|
|
Обзор подготовлен
Защита информации от несанкционированного использования предполагает комплекс мер, который сложно реализовать в торговых компаниях ввиду того, что они чаще всего имеют сильно разветвленную территориальную структуру. Но, тем не менее, опыт внедрений решений класса Identity and Access Management в ритейле и предприятиях оптовой торговли показывает, что инвестиции в данный сегмент с лихвой окупаются.
Специфика бизнеса современной торговой компании предполагает использование десятков информационных систем и приложений: комплексный торговый учет, управление складскими запасами, движение товарно-материальных ценностей, ведение бухгалтерии и многое другое. Учитывая тенденции развития торговли (консолидация активов различных участников рынка, слияния и поглощения торговых компаний, региональная экспансия), все большее количество участников рынка сталкивается с необходимостью управления доступом к информационным системам компании для тысяч пользователей.
Согласно требованиям бизнеса, сотрудники и партнеры торговой компании имеют ролевой доступ к информации, которая не должна попасть в руки конкурентов или злоумышленников. Источником такой информации может являться, например, внутренняя система учета и контроля товародвижения, которая содержит данные об объеме, структуре и скорости товарного производства и обращения, издержках и потерях предприятия, валовых доходах, чистой прибыли, рентабельности и т.д. Очевидно, что ее бесконтрольное распространение может нанести серьезный ущерб финансовому состоянию и репутации компании.
Защита информации от несанкционированного использования предполагает комплекс мер, который сложно реализовать ввиду того, что торговые компании чаще всего имеют сильно разветвленную территориальную структуру. Решения класса Identity and Access Management специально разработаны для того, чтобы управлять идентификацией и доступом сотрудников и партнеров предприятия к информационным системам компании из единой централизованной точки. В таблице ниже приведены особенности подобных систем.
Ключевые преимущества решений класса IAM
Преимущество | Детализация |
Централизованное управление правами доступа к информационным ресурсам | Централизовать управление доступом к информационным системам и создать единую базу данных учетных записей пользователей возможно в результате интеграции всех аутентификационных данных бизнес-приложений в единое информационное пространство. Учетные записи сотрудников создаются простым назначением ролей, исполняемых сотрудником, и не требуют участия администраторов. Это помогает избежать ошибок администрирования и существенно повысить продуктивность работы всех подразделений. |
Синхронизация | Благодаря "коннекторам" - специализированным программным модулям, с помощью которых осуществляется интеграция систем, - изменения, производимые из единой точки, могут единовременно распространяться во все информационные системы компании, в соответствии с установленными правилами. Кроме того, решение позволяет фиксировать неавторизованные изменения, которые можно либо распространить на все остальные ИС, либо "откатить" назад. Кроме того, единая база служит основой для отчетов в службу безопасности. |
Автоматизация рутинных процедур | При приеме нового сотрудника на работу решение позволяет в течение нескольких минут предоставить ему доступ ко всем системам, необходимым для выполнения должностных обязанностей. При увольнении доступ сотрудника к информационным системам максимально быстро блокируется, при сохранении всей информации в журналах безопасности |
Единая процедура аутентификации | С помощью IAM (продукт Single Sign On) сотрудники компании могут аутентифицироваться во всех приложениях, используя одни и те же учетные данные. Это значит, что им больше не нужно помнить несколько различных паролей. |
Возможности стратегического управления | Консолидированная база позволяет руководству компании представлять полную картину о состоянии и тенденциях развития крупного территориально-распределенного предприятия и может использоваться для принятия стратегических решений. |
Источник: Черус, 2008
Внедрение продуктов класса Access and Identity Manager целесообразно для компаний, начиная от тысячи пользователей, и имеет некоторые особенности в зависимости от отрасли применения. Торговый сектор здесь не является исключением. Определенные тонкости можно обозначить в различных видах торговли – оптовой и розничной.
В связи с тем, что клиенты розничных торговых сетей не имеют доступа к информационным системам, таким компаниями необходимо, прежде всего, обеспечить защиту от инсайдеров. Андрей Малакеев, генеральный директор компании "Корпоративные Информационные Системы" считает, что "именно инсайдеры представляют собой наибольшую опасность с точки зрения возможных потерь от несанкционированных действий. Внешние нарушители (так называемые хакеры) могут организовать атаку на сайт компании и временно блокировать его работу, либо могут проникнуть в локальную сеть и попытаться скопировать содержимое файловых систем. Но, учитывая сложность архитектур современных информационных систем, они вряд ли смогут превратить все это в полезную информацию без помощи инсайдера, не говоря уже о выполнении финансовых транзакций или модификации данных".
В результате на первый план выходит задача по обеспечению ролевого доступа к информационным системам и приложениями компании и своевременному блокированию этого доступа в случае увольнения сотрудника.
Известны случаи, когда безответственный подход к защите информационных систем приводил к тому, что торговая компания терпела значительные убытки. Так, уход менеджера отдела продаж одной из торговых сетей, который в силу своих обязанностей имел доступ к складским запасам, обернулся пропажей части продукции. Другая торговая компания обнаружила пропавшие 300 тысяч рублей через месяц после увольнения кассира, которому удалось внести изменения в кассовую программу.
Андрей Кормильцев, директор ИТ-департамента компании "Черус", отмечает такую особенность розничных компаний, как применение большого количества информационных систем (обеспечивающих работу кассовых аппаратов, печать ценников и этикеток, приложений для сбора и анализа данных мониторинга посетителей магазинов, управление очередями и т.п.) при однотипности необходимого пользователям доступа к ним.
Это значит, что администраторам приходится выполнять огромное количество рутинных операций. Схожесть требований доступа позволяет широко применять роли – наборы прав доступа. Для сокращения рутинных операций важно оптимально распределить роли на начальном этапе внедрения решения, что позволит автоматизировать все однотипные операции и свести их к простому присвоению роли тому или иному сотруднику.
В дальнейшем загрузка администраторов минимизируется, и задача управления ролями переходит к лицам, непосредственно за них отвечающим (служба кадров, начальники отделов и т.п.), что дает дополнительные преимущества благодаря удалению промежуточных звеньев между назначением на должность и получением соответствующих прав доступа к системам.
Другая особенность, по мнению эксперта, - это наличие большого количества филиалов, каждый из которых может находиться в удаленных точках страны и даже за ее пределами, и при этом требует управления доступом к информационным системам, специфичным для филиала. Содержать в каждом филиале администратора, который будет заниматься выдачей прав доступа к ИС компании, крайне невыгодно и не всегда возможно, поэтому централизация контроля и управления учетными записями сотрудников также играет немаловажную роль.
Помимо защиты информационных систем, розничные компании могут использовать средства IAM для реализации дополнительных возможностей. Среди них – предоставление широкого спектра сервисов постоянным клиентам по дисконтным картам и другим средствам идентификации. Как правило, такие услуги предоставляются клиентам пакетно. В каждый пакет, который в данном случае является ролью (член клуба, VIP-клиент, оптовый покупатель и т.п.), входит определенный набор сервисов (скидки, доступ к резервированию, просмотр и уведомление о наличии товара, возможность адресной доставки и т.п.). Объединив системы, предоставляющие данные сервисы с помощью IAM, компания сможет в автоматическом режиме контролировать опции, доступные определенному клиенту в любой момент времени.
Еще одна возможность повышения качества обслуживания клиентов с помощью IAM – централизация идентификации клиентов в системах компании-поставщика, сети магазинов и сервис-центров. Если клиент такой объединенной сети, купив товар в магазине, через некоторое время обратится с ним в сервисный центр, он сможет отремонтировать или заменить товар в одном месте на основе карточки клиента или номера заказа. Компании, объединенные информацией о клиентах, могут автоматически обменяться данными о товаре и клиенте и от его имени провести процесс замены и доставки товара, избавив самого заказчика от промежуточных этапов. Таким образом повышается удовлетворенность клиента, снижается количество ручных операций по его идентификации и формированию заявок.
В отличие от розничной компании, "оптовик" открывает доступ к своим информационным системам и приложениям как внутренним пользователям, так и внешним - клиентам, партнерам, дилерам. Это позволяет ему добиться увеличения объемов реализации продукции. Это происходит, во-первых, из-за предоставления персонифицированного доступа партнерам и клиентам к информации о продукции 24 часа в сутки 7 дней в неделю. Во-вторых, за счет одновременного извещения всех партнеров и клиентов об изменениях через публикацию объявлений в общедоступных базах. И, наконец, партнеры и клиенты получают доступ к промо-акциям и маркетинговым материалам компании.
Но широкие возможности накладывают и ряд ограничений. Как отмечает Дмитрий Жариков, начальник отдела программных решений компании "Черус", предоставляя доступ к информационным системам столь обширному и разнородному кругу пользователей, компания существенно увеличивает свои риски. А вдруг партнер переметнется к конкурентам? С этого момента его доступ ко всей информации представляет угрозу для компании, и в целях безопасности необходимо своевременно блокировать учетные записи всех его сотрудников.
Владение внутренней информацией компании может привести к недобросовестной конкуренции. Например, зная ценовую политику организации, конкурент может с уверенностью управлять ценами на свою продукцию, вовремя проводить промо-акции, начинать сезоны скидок.
Таким образом, помимо контроля внутренних учетных записей, в задачи администраторов оптовой компании входит управление учетными записями внешних пользователей, получающих доступ к необходимым информационным системам через web-интерфейсы. Так, дилеры могут иметь доступ к складской базе предприятия, дебиторской задолженности, данным о продажах и возвратах, промо-акциям компании, могут в автоматическом режиме заказывать продукцию, выставлять счета, получать отчетные документы. Клиенты компании имеют доступ к информации об основных видах продукции, ценовой политике компании, торговых точках по всей стране и каналах продаж.
Продукты класса IAM позволяют крупной оптовой компании создать единое хранилище информации о внешних и внутренних пользователях, синхронизировать их учетные записи в различных приложениях, т.е. представляют собой единую точку управления правами доступа к различным ИС компании.
Одно из важнейших преимуществ такого подхода – минимизация риска возникновения ошибок в системе из-за сокращения влияния человеческого фактора. Очевидно, что администратор, управляя доступом к информационным системам для большого количества пользователей, скорее всего, совершит ошибки, которые в результате автоматизации процесса практически исключены.
Сегодня в России растет количество крупных торговых холдингов, совмещающих в своей деятельности оба перечисленных направления бизнеса. Примерами могут послужить такие известные игроки рынка, как Sunrise, NIX, OLDI, "Комус", "Юнитекс" и другие. Очевидно, что таким компаниям необходимо совмещать задачи опта и розницы. Одним из таких общих вопросов ИБ является документирование действий пользователей.
Андрей Малакеев считает нужным отметить очень важную роль, которую должна выполнять система IAM в составе общей системы информационной безопасности. Дело в том, что в ИТ, так же как и в физическом мире, наиболее действенный метод обеспечения безопасности – это гарантия неотвратимости наказания. Реализация этого подразумевает наличие средств постоянного контроля (аудита) деятельности персонала с выявлением нештатной активности. Полученные в результате постоянного аудита данные также используются для выявления нарушителя и формирования доказательной базы, - отмечает эксперт. Проблема состоит в том, что системы ИТ-аудита оперируют, как правило, записями в системных журналах. А в них события регистрируются в контексте учетной записи, в то время как преступления совершают люди, а не учетные записи. И именно системы IAM, обеспечивающие ведение актуальной информации о персонале и присвоенных сотрудникам учетных записях, позволяют установить однозначное соответствие между событием в ИТ-системе и конкретным сотрудником.
Таким образом, грамотный подход к применению современных систем идентификации и доступа, основанных на IAM, позволяет решить массу проблем безопасности торговой компании. Кроме того, они становятся одним из элементов ИТ-инфраструктуры дополнительного сервиса для покупателей в рознице, и звеном в работе с партнерами в оптовой торговле. Все это позволяет отказаться от затратного подхода к ИБ и рассматривать безопасность как один из "центров прибыли".
Андрей Камбаров /CNews Analytics