12 февраля 2014

"Мертвые души" в информационных системах

"Мертвые души" в информационных системах

Несмотря на широкое распространение этого термина, как правило, в корпоративном сегменте под «мертвыми душами» понимаются сотрудники, которые формально числятся в штате организации, но по факту не участвуют в ее деятельности. Такое формальное наличие их в организации может использоваться в корыстных целях. Например, можно получать за них заработную плату.

Это, конечно, выглядит абсурдно, особенно с точки зрения коммерческой организации, но тем не менее и такая практика существует. В информационных технологиях термин «мертвые души» тоже имеет свой смысл. Под этим словосочетанием подразумеваются незаблокированные учетные записи в информационных системах уволенных сотрудников.

Но обычно практика «мертвых душ» в информационных системах не связана с запланированным злым умыслом, а является следствием неэффективности процессов управления доступом и взаимодействия между собой подразделений по работе с персоналом, информационных технологий и информационной безопасности.

В данной статье я постарался разносторонне раскрыть проблему «мертвых душ» в информационных системах, с которой сталкивается практически каждая организация, и описать методы ее решения.

Риски

Какие же основные риски несет в себе наличие «мертвых душ» в информационных системах?

В первую очередь это, конечно, риски информационной безопасности, связанные с неправомерным доступом. Уволенный сотрудник уже не связан обязательствами с работодателем и, зная логины и пароли в информационных системах, начиная от входа в компьютер/домен и заканчивая критическими бизнес-системами, влияющими на финансовую стабильность организации, может воспользоваться ими в корыстных целях и нанести серьезный ущерб.

К тому же все больше информационных систем с целью мобильности сотрудников имеют возможность удаленного доступа, и потенциальному злоумышленнику для получения доступа в систему не надо будет даже проникать в помещения бывшего работодателя. Но это только один из возможных сценариев.

Далеко не редкость, когда учетной записью уволенного сотрудника пользуются действующие сотрудники, причем действовать они могут как самостоятельно, так и по сговору с бывшим владельцем «учетки». Опять же цели могут быть разные — от обычных бытовых до спланированной акции по несанкционированному переводу денег. Ведь индивидуальная учетная запись для того и существует, чтобы персонализировать ответственность сотрудника.

А как можно определить ответственного и предъявить ему претензии, если используемые в информационной системе учетные данные числятся за уволенным сотрудником, который на территории работодателя не появлялся с момента увольнения.

Проблемы «мертвых душ», связанные с отсутствием элементарного порядка и ростом количества пользователей в информационных системах вследствие текучки кадров, как-то уже меркнут на фоне возможных рисков информационной безопасности.

Хотя в определенных бизнес-системах стоимость лицензий на право использования программного обеспечения напрямую зависит от количества пользователей в них, как результат незапланированного роста пользователей — нарушение лицензионного законодательства или невозможность доступа новых сотрудников.

При этом если риски информационной безопасности бывает нелегко перевести в деньги, то отсутствие порядка в учетных записях может привести к перерасходу средств на закупку программного обеспечения. Немаловажным моментом являются и временные затраты ИТ-специалиста на ручную чистку информационных систем от «мертвых душ», что также достаточно легко оценить в денежном выражении.

Причина

Давайте посмотрим, откуда появляются эти пресловутые «мертвые души».

Как выглядит классическая процедура приема и увольнения сотрудника с точки зрения ИТ-подразделений?

Когда сотрудник прошел необходимые процедуры по оформлению на работу, ему необходимо предоставить доступ в информационные системы работодателя для выполнения своей деятельности.

Для этого непосредственным руководителем или сотрудником отдела кадров в адрес службы ИТ отправляется служебная записка/заявка с запросом на доступ в информационные системы согласно должностным обязанностям нового сотрудника. Заявка проходит необходимые этапы согласования у бизнес-руководителей и службы информационной безопасности (при наличии) и поступает на исполнение к системным администраторам.

Системные администраторы создают необходимые учетные записи в системах с соответствующими правами и выдают их с паролями на доступ сотруднику. Войдя в систему, сотрудник может приступить к выполнению своей деятельности согласно своей роли. С точки зрения приема на работу все процедуры, связанные с организацией доступа в информационные системы, осуществляются последовательно, и исключение какого-либо шага влияет на конечный результат.

В случае с увольнением ситуация несколько меняется. Так как при увольнении сотрудника у отдела персонала или непосредственного руководителя уже нет мотивации в оперативном взаимодействии с ИБ и ИТ-подразделениями, то и указанные подразделения зачастую остаются в неведении по части уволившихся. Конечно, вопрос увольнения сотрудника с минимальными рисками для организации возник не вчера, и существуют такие процедуры, как «обходной лист».

Но, во-первых, чаще всего это касается материальных ценностей, и если руководитель ИТ-подразделения ставит свою визу, то он больше думает о том, чтобы сотрудник сдал компьютер, ноутбук, жесткий диск и тому подобное из ИТ-устройств, а, во-вторых, существует такая практика далеко не везде, а, как правило, в государственных или прогосударственных структурах.

А на деле в лучшем случае сотрудники ИТ-подразделений периодически получают от отдела кадров сверку по уволившимся сотрудникам и вручную производят блокирование их учетных записей. При этом нет никакой гарантии в том, что сведения будут полными и достоверными и поступят они оперативно.

Методы решения проблемы

С точки зрения решения проблемы «мертвых душ» в информационных системах в настоящее время можно выделить два основных пути. Первый путь, условно говоря, организационный. Второй путь — технический.

В организации должны быть строго регламентированные процедуры по взаимодействию сотрудников отдела кадров, ИТ- и ИБ-подразделений в части приема, перевода и увольнения сотрудника. При этом, чтобы максимально снизить ИТ- и ИБ-риски, необходимо неукоснительно соблюдать эти процедуры, но это уже из области классических вопросов внедрения любого бизнес-процесса. А чтобы минимизировать пресловутый человеческий фактор, лучше эту деятельность автоматизировать.

Здесь мы уже можем продолжить в контексте технического варианта решения проблемы. Не секрет, что деятельность как отдела кадров, так и других подразделений сейчас все больше автоматизируется. Как правило, для управления персоналом существуют специализированные кадровые системы или так называемые HR-системы (HR — Human Resource), в которые заносятся все актуальные сведения о сотруднике, в том числе, конечно, отражается факт приема на работу и увольнения.

Поэтому наиболее эффективный вариант оперативного реагирования на изменения трудового статуса в контексте управления доступом — это синхронизация данных между кадровой и другими информационными (бизнес) системами. То есть как только сотрудник принят на работу, система, отвечающая за управление доступом, видит соответствующее изменение в кадровой системе и приводит создание учетных записей и назначение прав в информационных системах в соответствие с должностными обязанностями сотрудника.

Если сотрудник увольняется, аналогичным образом система реагирует на изменение в кадрах и блокирует учетные записи с отзывом прав. Такое техническое решение является частью функционала IDM (Identity Management) систем. Для описания полного и детального функционала и принципов работы IDM-систем понадобится не одна статья, а целая книга. Поэтому в рамках данной статьи мы ограничиваемся ее описанием лишь в контексте «мертвых душ».

В своем составе IDM-система имеет так называемое ядро, которое с помощью коннекторов подключается к кадровой и целевым системам.

Под целевыми системами здесь имеются в виду информационные системы, в которых необходимо управлять учетными записями. То есть из кадровой системы IDM получает актуальную информацию о сотрудниках, в целевых системах — создает/блокирует учетные записи, назначает/изменяет/отзывает права. Кадровая система является основной для деятельности сотрудников отдела персонала, поэтому, используя ее как источник информации о сотрудниках, можно быть уверенным, что шансов ускользнуть уволенному сотруднику мимо ИТ-службы уже не остается.

Вывод

Конечно, внедрение IDM-системы имеет смысл в основном в крупных и средних компаниях, где количество сотрудников исчисляется как минимум сотнями.

В таком случае она сможет доказать свою эффективность и даже по части реальной экономии. Хотя последние тенденции IDM-рынка демонстрируют движение производителей в сторону доступности IDM как с точки зрения простоты внедрения, так и по части стоимости.