Откуда есть пошёл насущный вопрос
С ростом объёма неструктурированных данных организации вопрос управления её информационными ресурсами (в частности, распределения прав доступа) перестаёт быть простым и становится проблемой, а за определёнными пределами – перерастает в настоящий кошмар. Кое-кто наверняка помнит, что на одноимённом уровне сложности происходило с монстрами в Doom: они плодились бесконтрольно, и вопрос для 99% игроков был не в том, сможете ли вы выжить, а в том, как долго продержитесь. Примерно то же самое начинает происходить и с данными: со временем их объём не только не снижается – он растёт, причём независимо от штата организации. Количество сотрудников может даже уменьшиться, но… Папка с сочетанием «2002 год» в названии? Она нам нужна. Марья Ивановна уволилась три года назад? Не трогайте её профиль, там ценные документы. А ещё мы вот тут создадим папочку. И тут. И вот здесь тоже очень нужно…
Увеличение штата специализированных подразделений – дело само по себе затратное – не выход: прибегать к такому решению постоянно (хотя бы догоняя скорость роста данных) не получится даже при всём желании. А ведь у таких подразделений есть множество других задач, зачастую более важных и также требующих огромного времени.
Что же делать? Очевидно, нужно качественное иное решение вопроса, и цель его – куда-то переместить нагрузку, создаваемую при управлении данными. Идеально, если ресурсы для обработки такой нагрузки будут расти пропорционально её увеличению. А если помечтать – чтобы росли автоматически, без меня. Эх. … Так. Но постойте… Ведь у нас уже есть вся база для создания такой почти самобалансирующей системы!
Концепция владельца данных
Помимо собственно владельца данных, для обозначения тех же самых людей существует много других терминов: бизнес-владельцы, ответственные пользователи, основные пользователи и т.д. Кто же все эти люди? Их характеризуют два ключевых признака.
1. Владелец данных понимает, что это за данные: их
a. суть (то есть что они могут «рассказать» способному понять их человеку) и
b. значение (что случится, если эти данные исчезнут оттуда, где они есть, и/или появятся где-то вовне, там, где они не должны быть).
2. В силу наличия упомянутых знаний о данных владелец может сказать, кто в организации должен иметь доступ к этим данным для работы, а не просто потому что большой палец его левой ноги захотел пощёлкать мышкой в чужих папках.
Классический пример – главный бухгалтер и данные в папке «Бухгалтерия» на файловом сервере.
Теперь, когда мы закончили с голой теорией, перейдём к практике.
Распределённое управление неструктурированными данными
Всё довольно просто. Каждый владелец берёт на себя кусочек бремени – по управлению теми данными, к которым относятся его знания, и камешек за камешком непослушная гора оказывается в том месте, где хотел увидеть её Магомет. Вот несколько практических задач:
• Обработка заявок на предоставление (или отзыв) прав доступа. Такие заявки поступают к владельцу, и он решает, нужно ли давать (или отзывать) доступ, разгружая подразделения ИТ и ИБ.
• Переаттестация прав доступа – раз в месяц или, скажем, в квартал пользователь проверяет, корректен ли список сотрудников, уполномоченных работать с его ресурсом, исключая таким образом избыточный доступ.
• Аудит – получение сводных или даже детализированных отчётов о поведении пользователей на ресурсе позволяет владельцу чувствовать, что ресурс под его контролем, и в случае проблем просить помощи у профильных подразделений.
• Первичный анализ автоматических сообщений о подозрительной активности пользователей – если срабатывание ложное, владелец просто проигнорирует его, в противном случае как человек, на которого внутренним документом организации возложена ответственность за сохранность данных, он сам постарается оповестить ИБ или ИТ.
Можно продолжать этот список в соответствии с тем количеством задач по управлению данными, которые стоят перед вами. Например, передать владельцам первичное рассмотрение сигналов по устранению некоторых технических неисправностей (пример – нарушение наследования прав в DACL).
За
• Снижение рабочей нагрузки
Прочитать отложенный документ, покопаться в новом NAS, разобраться, что не так с сетью, посетить не одну, а несколько интересных конференций по информационной безопасности – от всего этого управление данными (та же раздача прав на папки) способно буквально отрывать. Особенно, если отчёт сотруднику сдавать через полчаса, а доступа у него почему-то нет.
Раздача прав на папки, становясь рутинной задачей, перестаёт быть интересной. Соответственно, снижается удовольствие от работы и продуктивность. Нужно ли это вам? Вряд ли.
Для владельцев данных при правильном подходе, напротив, задача раздачи прав становится чем-то эпизодическим, отрывающим от другой рутины, а значит – интересным.
• Более профессиональный подход к вопросу
Допустим, список бухгалтеров своей организации вы знаете и сможете сами раздать права на папку бухгалтерии. А если в эту же папку просится курьер со словами, что его просили срочно распечатать, зайти подписать и потом отвезти отчёт – вы уверены, что его действительно просили? И кто это сделал – может, он увольняется через неделю и просил не совсем тот, кто должен был? Как насчёт папки вон того проекта по бурению, которым занимаются три подразделения – кто именно из сотрудников этих подразделений должен иметь доступ? Стажёры – каков круг их обязанностей и, соответственно, папок, куда им нужно давать доступ?
Владелец, знающий суть и понимающий значение данных, способен быстро и качественно ответить на все эти вопросы. Все остальные сотрудники, в том числе специалисты ИТ и ИБ вместе взятые, в подавляющем большинстве случаев сделают это хуже. Знаете, как часто мы видим доступ Everyone или Domain Users к критически важным ресурсам, потому что так намного проще, либо это вообще единственный выход? До сих пор – более чем в половине случаев. А ведь на дворе 2015 год.
• Чёткое разграничение ответственности
Когда от сотрудников поступают заявки на доступ к ресурсу, а системный администратор или специалист ИБ их одобряет, за корректность предоставления доступа по сути не отвечает никто, так как всегда можно сказать и «ну у меня же была заявка», и «ну мою заявку же одобрили». Поиск ответственного в случае инцидента превращается в поиск крайнего, у которого меньше «политического веса» в организации, что не сказывается положительным образом ни на состоянии информационных ресурсов, ни на атмосфере в коллективе.
Чётко идентифицированный владелец данных, на которого внутренним нормативным актом правильно возложена ответственность за ресурс, будет предпринимать больше усилий, направленных на предотвращение инцидентов ИБ.
• Ценность в глазах руководства
Я имею дополнительные обязанности и выполняю их, значит, я полезен организации и не зря получаю свой доход. Качественное исполнение обязанностей по участию в управлении данными может дать владельцу дополнительный аргумент для обоснования собственной ценности в глазах руководства. То же самое, кстати, будет полагаться и вам – как специалисту, успешно выстроившему оптимизирующий работу организации процесс. Не лишний бонус в свете кризиса и увеличивающейся конкуренции на рынке труда.
Против
• Владелец может всё сломать! А ещё может быть недобросовестным
Против очевидного возражать глупо – сотрудник, у которого есть права на изменение разрешений, может всё испортить, например, закрыв доступ администраторам. А если он скоро увольняется… Поэтому, чтобы защитить лбы, нужно дать владельцам специальное средство для молитв, своего рода кабинку с прочным ограждением, в котором есть только нужные кнопки. Такое решение позволит владельцу данных в удобном интерфейсе, не путаясь в дебрях, скажем, флагов NTFS принять ровно то решение, которое от него требуется, и сделать это ровно в тех пределах и в рамках тех процессов, которые одобрены подразделениями ИТ и ИБ. То же самое касается и получаемых владельцами отчётов.
• Расходы на внедрение
Основные ресурсы здесь, как и во многих других случаях – рабочее время сотрудников и средства, затрачиваемые на приобретение специализированного решения. Распределение управления данными – задача не одного дня, не одного месяца и даже не одного квартала. Но это те инвестиции и тот случай, когда запрягать можно длительное время, зато потом быстро и беспроблемно ехать, обгоняя тех, кто всё ещё идёт пешком по обочине, в то время как вы с удовольствием листаете свежий номер профильного журнала. «Делай сегодня то, что другие не хотят, и завтра будешь жить так, как они не могут».
Не стоит скрывать – на весах явно лежит достаточно трудоемкий проект, на который не у всех есть время, особенно в первом приближении. Избегая желания сделать всё в один момент, важно составить хороший план по переходу на распределённое управление данными: ограниченная область, где процесс отлаживается, участие лояльных сотрудников; далее – внутренняя нормативная документация, устанавливающая ответственного за назначение владельцев либо их перечень и порядок назначения, и обязывающая перейти на новую систему в течение, скажем, полугода; получение от владельцев отзывов об удобстве выбранного решения и т.п.
• Консервативность. Никто не захочет!
Психологическая инертность людей, не желающих принимать на себя новые обязанности, понятна. К счастью, много энергии требуется лишь для начала движения, и через некоторое время эта же консервативность начинает работать на вас: владельцы, привыкшие к удобству нового порядка и к чувству контроля (то есть некоторой дополнительной власти – на подсознательном уровне это всегда приятно), будут беспокоить вас, если вдруг им не придёт очередной отчёт о том, кто работал в их папке на неделе или вчера, а руководители тех подразделений, которые ещё не вовлечены в новый процесс согласования прав доступа, услышав о его удобстве от коллег, довольно быстро попросятся поучаствовать сами. Проверено практикой.
• Нетривиальность поиска владельцев
Не всегда просто ответить на вопрос, кого же необходимо назначить владельцем (вспомним пример проекта по бурению), то есть кто отвечает тем двум теоретическим критериям, указанным выше. К счастью, здесь тоже существует решение, позволяющее сузить круг потенциальных владельцев до обрабатываемого вручную за разумное время, предоставляя информацию о пользователях, которые действительно работают с ресурсом, и о том, как именно они работают. Список потенциальных кандидатов обычно сужается до 10-15 человек. После анализа этого списка «выйти на владельца» становится не так уж и сложно.
• Меня уволят!
Если вас наняли исключительно для разгребания заявок пользователей по предоставлению прав на папки, у меня для вас плохие новости: рано или поздно это всё равно произойдёт, поскольку такой труд нерационален. Во всех остальных случаях вы, во-первых, можете посвятить себя действительно интересным, творческим задачам, которых у любого профессионала ИТ и офицера ИБ мало-мальски серьёзной организации хватает, а во-вторых, останетесь очень полезны и важны своему работодателю в качестве специалиста, квалифицированно и ответственно настраивающего потоки информации по управлению данными (например, куда должны идти запросы на ту или иную папку, к кому должны приходить отчёты об её использовании и т.п.)
P.S.
Вопрос, стоит ли конкретно в вашей организации и сейчас искать и вовлекать в процесс владельцев данных, зависит от множества факторов, таких как обьем данных хранения, зрелость ИТ и ИБ, информационная зрелость сотрудников, экономическая ситуации на рынке и в конкретной компании и т.д. Вместе с этим, стоит помнить, что если сейчас ответ на этот вопрос скорее «нет» чем «да», то уже в недалеком будущем это изменится и уже сейчас стоит задуматься как заложить правильный фундамент и методологию для будущих процессов.
С ростом объёма неструктурированных данных организации вопрос управления её информационными ресурсами (в частности, распределения прав доступа) перестаёт быть простым и становится проблемой, а за определёнными пределами – перерастает в настоящий кошмар. Кое-кто наверняка помнит, что на одноимённом уровне сложности происходило с монстрами в Doom: они плодились бесконтрольно, и вопрос для 99% игроков был не в том, сможете ли вы выжить, а в том, как долго продержитесь. Примерно то же самое начинает происходить и с данными: со временем их объём не только не снижается – он растёт, причём независимо от штата организации. Количество сотрудников может даже уменьшиться, но… Папка с сочетанием «2002 год» в названии? Она нам нужна. Марья Ивановна уволилась три года назад? Не трогайте её профиль, там ценные документы. А ещё мы вот тут создадим папочку. И тут. И вот здесь тоже очень нужно…
Увеличение штата специализированных подразделений – дело само по себе затратное – не выход: прибегать к такому решению постоянно (хотя бы догоняя скорость роста данных) не получится даже при всём желании. А ведь у таких подразделений есть множество других задач, зачастую более важных и также требующих огромного времени.
Что же делать? Очевидно, нужно качественное иное решение вопроса, и цель его – куда-то переместить нагрузку, создаваемую при управлении данными. Идеально, если ресурсы для обработки такой нагрузки будут расти пропорционально её увеличению. А если помечтать – чтобы росли автоматически, без меня. Эх. … Так. Но постойте… Ведь у нас уже есть вся база для создания такой почти самобалансирующей системы!
Концепция владельца данных
Помимо собственно владельца данных, для обозначения тех же самых людей существует много других терминов: бизнес-владельцы, ответственные пользователи, основные пользователи и т.д. Кто же все эти люди? Их характеризуют два ключевых признака.
1. Владелец данных понимает, что это за данные: их
a. суть (то есть что они могут «рассказать» способному понять их человеку) и
b. значение (что случится, если эти данные исчезнут оттуда, где они есть, и/или появятся где-то вовне, там, где они не должны быть).
2. В силу наличия упомянутых знаний о данных владелец может сказать, кто в организации должен иметь доступ к этим данным для работы, а не просто потому что большой палец его левой ноги захотел пощёлкать мышкой в чужих папках.
Классический пример – главный бухгалтер и данные в папке «Бухгалтерия» на файловом сервере.
Теперь, когда мы закончили с голой теорией, перейдём к практике.
Распределённое управление неструктурированными данными
Всё довольно просто. Каждый владелец берёт на себя кусочек бремени – по управлению теми данными, к которым относятся его знания, и камешек за камешком непослушная гора оказывается в том месте, где хотел увидеть её Магомет. Вот несколько практических задач:
• Обработка заявок на предоставление (или отзыв) прав доступа. Такие заявки поступают к владельцу, и он решает, нужно ли давать (или отзывать) доступ, разгружая подразделения ИТ и ИБ.
• Переаттестация прав доступа – раз в месяц или, скажем, в квартал пользователь проверяет, корректен ли список сотрудников, уполномоченных работать с его ресурсом, исключая таким образом избыточный доступ.
• Аудит – получение сводных или даже детализированных отчётов о поведении пользователей на ресурсе позволяет владельцу чувствовать, что ресурс под его контролем, и в случае проблем просить помощи у профильных подразделений.
• Первичный анализ автоматических сообщений о подозрительной активности пользователей – если срабатывание ложное, владелец просто проигнорирует его, в противном случае как человек, на которого внутренним документом организации возложена ответственность за сохранность данных, он сам постарается оповестить ИБ или ИТ.
Можно продолжать этот список в соответствии с тем количеством задач по управлению данными, которые стоят перед вами. Например, передать владельцам первичное рассмотрение сигналов по устранению некоторых технических неисправностей (пример – нарушение наследования прав в DACL).
За
• Снижение рабочей нагрузки
Прочитать отложенный документ, покопаться в новом NAS, разобраться, что не так с сетью, посетить не одну, а несколько интересных конференций по информационной безопасности – от всего этого управление данными (та же раздача прав на папки) способно буквально отрывать. Особенно, если отчёт сотруднику сдавать через полчаса, а доступа у него почему-то нет.
Раздача прав на папки, становясь рутинной задачей, перестаёт быть интересной. Соответственно, снижается удовольствие от работы и продуктивность. Нужно ли это вам? Вряд ли.
Для владельцев данных при правильном подходе, напротив, задача раздачи прав становится чем-то эпизодическим, отрывающим от другой рутины, а значит – интересным.
• Более профессиональный подход к вопросу
Допустим, список бухгалтеров своей организации вы знаете и сможете сами раздать права на папку бухгалтерии. А если в эту же папку просится курьер со словами, что его просили срочно распечатать, зайти подписать и потом отвезти отчёт – вы уверены, что его действительно просили? И кто это сделал – может, он увольняется через неделю и просил не совсем тот, кто должен был? Как насчёт папки вон того проекта по бурению, которым занимаются три подразделения – кто именно из сотрудников этих подразделений должен иметь доступ? Стажёры – каков круг их обязанностей и, соответственно, папок, куда им нужно давать доступ?
Владелец, знающий суть и понимающий значение данных, способен быстро и качественно ответить на все эти вопросы. Все остальные сотрудники, в том числе специалисты ИТ и ИБ вместе взятые, в подавляющем большинстве случаев сделают это хуже. Знаете, как часто мы видим доступ Everyone или Domain Users к критически важным ресурсам, потому что так намного проще, либо это вообще единственный выход? До сих пор – более чем в половине случаев. А ведь на дворе 2015 год.
• Чёткое разграничение ответственности
Когда от сотрудников поступают заявки на доступ к ресурсу, а системный администратор или специалист ИБ их одобряет, за корректность предоставления доступа по сути не отвечает никто, так как всегда можно сказать и «ну у меня же была заявка», и «ну мою заявку же одобрили». Поиск ответственного в случае инцидента превращается в поиск крайнего, у которого меньше «политического веса» в организации, что не сказывается положительным образом ни на состоянии информационных ресурсов, ни на атмосфере в коллективе.
Чётко идентифицированный владелец данных, на которого внутренним нормативным актом правильно возложена ответственность за ресурс, будет предпринимать больше усилий, направленных на предотвращение инцидентов ИБ.
• Ценность в глазах руководства
Я имею дополнительные обязанности и выполняю их, значит, я полезен организации и не зря получаю свой доход. Качественное исполнение обязанностей по участию в управлении данными может дать владельцу дополнительный аргумент для обоснования собственной ценности в глазах руководства. То же самое, кстати, будет полагаться и вам – как специалисту, успешно выстроившему оптимизирующий работу организации процесс. Не лишний бонус в свете кризиса и увеличивающейся конкуренции на рынке труда.
Против
• Владелец может всё сломать! А ещё может быть недобросовестным
Против очевидного возражать глупо – сотрудник, у которого есть права на изменение разрешений, может всё испортить, например, закрыв доступ администраторам. А если он скоро увольняется… Поэтому, чтобы защитить лбы, нужно дать владельцам специальное средство для молитв, своего рода кабинку с прочным ограждением, в котором есть только нужные кнопки. Такое решение позволит владельцу данных в удобном интерфейсе, не путаясь в дебрях, скажем, флагов NTFS принять ровно то решение, которое от него требуется, и сделать это ровно в тех пределах и в рамках тех процессов, которые одобрены подразделениями ИТ и ИБ. То же самое касается и получаемых владельцами отчётов.
• Расходы на внедрение
Основные ресурсы здесь, как и во многих других случаях – рабочее время сотрудников и средства, затрачиваемые на приобретение специализированного решения. Распределение управления данными – задача не одного дня, не одного месяца и даже не одного квартала. Но это те инвестиции и тот случай, когда запрягать можно длительное время, зато потом быстро и беспроблемно ехать, обгоняя тех, кто всё ещё идёт пешком по обочине, в то время как вы с удовольствием листаете свежий номер профильного журнала. «Делай сегодня то, что другие не хотят, и завтра будешь жить так, как они не могут».
Не стоит скрывать – на весах явно лежит достаточно трудоемкий проект, на который не у всех есть время, особенно в первом приближении. Избегая желания сделать всё в один момент, важно составить хороший план по переходу на распределённое управление данными: ограниченная область, где процесс отлаживается, участие лояльных сотрудников; далее – внутренняя нормативная документация, устанавливающая ответственного за назначение владельцев либо их перечень и порядок назначения, и обязывающая перейти на новую систему в течение, скажем, полугода; получение от владельцев отзывов об удобстве выбранного решения и т.п.
• Консервативность. Никто не захочет!
Психологическая инертность людей, не желающих принимать на себя новые обязанности, понятна. К счастью, много энергии требуется лишь для начала движения, и через некоторое время эта же консервативность начинает работать на вас: владельцы, привыкшие к удобству нового порядка и к чувству контроля (то есть некоторой дополнительной власти – на подсознательном уровне это всегда приятно), будут беспокоить вас, если вдруг им не придёт очередной отчёт о том, кто работал в их папке на неделе или вчера, а руководители тех подразделений, которые ещё не вовлечены в новый процесс согласования прав доступа, услышав о его удобстве от коллег, довольно быстро попросятся поучаствовать сами. Проверено практикой.
• Нетривиальность поиска владельцев
Не всегда просто ответить на вопрос, кого же необходимо назначить владельцем (вспомним пример проекта по бурению), то есть кто отвечает тем двум теоретическим критериям, указанным выше. К счастью, здесь тоже существует решение, позволяющее сузить круг потенциальных владельцев до обрабатываемого вручную за разумное время, предоставляя информацию о пользователях, которые действительно работают с ресурсом, и о том, как именно они работают. Список потенциальных кандидатов обычно сужается до 10-15 человек. После анализа этого списка «выйти на владельца» становится не так уж и сложно.
• Меня уволят!
Если вас наняли исключительно для разгребания заявок пользователей по предоставлению прав на папки, у меня для вас плохие новости: рано или поздно это всё равно произойдёт, поскольку такой труд нерационален. Во всех остальных случаях вы, во-первых, можете посвятить себя действительно интересным, творческим задачам, которых у любого профессионала ИТ и офицера ИБ мало-мальски серьёзной организации хватает, а во-вторых, останетесь очень полезны и важны своему работодателю в качестве специалиста, квалифицированно и ответственно настраивающего потоки информации по управлению данными (например, куда должны идти запросы на ту или иную папку, к кому должны приходить отчёты об её использовании и т.п.)
P.S.
Вопрос, стоит ли конкретно в вашей организации и сейчас искать и вовлекать в процесс владельцев данных, зависит от множества факторов, таких как обьем данных хранения, зрелость ИТ и ИБ, информационная зрелость сотрудников, экономическая ситуации на рынке и в конкретной компании и т.д. Вместе с этим, стоит помнить, что если сейчас ответ на этот вопрос скорее «нет» чем «да», то уже в недалеком будущем это изменится и уже сейчас стоит задуматься как заложить правильный фундамент и методологию для будущих процессов.
