Miért fontos komponense az IAM rendszer a vállalati HR működésnek?
Egy jó Identity Access Management (IAM) rendszer is akkor működik jól, ha lényegében nem észrevehető, egyszerű használni, valamint automatizált lépéseken és szabályok használatán keresztül támogatja a folyamatokat. Észrevenni (leginkább a hiányát) tipikusan a következő helyzetekben szoktuk:
- Új belépő kollégánk már a sokadik hetét kezdi és még nem fért hozzá a munkavégzéshez szükséges alkalmazásokhoz;
- Munkatársunk területet vált, de a szokásos munkafolyamataiból kiszakadva nem tudja, milyen új alkalmazásokhoz kell jogosultságot igényelnie;
- Kilépő kollégánk magával vitte a jelszót egy olyan alkalmazás adminisztrátori funkciójához, ami ritkán van ugyan használatban, de a jelszó nélkül mégis megakaszt más folyamatokat;
- Az ellenőrzés felfedezte, hogy egy már évek óta kilépett kolléga továbbra is rendelkezik élő account-tal és aktív jogosultságokkal kritikus alkalmazásokhoz/adatbázisokhoz.
A munkahelyi feltételek megteremtéséhez ma már nem az íróasztal és a mobiltelefon beszerzése és biztosítása jelenti a legkritikusabb lépést, hanem ezen túl, a számítógépen elérhető alkalmazások, szoftverek használata. A vállalatok életében a legtöbb folyamat – akár fizikai, akár szellemi értékteremtés – szoftverekkel, alkalmazásokkal támogatott. Az új belépők pedig annál gyorsabban tudnak hasznos tagjai lenni a szervezetnek, minél hamarabb kapják meg a szükséges rendszerhozzáféréseket.
A jogosultságok megadása mellett a másik kritikus pont természetesen a jogosultságok elvétele, legyen szó kilépésről vagy akár a jogosultság alapjának megszűnéséről, például jogosítvány hatályának lejárata vagy munkakörváltás nyomán. Akár a jogosultság és hozzáférés megadását, akár az elvételét nézzük, mindkét esetben a gyors reagálás, rövid átfutási idő és az automatizált lépések jelentik a versenyelőnyt.
Munkavállalói életciklus és az IAM rendszer
A HR szakterület a munkavállalói életciklus során a beléptetés mellett számos folyamatban találkozik az IAM rendszerrel. Vegyük sorra ezeket a folyamatokat és az IAM kapcsolódások jellegét:
- Beléptetés és onboarding: Már az onboarding folyamatban előkészíthető, de a valódi jogosultságok csak az első munkanaptól adhatók meg az újonnan belépő munkatárs számára. A HR terület és az új belépő szervezetének is az az érdeke, hogy minél hamarabb megkapja az új munkatárs a számára szükséges és egyben elégséges jogosultságokat. A jogosultságok megadását a HR-es beléptetési folyamatban kell elindítani, a végrehajtók pedig a rendszerüzemeltetési területen vannak jellemzően – tipikusan a rendszerek darabszámával egyenes arányban növekvő számban.
- Munkakörváltás és munkaügyi mozgások: A munkahelyi mozgások jóval gyakoribbak a belépésnél egy szervezet életében: előléptetések, áthelyezések, munkakörváltások, szervezetcserék. Minden esetben szükséges a jogosultságok felülvizsgálata. Hasonlóan a beléptetéshez, ez is a HR folyamatban indul, de a változás jellegéből fakadóan számos lefutás lehetséges: jogosultságok elvétele, bővítése, módosítása. Egyúttal ezek a legkomplexebb folyamatok az IAM és a HR keresztmetszetében, amelyek, ha nincsenek megfelelően szabályozva és kezelve, könnyen kialakulhat a “privilege creep” jelenség, vagyis a jogosultságok “elmászása” az indokolttól, felesleges jogosultságok megtartása és ezzel a biztonsági kockázatok növelése
- Oktatási, képzési folyamatok: A jogosultságok és rendszer-hozzáférések nem ritka esetben kötődnek valamilyen képzettséghez, kvalifikációhoz is. Szigorúbb működési környezetben ezeket a képzettségeket meg kell újítani, ennek hiányában a jogosultság elvész. Így egy megfelelően automatizált folyamatban a képzési katalógusban azonosítani kell azokat a kvalifikációkat, amelyek jogosultághoz kötődnek, és biztosítani kell a folyamatos auditot és/vagy az automatizált folyamatokat, amelyekben a képzettség megszerzése/elvesztése is jogosultságkezelés folyamatokat indít.
- Kilépés: A legkritikusabb folyamat jogosultsági szempontból a munkaviszony megszűnése. Ahhoz, hogy a kilépésnél minden jogosultság megszűnjön, elengedhetetlen a pontos nyilvántartás a kiosztott jogosultságokról. Gyakorlati szempontból így fogalmazhatjuk meg: a sétáló papíron csak akkor lesz rajta minden aláírás, ha szerepeltetjük a megfelelő számú rubrikát is. A kilépési folyamat gazdája a HR, így a kapcsolódó jogosultság-elvételi folyamat esetében is a kulcsfontosságú lépést, a folyamat indítását is a HR területnek kell vállalnia. Különösen kritikus ez a kérdés abban az esetben, ha nem közös megegyezéssel kell elválni valakitől, hanem a munkáltató mond fel. Ebben az esetben egy rendkívül összehangolt, gyors folyamatot kell végrehajtani, hogy minimalizáljuk a jogosultságokkal való esetleges visszaélés kockázatát.
HR szerepe a sikeres IAM bevezetésben
Láthatjuk, hogy számos ponton kapcsolódnak a HR folyamatokhoz az IAM folyamatok. Ugyanakkor a HR folyamatok jellemzően érettebbek, nagyobb hagyományokkal bírnak, mint az IAM folyamatok. Így a bevezetések során gyakran találkozunk olyan esettel, amikor egy meglévő HR folyamathoz egy új IAM folyamatot kell illeszteni. Mi ilyenkor a vállalati HR szerepe?
- Egy IAM bevezetés során nélkülözhetetlen, hogy megfogalmazzuk a jogosultságkiosztási logika alapját. Alapvetően határozza meg mind a jogosultságkiosztás folyamatát, mind a használhatóságát, hogy A) “a személyre szabott jogosultságok” elve és B) “a mindenki-ugyanazt a jogosultságot kapja” elv között hol sikerül megtalálni az ésszerű rendezőelvet, ami alapján a jogosultságok 80%-a kiosztható. Van, ahol a jogosultságkiosztási logika alapja a munkakör, van, ahol a szervezeti egység vagy akár a kettő között egy vegyes logika. A törzsadatok és a munkavállalók csoportosításának is a HR lesz a legjobb ismerője, karbantartója. Így egy új IAM rendszer és folyamat bevezetésénél elengedhetetlen a bevonásuk már az első kritikus döntési pont meghatározásánál.
- Az IAM bevezetési projektekben egy másik minőségben is érdemes bevonni a HR szakterületet. A szervezet szereplőit segíthetik direkt módon is a változáskezelésben és az üzleti támogató rendszer aktív felhasználásával is. Egy bevezetési projekt értékes tagja a HR-es szereplő (HR Business Partner), aki a leginkább ismeri a mindennapi problémákat, sajátosságokat a vállalat különböző szervezeteiben. A belső kommunikáció és a szervezeti ellenállás legyőzése kiemelt jelentőségű egy olyan projektben, ahol a szervezet minden tagja érintett, ami minden IAM bevezetésre jellemző..
- Végül de nem utolsó sorban, a HR kulcsszereplő az IAM bevezetés során, az IAM folyamatok (jogosultságmegadás, -módosítás, -elvétel) HR folyamatokba illesztésénél. A folyamatok akkor tudnak automatizáltan és hatékonyan működni, ha az átadási pontok megfelelően vannak definiálva és a folyamatokban a megfelelő ponton lépnek be az engedélyező vagy ellenőrző szereplők.
Több vagy kevesebb feladatot jelent az IAM rendszer működtetése HR szempontból?
Egy sikeres IAM rendszerbevezetés nyomán a HR feladatok ideális esetben nem nőnek, hanem éppen ellenkezőleg: a folyamatok egyszerűsödnek. A HR szerepe az IAM folyamatos működtetése során tipikusan a következőkre terjed ki:
- HR folyamatok indítása: A munkaügyi folyamatok mindegyike érintett az IAM folyamatokban, így a HR-nek kritikus szerepe van a megfelelő munkaügyi folyamatok indításában – az IAM rendszer bevezetése után is. A munkaügyi folyamatok ráadásul akár egyszerűsödhetnek is az automatikus jogosultság-kiosztási folyamatok által.
- Törzsadatok biztosítása: Amennyiben az IAM rendszer működésének alapját a munkavállalók szervezeti, munkaköri besorolása vezérli, akkor a HR kulcsfeladata ezek naprakészen tartása és biztosítása az IAM folyamatok számára.
- Onboarding folyamat működtetése: Az IAM folyamattal összhangban kell működtetni az onboarding folyamatot az IAM bevezetés után is, hogy az újonnan belépőt támogató lépések valódi összhangban legyenek, és ne jelentsenek plusz feladatot az igénylőnek vagy a jogosultság alanyának. Amennyiben az IAM rendszer megfelelő mértékben van automatizálva, akkor a folyamatok és a rendszerkapcsolatok gördülékenyebbé tudják tenni az onboardingot minden munkavállaló számára.
- Képzési feltételekhez kapcsolódó jogosultságok figyelése, vezérlése: Amennyiben az IAM rendszert kiegészítjük a képzettséghez kapcsolódó előfeltételek vizsgálatával, akkor a HR feladata a megfelelő képzési rendszer működtetése és a lejáró kvalifikációk figyelése, ami inputot ad az IAM rendszer működéséhez.
- HR rendszerek esetén felmerülhetnek plusz kulcsfelhasználói feladatok az IAM bevezetés nyomán, de ebben az esetben a HR - éppúgy, mint a vállalat bármely rendszerének kulcsfelhasználói - egy másik szerepkörében vesz részt az IAM folyamatban.
Milyen előnyökkel jár egy IAM rendszer bevezetése HR szempontból?
Számos kutatás szerint egy újonnan belépő munkatárs munkahelyi attitűdjét alapvetően meghatározzák az első néhány nap során szerzett élményei. HR szempontból az egyik legnagyobb előnyt ott lehet érzékelni, hogy az új belépők jogosultságkiosztása zökkenőmentes és gyors tud lenni, és már az első pillanattól kezdve 100%-ban a szervezet rendelkezésére tudnak állni, és nem utolsó sorban pozitív tapasztalatokat szereznek a cég folyamataival, professzionalizmusával kapcsolatban.
Emellett számos további előnye lehet egy jól felépített IAM folyamati működésnek a sok rendszerrel működő, komplex vállalati környezetben. Az IAM rendszerek és folyamatok működtetése nyomán:
- a jogosultságok és rendszer-hozzáférések igénylése nem veszi el a munkatársak idejét az értékteremtő folyamatoktól;
- az önkiszolgáló megoldások csökkentik a munkatársak és az IT kiszolgáló személyzet terhelését
- csökkenthető a kockázat, ami a jogosulatlan rendszerhozzáférésekből fakad.
Szerzők:
Czirók Márta, vezető tanácsadó
Egervári Balázs, senior expert