и ИТ.

Приведу пару примеров расчетов, выполненных для наших клиентов при внедрении КУБ. Для компании с количеством автоматизированных рабочих мест около 3 000 со средней зарплатой сотрудники 80 000 рублей экономия от внедрения составит около 7,5 млн. рублей в год, для компании в 500 человек – экономия около 1,5 млн. рублей. Соответственно, чем больше рабочих мест и выше цена ошибки неверно предоставленного доступа, тем больше эффект от внедрения IDM.

Подведу итог, на чем экономит компания, внедряя IDM.

    Повышение производительности службы технической поддержки; Снижение временных затрат сотрудников на получение доступа к необходимым ресурсам; Снижение административных издержек на согласование заявок на доступ; Снижение затрат на внешний и внутренний аудит ИТ и ИБ; Снижение рисков безопасности, вызванными избыточными правами доступа.

Татьяна Малявина, руководитель отдела маркетинга компании "ТрастВерс"

Журнал "Банковские технологии", №2, 2014 г.