Бывает, что проект на первый взгляд выглядит чисто технологическим, но при ближайшем рассмотрении оказывается, что задуман и проведен он был как часть исполнения долговременной стратегии, как реализация масштабной и сложной реорганизации ИТ-процессов в целом. К таким интересным случаям относится и построение централизованной системы управления идентификационными данными пользователей в «Вимм-Билль-Данн». О том, как оно было задумано и выполняется, рассказывает Сергей Коротков, CIO компании «Вимм-Билль-Данн».
Intelligent Enterprise: Какая задача ставилась в этом проекте?
Сергей Коротков: Задумывая и реализовывая проект управления идентификацией, мы хотели решить ряд практических задач, а также заложить один из краеугольных камней в фундамент нашей корпоративной архитектуры.
Основная практическая задача, которую мы хотели решить, — это повышение финансовой эффективности ИТ‑сервисов, при котором повышался бы и уровень сервиса наших пользователей. Это один из тех проектов, где не надо выбирать приоритеты: если сделать все правильно, вы можете получить и то и другое сразу.
Статистика среднестатистической службы поддержки при стабильной ИТ-архитектуре показывает: 70% вопросов связаны с тем, что пользователь забыл пароль или ему нужен какой‑то новый доступ. Эти запросы вызывают стандартный набор процессов для восстановления или одобрения этого доступа, в которых задействованы сотрудники и ИТ‑служб, и бизнес-подразделений, владеющих приложениями. Выполнение всех данных процессов порой занимает много времени, в течение которого сотрудник, запрашивающий доступ, не может полноценно работать.
У нас в компании более 4 тыс. пользователей различных систем, при этом получение доступа до начала реализации проекта занимало от одного до, в экстремальных случаях, трех рабочих дней. Вы сами можете посчитать стоимость простоя сотрудников из‑за такой задачи, простой и повседневной в жизни каждой организации. Проблема усугубляется фактором территориальной распределенности организации, где администраторы на разных площадках, даже следуя одной процедуре, выполняют действия различно. Кроме того, к ней добавляются требования периодического аудита прав доступа. Все это выливается в серьезную нагрузку на службы администрирования систем у управления правами доступа. Добавив стоимость лицензий ПО, покупаемых и обновляемых для сотрудников, у которых вовремя не пересмотрели права в связи с изменением рабочей роли, вы составите более-менее четкое представление о стоимости процесса управления правами доступа. После проведения анализа мы оценили срок окупаемости проекта для нашей компании (при планируемой эффективности решения в 60%) менее чем в два года.
Среди больших задач, стоявших передо мной, когда я пришел в компанию два года назад, было существенное повышение эффективности управления ИТ. Одним из методов решения этой задачи мы с командой выбрали централизацию. Мы решили, что очень важно централизовать, причем не обязательно в Москве, где находится центральные офисы «Вимм-Билль-Данн», в первую очередь такие операции, на которые уходит много труда, где можно сделать много ошибок, которые требуют долгих многозвенных согласований и медленное исполнение которых раздражает пользователей. Дело в том, что обычно, когда вы централизуете сервис, это вызывает массовое недовольство, а мы хотели сервис улучшить, сделать его быстрей и прозрачней.
Управление правами доступа наряду с еще несколькими процессами показалось нам очень удачным аспектом для улучшения процесса как в финансовом плане, так и с точки зрения улучшения сервиса пользователей.
Была еще одна позиция, с которой мы оценивали важность данного процесса. Она имеет отношение уже к стратегии компании. Когда вы строите архитектуру, у вас есть несколько классов ключевых объектов, эффективную работу с которыми должны поддерживать ваши ИТ‑системы. Это ваши продукты, это ваши клиенты и поставщики. За продукты и поставщиков обычно отвечают ERP‑системы, за клиентов — CRM‑системы совместно с ERP. И еще один важный объект — люди, работающие в компании. Обычно считается, что внедрение HR‑системы обеспечивает управление данным объектом. На самом деле это не совсем так.
Чтобы строить любые системы workflow, вовлекающие в процессы сотрудников, чтобы реально работать с объектом «человек» в ИТ‑системах компании, нужно знать его цифровую сущность в каждой системе. И Oracle Identity Manager, который мы внедряем с R-Style, как раз эту глобальную задачу и решает. Он привязывает ваши id, содержащиеся во всех ИТ‑системах, которыми вы пользуетесь, к вашей функциональной сущности — имени, должности и роли внутри компании. Ваш профайл в каждой из систем постоянно связан с вашей ролью и именем. Если меняется ваша роль или должность, то автоматически меняются и доступ к ИТ-ресурсам, и функциональная авторизация внутри систем. Поэтому для нас Identity Manager означает гораздо больше, чем просто управление доступом. Он становится важным камнем в фундаменте нашей SOA‑стратегии. Мы хотим, чтобы бизнес-процессы SOA, начинающиеся в одной системе, а заканчивающиеся в другой, могли однозначно «узнавать» пользователей вне зависимости от систем. Для такого подхода Oracle Identity Manager является единым источником подобной информации.
При помощи Identity Manager мы пытаемся построить в компании ролевую модель авторизации. Когда в «Вимм-Билль-Данн» появляется, например, новый бухгалтер, то он получает сразу же стандартный набор приложений бухгалтера и может начать работать с первого дня, на основе одной записи в кадровой системе — никому не нужно писать никаких запросов. Запросы могут потребоваться только для доступа к каким‑то специальным средствам, которые не входят в стандартный набор функций роли. При этом согласование доступа проходит в системе управления потоками работ Identity Manager, а права создаются системой в большинстве случаев автоматически без участия администраторов. Смена роли всегда создает проблемы для служб ИТ, поскольку нужно дать доступ к новым инструментам, закрыв доступ к старым. Чаще всего новый доступ дается, а старый так и остается навечно. Identity Manager решает и эти вопросы. Ваша роль в ИТ‑системах меняется вместе с ролью в HR‑системе. Мы ожидаем, что эта система будет дальше расти и развиваться именно потому, что позволяет аккумулировать всю важную информацию о пользователях в постоянно развивающемся ландшафте ИТ‑систем. Для нас это особенно важно, так как мы целенаправленно движемся в сторону развития ИТ‑сервисов, и персонализация начинает играть в этом все более важную роль, как и в других областях сервисного бизнеса.
Почему именно Oracle Identity Manager?
Инструментов такого класса на рынке не очень много. Выбирая продукт, важный для нашей стратегии, мы проводим серьезные исследования и стараемся ориентироваться на лидеров отрасли. Мы выбрали продукт, который будет занимать лидирующие позиции в оценках аналитиков с точки зрения качества и функциональности, будет иметь самые широкие связи с другими продуктами, будет поддерживаться в России. По широте подхода, по его продуманности, по интегрируемости и соответствию нашей SOA-архитектуре продукт Oracle показался нам правильным выбором.
Насколько далеко вам удалось продвинуться в применении сервисного подхода?
У нас в ИТ есть несколько основных правил. Одно из них — мы не предоставляем ПО. Мы предоставляем интегрированные бизнес-процессы и связанные с ними сервисы. Я бы не сказал, что мы решили все проблемы на пути сервисного подхода, что все наши пользователи это купили, но могу утверждать, что в «Вимм-Билль-Данн» в это поверило значительно больше людей, чем во многих других компаниях, о которых я знаю. Мы искренне верим, что с сервисом, предоставляемым моей командой, должно быть удобно работать, наши пользователи должны понимать, почему он сформирован именно так, и он должен соответствовать ожиданиям или даже превосходить их. Нам очень повезло, так как сервисный подход вообще широко используется во взаимодействиях между подразделениями в нашей компании, поэтому нам не приходится тратить много времени на обучение пользователей основам подхода, а можно сфокусироваться на качестве услуг.
Каким был план проекта, какие этапы он включал, какими временными рамками был ограничен?
Мы попытались изучить опыт внедрения подобных продуктов в других компаниях. Нужно было не только ознакомиться с «лучшими практиками», а, что еще более важно, найти худшие практики, чтобы не наступить на те же грабли. Мы выяснили, что чаще всего провалом для Identity Management оказывается желание охватить абсолютно все и сразу.
Поэтому мы для первого шага выбрали несколько ключевых наиболее часто используемых систем, таких как Oracle E-Business suite, HR‑система, доступ к AD и Exchange и еще несколько, для привязки к базовым процессам управления доступом. При этом полную реализацию ролевой модели и другие «продвинутых» функций мы отнесли на второй этап, потому что они потребуют сбора статистики использования Identity Manager. Если бы мы пытались делать сразу все, проект, наверное, не закончился бы никогда.
Кроме того, сложные системы, данные пользователям сразу, не всегда приживаются. Лучше начинать с простой ограниченной функциональности. Мы хотим, чтобы система управления доступом росла вместе с аппетитом пользователей, чуть‑чуть опережая его, и это позволит значительно улучшить восприятие системы. Мы хотим, чтобы эта система давала результат с первого дня, а для этого она должна быть понятна пользователям и легко применима.
Весь проект стартовал около года назад. Вначале сотрудниками R-Style была сделана модель, которая успешно прошла внутреннее тестирование. Сейчас мы запустили в пилотную эксплуатацию первый этап, включающий четыре ключевые системы и три ключевых процесса из двенадцати, которые мы намерены покрыть в итоге. Пока еще проект далек от завершения, мы, по сути дела, в середине пути. Я вижу, что команда R‑Style очень профессиональна и благодаря ее знаниям и умениям, а также слаженной работе с внутренней сервисной группой «Вимм-Билль-Данн» у проекта есть все шансы на успех.
Что значит в этом случае «модель»?
Развернут рабочий продукт. Причем нужно учесть: Oracle Identity Manager — это далеко не «набор лего», где из блоков можно быстро собрать что угодно. Скорее, это, как часто бывает у Oracle, очень универсальный продукт, который поэтому нужно старательно «доработать по месту напильником», чтобы он точно подошел под ваши процессы. Например, пришлось дописать несколько коннекторов именно силами подрядчиков, в том числе к нашей HR‑системе «Босс‑кадровик». В создание модели вошли развертывание самого продукта, настройка коннекторов, включая дописывание и изменение необходимых, изменение и настройка функциональности по нашим стандартам и настройка интерфейсов и некоторых процессов таким образом, как желательно видеть их нашим пользователям.
Не напрасно ли потрачено столько времени и денег? Часто многие вопросы «доводки» решают уже на этапе опытно-промышленной эксплуатации.
Мы стараемся на людях не экспериментировать. В нашей практике из этого хорошие результаты не получаются. Мы стараемся, и это еще одно наше внутреннее правило, предоставлять сразу качественный продукт. Мы, конечно, привлекаем часть целевой аудитории как тестовую группу, которая помогает нам создать действительно качественный и востребованный продукт, но считаем, что на широкую аудиторию с прототипом выходить нельзя. Предлагать надо продукт, которым можно будет гордиться.
Есть еще одно важное обстоятельство. В целом это был бизнес-проект, а не проект по информационной безопасности. Но так как речь идет о контроле доступа, от безопасности никуда не денешься. А отношение к ней у большинства пользователей настороженное, если не негативное. Нам бы хотелось в данном случае донести до пользователей мысль, что это не проект по закручиванию гаек. Цели при внедрении продукта ставились другие — максимальное удобство пользователя, возможность быстро приступить к своим непосредственным обязанностям, удобство руководителей, всех контролирующих внешних и внутренних органов для проверки контроля доступа.
На стабилизацию первого этапа по всей компании у нас отведено два месяца. А затем мы планируем подключать другие системы и развивать ролевую модель. Я рассчитываю, что процесс будет активно продолжаться до года, но на самом деле такие проекты не заканчиваются совсем. Как я уже говорил, они продолжают свое развитие с развитием архитектуры ИТ-решений.