После недавней истории о схожести стоматологии и внедрения IDM наверняка все читатели подумали - «Да ну его нафиг, эта IDM-затея для мазохистов». Без небольшого мазохизма в этом деле никак (а уж представьте какие мазохисты CIO, что внедряют интеграционные шины), но у этой затеи есть очень, ОЧЕНЬ жирные плюсы. Такие жирные, что целым категориям организаций без IDM вообще никак. Руководству их служб ИТ и ИБ иногда может быть проще ходить с невылеченными зубами чем работать без IDM.
Первая категория это Корпорации. Корпорации с большой буквы, у которых десятки тысяч офисных сотрудников. Подчеркиваю - именно офисных, 10 000 тысяч охранников и 20 000 кассиров, а так же 40 000 рабочих на нефтепромыслах - смело вычеркиваем. У таких компаний заявки могут возиться тележками, и носиться мешками (а мешки потом транспортироваться между московскими офисами на мотороллере - реальный кейс между прочим). После успешного внедрения IDM службы ИБ и ИТ могут чуть ли не подраться - выясняя чей вклад в проект больше (тоже реальный кейс одной из топовых в своей отрасли компаний в России, да что в России - в мире).
Вторая категория это комплаенс-ориентированные конторы. Те, что привлекают много западных денег через выпуск облигаций, выходят на IPO, оказывают услуги требовальным по части ИБ заокеанским заказчикам. Для них IDM это сразу решение трети ИТ-комплаенс задач. Ведь проверяют их аудиторы, которые иногда путают FW и IPS, но тем не менее имеют ЗП 250 штук и в их резюме не хватает разве что Аксенчура (а так все пестрит логотипами Биг4). И вот эти аудиторы всегда начинают с управления доступом. Эта штука им понятна, и видя автоматизированную систему (лучше производителя из тру-части квадранта Гартнера) они прямо обмякают. Их можно понять, ведь время от времени они оказываются на очередном заводе в глуши, где им предстоит разобраться в управлении доступом и обеспечении целостности финансовой отчетности пресловутого завода. И хорошо если заявки на доступ на заводе находятся в системе ServiceDesk, или ведется какой-никакой учет доступов. Бывает (и нередко) там все идет по почте, или горы бумажных заявок, или вообще приняв заявку по телефону Иваныч доступ дает. И вот пишут они какую-то ерунду в отчете (что бы его приняли), а потом очередная Биг4 компания получает очередной иск.
Третья категория это компании где штат дефицитнее бюджета. Вот потратить еще 15 лямов на 30-ый комплекс безопасности там считается нормально, а вот взять еще человека-двух наводить шорох в заявках или процессах - проблема, нужно ну очень серьезное обоснование. Таким компаниям вообще показана практически любая автоматизация, просто потому что иначе у менеджмента будет ехать крыша - задач становится только больше, а людей больше не дают.
Четвертая категория это компании в инвестиционной фазе. У компании ну «просто очень много денег», ИТ реализует тучу проектов, получает много позитива от бизнеса. А что делать ИБ? FW, IPS, NAC, GRC, SIEM, sandbox и прочая непонятная нормальному человеку фигня никак не сможет конкурировать с новым банковским «фронтом» или CRM. А IDM имеет шансы. Несмотря на всю свою геморройность при внедрении система предоставляет понятную ценность для бизнеса, внутреннего контроля и аудита, ИТ и ИБ, способствует приятнейшему для финдира явлению «сдерживание роста издержек», и вообще предоставляет вероятно первый в компании веб-интерфейс взаимодействия ИБ и пользователей. Т.е. эти хмурые дядьки (вероятно из «органов») все таки понимают что за окном все давно сидят в фейсбучике и вконтактике, и вообще стремятся как-то сделать жизнь своих пользователей удобнее. То бишь как минимум они не хуже ИТшников (и то хорошо - все равно все эти «косты» нам непонятны).
А уж если компания попала сразу в несколько категорий - деваться ей особо некуда. Вот не слышно как-то стонов Министерства обороны что больно сложные и дорогие это штуки военные спутники да баллистические ракеты. Хотя наверняка если можно было бы обойтись понятным "калашом" или в крайнем случае старой доброй "катюшей" военные так бы и поступили.
Комментариев нет:
Отправить комментарий