СОИБ. Анализ. Экономическая эффективность IDM

14 февраля послушал довольно интересный совместный вебинар BIS-Expert и Trustverse на тему «Как измерить экономический эффект от внедрения IDM?»

Сделаю небольшое отступление в части терминологии.

Если дословно, то IDM (identity management) – управление идентификацией / идентификаторами. Но для корпоративных нужд под IDM обычно понимается – система централизованного управления учетными записями пользователей в ИС и всем что с ними связано с этими учетными записями: правами доступа в ИС, заявками на доступ, паролями, сертификатами и т.п.

The ABCs of Identity Management:

“Identity management is a term that refers broadly to the administration of individual identities within a system, such as a company, a network or even a country. In enterprise IT, identity management is about establishing and managing the roles and access privileges of individual network users. ID management systems provide IT managers with tools and technologies for controlling user access to critical information within an organization.”

WIKI:

“identity management describes the management of individual principals, their authentication, authorization, and privileges within or across system and enterprise boundaries with the goal of increasing security and productivity while decreasing cost, downtime and repetitive tasks.”

По мере развития identity management аналитическое агентство Gartner выделяло два направления: UAP и IAG.

 “User administration and provisioning (UAP) is a combination of administration and analytics technologies that provide an effective foundation for authentication and authorization in the enterprise. Characterized in this way, user administration is a fundamental part of overall IAM technology strategy and program.

 UAP solutions are main engines of identity administration activities. These tools have some or most of the following functions:

·        Workflow and approval automation

·        Password management

·        Other credential management

·        Role life cycle management

·        User access administration

·        Resource access administration

·        Basic identity analytics”

“Identity and access governance (IAG) is defined as (1) the process of requesting, approving, certifying and auditing access to applications, data and other IT services; and (2) the process of delivering security and business intelligence (BI) on how identities are created, managed and used for access. Software tools and services that provide support for most or all of this process are known as IAG products.”

Но Gartner заметили тенденции по объединению в одних системах этих двух направлений и  в декабре 2013 года выпустили отчет в котором два направления IAG и UAP были объединены в одно направление Identity governance and administration (IGA).

“Identity governance and administration (IGA) is a set of processes to manage identity and access information across systems. It includes management of the identity life cycle that creates, maintains and retires identities as needed, as well as governing the access request process, including approval, certification, risk scoring and segregation of duties (SOD) enforcement. Core functionality includes identity life cycle processes, automated provisioning of accounts among heterogeneous systems, access requests (including self-service) and governance over user access to critical systems via workflows for policy enforcement, as well as for access certification processes. Additional capabilities often included in IGA systems are role management, role and entitlements mining, identity analytics, and reporting.”

Экспертное сообщество высказалось что IDM нового поколения – это IGA. (а значит мы можем считать определение IGA  - определением для IDM в рамках данной статьи)

Теперь вернемся к вебинару.

Для обоснования экономической эффективности докладчик предлагал использовать следующие данные (для 1000 пользователей и 3 крупных ИС):

·        среднее время на согласование заявки на доступ к ИС без IDM составляет 15 минут, с IDM – 5 минут

·        среднее количество согласующих лиц без IDM – 5, с IDM – с учетом динамическая оптимизация маршрутов согласования - сокращение количества согласующих лиц до 3

·        среднее время исполнения заявки на изменение доступа (предоставление или изменение доступа в ИС)  без IDM составляет 20 минут, с IDM – выполняется автоматически,  0 минут

·        среднее время первоначального создания учетных записей и базовых прав доступа для нового пользователя на основе его должности без IDM составляет 3 часа, с IDM – выполняется автоматически, 0 минут   

·        среднее время инвентаризации и контроля изменений прав доступа без IDM составляет 2,5 часа в неделю, с IDM – 1 час

·        среднее время анализа и контроля предоставленных / избыточных / критических прав в рамках ежегодного аудита без IDM – 4 дня, с IDM – 2 дня

По расчетам докладчика при таких условиях, операционные затраты Компании на управление учетными записями и правами сократятся на 4 815 320 рублей за два года.

С моей точки зрения, в данном расчете ещё не учтены следующие данные для сокращения затрат:

·        снижение времени расследования инцидентов

·        снижение времени смены забытых паролей (для IDM с такими функциями)

·        снижение времени на выпуск или перевыпуск сертификатов пользователей (для IDM интегрированных с УЦ)

·        уменьшение времени на блокирование учетных записей ИАФ.3 / лишения доступа уволенных сотрудников. УПД.1

·        уменьшение рисков, связанных с учетными записями уволенных сотрудников (так как с IDM они блокируются автоматически, без IDM могу какое-то время действовать) УПД.1

·        уменьшение рисков, связанных с избыточными правами пользователей (с IDM легче и эффективнее отслеживать избыточные права пользователей, связанные с окончанием проекта, переводом на другую должность и другими временными правами и временными учетными записями)  УПД.4 УПД.5

С учетом приведенных замечаний получается полезный калькулятор расчета ROI для обоснования необходимости внедрения IDM