 |
Отрасль: финансы
Специализация: банк  Анкета
|
Нередко при приеме на работу в крупные компании новым сотрудникам приходится долго ждать, прежде чем ИТ-специалисты обеспечат доступ к электронной почте, корпоративным информационным системам, интернет-сервисам и т. п. Из-за простоя сотрудника в ожидании получения прав компания фактически теряет деньги: принятый на работу специалист попросту не имеет возможности выполнять свои прямые обязанности. Аналогичные сложности могут возникать, скажем, при переходе сотрудника в другое подразделение, при карьерном росте специалиста и расширении сферы его ответственности, при смене фамилии и др. И чем масштабнее бизнес компании, тем сильнее снижают эффективность подобные задержки. Выходом из подобной нежелательной ситуации может стать внедрение системы класса Identity Management для управления учетными записями и правами пользователей в ИТ-системах.
В Альфа-Банке о переводе системы авторизации сотрудников на качественно новый уровень задумались достаточно давно – в 2005 году, – и в начале 2006 года стартовал проект по созданию единой системы управления информацией о пользователях и их правах в ИТ-системах. Актуальности проекту добавляло динамичное развитие Альфа-Банка: увеличение числа розничных отделений, рост штата сотрудников и частая миграция специалистов между отделениями. Роль подрядчика проекта доверили компании Amphora Group, а в качестве базовой платформы Альфа-Банк выбрал программное решение Microsoft Identity Integration Server 2003 (MIIS). Забегая вперед, отметим, что в результате внедрения MIIS в Альфа-Банке количество обслуживаемых системой пользователей, по данным банка, в 2008 году превышало 9 тысяч.
Первый этап, в результате которого система MIIS была запущена в промышленную эксплуатацию, продлился около полугода. Алексей Маланьин, первый заместитель директора дирекции сопровождения информационных систем Альфа-Банка, рассказывает, что изначально для успешного старта было принято решение о сужении рамок задачи: технологии работы с MIIS решено было сначала внедрять в подразделениях розничного бизнеса (отделениях, существовавших ранее под брендом «Альфа-Банк Экспресс»). С точки зрения функционала проект начался с автоматизации процесса создания учетных записей в службе Microsoft Active Directory, обеспечивающих доступ в корпоративную сеть, и автоматизации процесса наделения пользователей правами для работы в системе электронной почты и документооборота Lotus Notes, а также авторизации в основной банковской системе.
До внедрения MIIS наделение пользователей правами в значительной степени осуществлялось в ручном режиме. После приема сотрудника на работу его руководитель направлял заявки в службу ИТ-поддержки, после чего в системе Lotus Notes начинался процесс согласования. Решение о том, какими правами в тех или иных ИТ-системах будет обладать конкретный пользователь, принималось только после одобрения заявки вышестоящими инстанциями и службой безопасности. Такой процесс был длительным и запутанным: письмо могли направить адресату, который находился в отпуске или уже не работал в компании. Отнюдь не способствовало оперативности и то, что до внедрения MIIS типовые наряды по предоставлению доступа пользователю выполнялись инженерами вручную.
Сергей Петров, руководитель департамента системной интеграции ООО «Амфора Групп», комментируя проект, поясняет: «Для того чтобы процесс управления правами пользователей стал технологичным, потребовалось разработать ролевую модель – матрицу прав доступа к различным ИС в зависимости от должности сотрудника и его структурной принадлежности. В матрице отражены названия подразделений, перечень должностей и ИТ-системы, доступ к которым могут предоставить сотруднику». К примеру, для работающих в отделениях розничного бизнеса банка сейчас предусмотрено около 100 «ролей», каждая из которых характеризуется четко прописанным набором прав доступа к тем или иным информационным системам.
Технология наделения правами пользователя новых сотрудников Альфа-Банка в общих чертах выглядит следующим образом. После оформления специалиста в дирекции по управлению персоналом данные из кадровой системы поступают в MIIS. Обновление данных происходит каждый час в период с 4.00 до 22.30. Система MIIS определяет, какие права и в каких системах требуются принятому на работу сотруднику, и в автоматическом режиме создает учетные записи во всех системах. При этом администраторы ИС получают уведомление о факте регистрации нового пользователя. Таким образом, сотрудник получает именно тот доступ, какой для него заранее определили его менеджеры и служба безопасности в ходе согласований ролевой модели. По похожему алгоритму вносятся и изменения в права доступа пользователей при переводе сотрудника в другое подразделение, смене должности и увольнении.
Благодаря автоматизации произошло сокращение ручного труда. «Теперь бизнес-пользователи избавлены от необходимости тратить время на подачу заявок и согласование доступа к банковским системам, – поясняет Егор Браун, руководитель по организации операционной деятельности отделений розничного бизнеса Альфа-Банка. – Доступ сотрудника к ИТ-ресурсам в соответствии с его положением в компании уже определен заранее, исходя из потребностей банка». В службе ИТ-поддержки отмечают, что сопровождение ИТ-систем значительно упростилось, а нагрузка на инженеров, ранее вручную обеспечивавших первичную авторизацию доступа к ИТ-ресурсам, в итоге снизилась на 70%.
Следствием автоматизации стало то, что время простоя пользователей в ожидании изменения прав доступа к корпоративным информационным системам было сокращено в 8 раз. Если раньше пользователь мог ждать изменения прав несколько дней, то теперь с момента приема на работу и оформлением всех прав доступа с помощью MIIS уходит не более 4 часов, говорит руководитель службы ИТ-поддержки Татьяна Сучкова. В числе достигнутых результатов проекта можно также отметить построение централизованного хранилища информации учетных данных и прав пользователей и повышение уровня информационной безопасности из-за четкого разграничения прав пользователей на доступ к информации.
Учитывая положительный результат первой части проекта Amphora Group в Альфа-Банке, было решено расширить функциональный и организационный охват системы управления учетными записями и правами пользователей. На втором этапе, летом 2007 года, MIIS был внедрен в системе потребительского кредитования. В дальнейшем также была подключена система по сбору просроченной задолженности по кредитам и система удаленного доступа к почте. На третьем этапе проекта, завершение которого запланировано на конец марта 2008 года, проведена интеграция MIIS с системой «Заявки на ИТ-услуги». Общие расходы на три этапа проекта, по данным банка, составили 15,3 млн рублей, а поддержка работы ИТ-решения ежегодно обходится заказчику в 1,9 млн рублей. При этом затраты на первый этап уже полностью окупились, утверждают в дирекции сопровождения информационных систем Альфа-Банка.
Об экономической стороне использования MIIS стоит сказать отдельно. Некоторые используемые в банке ИТ-ресурсы, интегрировать с MIIS было бы нелогично из-за недостаточного масштаба или различий задач пользователей одной и той же категории. «По нашим оценкам, если в информационной системе работает меньше 1000 пользователей, то использовать MIIS в таком случае экономически нецелесообразно, – говорит Алексей Маланьин. – Иначе разумные сроки окупаемости внедрения – 1-1,5 года – будут недостижимы».
В целом к марту 2008 года проект охватил управление правами 9 тысяч пользователей из числа штатных сотрудников Альфа-Банка. Помимо центрального офиса и отделений, до конца 2008 года планируется распространить сферу применения MIIS на всю филиальную сеть Альфа-Банка. Важнейшие шаги в этом направлении уже сделаны: специалисты Amphora Group разработали технологию подключения филиалов к ресурсам центрального офиса Москвы и произвели пилотное подключение одного филиала Альфа-Банка. На очереди интеграция MIIS с системами автокредитования и ипотечного кредитования.