Привет, Хабр! Компании сталкиваются с разными вызовами, поэтому безопасность и эффективность становятся ключевыми приоритетами при построении защищенной инфраструктуры. Один из ключевых показателей защищенности — это управление доступом сотрудников к корпоративным ресурсам. Это не просто техническая задача, а сложный процесс, который требует точности, контроля и, что немаловажно, скорости.

Вместе с Людмилой Севастьяновой, менеджером по развитию продуктового портфеля Solar inRights Origin ГК «Солар», делимся, как создавалось и выводилось на рынок коробочное решение с нейропомощником Solar inRights Origin.

Эксперты «Солара» накопили многолетний опыт в создании продуктов и сервисов информационной безопасности, где управление доступом — одно из ключевых направлений нашей работы.

Прежде чем разработать и предложить Solar inRights Origin клиентам, команда Solar inRights тщательно изучала запросы рынка: провела масштабное исследование, чтобы выявить реальные потребности клиентов и проверить гипотезы о востребованности готового решения для управления доступом.

Что мы узнали

Мы провели опрос, чтобы понять, с какими вызовами сталкиваются клиенты. В целевую аудиторию входило несколько категорий клиентов:

1. Потенциальные клиенты (не ставшие нашими заказчиками).

2. Клиенты смежных решений.

3. Наши внутренние сотрудники, которые общались с заказчиками на проектах и пресейлах.

Вот что мы выяснили:

· Проблемы с доступом есть у всех

Многие компании сталкиваются с одними и теми же проблемами: операционные сложности, ручной труд, ошибки, перегруженность администраторов, отсутствие единого окна для контроля и аудита.

Клиенты открыто говорят: «Нужна автоматизация выдачи прав и управления учётными записями». Это связано с тем, что ручное управление доступом создаёт определенные риски и перегруженность ИТ‑подразделения.

Кроме того, специалистам по информационной безопасности не хватает удобных инструментов по сбору информации. Сейчас им приходится собирать данные вручную из разных систем, что отнимает время и увеличивает вероятность ошибок.

· Цена — главный барьер

Многие клиенты отказывались от покупки и внедрения автоматизированной системы по управлению доступом после оценки бюджета. «Классные системы представлены на рынке, известные компании их предлагают, но таааак дорого!» — это фраза, которую мы слышали не раз. Как правило, отказ был связан с ограниченным бюджетом клиента.

· Долгие сроки внедрения IdM

Проекты по внедрению IdM‑систем традиционно длятся 2–3 года. Однако средний бизнес не может ждать так долго — ему нужны решения, которые дадут ощутимый результат уже в краткосрочной перспективе.

Для компаний среднего масштаба критически важно поддерживать операционную деятельность и развиваться уже сегодня. Руководство, инвестирующее в проект, ожидает увидеть первые положительные изменения уже через несколько месяцев после старта.

· Сложность проектов

Клиенты боятся, что у них не хватит компетенций для внедрения и сопровождения. Они не хотят полностью зависеть от поставщика и пускать в свою инфраструктуру сторонних специалистов.

Безусловно в каждой организации уже существуют процессы управления доступом сотрудников, ведь права доступа нужно выдавать. Как правило, администраторы систем занимаются выдачей и изменением полномочий, хотя этот процесс не всегда происходит своевременно. Руководители компаний осознают, что текущие процессы далеки от идеала и приводят к дополнительным затратам.

На переговорах мы регулярно слышим запрос: «Расскажите, как правильно организовать эти процессы, что можно улучшить и оптимизировать. Предложите, пожалуйста, ваш вариант решения».

Таким образом, компании осознают необходимость модернизации системы управления доступом и готовы к внедрению более эффективных решений, которые помогут сократить издержки и повысить безопасность информационных систем.

· Потребность в постепенном развитии

Клиенты хотят начать с решения основных задач, а затем развивать процессы управления доступом и технологии. Кроме того, бизнес готов обучаться и создавать свой внутренний центр компетенций.

Как мы ответили на эти вызовы?

На основе анализа обратной связи мы пришли к выводу: рынку нужны не только индивидуальные решения для крупных заказчиков, но и готовый продукт для малого и среднего сегмента. Так появился Solar inRights Origin — компактный, но полнофункциональный IdM‑продукт, созданный на базе нашей технологической проверенной платформе.

Представьте, что вы строите дом. Можно включиться в подготовку и строительство многоэтажного особняка по индивидуальному проекту, над которым трудится большая команда архитекторов. Для этого вам нужно пройти множество этапов согласований, утверждений, а главное ждать его реализации очень длительное время.

А можно взять готовый одноэтажный коттедж со стандартной планировкой, в котором тоже есть абсолютно все необходимое для комфортной жизни, то есть просто ставь, заходи и живи. Хочешь достраивай его потом, усовершенствуй, расширяй — в этом нет никаких проблем. Наш коробочный продукт — это именно такой коттедж.

Что внутри коробки?

Чтобы создать готовое коробочное решение, нужен процессный подход. Автоматизировать можно только правильно выстроенные бизнес-процессы, поэтому мы начали с разработки методологии.

Основой нашей методологии стал многолетний практический опыт, полученный в ходе реализации множества проектов. Мы систематизировали и стандартизировали ключевые процессы управления доступом для нашей «коробки», подробно описав их в сопроводительной документации (все схемы, условия, результаты каждого процесса). Таких процессов в нашей «коробке» уже сейчас несколько десятков: прием на работу, перевод на другую должность, увольнение, уход в отпуск, назначение ролей, согласование заявок и т.п.

Например, самый распространённый процесс: «Прием штатного сотрудника на работу». Когда из кадрового источника получены данные о приеме на работу сотрудника, что должна делать система IdM:

• Сначала она автоматически создает «Учетную запись» (УЗ) пользователя и создает объект «Трудоустройство». Нужно заполнить атрибуты этих объектов. Эти атрибуты определены, и они заполняются на основании специальных маппингов настроенных в системе.

• При создании УЗ так же выполняется формирование логина и пароля УЗ. Логин формируется по уже определенным в системе правилам, а пароль по заданной в системе «Парольной политике».

• Руководителю подразделения, где работает сотрудник направляется стандартное «Уведомление о создании нового пользователя»

• Дальше система автоматически формирует определенный политиками назначений перечень ролей, которые необходимо автоматически назначить пользователю.

• И затем запускается следующий связный процесс «Предоставление прав доступа».

Процесс «Приема внешнего сотрудника» на работу будет проходить по уже другим определённым шагам. Такого сотрудника нет в кадровом источнике. Поэтому нужно заполнить форму на создание такого пользователя вручную.

• Чтобы такой процесс был санкционированным, предусмотрено формирование заявки на создание внешнего пользователя.

• Далее запускается связный процесс «Согласования заявки», которая пойдет по уже определенному заданному маршруту.

• Участникам согласования будет направлено автоматическое уведомление и т.д.

• Дальше сценарий процесса определяет несколько веток в зависимости от результата этого согласования.

Так, в документации можно найти подробное описание работы каждого процесса от начала до конца.

Также мы передаем клиенту разработанные унифицированные коннекторы для подключения к ключевым системам помимо описанных и настроенных процессов, настроенной структуры системы и её компонентов, функциональных ролей.

Методология, документация и обучающие материалы

Мы передаем клиенту полную методологию и документацию по развертыванию системы. Это закрывает все его волнения по нехватке компетенций. Многие технические специалисты ранее не работали с системами такого класса. Поэтому в рамках нашего коробочного предложения предусмотрено обучение с лабораторными работами.

Технический специалист заказчика сначала знакомится с комплектом документации. Также у него есть пошаговый план с картинками и подсказками по развертыванию системы на лабораторном стенде, который мы передаем заказчику. Как только обучающийся прошел весь путь по лабораторным работам и обрел уверенность, далее он разворачивает систему уже на своей тестовой среде, которую готовит по нашим рекомендациям.

Затем по отдельно предоставленной методологии технический специалист проводит приемо-сдаточные испытания и проверяет выполнение определенных тестовых сценариев работы системы. И завершающим этапом идет внедрение решения в продуктивной среде.

Фактически система может быть внедрена одним специалистом, с использованием сопроводительных материалов на каждом шаге. Но, как учат нас лучшие практики информационной безопасности, на каждом участке работы должно быть минимум два сотрудника для обеспечения взаимозаменяемости и непрерывности. Поэтому и мы рекомендуем, чтобы обучающихся было минимум два.

Возникает вопрос, если мы отдаем наш коробочный продукт и методологию заказчику для того, чтобы он развернул его у себя в инфраструктуре, то инфраструктура должна быть к этому готова?

Представьте, что вы купили новую технику — например, стиральную машину. Чтобы она заработала, её вилка должна подходить к вашей розетке: если контакты не совпадают, придётся использовать переходник, более того мощность и возможности сети должны быть адаптированы для подключения нового прибора.

Точно так же и с нашим коробочным решением: чтобы внедрение прошло быстро и без проблем, инфраструктура заказчика должна соответствовать определённым требованиям. Это не какие-то завышенные условия, а базовые правила «гигиены» и настройки ИТ-систем — например, актуальные версии ПО, корректные настройки групп доступа или стандарты аутентификации.

Эти требования — не прихоть, а результат нашего многолетнего опыта. Они основаны на best practices, а также помогают избежать лишних доработок, задержек и непредвиденных расходов. Проще говоря: если розетка и вилка подходят друг другу — подключение будет мгновенным. Если нет — придётся потратить время на адаптацию.

Хорошая новость в том, что большинству компаний достаточно просто «навести порядок» в своих системах, и тогда внедрение пройдёт гладко.  

Консультационная поддержка

Мы не оставляем клиента один на один с нашей Базой знаний и документацией. Сегодня неотъемлемой частью современной ИТ-индустрии является помощь искусственный интеллекта. Поэтому, в рамках поставки нашего коробочного решения мы предлагаем услуги нашего виртуального нейропомощника, который позволит сократить время на решение технических проблем и быстро, в режиме 24/7 ответит на запросы пользователей и поможет в решении стандартных задач.

Кроме того, для решения нестандартных ситуаций наши специалисты остаются всегда на связи и контактируют с заказчиком по удобным для него каналам связи.

Почему это работает?

Наш предложение — это не просто технология, а готовое комплексное решение, которое учитывает реальные потребности клиентов и без проблем может быть внедрено самостоятельно специалистами организации. Он позволяет:

• Быстро получить результат (всего за 3-6 месяцев).

• Снизить затраты на внедрение и сопровождение.

• Минимизировать риски, связанные с безопасностью и компетенциями.

• Не останавливаться на достигнутом и дальше развивать процессы и технологии.

Мы верим, что управление доступом должно быть простым, быстрым и доступным. Именно таким мы сделали наш коробочный продукт.