В крупной компании IdM-система окупится за пару лет
– Чем отличаются IdM- и IAM-системы? Существует ли какое-то стандартное решение, какие компоненты в него входят?
– На рынке существует два понятия: IdM и IAM, то есть управление учетными записями (Identity менеджмент) и управление учетными записями и доступом (Identity and access менеджмент). Identity-менеджмент менее функционален по сравнению с IAM, он позволяет создать некое информационное поле, в котором будут находиться учетные записи пользователей, функционирующие по определенным правилам.
Когда мы говорим об IAM, то имеем в виду, что в рамках этого существующего поля, созданного IdM, функционирует набор неких дополнительных процессов: аудит, усиленная аутентификация, механизмы единой точки входа. То есть получается некая матрица процессов, которая накладывается сверху на IdM.
Резюмируя, IdM – это база данных и процессы по созданию и блокированию учетных записей, а IAM – это все то, что сконцентрировано вокруг них: доступ в сторонние системы, одноразовые пароли, многофакторная аутентификация и т.д.
– А какие задачи решают IdM-системы?
– Основные задачи, которые решает IdM, – это централизованное управление административными учетными записями для внешних сотрудников и проверка правильности выдачи административных прав для внутренних сотрудников. У ряда систем есть функционал, позволяющий проверить, были ли права администратора выданы в соответствии с предусмотренными механизмами или в обход их. Чаще всего задачи, которые решает IdM, формируются клиентом и рождаются из более прикладных – например, построения систем единой точки входа (Single sign-on, SSO). Из интереса к SSO возникает интерес к IdM. Клиенту может быть необходимо контролировать администратора, централизованно всем управлять, чтобы защитить себя от неправомерных действий, сократить затраты на обслуживание информационной структуры.
– Каковы объем, динамика рынка IdM-систем?
– Мы ориентируемся на общедоступные данные. Если верить оценкам западных исследовательских компаний, то объем рынка IdM-систем – порядка $10 млрд в 2012 году. Ежегодно мировой рынок увеличивается примерно на 20%; российский рынок составляет ориентировочно 1/20 от глобального, то есть около $500 млн.
– А растет он такими же темпами, как мировой?
– У нас он развивается гораздо медленнее. Люди боятся отдавать критичные для бизнеса и безопасности функции в новую, неопробованную автоматизированную систему. Крупных проектов, которые действительно могут взять и пробить этот слой недоверия, пока еще мало.
Если посмотреть на западный рынок IdM-систем, открыть квадрант Gartner за 2012 год, то там будет 20-25 вендоров. Из них на отечественном рынке работают 5-8. Несколько разработчиков есть и в нашей стране. В России очень мало внедрений IdM-систем, потому что все боятся почувствовать себя подопытными кроликами. В нашей индустрии в роли подопытных кроликов любят выступать крупные компании от 3000 сотрудников, потому что в их случае выгода от внедрения будет высока. У нас есть набор калькуляторов ROI, позволяющий рассчитывать окупаемость инвестиций в данную систему. При штате в 2000-2500 человек, при наличии десяти информационных систем окупаемость может быть достигнута в течение 2-3 лет.
– Как давно развивается направление IdM в компании Softline?
– До начала текущего года IdM, управление учетными записями, не являлось отдельным направлением, оно входило в комплекс услуг и поставлялось в качестве сопутствующей системы. С 2013 года в рамках Департамента информационной безопасности Softline выделено отдельное направление по IdM в связи с его востребованностью.
– Кто обычно пользуется IdM-системами?
– С точки зрения сегментации рынка, такие решения в первую очередь необходимы финансовым компаниям, во вторую – ритейлу. Система позволяет автоматизировать рутинные процессы, выполняемые многократно. А в ритейл-компаниях, как правило, 40-50% сотрудников - это кассиры, обслуживающий персонал. Они также имеют возможность пользоваться информационными системами, а предоставление доступа к ним может быть в существенной степени автоматизировано. Также очень заинтересованы IdM-системами игроки телеком-сектора: в этих компаниях большое количество сотрудников, учетных данных, которыми необходимо управлять, и информационных систем, к которым нужно предоставлять доступ.
Соответственно, мы получаем портрет компании, которой может быть интересен IdM: в ее составе должно быть много сотрудников и большое количество информационных систем с различными типами прав доступа.
– Сколько человек у вас работает в этом бизнес-направлении?
– У нас есть несколько вендоров, с которыми мы работаем наиболее плотно. С ними уже организовано обучение наших сотрудников. Порядка десяти наших инженеров могут работать с различными IdM-системами. Это сертифицированные специалисты, которые могут участвовать в проектах, осуществлять внедрение. При этом подготовка не останавливается – мы постоянно расширяем их компетенции.
На базе Softline развернуты демонстрационные стенды трех производителей. Это Trustverse, разработчик IdM-системы «Куб», Avanpost и Dell, разработчик системы Quest One Identity Manager. Мы собираемся предоставить нашим клиентам возможность получать доступ к демонстрационным площадкам, чтобы они могли оценить функционал, простоту управления и понять, насколько данная система применима к их задачам.
– Как много проектов вы завершили?
– В России в целом внедрений IdM очень немного. Какие-то цифры называть еще рано, потому что до конца года все еще идет очень большая работа с заказчиками. Из завершенных проектов можно упомянуть внедрение Microsoft Forefront Identity Manager – эту систему в конце 2011 года мы внедрили в компании НТВ.
– От каких факторов зависит цена IdM-системы?
– Что касается стоимости внедрения, то довольно четко очерчена только нижняя граница: до $50 тыс., верхняя же граница будет очень сильно размыта. Она зависит от нескольких факторов. Во-первых, от желания и возможности заказчика менять, оптимизировать бизнес-процессы. Я это называю «внедрение сверху», когда мы движемся от бизнес-процессов непосредственно к операциям, которые необходимо автоматизировать. В этом случае проект может быть довольно долгим (от полугода до года) за счет того, что мы будем перерабатывать процессы и ролевые модели.
При «внедрении снизу» у заказчика, как правило, есть некая система документооборота, механизм согласования заявок, свой сервис, и ему нужно только автоматизировать все процессы. В этом случае проект может идти от 2 до 4 месяцев. Соответственно, это будет наименее затратный вариант внедрения. Он может оказаться менее эффективным в долгосрочной перспективе, но не все готовы работать по более затратной и эффективной схеме.
Также цена внедрения будет зависеть от количества информационных систем. IdM интегрируется с целевыми системам и работает с ними, передавая и получая учетные. Процесс этой интеграции – один из самых трудоемких. К каким-то системам подключаться легко (например, к Microsoft Active Directory, SAP, Oracle), но к некоторым язык протокола общения нужно писать с нуля. Это может занимать от двух недель до двух месяцев. Соответственно, чем больше у нас нетиповых систем, тем дороже с точки зрения интеграции получится конечное решение.
Филиальная структура слабо влияет на стоимость решения. Если говорить про верхнюю планку стоимости, то компании со штатом в 3-5 тыс. человек и примерно десятью целевыми системами стоит ориентироваться на цифру в полмиллиона долларов.
– Какие бывают сложности при внедрении проектов?
– Очистка данных – это самая большая проблема, если информационная система сильно разрознена, особенно в результате сделок слияний-поглощений и последующего объединения базы пользователей.
Также есть сложность в части создания связей с другими системами, но это больше проблема вендоров – они заинтересованы в том, чтобы их решение продавалось, а их IdM-система поддерживала как можно больше сторонних бизнес-приложений.
Большая проблема связана с повышенной осторожностью заказчиков. Несколько лет назад люди не хотели пользоваться «облаками», потому что боялись передавать куда-то вовне свои данные, но потом стали оценивать такой подход с точки зрения выгоды. С IdM пока осторожничают, потому что хотят увидеть пилотные проекты, чтобы оценить функционал и возможность выстраивания системы под свои задачи.
– Дайте свой прогноз на ближайшие лет пять. Как IdM-система будет развиваться с учетом «облаков»?
– На данный момент на рынке уже есть решение, которое предлагает объединение облачного сервиса с IdM. Это западное решение, оно пока делает первые свои шаги на российском рынке. К нему относятся еще более настороженно, чем просто к IdM.
Облачный сервис IdM, с моей точки зрения, получит широкое развитие, но не ранее, чем лет через пять. Для этого потребуется, чтобы во всеуслышание заговорили о его успешном функционировании. Пока еще не все заказчики довольны существующим функционалом, еще идет шлифовка, идеального решения пока нет. Поэтому мой личный прогноз: лет через пять, возможно, появятся пресс-релизы о завершенных проектах, в рамках которых IdM-система была предоставлена как облачный сервис.
Если оценивать перспективы этого рынка, то, на мой взгляд, к 2015 году он увеличится в 2-3 раза за счет увеличения количества крупных внедрений. К этому моменту IdM-системы будут отшлифованы, появится большее количество коннекторов к информационным системам. Банки, например, интересуются поддержкой используемых ими автоматизированных банковских систем, а коннекторы к ним уникальны.
Есть мнение, что часть IdM-рынка будет «съедаться» за счет систем, предоставляющих доступ по одноразовым паролям. Для небольших компаний нет смысла заказывать громоздкое IdM-решение, им будет выгоднее использовать недорогой и удобный программный продукт, который будет давать доступ по одноразовым паролям. А IdM-системы ориентированы на крупных заказчиков.
– Как система работает в случае появления новых сотрудников?
– IdM позволяет автоматизировать действия администраторов информационных систем и экономить их время. Для того чтобы отвлечься от выполняемой задачи и переключиться на следующую, администратору требуется, условно, 10 минут. Операция по заведению пользователя в 10 системах отнимет у него еще от получаса до часа. Как это можно автоматизировать? При развертывании IdM создаются роли сотрудников со своими правами и привилегиями. На каждого пришедшего сотрудника в кадровой системе создается учетная запись. После того как данные о нем попали в базу, коннектор определяет, что база обновилась, и смотрит, какие произошли изменения в структуре компании. На основании этих изменений формируются процессы, создающие записи во всех информационных системах. Также, если в кадровой системе появились какие-либо отметки, например об уходе в отпуск, то инициируется приостановка полномочий во всей системах. Это экономит время.
– Как вы просчитываете ROI, ведь эта система не несет прямой выгоды, а оптимизирует процессы внутри компании?
– Мы считаем следующим образом. Если сотрудник освобождает 8 часов своего рабочего времени за счет внедрения IdM, то высвобождается ресурс в 8 человеко-часов, который может быть использован на проектах. Да, напрямую «живых» денег это не принесет, но это поможет IT-директору при планировании бюджета на следующий год снизить затраты на обслуживание инфраструктуры. Это и есть возврат инвестиций – появление некоего пула финансов и ресурсов, которые можно перераспределить.
– IdM – это индивидуальное решение, которое подгоняется под каждую конкретную компанию. Возможно ли появление в будущем каких-то полукоробочных решений для небольших компаний?
– Возможно, но нескоро. Сейчас, как вы правильно сказали, IdM – это не коробка. Коробочное решение возможно в том случае, если компанию интересует оптимизация процессов, связанных только с Microsoft Active Directory. В этом случае мы готовы делать прогнозы по стоимости, даже имея относительно точные данные об инфраструктуре заказчика, потому что внедрение будет типовым. Как только появляется что-то более сложное, прогнозы рушатся, и до обследования сказать что-то определенное нельзя. Я думаю, что в 2015 году мы будем готовы выложить некое типовое коммерческое предложение и озвучить его стоимость. Ранее к такому подходу не будут готовы ни рынок, ни вендоры.
– Возможен ли доступ в IdM-систему с мобильного устройства?
– С архитектурной точки зрения, появление мобильного устройства в инфраструктуре не повлияет на IdM-систему. Меняется терминал, способ ввода и передачи информации. Но пользователь и информационные системы, к которым предоставляется доступ, остаются прежними.
