Shrnutí
Problém
Se vzrůstajícím počtem různých regulatorních opatření a v přímé souvislosti s vyhláškou ČNB ze dne 3. 2. 2004 jsou bankovní instituce v ČR nuceny zabezpečit přístup k informacím pouze oprávněným zaměstnancům. Navíc banky v dnešní době využívají čím dál větší počet aplikací, což má přímý dopad na délku procesu vyřízení požadavků na přístupová oprávnění a na růst počtu pracovníků, kteří tento proces vykonávají. Oba tyto faktory nutí bankovní instituce aktivně řešit otázku správy přístupových oprávnění.
Řešení
ČSOB se rozhodla pro efektivní řešení tohoto problému a implementovala produkt pro automatizaci procesů spojených s řízením přístupových oprávnění. Jako implementátor byla vybrána společnost Trask solutions, se kterou má ČSOB dlouhodobé zkušenosti, a pro automatizaci procesů byl zvolen produkt IBM Tivoli Identity Manager (dále jen ITIM), který vyhovoval jak z pohledu své funkčnosti a efektivity řešení, tak i z pohledu stabilního výrobce.
Klíčové přínosy
Projekt umožnil komplexně zmapovat přístupová oprávnění do všech informačních systémů ČSOB a nastavit potřebné kontrolní mechanismy. Byly nastaveny jasné zodpovědnosti uživatelů, vedoucích pracovníků i správců přístupových oprávnění. Vysoká míra automatizace procesů včetně propojení ITIM na personální systém banky snížily nároky na helpdesk (klesl počet telefonátů) a zrychlilo vyřízení požadavků na přístupová oprávnění řádově ze dnů na hodiny. Jiří Pospíchal, výkonný manažer ČSOB, dodává: „Hlavní devizou tohoto řešení však je, že i při rostoucím počtu aplikací se již nezvyšují náklady na správu přístupových oprávnění a i při stávajícím počtu pracovníků se daří zlepšovat kvalitu takto poskytované služby."
Implementace itim
Výchozí situace
ČSOB jako největší retailová banka v České republice měla v roce 2004 okolo 9 000 uživatelů v Čechách a na Slovensku, přibližně 280 poboček a okolo 100 centrálně provozovaných aplikací a systémů. Mezi nejdůležitější aplikace v té době patřily bankovní systémy -- Profile/ IBS, IBIS a SAP. ČSOB jako lídr na trhu bankovních služeb samozřejmě plánovala v nejbližší budoucnosti nasadit další kritické aplikace. Veškeré činnosti spojené s procesem řízení přístupových oprávnění zajišťovalo specializované oddělení, které v té době bylo přetížené procesy spojené s „papírovou agendou" a s rostoucím počtem spravovaných aplikací.Následkem toho docházelo k postupnému prodlužování doby zpracování některých nekritických požadavků na přístupová oprávnění. Bylo zřejmé, že bez posílení týmu Řízení přístupových oprávnění není tato situace nadále udržitelná. Na druhé straně však záměrem ČSOB byla redukce nákladů na IT, a tedy naopak spíše snižování počtu IT pracovníků.
Rozsah řešení
Pro vyřešení těchto dvou protichůdných tendencí se ČSOB rozhodla jako první z velkých finančních ústavů v České republice implementovat Identity Management řešení. Pro implementační projekt byly vybrány business-critical aplikace, které jsou uvedeny v tabulce (na následující stránce) i se svými základními charakteristikami.
Volba implementačního partnera
„Implementace systému ITIM vyžadovala integraci se stěžejními bankovními systémy ČSOB, a proto výběr vhodného partnera byl zcela zásadním rozhodnutím," vysvětluje Petr Český, projektový manažer ČSOB. Na základě výběrového řízení byla vybrána pro tento projekt společnost Trask solutions. Kvalitu a profesionalitu služeb poskytovaných společností Trask solutions měla ČSOB prověřenou díky existující dlouhodobé spolupráci na jiných projektech a velkou výhodou této volby byla i partnerova detailní znalost konkrétního prostředí ČSOB.
Výhody systému itim
Zvýšení efektivity a zjednodušení správy
Díky napojení na personální systém umožňuje ITIM automatizaci procesů spojenou se zakládáním (resp. zrušením) účtu a přístupových oprávnění v aplikacích při příchodu (resp. odchodu) zaměstnance ČSOB. Agenda realizovaná koncovými uživateli se tak omezuje pouze
na zadávání požadavků a schvalování těchto změn. Celý tento proces je závislý na dokonalé implementaci vazby na personální systém, který poskytuje údaje o zaměstnancích a organizační struktuře. Odpovědnost za přidělená přístupová oprávnění je tedy delegována na přímého nadřízeného s možností delegace odpovědnosti na definovaného zástupce.
Odstranění papírování
Aplikace z výše uvedené tabulky byly připojeny jako přímo řízené aplikace systémem ITIM, tzn. že vlastní správa účtů na cílovém systému je zcela automatická, bez zásahů administrátora systému. Nicméně v rámci projektu byly do systému registrovány všechny aplikace, které ČSOB provozuje -- ITIM tedy slouží jako centrální podatelna a elektronická evidence všech přístupových oprávnění do všech aplikací v ČSOB. V rámci projektu byly nadefinovány role i do těchto „evidovaných" systémů (které nejsou přímo řízeny), a vzniklo tak prostředí, které je zcela jasně auditovatelné.
Odbourání byrokracie a delegace zodpovědnosti
Nejvýznamnějším bodem celé implementace bylo předání řešení koncovým uživatelům - manažerům. Byla jim předána aplikace, pomocí které sami řídí přístupová oprávnění. Jsou schopni zadávat nové požadavky a sami kontrolovat stav jejich zpracování. Prostřednictvím ITIM-workflow jsou namodelovány všechny procesy pro správu přístupových oprávnění. To vše má za důsledek snížení počtu telefonátů na helpdesk a urychlení celého procesu. „Bylo zřejmé, že kritickým okamžikem celého projektu bude zprůhlednění a zjednodušení stávajících procesů při správě a vyřizování požadavků na přístupová oprávnění jasně definované role, a tím pružná orientace při zadávání požadavků příjemné uživatelské rozhraní, samozřejmě s ovládáním v českém jazyce," vysvětluje Petr Český, projektový manažer ČSOB. Společný projektový tým (ČSOB a Trask) tuto situaci promptně zanalyzoval a urychleně zareagoval vytvořením webových aplikací (průvodců) v požadovaném grafickém formátu. Některé navržené procesy byly v této fázi přehodnoceny a zjednodušeny, a to i jejich technologická implementace (např. požadavek na schválení - manažer ho obdrží do svého e-mailu a schválí jej nebo zamítne na dvě kliknutí). Všechna tato opatření se ukázala jako velmi přínosná a byla hodnocena velmi kladně. V současné době již uživatelé aplikaci ITIM používají i se všemi jejími rozšířeními a k tomuto řešení jsou postupně připojovány další kritické aplikace v ČSOB.
Zvýšení bezpečnosti a zlevnění kontroly
Významný dopad má implementované řešení i v oblasti auditu. Miroslav Neřold, vnitřní auditor ČSOB, říká: „Auditorovi se do rukou dostává výkonný nástroj pro kontrolu v oblasti přístupových oprávnění do IT systémů. Například zjištění všech přístupových oprávnění uživatele do všech aplikací znamenalo v minulosti mnoho úsilí a spolupráci s různými administrátory systémů. A ani tak auditor neměl jistotu, že získal kompletní seznam. Nyní tuto informaci může auditor získat jednoduchou operací v ITIM během pár okamžiků." Právě v oblasti auditu poskytuje řešení zcela novou kvalitu - ITIM je schopný nejen řídit přístupová oprávnění, ale je schopen porovnat i stav své databáze proti skutečnému stavu v aplikaci. Odhalí tak jakékoliv nesrovnalosti, které mohl kdokoliv způsobit manuálními operacemi.
Další možnosti zvýšení bezpečnostia produktivity
V ČSOB tímto projektem vzniklo prostředí vhodné pro vybudování centrální autorizační databáze, která umožňuje další kvalitativní krok v centrální správě uživatelů a aplikací. ČSOB může pomocí Tivoli Access Manager standardizovat autentizaci a autorizaci do kritických aplikací, a tak se dál posunout na cestě k nasazení moderních principů SOA ve svém prostředí.