Správa identit v akci

"Správa identit je už z definice obtížná a každý, kdo tvrdí něco jiného, nemá s jejím prováděním dostatek zkuš...


"Správa identit je už z definice obtížná a každý, kdo tvrdí něco jiného, nemá s
jejím prováděním dostatek zkušeností," tvrdí John Aisien ze společnosti IDM
Thor Technologies a dodává: "Musíte centrálně spravovat více aplikací a
platforem, které původně k centrální správě nebyly navrženy. Technologie nám
sice umožňují problém zvládnout, ale není to nijak triviální."


Obvykle to také není vůbec levné. Náklady se liší ve značné šíři na základě
velikosti a složitosti organizace a typů služeb, které implementuje. Když je do
této kombinace přidáno ještě sdružování, všechno se dále komplikuje.
Většina společností není příliš ochotná mluvit o tom, kolik za IDM skutečně
utratily, nebo kvantifikovat návratnost investic (ROI, Return On Investment). V
případě rozsáhlé nebo komplexní organizace však nicméně platí, že implementace
IDM může zabrat roky a stát mnoho tisíc dolarů. Aisien říká, že zákazníci jeho
firmy obvykle generují příjmy okolo jedné miliardy dolarů či více ročně a ve
stejném období platí minimálně 100 tisíc dolarů za licenční poplatky. Nicméně
společnost Radicati Group očekává, že celosvětový trh Identity Managementu
vzroste z hodnoty zhruba 1,2 miliardy dolarů v roce 2005 na více než 8 miliard
dolarů v roce 2009. Není těžké uhodnout proč vždyť jsou potenciální výhody tak
přesvědčivé.

Velké peníze, velká návratnost?
"Bezpečnost není tím nejdůležitějším důvodem, proč jsme adoptovali Identity
Management, je to však příjemný vedlejší efekt," říká Paul Beaudry, ředitel
technických služeb ve společnosti James Richardson International (JRI). Tento
zemědělský gigant používá produkt Novell Identity Manager a rovněž vlastními
silami vyvinutou portálovou aplikaci. Díky tomuto softwaru je schopen
poskytovat svým pracovníkům jednotné přihlašování (SSO, Single Sign-On) pro
finanční, databázové i ERP aplikace.
Před implementací tohoto systému používalo ve firmě JRI přes 800 počítačových
uživatelů několik uživatelských jmen a hesel "napsaných na poznámkových
papírcích a často i přilepených na klávesnicích", jak popisuje Beaudry. Nyní má
každý pracovník jediné portálové ID a heslo, přičemž uživatelé jsou nabádáni k
tomu, aby své přihlašovací údaje měnili každých 90 dní.
Kromě podpory sofistikovanějších bezpečnostních politik může SSO nabídnout i
skutečné úspory nákladů. Díky redukci objemu volání uživatelů, kteří zapomenou
svá hesla, na helpdesk IT může SSO ušetřit firmám odhadem 500-750 korun za
každé volání.
Podle Tima Callahana, který má v bankách organizace SunTrust Banks na starosti
kontrolu přístupů a také služby podpory, téměř tisícovka zaměstnanců jím
spravovaných divizí trávilo část dne obnovováním nebo resetováním uživatelských
hesel tento čas byl podle něj ekvivalentem 60 pracovních pozic na plný úvazek.
Díky implementaci IDM sady od firmy Courion společnost toto číslo zredukovala o
75 %.
Avšak největší přínos pro firmu představuje automatizace procesu vytváření účtu
pro nové zaměstnance, změn přístupových oprávnění (když pracovníci mění pozice)
či rušení účtů (když zaměstnanci opouštějí firmu).
"Před tím, než jsme začali používat systém firmy Courion, mohlo zabrat až 10
dní, než bychom vše potřebné pro nového pracovníka SunTrustu plně uvedli do
provozu," říká Callahan. Nyní zabere proces přidělování oprávnění méně než den.
Pokud korporace SunTrust potřebovala zkonsolidovat zaměstnance z 28 nedávno
odkoupených firem do jedné unifikované entity, byl software Courionu v podstatě
neocenitelný.
Když například SunTrust koupila v říjnu 2004 National Commerce Financial (NCF),
byla podle Callahana schopna přiřadit většinu zaměstnanců NCF k rolím, jež už
vytvořila v rámci své vlastní struktury. "Namísto toho, aby přešli nahodile a s
nepříjemnostmi, transformovali se naprosto čistě," říká.
"Když integrujete společnost, kterou jste právě koupili, není nutné celé IT
oddělení odstavovat na několik měsíců. Můžete celý proces provést během pár
dnů, a to automaticky," říká Chris Zannetos, prezident a CEO firmy Courion.
Zjednodušení asimilace velkého počtu nových zaměstnanců je totiž podle něj ve
skutečnosti jedním z klíčových důvodů, proč firmy v takovém měřítku IDM systémy
nasazují.
Podobně jako mnoho jiných, které jsme při tvorbě tohoto článku oslovili, není
ani Callahan ze SunTrustu ochoten odhalit přesné náklady na vlastní IDM
projekt. Ačkoliv tvrdí, že jde o "méně než sedmicifernou částku", odhaduje, že
přítomnost infrastruktury pro správu identit velké společnosti ušetří 2 miliony
dolarů ročně, jen pokud jde o samotné přidělování oprávnění a správu hesel.

Vyhovět, nebo zemřít
Výhody IDM pro správu sítě jsou atraktivní pro každou organizaci, avšak tím
jediným a největším důvodem pro jejich adopci může často být sám stát.
Analytička Sally Hudsonová odhaduje, že dodržování zákonů stojí za 70 % obratu
na trhu správy identit a přístupů.
"Všude vládne velký spěch ve snaze vyhovět legislativě, obzvláště pokud jde o
Sarbanes-Oxleyův zákon," vysvětluje Wynn White, senior ředitel technologického
marketingu a produktů orientovaných na bezpečnost a identitu ve společnosti
Oracle. "Firmy daly horko těžko dohromady potřebné manuální procesy to je však
velmi nákladné a rozhodně ne bezpečné." White říká, že IDM systémy mohou
standardizovat způsob, jak podniky segmentují uživatele a kontrolují přístupy
to může stlačit celkové náklady týkající se dodržování zákonů výrazně směrem
dolů.
Rich Casselberry, CIO společnosti Enterasys, která se zabývá síťovou
bezpečností, tvrdí, že jejich systém pro správu identit učiní ze snahy
vypořádat se s dodržováním legislativy podstatně příjemnější záležitost.
Společnost využívá pro správu účtů více než 800 zaměstnanců na plný úvazek a až
150 dodavatelů systém MIIS (Microsoft Identity Integration Server) 2003.
Protože Enterasys je firmou, která dlouhá léta spoléhá na platformu Windows,
byla integrace MIIS 2003 do její sítě relativně přímočará, uvádí Casselberry.
Společnosti zabrala implementace IDM systému méně než tři měsíce, a to při
nákladech přibližně 125 tisíc dolarů.
Díky využití řešení MIIS může Enterasys vytvářet různé typy účtů i pro své
smluvní partnery, kteří potřebují přístup k síťovým zdrojům (například
zaměstnanci helpdesku), a také pro ty, kteří tento přístup nepotřebují (jako
jsou stavební dodavatelé). Casselberry říká, že to přijde vhod v případě auditu
společnosti ohledně dodržování Sarbanes-Oxleyova zákona.
"Systém MIIS se sám postará o to, co dosud představovalo dvouaž třídenní
konverzaci, a redukuje celý proces na 30 až 45 minut," vysvětluje Casselberry a
dodává: "Výzvou je pak přesvědčit auditory o tom, že náš systém opravdu
funguje. Říkají: ,To nemůže být tak jednoduché, chceme vidět logy. A tak jim
je ukážeme..."
"Výsledky, jako jsou například ty výše zmiňované, jsou často dostačující k
tomu, aby bylo možné přesvědčit i ty šéfy, kteří jsou nesmírně citliví na
náklady," dodává White ze společnosti Oracle. "Jednou z těch významných
bolestivých stránek týkajících se správy identit byly nutné nákupy napříč celou
organizací. Dříve jste se mohli setkat s osamělými ostrůvky nasazení, ale
nakonec jste narazili. Starosti ohledně dodržování předpisů umožňují prosadit
systémy IDM po celém podniku."

Konfrontace s komplexitou
Ačkoliv jednoduché schéma SSO může být zavedeno v průběhu několika měsíců,
implementace plné sady IDM v rámci velkého podniku může zabrat i celé roky, a
to z důvodů technické složitosti správy přístupů napříč více platformami a
aplikacemi.
Pokud máte proprietární aplikace, které si udržují své vlastní databáze
uživatelů a přístupových omezení, stává se implementace ještě obtížnější a
nákladnější," poznamenává Toby Weir-Jones, ředitel produktového managementu
společnosti Counterpane Internet Security. "Tradiční firmy orientované na
infrastrukturu jsou zaplaveny velkým množstvím takových aplikací. Nemůžete je
všechny pouze jen tak vytrhnout."
Například firma Regions Financial začala implementovat schéma správy přístupů
společnosti Sun Microsystems pro svých 25 tisíc zaměstnanců v lednu roku 2005,
avšak dokončila pouze první fázi projektu správu hesel, a to v srpnu toho roku.
"Částečně byl problém v tom, že bylo třeba se ujistit, že je produkt Sun Java
System Identity Manager schopen komunikovat s mnoha různorodými aplikacemi, jež
organizace Regions používá při svém dennodenním provozu," říká Bruce Paterson,
senior projektový manažer z technologického oddělení společnosti.
Aby to mohla udělat, využívá Regions softwarové "adaptéry", které se nalogují
do každé aplikace a synchronizují uživatelská jména a hesla s těmi, která se
nacházejí v Identity Manageru. IDM sada Sunu byla dodávána s těmito adaptéry
pro takové systémy, jako jsou například IBM Lotus Notes či Microsoft Active
Directory. Regions si však musela vytvořit zákaznické adaptéry i pro mnohé ze
svých dalších aplikací. Systém pro správu hesel musel být rovněž testován
prostřednictvím jednotlivých počítačových pracovišť firmy Regions a v různých
síťových prostředích. Teprve poté byl inkrementálně nasazován v rámci celé
společnosti.
"Abychom se ujistili, že bude Identity Manager fungovat ve všech různorodých
prostředích společnosti, provedli jsme velké množství testů," říká Paterson.
Během dvouměsíčního období (ještě před tím, než jsme začali s nasazováním) jsme
jej testovali v našich maloobchodních pobočkách, v back-office prostředí a v
call centrech. Pak jsme věnovali dalších šest týdnů jeho implementaci napříč
našimi různými geografickými regiony. Vše jsme ale dělali tak, že kdyby byl
odhalen nějaký problém, nezasáhl by v žádném případě celou společnost."
Když začínala firma Regions zavádět funkcionalitu Sunu pro přidělování účtů,
namísto toho, aby brala organizaci jako celek, definovala pouze pracovní role
podle toho, jak jsou zaměstnanci najímání nebo jak mění pracovní pozice. Služba
bude zpočátku omezena pouze na síť, na systémy Lotus Notes a na sálové
počítače. V další fázi, která měla být podle návrhu dokončena v prvním čtrtletí
tohoto roku, plánuje Regions automatizovat správu uživatelských účtů i pro své
bankovní přepážky.
Paterson říká, že projekt dosud vyšel na přibližně 500 tisíc dolarů včetně
nákladů na veškeré interní práce, externí smluvní partnery a konzultanty.
"Věříme, že pro nás je nejlepší postupovat tím způsobem, že vyvineme nějakou
funkcionalitu, nasadíme ji a pak pokračujeme dále," říká Paterson. "Jestliže
budete pokračovat v provádění tohoto typu spirálového vývoje, budou vaši
zákazníci moci sledovat pokrok."

Výzva identit
Pro řadu podniků nicméně není nejobtížnější částí zavádění IDM sady pouze
testování a nasazování softwaru. Daleko větší výzvou je dokumentování
obchodních poznatků a definování, kdo k čemu získá přístup.
"To, že jsme měli procesy od začátku jasně zdokumentované, nám hodně pomohlo,"
říká Cindy Sellersová, šéfka informační bezpečnosti ve společnosti Principal
Financial, která používá systém Xellerate od firmy Thor Technologies k tomu,
aby zautomatizovala přístupy pro svých 15 tisíc zaměstnanců a dokázala je i
spravovat. "Pokud bychom měli začít dokumentováním našich procesů až před
zaváděním IDM, obrovsky by nás to zdrželo."

Stanovte role
Nikdo tomu nerozumí lépe než Callahan ze SunTrustu. "Nejtěžší součástí bylo pro
nás stanovení rolí," říká. Odhaduje, že společnost definovala přibližně 150
rolí nebo úrovní přístupu na základě obchodní jednotky a pracovního titulu.
SunTrust začal s procesem specifikace rolí pro kontrolu přístupů v únoru roku
2003. Koncem prvního roku měl přiřazeny role 60 % ze 35 tisíc zaměstnanců
korporace. Do konce roku 2005 přitom dosáhl hodnoty 80 %.
Není pochyb o tom, že implementace schématu správy identit může být nákladná,
komplexní a časově náročná, může však také vést k větší efektivitě a nákladovým
úsporám v dlouhodobém horizontu. A co je ještě důležitější, alternativy nejsou
nijak atraktivní.
Je to jako s pojištěním skutečná hodnota IDM infrastruktury je často poměřována
s nepříjemnostmi, k nimž by mohlo dojít, pokud byste ji neměli a to od špatných
postupů, které jsou v rozporu s legislativou, až po bezděčné odkrytí dat
neautorizovaným uživatelům.
"Kolik byste zaplatili, abyste se vyhnuli tomu, že budete uvedeni v negativním
článku na titulní straně Wall Street Journalu? Patrně hodně," říká Weir-Jones z
Counterpane. "Nakonec je mnohem levnější být dobře připravený, než se zotavovat
z toho, na co jste byli připraveni špatně."

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.