03
יול
12

כיצד לבצע סקירת הרשאות?

בפוסט הקודם הצגתי את החשיבות בביצוע סקירת הרשאות. לכאורה, נשמע תהליך פשוט לביצוע. אז לבזבז על זה זמן כתיבה יקר…? תאמינו לי שכל מי שעשה תהליך כזה יאמר לכם שזה אחת המשימות הקשות שתתעסקו בהן.

פירוט הקשיים בסקירת הרשאות:

  1. גזירת הרשאות מהמערכות. כדי שמנהלים יוכלו להורות על הסרת הרשאות, הם צריכים קבצים המרכזים את ההרשאות במערכת עליהם הם אחראיים. או לחלופין, גישה למסך המציג להם את ההרשאות. רגע, כיצד שולפים את ההרשאות? איזה מידע מהטבלאות מרכיב בכלל את ההרשאות?
  2. מאשרי הרשאות. או במילים אחרות: פוליטיקה. המנהלים העסקיים ינסו להתנער מהחובה הזו. לא ישתפו פעולה. לא יסקרו את הרשימות בצורה מעמיקה. לא יספקו בזמן את התוצרים. יחזירו לכם שאלות קנטרניות. או בכלל יטענו שהם לא מבינים והם לא הכתובת הנכונה (וזה לאחר שאתם ממתינים חודשיים לתשובות מהם).
  3. מעקב ובקרה. כיצד מנהלים את כל התהליך הזה? למי כבר העברנו את הרשימות, מי נתן תשובה מלאה ומי רק חלקית? למי צריך להפיק רשימה טובה יותר? באיזה מערכת כבר הסירו הרשאות?
  4. הסרת יתר של הרשאות. המנהל משה דווקא שיתף פעולה באופן מפתיע. מתוך 400 רשומות, הוא הורה על הסרת 50 הרשאות. ביצעתם. טלפונים זועמים ממשתמשים: "למה הורידו לנו הרשאות? אנחנו צריכים לבצע תשלומים וזה היום האחרון בחודש. דחוף!" לאחר בדיקה, גיליתם שמשה הורה על הסרת 10 הרשאות (מתוך ה – 50) שלא היו צריכים להיות מוסרות. משה התלהב יותר מידי.

 

מספר המלצות לייעול התהליך:

  1. תיעוד של התהליך: החל מהפעם הראשונה, תתעדו כל פעולה, כל מידע על גזירת הרשאות במערכת מסוימת. תפיקו לקחים בתוך הפרויקט ובטח לאחריו. אל תסמכו על כך שבפעם הבאה זה ילך יותר טוב. בלי תיעוד, לא יהיה שיפור. מניסיון.
  2. תתחילו בקטנה. תבחרו שתי מערכות מייצגות ותבצעו רק עליהן את התהליך עד סופו. לאחר מכן, תתפרסו על שאר המערכות.
  3. ישיבות סטטוס: תירתמו הנהלה בכירה לתהליך טרם תחילתו, ודווחו להם סטטוס התקדמות פעם במספר שבועות. בקשו את עזרתם מול מנהלים סוררים שאינם משתפים פעולה.
  4. מידע HR: אל תצאו לדרך בלי לגזור מידע HR המפרט שיוך ארגוני לכל עובד. לכל רשימת הרשאות תצמידו (בגוף הרשימה) את השיוך הארגוני של כל עובד. המנהל סוקר הרשאות בעיקר על סמך שיוך ארגוני ולא על סמך שם או ת.ז.
  5. טבלאות ניתנות לפילטור: ספקו יכולות פילטור נוחות לרשימות. זה יקל על הסוקרים ויקצר את התהליך. זה גם יאפשר לכם לטייב את המידע לפני שאתם מעבירים אותו לסקירה.
  6. מערכות הרשאות: ישנן מספר מערכות בשוק המספקות יכולות ניהול קמפיין סקירת הרשאות. ההטמעה שלהם לא זולה, אבל בטווח הארוך הם מקצרים זמנים בכל סקירה, מביאים לשיתוף פעולה טוב של כולם. קחו בחשבון שפרויקט הטמעה של מערכת כזו יקח לפחות שנה. לא פרויקט של שבועיים.
  7. תתעדו (כבר אמרתי).

1 Response to “כיצד לבצע סקירת הרשאות?”


  1. 06/04/2013 ב- 16:52

    שלום CISO,

    תודה על הבלוג המושקע, ניכר שאתה מכיר את הנושא היטב.

    גילוי נאות: אקספנדיון מייצרת מערכת לניתוח התנהגותי ובניית פרופילים התנהגותיים של משתמשים. לעניין הבלוג הזה קיים מודול ליישום תהליכי הרשאות רב מערכתיים – סקירת הרשאות, בקשת הרשאות, פתיחת משתמש רב מערכתית וסגירת משתמשים לאור היבטים התנהגותיים.

    אחרי נסיון רב בסקירת הרשאות החלטנו להכניס את כל התהליך למערכת ממוחשבת. אני רוצה להוסיף לבלוג שלך את הנסיון שלנו מארגונים רבים ואת הדרישות שלדעתי לקוח חייב לדרוש ממערכת כזו:

    1. גזירת הרשאות מהמערכות צריכה להתבצע בצורה אוטומטית וכפעולה מהירה. בארגונים רבים גוזרים הרשאות ממערכת אחת, אחר כך ממערכת שניה וכו'. עד שמגיעים למערכת האחרונה עוברים ימים רבים והמידע מהמערכת הראשונה כבר אינו רלוונטי ב-100%.
    כמו כן גזירת המבנה הארגוני ("מידע HR") חייבת להתקיים והמידע בו חייב להיות בבסיס הסקירה. כפי שכתבת – מנהלים לא סוקרים "משתמשים" אלא "עובדים".

    2. מאשרי הרשאות – המערכת צריכה לאפשר סקירה של עובדים על ידי מנהלים ישירים, על ידי מנהלים בדרגה X (כלומר – מנהל המחלקה, מנהל האגף וכו') או על ידי מנהלי מידע (Data Owners). כמו כן המערכת צריכה לאפשר שינוי מנהל אם התגלתה טעות במבנה הארגוני.

    3. מעקב ובקרה – אכן כפי שכתבת זהו לב התהליך – יש לאפשר קבלת תמונת מצב עדכנית בכל רגע נתון לפי חתכים שונים – מערכות שנסקרו, מחלקות, מדינות וכיוצ"ב. יש לתת תמונת מצב ב-30000 רגל וגם ברמת המנהל הבודד. כל מנהל צריך להיות מסוגל לראות בכל רגע נתון את מצב הסקירה של עובדיו ובמבנה הארגוני הכפוף לו.

    4. הסרת יתר של הרשאות – בניגוד לנאמר על ידך אני לא מאמין שהמנהל לא מבין מה הוא מבקש להסיר. לעומת זאת אני כן מאמין בשלושת העקרונות הבאים בתקשורת עם המנהל:
    א. תקשורת בשפה מתאימה: השפה שבה משתמשים חייבת להיות מובנת למנהל כך שיידע לקחת החלטות מושכלות. שמות רולים כדוגמת ZMM_EMPNORUN לא נותנים הרבה מידע למישהו שאינו טכני ומייצרים מצב של חותמת גומי ("תחתום תחתום, זה חשוב להנהלה"). כך גם המידע על העובד חייב להיות מוצג היות וכפי שכבר נאמר – המנהל סוקר עובדים ולא משתמשים במערכות.
    ב. הרשאות רגישות: יש להגדיר מהן ההרשאות הרגישות בארגון ולסמן אותן בצורה ברורה ברשימה, כך שמנהל יבין שההרשאה היא משמעותית מסוכנת יותר מהרשאה אחרת. כך לדוגמא – פתיחת פקודת יומן מסוכנת יותר מאפשרות צפייה בלוח שנה ארגוני.
    ג. הצגת שימוש אחרון לכל הרשאה: יש להתאמץ ולספק את הפעם האחרונה שבה השתמשו בהרשאה הנסקרת. הרבה יותר קל להסיר הרשאה כאשר השימוש האחרון בה היה לפני מעל שנה. גם מנהל שלא מבין אינו מתלהב להסיר הרשאות שנמצאות בשימוש תדיר אצל העובד.

    מנסיוננו, כאשר מדובר על מעל מערכת אחת ומעל 500 עובדים גילינו שעדיף לבצע את התהליך בעזרת כלי אוטומטי. מעבר לחסכון העצום בזמן ובמשאבים, הדבר מעלה משמעותית את עדכניות המידע ואת אפשרויות התיעוד.

    בברכה,
    משה
    {הוסרה התייחסות קצרה שהייתה ברמה השיווקית.}


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


יולי 2012
א ב ג ד ה ו ש
1234567
891011121314
15161718192021
22232425262728
293031  

%d בלוגרים אהבו את זה: