Управление учётными записями и настройка корпоративной техники при онбординге. Взгляд со стороны ИБ

Привет! Меня зовут Роза, я старший инженер инфраструктурной безопасности в Ozon Tech. В этой статье я расскажу о ключевых подходах к управлению учётными записями и настройке корпоративных устройств в нашей компании при onboarding (от англ. адаптация, далее по тексту — онбординг). Это может быть полезно вам, если вы занимаетесь аналогичной историей в своей организации. Вы узнаете про опыт Ozon, что мы имеем сейчас и как планируем адаптировать процессы онбординга к условиям удалённой работы и отсутствия централизованных инструментов управления ноутбуками, сохраняя при этом прозрачность.

В эпоху «удалёнки» контроль за учётными записями и настройка корпоративных устройств стали настоящим вызовом. Столкнувшись с ограничениями на использование специализированного ПО, многие компании оказались перед задачей: как организовать онбординг новых сотрудников, когда возможности централизованного управления через системы MDM (Mobile Device Management) недоступны. Как подготовить ноутбуки и обеспечить безопасность, когда процессы, давно отлаженные для офисных условий, рушатся в реалиях дистанционной работы? В связи с этим компании вынуждены искать креативные и эффективные решения, чтобы обеспечить бесперебойную работу сотрудников, не снижая при этом уровень безопасности данных и защищённости инфраструктуры. Давайте начнём разбираться.

В чём основная проблема?

Персональная учётная запись и корпоративный ноутбук — два элемента, которые сопровождают сотрудника в процессе работы практически в любой организации.

Учётная запись — это не просто набор данных в информационной системе, а ключевая сущность, которая обеспечивает идентификацию, аутентификацию и авторизацию пользователя, и правильное управление которой играет важнейшую роль в обеспечении информационной безопасности компании.

В этом контексте корпоративный ноутбук как рабочий инструмент тесно связан с учётной записью, создавая защищённую среду для выполнения повседневных задач. Вместе они позволяют реализовать политики безопасности, такие как шифрование данных, удалённый доступ и другие. Эти меры особенно важны в эпоху возрастания киберугроз, когда защита данных становится первоочередной задачей для каждой организации.

Таким образом, грамотное управление учётными записями и корпоративными устройствами не только повышает эффективность работы сотрудников, но и обеспечивает надёжную защиту конфиденциальной информации, что сегодня является одним из главных приоритетов для бизнеса.

А что там с онбордингом?

Рассмотрим процесс онбординга сотрудников в компании. Его правильное функционирование, понятность и прозрачность позволяют обеспечить плавное вхождение нового сотрудника в работу, максимально ускоряя его адаптацию к корпоративной среде.

Важная составляющая всего онбординга — это действующие лица, которые принимают непосредственное участие в процессе:

• новые сотрудники (далее по тексту — новички) — бывшие кандидаты, которые приняли предложение о работе и готовятся к трудоустройству в компании;

• сотрудники отдела адаптации — первые, кто взаимодействует с новыми лицами в Ozon. Они отвечают за организацию первичного контакта и ввод в корпоративную среду;

• сотрудники технической поддержки — специалисты, которые подготавливают и выдают ноутбуки, объясняют правила работы с корпоративными устройствами и учётными записями, обеспечивая соблюдение правил информационной безопасности;

• сотрудники отдела кадров — специалисты, которые обеспечивают документальное оформление кандидата в соответствии с трудовым кодексом и внутренними процессами организации;

• информационная безопасность — это не сотрудники, напрямую участвующие в процессе онбординга новичков, а состояние души защищённости компании. Однако именно специалисты информационной безопасности выдвигают требования по защите информации ко всем объектам и ресурсам, с которым сталкивается сотрудник во время своей работы в Ozon.

Создание процесса онбординга требует учёта интересов всех участников, каждый из которых имеет свои приоритеты. Чтобы этот процесс был успешным, важно найти баланс между безопасностью, простотой и эффективностью.
Рассмотрим требования и пожелания ключевых участников процесса.

Информационная безопасность (ИБ)

Для специалистов по информационной безопасности главным приоритетом является защита данных. Мы требуем, чтобы процесс онбординга соответствовал строгим стандартам безопасности:

• защита учётных данных: учётные записи могут быть созданы заранее, но активироваться должны только в момент трудоустройства, чтобы предотвратить несанкционированный доступ. При этом логин и пароль сотрудник должен получить только после подписания трудового договора;

• контроль доступа: для учётной записи необходимо строго ограничить и мониторить доступ к корпоративным ресурсам до того момента, пока новый сотрудник не заключит все юридические соглашения с компанией;

• защита устройств и шифрование данных: корпоративные ноутбуки должны быть настроены таким образом, чтобы вся информация хранилась в зашифрованном виде, а доступ осуществлялся только под корпоративной учётной записью. Это минимизирует риски утечек информации в случае утраты устройства.

Отдел адаптации

Сотрудники отдела адаптации стремятся к тому, чтобы процесс был максимально прозрачным и понятным как для них, так и для новых сотрудников:

• простота и автоматизация: создание и активация учётных записей, отправка аутентификационных данных и уведомлений руководителю не должны зависеть от ручной работы, сотрудники отдела должны сосредоточиться только на поддержке и обучении новичков;

• понятные инструкции: все процессы, включая настройку устройства и доступ к корпоративным системам, должны быть чётко описаны, чтобы новые сотрудники не испытывали затруднений.

Отдел технической поддержки

Для специалистов технической поддержки ключевое пожелание — скорость и эффективность выполнения задач, особенно в условиях большого найма:

• минимум ручных операций: идеальный процесс — это когда все готово «по щелчку пальцев» и остаётся только выдать устройство сотруднику без необходимости хранения дополнительных данных (например, паролей) по каждому новому сотруднику.

Отдел кадров

Для сотрудников отдела кадров важно, чтобы весь процесс был максимально налаженным и беспроблемным:

• минимум ошибок: ничто не должно тормозить оформление сотрудника, особенно некорректно работающая автоматизация;

• актуальность данных и возможность их сбора и обработки: не нужно требовать дополнительную информацию больше, чем могут предоставить сотрудники отдела кадров.

Новый сотрудник

Для новичков важно, чтобы процесс был простым и понятным:

• прозрачность: новые сотрудники хотят получать чёткие инструкции и понимать, на каком этапе находится их онбординг.

Если детализировать пожелания всех участников, то имеем следующие требования:

• учётная запись должна быть создана и активирована в день официального трудоустройства;

• в случае отсутствия подписанного трудового договора по истечении отведённого времени учётная запись должна быть немедленно заблокирована;

• каждая учётная запись должна иметь свой уникально сгенерированный временный пароль, который соответствует корпоративной политике;

• логин и пароль от учётной записи должны передаваться строго человеку, для которого она была создана, без участия третьих лиц;

• корпоративный ноутбук должен быть настроен в соответствии с политиками информационной безопасности;

• сотрудники технической поддержки исключаются из процесса контроля за новой учётной записью: не осуществляют сброс пароля, не следят за своевременной активацией и деактивацией;

• сотрудники отдела адаптации в день трудоустройства кандидата взаимодействуют только с ним и никак не вовлекаются в другие процессы;

• ни один процесс автоматизации не блокирует работу отдела кадров при оформлении кандидатов.

Найти баланс между этими требованиями было основной задачей при создании и внедрении нашей новой схемы онбординга. И вот что получилось.

Новая схема онбординга

Важной составляющей новой схемы является увеличение автоматизации и уменьшение ручного взаимодействия между участниками и системами. Мы имеем следующие возможности.

1. Автоматическое создание учётных записей. Учётная запись должна создаваться автоматически за определённое количество дней до выхода кандидата на работу и исходя из формата его трудоустройства — офисного или удалённого. Это позволит унифицировать весь процесс онбординга, начиная с момента принятия предложения о работе и заканчивая подписанием трудового договора вне зависимости от того, где находится новый сотрудник.

2. Гибкость в изменении даты выхода. В случае переноса даты выхода сотрудника или его отказа от предложения о работе процессы активации учётной записи будут автоматически перенесены или остановлены, что позволит управлять своевременной активацией и деактивацией.

3. Возможность ручного создания учётных записей. В особых случаях, если учётную запись нужно создать раньше, чем предусмотрено системой (например, сроки доставки ноутбука будут больше, чем 5-7 дней), сотрудники технической поддержки должны иметь возможность сделать это самостоятельно, без привлечения специалистов смежных отделов.

4. Безопасное хранение паролей. Пароль, сгенерированный при создании учётной записи, будет храниться в защищённом локальном хранилище паролей до того момента, пока сотрудник не получит и не сменит его. При этом технические специалисты также смогут получить доступ к паролю для корректной настройки ноутбука. Более никто и ни в каком виде не получит пароль, кроме самого сотрудника, для которого предназначается учётная запись.

5. Своевременная активация учётной записи. Учётная запись кандидата будет активирована только в день настройки ноутбука и в день его официального оформления, что обеспечит соблюдение всех процедур безопасности и контролей доступа.

6. Уведомление руководителя. В день оформления сотрудника его руководитель получит автоматическое напоминание о том, что у него запланирован выход нового члена команды.

7. Автоматическая рассылка с логином и паролем. В день оформления кандидат автоматически получит свой логин и пароль, но только после подписания трудового договора, поскольку весь документооборот у нас ведётся в электронном формате. Передача учётных данных будет осуществляться через нашу систему электронного документооборота.

В новой схеме сложно автоматизируемо пожелание технической поддержки, ведь их работа по настройке устройств является важным и неотъемлемым звеном во всей цепочке. Однако и тут мы смогли добиться некоторого облегчения процесса.
Расскажу по порядку...

1.У нас есть система управления учётными записями по всем нашим IdP (Identity Provider) — это просто веб-интерфейс для удобства.

2.Наши специалисты технической поддержки написали браузерное расширение, которое по факту клика на логин пользователя в интерфейсе системы генерирует QR-коды на основе созданных логинов и паролей.

3.Затем к настраиваемому ноутбуку по проводу подключается QR-сканер, который имитирует ввод с клавиатуры, и считывается нужный QR-код c логином или паролем для создания учётной записи на устройстве или проверки входа.

Но на этом наша удалённая работа без границ не заканчивается. Мы активно идём в технологию Zero Trust с помощью таких концепций как IAP (Identity Aware Proxy) (подробнее здесь), IAM (Identity and Access Management) и Device Compliance Agent, который позволит нам проверить состояние защищённости устройства при подключении к корпоративным ресурсам. Также у нас в бэклоге есть много идей, как полететь в космос, которые мы планируем реализовать и о которых мы обязательно ещё расскажем.

Послесловие

Для успешного построения любого процесса, связанного с управлением учётными записями или настройкой корпоративных ноутбуков вовсе не обязательно обладать теми же системами и ресурсами, что есть у нас. Главное — это стремление к оптимизации процессов. Любая компания может использовать идеи и опыт, подобный нашему, но адаптированный под свои задачи. Даже небольшие шаги в сторону автоматизации рутинных задач и повышения безопасности могут значительно упростить управление сотрудниками и устройствами, повысить эффективность и снизить риски. Независимо от того, какие ресурсы есть в распоряжении компании, главное — правильно организовать процессы и найти решения, которые подходят именно для вашей среды.