Что общего между стоматологией и внедрением IDM - 10 фактов

    За последние 3 года я участвовал в подготовке десятков сделок по внедрению IDM. Часть из них сорвалась из-за санации банков, часть развалилась из-за высокой цены на пользователя (до определенного размера инфраструктуры IDM внедрять экономически невыгодно), часть была успешно закрыта. Параллельно с этим я наблюдал за развитием нескольких программ проектов по развитию IDM в инфраструктурах на с ХХ ХХХ и даже ХХХ ХХХ пользователей - в компаниях, проблемы в информационных системах которых могут привести к экологической катастрофе или остановке значительной части платежей в стране.

    И даже там, где с бюджетами и экспертизой у клиента было все ок (а это не так уж часто, IDM принципиально отличается от классических ИБшных систем) был целый ряд проблем. В итоге я стал воспринимать внедрение IDM как посещение стоматологического кабинета - ужасно больно, но часто необходимо. О необходимости IDM сказано много, но так как мой блог и Твиттер обвиняют в маркетинге (хотя на самом деле я зарабатываю написанием статей во вполне респектабельных журналах) и для разнообразия - остановлюсь на рисках и проблемах IDM проектов. Насчитал я их 10:

1. IDM фактически единственная ИБ-система, что видимым образом взаимодействует с пользователем. Это значит что у нее есть интерфейс, и он может ну очень не нравиться пользователям. А еще пользователей нужно учить работать с системой, и следить что бы она вообще «прижилась». А потом если с системой что не так - пользователи поднимают бунт - генерят вал заявок.
2. IDM это нервный узел ИТ-ландшафта. Один из клиентов как-то пожаловался, что у него больше всего заявок именно по IDM. Но вспомнив, что у него к IDM подключено больше всего систем (40 или 50 - точно не помню) снял все претензии. Каждая система «живет», меняется, и поэтому IDM необходимо постоянно поддерживать, модернизировать коннекторы и workflow.
3. IDM управляет учетными записями (УЗ). А что будет если он «взбесится»? Как насчет блокировки всех (!) УЗ в AD корпоративного центра?..
4. IDM может негативно повлиять на работу ИТ-сервисов. Не одна сделка развалилась, из-за того что на старте проекта служба ИБ не договорилась со службой ИТ, и ИТшники банально саботировали предоставление доступа к целевым системам, выделение серверов под систему.
5. IDM’у нужен доступ в систему для управления УЗ. А вы не сталкивались с разработчиками софта (допустим банковского), что за доступ к API требуют отдельных денег (и немаленьких)? А с разработчиками что требуют денег не то что за доработку, а лишь за подготовку коммерческого предложения?.. А вы учли эти нюансы в план-графике и бюджете проекта?
6. IDM дорогой проект. Нет, IDM ДОРОГОЙ проект. Поспорить с ним по ценнику пожалуй может лишь антифрод - даже гигантский SIEM либо випнетизация тысяч точек частенько будут дешевле на одинаковом организационном обьеме.
7. IDM - проект с повышенными рисками. Если ИТ не даст вовремя сервера, не будет качественно проработана архитектура (ой, у нас нет денег на доступ к API процессинговой системы), некому будет прописывать регламенты управления доступом - проект обречен на сдвиг сроков. И хорошо, если руководство организации с пониманием отнесется к таким новостям.
8. IDM может завалиться под собственным весом. Напихать в проект 100500 требований от ИТ, ИБ и внутреннего контроля мне иногда кажется любимой затеей не одной топовой организации. Достаточно сказать, что мне известны не одна организация, что выбирала IDM больше 6 (!) лет. Боюсь представить сколько тысяч человекочасов было потрачено только на подготовку технических требований.
9. IDM проект критически зависит от наличия «паровоза» проекта. В одной организации 2 (!) ведущих IDM игрока 6 (!) лет внедряли IDM, и так и не внедрили. А все потому, что в организации за 6 лет сменилось 3 (!) директора по ИБ и 4 (!) директора по ИТ, и вендора HR-системы ХХХ просто не было кому призвать к ответу. Консультанты вендора разве что матом не посылали как организацию так и внедренцев. А без HR-системы (источника достоверных данных) IDM не внедрить. А в других организациях эти 2 IDM игрока легко «победили» вендора ХХХ.
10. IDM как ремонт - никогда не заканчивается. Организации создают группы и отделы поддержки или развития IDM, нанимают подрядчика (и не одного), но закончить все не удается - все время приходится поддерживать и развивать систему. IDM отражает бизнес-структуру и бизнес-процессы предприятия, и пока живет бизнес - живет IDM.

P.S. Кстати, в этом году я потратил почти 2 месячные зарплаты - но качественно пролечил зубы. Лечил не по корпоративной страховке, а у «своего» тщательного отобранного стоматолога. В стоматологии как и в IDM лучше не экономить - все недоплаченное деньгами все равно доплатим нервами.