Rozmowa z Tomkiem skłoniła mnie do ponownego napisania kilku słów na temat Zarządzania Tożsamością. Tym razem z trochę innej perspektywy. Po to, by ktoś sobie nie pomyślał, że system zarządzania tożsamością rozwiązuje wszystkie problemy...
O Zarządzaniu Tożsamością inaczej
W firmie nie pracują "tożsamości". Pracują w niej ludzie. To, co jest określane jako tożsamość, to pewien zestaw informacji związanych z tymże pracownikiem. Są to dane opisowe, takie jak imię, nazwisko, miejsce pracy, stanowisko, daty zatrudnienia i zwolnienia. Są to również informacje o posiadanych przez tego pracownika kontach w systemach informatycznych banku i uprawnieniach, nie koniecznie w tych systemach. Bo uprawnieniem jest również możliwość wejścia do budynku, zostawienia samochodu na parkingu pod biurem czy dostęp do papierowego archiwum danych o klientach.
Po co jest pracownikCo ma robić w firmie pracownik? Odpowiedź sama się ciśnie na usta - pracować. Tak? Właśnie, że nie. Co to znaczy "pracować"? Siedzieć przez 6 godzin, pić kawę i rozmawiać z koleżankami/kolegami a przez pozostałe 2 osoby przełożyć dwie kartki papieru i marudzić na temat ogromnego stopnia zapracowania? Nie o taką pracę chodzi. Pracownik ma realizować cele biznesowe firmy, w której pracuje. Aby mógł to robić, potrzebuje kilku rzeczy. Potrzebuje miejsca, gdzie ma pracować zgodnego z warunkami BHP, potrzebuje narzędzi, biurka, telefonu, komputera, stosownych aplikacji, łopaty, pędzla, farby (zależy od tego, co ma robić), danych, na których ma pracować i stosownych uprawnień, które umożliwią mu realizację swoich zadań (i tylko ich).
Komu potrzebny jest pracownikNo właśnie. Komu? IT? Nie, to tylko kolejny, potencjalnie uciążliwy, użytkownik, którego trzeba obsłużyć. Bezpieczeństwu? Wprost przeciwnie. Każdy pracownik zwiększa poziom ryzyka (bo to na przykład kolejna osoba, która chce wynieść bazę klientów). Biznesowi? Tak. To właśnie biznes potrzebuje pracowników, by działać. Nawet jeśli nowy pracownik przychodzi do IT, to zwykle po to, by obsługiwać biznes właśnie.
Mityczny "cykl życia"Aktualnie jestem na swoim i chyba tak przez pewien czas pozostanie. Pracę jednak zmieniałem trzy razy i w każdym przypadku były takie same jej etapy:
- zatrudnienie,
- okres pracy,
- zwolnienie (się),
W różnych firmach poszczególne etapy miały różny przebieg, ale chodziło w nich mniej więcej o to samo, na początku o umożliwienie pracy, czyli podpisanie odpowiednich dokumentów, przygotowanie miejsca, sprzętu, uprawnień. Później zmiana tych uprawnień, zmiana różnych danych opisowych. Na koniec znowu podpisanie dokumentów, zablokowanie posiadanych uprawnień. To oczywiście jest mocne uproszczenie, ale na tym właśnie polega ten mityczny cykl życia pracownika (i jego "tożsamości") w firmie.
Ten cykl życia, to nic innego jak proces. Im większa firma, tym więcej różnych jednostek bierze udział w jego realizacji. W pewnej chwili zachodzi potrzeba jego sformalizowania. Nie, to nie jest ta chwila, w której wdrażany jest system zarządzania tożsamością. Powiem więcej, to nie jest ta chwila, w której taki system może być wdrażany efektywnie. To jest natomiast TA chwila, w której należy stworzyć (ptfu, ptfu) procedury realizacji tego procesu. Te procedury nie mogą tylko zawierać informacji kto powinien coś zrobić. Powinny określać również dokładnie co powinno być zrobione. Między innymi powinno być jasne kiedy i jakie uprawnienia powinny być przyznane i w jakim trybie to powinno nastąpić. Czy powinno się dziać automatycznie, czy może na jakiś specjalny wniosek przełożonego.
No to niech IT/bezpieka to przygotujeDrrrrrrr! Zła odpowiedź. Ten pracownik jest potrzebny biznesowi do realizacji jego celów i to biznes musi określić czego ten nowy pracownik potrzebuje, by robić to w sposób zgodny z oczekiwaniami. Zarówno bezpieka, jak i IT po prostu nie orientuje się w specyfice działania jednostki, do której nowy pracownik przychodzi. IT pełni rolę usługową, przygotuje środowisko pracy według określonych wymagań, ale nie posiada szklanej kuli, która powie, jak te wymagania wyglądają. Bezpieka teraz coraz częściej zajmuje się analizą i zarządzaniem ryzykiem, a nie decydowaniem o aplikacjach i danych dostępnych dla każdego nowego pracownika. Zasoby informacyjne mają (powinny mieć) swoich właścicieli (niespodzianka - z biznesu), którzy, przy prawidłowej organizacji zarządzania bezpieczeństwem, odpowiadają za bezpieczeństwo tych zasobów. Co ciekawe biznes potrafi często powiedzieć, że nowy pracownik potrzebuje samochodu by jeździć do klientów, ale wyduszenie z siebie, że potrzebuje również dostępu do aplikacji CRM już przekracza jego możliwości.
Nie można oczywiście oczekiwać, że biznes dostarczy danych technicznych na poziomie do jakiej grupy dodać użytkownika i jaki udostępniony folder podmapować. W opracowaniu dokumentacji na takim poziomie biznes musi skorzystać z pomocy zarówno IT, jak i bezpieki. Oczekiwanie jednak, że to IT do spółki z bezpieczeństwem na podstawie tego co jest w systemach opracuje zasady przyznawania dostępów i jeszcze rozpozna jakie uprawnienia przyznać nowemu pracownikowi, jest głupie. Problem w tym, że biznes potrafi krzyczeć i tupać tak głośno, że prezes/dyrektor stanie po jego stronie... I wtedy jest problem. Duży.
Kto to będzie robiłGdy wiadomo co i jak trzeba zrobić, to pracę może wykonywać gromada tresowanych szympansów. Ponieważ jednak dokumentacja prawdopodobnie nie jest idealna i trafiają się przypadki wyjątkowe, trzeba jednak wykorzystać do tego ludzi. Z czasem okazuje się jednak, że takie rozwiązanie ma swoje wady:
- jest nieefektywne,
- monotonne,
- długotrwałe,
- ciężkie do zarządzania,
- pojawiają się opóźnienia,
- ciężko analizować środowisko,
- rośnie ryzyko pomyłki,
...i to jest właśnie ta chwila, w której pojawia się System Zarządzania Tożsamością
...albo raczej system WSPOMAGAJĄCY proces Zarządzania Tożsamością...System ten może realizować znany mu, opisany i zaimplementowany w nim proces skuteczniej niż stado tresowanych szympansów, szybciej i z mniejszym prawdopodobieństwem pomyłki. Ale pamiętać trzeba, że system ten nie zastępuje wcześniej istniejącego procesu, on go po prostu realizuje. Realizuje prawdopodobniej bardziej efektywnie i szybciej/wydajniej (na przykład synchronizację danych między systemami). O pewnych rzeczach po prostu pamięta, na przykład o blokowaniu/odblokowaniu kont w trakcie urlopu, blokowaniu kont odchodzących pracowników... W przypadku, gdy zmienia się profil uprawnień, system automagicznie zmieni go również wszystkim użytkownikom, którzy mają go już przypisanego. Czego chcieć więcej? Jest tylko drobny problem. System nie zadzwoni i nie zapyta się jak coś powinno być zrobione. On to wie, albo nie wie. Albo co gorsza ma nieaktualne dane i postąpi źle...
...a system XYZ to potrafi...Bzura. Po prostu firma oferująca system XYZ potrafi dobrze robić wodę z mózgu na prezentacjach marketingowych. System sam z siebie nic nie zrobi, do czasu, gdy nie dostanie instrukcji co i jak robić powinien. Technologia tutaj jest drugorzędna.
...no to niech IT go skonfiguruje...Jasne. Zaraz po tym, jak biznes powie, czego oczekuje. Podejrzewam, że większość ludzi z IT zajmujących się konfigurowaniem uprawnień z dziką chęcią uprości sobie życie. Zamiast monotonnie zakładać konta i dodawać je do 50 różnych grup, zbuduje sobie profil/szablon/rolę (nazwa tak jak i hnologia jest tu drugorzędna). Tylko, że to biznes musi określić:
- jakie zadania mają wykonywać pracownicy,
- jakie zestawy zadań mają wykonywać pracownicy,
W szczególności to biznes (kierownik) dzięki systemowi zarządzania tożsamością będzie mógł nadawać uprawnienia "swoim ludziom" wybierając z listy pewien byt o coś mówiącej mu nazwie, a system zadba o to, by ta mówiąca nazwa przełożyła się na założenie odpowiednich kont i skonfigurowanie uprawnień. Z czasem może się okazać, że uprawnienia mogą być nadawane automatycznie, na podstawie danych opisowych, takich jak stanowisko i jednostka organizacyjna. Nie ma się jednak co oszukiwać, nie będzie to łatwe i na pewno nie nastąpi natychmiast...
A miało być tak pięknie......i będzie. Tylko wszystko wymaga pracy. Coś za coś. Powiesz mi, drogi kierowniku, jakich uprawnień potrzebuje Twój pracownik, ja z wrodzonego lenistwa wykorzystam wdrożony za ciężkie pieniądze system, byś otrzymał to, czego potrzebujesz jak najszybciej.
Aby wszyscy byli szczęśliwi......należy zrzucić różowe okulary, albo łyknąć pigułkę w odpowiednim kolorze i przyjąć do wiadomości, że:
- system realizuje proces związany z cyklem życia pracownika, nie zastępuje go,
- jeśli proces jest kiepski (źle opisany, udokumentowany, ma wiele wyjątków), system będzie działał źle,
- system wspomaga biznes, ale potrzebuje informacji od biznesu o jego oczekiwaniach,
- system NIE JEST bezobsługowy,
Dlatego ja zawszę mówię, że w przypadku tego typu projektów technologia jest tylko środkiem nie zaś celem.
To zresztą jest coraz częściej spotykany problem i ludzie potrafiący poruszać sie na obrzeżu obu tych obszarów są cenieni i poszukiwani.