Экономика внедрения IDM решения

Экономика внедрения IDM решения
Внедрение систем класса Identity Management обходится довольно дорого. Давайте внимательно посмотрим, какие затраты сопровождают внедрение IDM решения, а также за счет чего эти инвестиции окупаются.
name='more'>

Структура расходов

Расходная часть состоит из разовых затрат на внедрение и последующих регулярных затрат на поддержку и обслуживание. С точки зрения масштаба вложений, проекты по внедрению IDM решений можно разделить на 3 группы:
1. Внедрение без кастомизации. Выполняется развертывание выбранного решения, без настройки и интеграции.
Значительную часть расходов составляет оплата лицензий. Как правило, используется лицензирование по количеству пользователей, однако применяются и другие схемы. Затраты на установку достаточно фиксированы и, главным образом, зависят от требований к архитектуре решения – ожидаемая нагрузка, отказоустойчивость, георезервирование и т.п.
2. Типовая кастомизация. После развертывания решения выполняется его интеграция с системами заказчика с использованием штатных коннекторов, выполняется настройка бизнес процессов и прочая кастомизация решения с использованием стандартных средств, предлагаемых решением.
В дополнение к расходам предыдущего раздела добавляются расходы на настройку системы и обследование бизнес-процессов, которые планируется автоматизировать. Затраты зависят от сложности настройки, количества реализуемых бизнес-процессов и т.п.
3. Полная адаптация. Выполняется глубокая адаптация решения в соответствии с требованиями заказчика, включая разработку коннекторов к неподдерживаемым системам, разработку дополнительных функций, не поддерживаемых решением и т.п.
Все популярные IDM решения поддерживают возможность разработки и подключения дополнительных функций, настройки и изменения пользовательского интерфейса, создания отчетов и т.п. Иногда требуется добавить системе дополнительные функции, плохо поддерживаемые выбранным решением. Доработка становится сложной, затрагивает все слои приложения. В таком случае затраты на адаптацию могут быть самой значительной частью расходов.
image002
Рисунок 1. Структура расходов при внедрении IDM решений.
В процессе внедрения возникают неизбежные затраты, связанные с запуском системы в работу, в дальнейшем требуются регулярные затраты на поддержку и развитие системы. Теперь обо всех статьях расходов немного подробнее.
Обследование и разработка технического задания
В нестандартных случаях, когда в организации применяется много информационных систем, есть сложная организационная структура, перед внедрением системы имеет смысл провести обследование, с целью определения и формализации автоматизируемых бизнес-процессов, разработки детальных требований к архитектуре IDM решения и т.п.
Лицензии
Значительную часть стоимости проекта составляют лицензии. Стоимость лицензий для решений разных вендоров существенно отличается. Встречаются различные схемы лицензирования: по пользователям, по ядрам, базовая стоимость + расширения по пользователям. При выборе решения следует учитывать, что не все IDM продукты включают в себя лицензии на СУБД и серверы приложений. Кроме собственно IDM системы может потребоваться приобретать лицензии на системное ПО: операционные системы, гипервизоры и т.п.
Название решенияСхемы лицензированияПримечания
IBM Security Identity ManagerПо пользователям
по процессорным ядрам
Стоимость лицензий очень сильно уменьшается при росте количества пользователей
Включает сервер приложений и СУБД
Oracle Identity ManagerПо пользователям + стоимость коннекторовВключает сервер приложений,
СУБД лицензируется отдельно
Коннекторы для каждого типа систем лицензируются отдельно
Sailpoint Identity IQПо пользователям + стоимость базового комплектаСервер приложений и СУБД в комплект не входят; поддерживается работа с OpenSource решениями.
Дополнительно к пользовательским лицензиям оплачивается фиксированная стоимость базового комплекта

Таблица 1. Схемы лицензирования
Оборудование
Для развертывания IDM системы требуются значительные аппаратные ресурсы. В небольших организациях, когда нагрузка на систему невелика, можно разместить все компоненты решения на одном узле. Однако, когда количество пользователей системы велико, необходимо выделять отдельные узлы для базы данных, сервера приложений, HTTP сервера. А если потребуется обеспечить отказоустойчивость решения, то все узлы должны быть продублированы. Некоторые решения допускают разворачивание в виртуальной среде, что позволяет эффективнее использовать аппаратные ресурсы.
Развертывание IDM системы
IDM система – это сложное промышленное решение, состоящее из нескольких компонентов: база данных, сервер приложений и др. Развертывание IDM решения включает в себя установку и настройку оборудования, этот процесс может занимать несколько дней.
Настройка решения
После установки решение необходимо настроить. Настройка включает в себя подключение штатных коннекторов для работы с информационными системами заказчика и настройку бизнес процессов предоставления и пересмотра доступа с использованием встроенных возможностей системы. В зависимости от сложности решения, настройка может занимать от нескольких дней до нескольких недель.
Адаптация решения
Адаптация решения – это реализация возможностей, не предусмотренных стандартными возможностями выбранного IDM решения. Наиболее распространенные пути адаптации:
1. Коннекторы к целевым системам.
В больших организациях очень часто используются нестандартные, разработанные на заказ информационные системы. IDM системы не имеют встроенных возможностей для работы с такими системами. Для управления учетными данными пользователей в таких системах необходимо разрабатывать специальные модули – коннекторы. Разработка коннектора может занимать несколько недель. К примеру, для разработки адаптера ЦФТ Банк для IBM Security Identity Manager потребовалось примерно 2 недели.
2. Дополнительные функции.
Несмотря на то, что современные IDM системы очень богаты функционалом, объективная реальность всегда разнообразнее. Например, далеко не все IDM решения дают возможность предоставить право доступа на определенное время, с автоматическим отзывом по истечении срока. При необходимости, всегда есть возможность добавить системе новые функции, глубоко интегрировать IDM систему в существующую IT-инфраструктуру организации. Разработка дополнительных функций может занимать несколько месяцев.
Примеры реализации дополнительных функций:
· Реализация функций управления жизненным циклом информационного ресурса для Oracle Identity Manager v9 потребовала 2 месяца
· За 2 недели в Oracle Identity Manager v11 была добавлена возможность назначения полномочий на ограниченный период времени
Запуск
После того как система создана, настроена и проведена вся необходимая адаптация, приходит время запуска системы, для начала в опытную эксплуатацию, а затем и в промышленную. Запуск системы сопряжен с дополнительными затратами:
1. Обучение сотрудников.
Перед началом работы необходимо провести обучение сотрудников. Если для большинства сотрудников обучение будет минимальными – достаточно разослать простую инструкцию, то обучение администраторов системы – это достаточно важный момент, который нельзя игнорировать.
2. Сбои системы и связанные с ними простои.
На начальном этапе внедрения любой сложной системы неизбежно возникают технические и организационные сложности. Это в полной мере касается и IDM систем. При запуске системы поначалу часто возникают проблемы с своевременным предоставлением доступа, и связанные с этим простои приводят к дополнительным затратам.
Сопровождение и обслуживание
Работающая IDM система, как и любая другая информационная система, требует регулярного обслуживания и мониторинга. Сюда входит и регулярное резервное копирование баз данных, мониторинг состояния аппаратных ресурсов, своевременная установка необходимых обновлений, восстановление после возможных сбоев и т.п.
Затраты на сопровождение сильно зависят от сложности решения. В простых случаях требуется только мониторинг и периодическое вмешательство специалистов для решения текущих вопросов. В сложных решениях, с большим количеством подключенных систем, сложной ролевой моделью, регулярно возникает необходимость что-то переделать, настроить, починить, привести в соответствие с изменяющимися требованиями.
Развитие системы
Окружающая действительность непрерывно изменяется, и IDM система развивается вместе с ней. Появляются новые требования, которые необходимо реализовать; системы, которые нужно подключить; процессы, которые нужно автоматизировать; отчеты, которые необходимо подготовить и т.п. Некоторые требования реализуются штатными средствами системы, а какие-то могут и потребовать дополнительной разработки, сравнимых с этапом адаптации.

Возврат инвестиций

Оценить прямую выгоду от внедрения IDM решения довольно сложно. Как правило, сфера применения IDM решения не касается непосредственной области деятельности организации. IDM не помогает оказывать дополнительные услуги или производить новую продукцию. Выгоды использования IDM решений кроются в кардинальном изменении способа работы с полномочиями сотрудников. Основной экономический эффект достигается за счет:
1. уменьшения непродуктивных расходов, связанное с автоматизацией и оптимизацией процессов управления доступом;
· Уменьшается время простоя при приеме на работу, переводе, командировках и т.п.
· Время сотрудников, ранее затрачиваемое «впустую» теперь используется для выполнения их непосредственных обязанностей
· Уменьшаются затраты на подготовку отчетов для регуляторов рынка
2. снижение рисков, связанных с избыточными правами доступа;
Чем больше организация, тем большую важность приобретает задача управления доступом. На управление полномочиями сотрудников тратится много ресурсов – как технических, так и административных. Объединение всех задач по управлению полномочиями в единую систему под управлением IDM позволяет сотрудникам тратить на управлением полномочиями минимум времени и усилий. В результате освобождаются время специалистов, которое может быть использовано с большей пользой, для достижения основных целей организации.
Деятельность любой организации всегда находится под контролем государства и/или других регуляторов рынка, которые требуют регулярно предоставлять разнообразную отчетность. Исходя из целей организации, подготовка этих отчетов не является «полезной» деятельностью – ведь она не приводит к созданию дополнительной ценности. Однако подготовка подобных отчетов необходима для жизнедеятельности организации. IDM решения позволяют значительно упростить и ускорить процедуру формирования любых отчетов, связанных с доступом к информационным ресурсам. Из бесконечного расследования с непредсказуемым результатом формирование комплекта отчетов превращается в понятную деятельность с прогнозируемыми затратами.
Риски, связанные с избыточными правами доступа трудно оценить. Однако представьте на минуту, что злоумышленники получили доступ, к примеру, к базе данных системы удаленного банковского обслуживания. Или к персональным данным клиентов сотового оператора, включая информацию о звонках. Подобные инциденты могут привести не только к финансовым, но и к значительными репутационным потерям.
Правильно построенные процессы управления доступом держать под контролем все полномочия. В любой момент можно выяснить кто и к какой информации имеет доступ сейчас или имел доступ в прошлом. При этом непрерывно контролируется соответствие выданных полномочий требованиям политики безопасности. Эти меры не только позволяют многократно снизить риски неправомерного использования информации, но и предлагают удобные инструменты расследования инцидентов.

Заключение

Основная выгода от внедрения IDM решения заключается в системном уменьшении затрат времени сотрудников на «не полезную» деятельность при одновременном высвобождении ресурсов для «полезной» деятельности. Соответственно, максимальный экономический эффект от внедрения IDM достигается при автоматизации наиболее дорогостоящих процессов, как с точки зрения связанных с ними расходов, так и с точки зрения рисков, которые они закрывают.
clip_image004
Рисунок 2. Динамика изменения регулярных затрат на управление полномочиями
По мере роста организации с течением времени, регулярные затраты на управление полномочиями сотрудников только растут. Внедрение IDM решения, несмотря на необходимые на начальном этапе значительные вложения, позволяет сделать этот рост менее значительным, более контролируемым и управляемым.
В заключение хочется добавить, что преимущества внедрения IDM не ограничиваются экономическими причинами. Централизованное управление полномочиями с помощью специально созданного для этого инструмента – это просто очень удобно.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас