Správa přístupových oprávnění v ČSOB

01. června 2004

Řešení ITIM snižuje náklady, automatizuje požadavky a zrychluje jejich vyřízení.

POTŘEBA: Zefektivnit a zrychlit řízení přístupových požadavků při rostoucím počtu nových aplikací (bez nutnosti nabírat nové lidi)

V rámci naší dlouhodobé spolupráce s ČSOB, jsme bance pomohli vyřešit otázku správy přístupových oprávnění. Psal se rok 2004 a ČSOB musela reagovat na dvě důležité okolnosti:

Tou první byl vzrůstající počet různých regulatorních opatření v souvislosti s vyhláškou ČNB, který vyžadoval po bankovních institucích v ČR zabezpečit přístup k informacím pouze oprávněným zaměstnancům.

Banky tehdy navíc využívaly stále více aplikací, což mělo přímý dopad na délku procesu vyřízení požadavků na přístupová oprávnění a vyžadovalo zvyšování počtu pracovníků, kteří tento proces vykonávají. Mezi nejdůležitější aplikace v té době patřily bankovní systémy Profile/ IBS, IBIS a SAP. Centrálně provozovaných aplikací a systémů bylo kolem stovky.

ČSOB jako lídr na trhu bankovních služeb samozřejmě plánovala v nejbližší budoucnosti nasadit další kritické aplikace. Veškeré činnosti spojené s procesem řízení přístupových oprávnění zajišťovalo specializované oddělení, které v té době bylo přetížené procesy spojené s „papírovou agendou“ a s rostoucím počtem spravovaných aplikací. Následkem toho docházelo k postupnému prodlužování doby zpracování některých nekritických požadavků na přístupová oprávnění.

Bylo zřejmé, že bez posílení týmu Řízení přístupových oprávnění není

tato situace nadále udržitelná. Na druhé straně však záměrem ČSOB byla redukce nákladů na IT, a tedy naopak spíše snižování počtu IT pracovníků.

ČSOB se proto rozhodla pro implementaci produktu pro automatizaci procesů spojených s řízením přístupových oprávnění.

Jako implementátor byla vybrána společnost Trask solutions, se kterou má ČSOB dlouhodobé zkušenosti. Kvalitu a profesionalitu našich služeb si ČSOB ověřila už dříve během spolupráce na jiných projektech. Z toho plyne naše detailní znalost prostředí na straně klienta, v čemž banka oprávněně spatřovala velkou výhodu.


ŘEŠENÍ: ITIM: centrální podatelna a elektronická evidence automatizuje správu oprávnění (a šetří práci koncovým uživatelům)

Pro automatizaci procesů jsme zvolili produkt IBM Tivoli Identity Manager (dále jen ITIM), který vyhovoval z pohledu své funkčnosti a efektivity řešení i z pohledu stabilního výrobce.

Výhodami systému ITIM jsou především:

  • Zvýšení efektivity a zjednodušení správy: Díky napojení na personální systém umožňuje ITIM automatizaci procesů spojených se zakládáním (resp. rušením) účtu a přístupových oprávnění v aplikacích při příchodu (resp. odchodu) zaměstnance ČSOB. Agenda realizovaná koncovými uživateli se tak omezuje pouze na zadávání požadavků a schvalování těchto změn. Celý tento proces je závislý na dokonalé implementaci vazby na personální systém, který poskytuje údaje o zaměstnancích a organizační struktuře. Odpovědnost za přidělená přístupová oprávnění je tedy delegována na přímého nadřízeného (s možností delegace odpovědnosti na definovaného zástupce).
  • Odstranění papírování: Aplikace byly připojeny jako přímo řízené aplikace systémem ITIM. Tím se vlastní správa účtů na cílovém systému stala zcela automatickou, bez nutnosti zásahů administrátora systému. Nicméně v rámci projektu byly do systému registrovány všechny aplikace, které ČSOB provozuje – ITIM tedy slouží jako centrální podatelna a elektronická evidence všech přístupových oprávnění do všech aplikací v ČSOB. V rámci projektu byly nadefinovány role i do těchto „evidovaných“ systémů (které nejsou přímo řízeny), a vzniklo tak jasně auditovatelné prostředí.

Hlavní přínosy

  • Projekt umožnil komplexně zmapovat přístupová oprávnění do všech informačních systémů ČSOB a nastavit potřebné kontrolní mechanismy
  • Byly nastaveny jasné zodpovědnosti uživatelů, vedoucích pracovníků i správců přístupových oprávnění
  • Vysoká míra automatizace procesů včetně propojení ITIM na personální systém banky snížila nároky na helpdesk (klesl počet telefonátů)
  • Vyřízení požadavků na přístupová oprávnění se zrychlilo ze dnů na hodiny
  • Zvýšení bezpečnosti a zlevnění kontroly
  • Zjednodušení auditu, kde naše řešení poskytuje zcela novou kvalitu — ITIM je schopný nejen řídit přístupová oprávnění, ale je schopen porovnat i stav své databáze proti skutečnému stavu v aplikaci. Odhalí tak jakékoliv nesrovnalosti, které mohl kdokoliv způsobit manuálními operacemi.
Implementace systému ITIM vyžadovala integraci se stěžejními bankovními systémy ČSOB, a proto výběr vhodného partnera byl zcela zásadním rozhodnutím.
Petr Český – Projektový manažer, ČSOB
Auditorovi se do rukou dostává výkonný nástroj pro kontrolu v oblasti přístupových oprávnění do IT systémů. Například zjištění všech přístupových oprávnění uživatele do všech aplikací znamenalo v minulosti mnoho úsilí a spolupráci s různými administrátory systémů. A ani tak auditor neměl jistotu, že získal kompletní seznam. Nyní tuto informaci může auditor získat jednoduchou operací v ITIM během pár okamžiků.
Miroslav Neřold – Vnitřní auditor ČSOB

Závěr

Zavedením nástroje ITIM jako centrální podatelny a elektronické evidence a z něj plynoucí automatizací jsme v ČSOB zjednodušili, zefektivnili, zlevnili a řádově zrychlili správu přístupových oprávnění, aniž banka musela najímat nové IT pracovníky. A to v situaci, kdy počet zaváděných kritických aplikací rostl.

Naše řešení kromě zvýšené bezpečnosti a kontroly bance přineslo i výkonný nástroj pro vnitřní audit v oblasti oprávnění přístupů do systémů a vytvořilo prostředí, v němž lze ve všech výše uvedených směrech bezproblémově rozvíjet a vylepšovat kvalitu služeb.

Hlavní devizou tohoto řešení je, že i při rostoucím počtu aplikací se již nezvyšují náklady na správu přístupových oprávnění a i při stávajícím počtu pracovníků se daří zlepšovat kvalitu takto poskytované služby
Jiří Pospíchal – Výkonný manažer, ČSOB