Когда в компании меняется система управления доступами, первая реакция сотрудников нередко бывает одинаковой - неприятие. Не потому что людям нравится работать "по старому", а потому что любые изменения в ежедневной рутине воспринимаются как риск.

В голове быстро складывается знакомый набор ожиданий:

Теперь любую мелочь придется согласовывать, и это займет больше времени.

Если вводят новые правила, значит, нам меньше доверяют.

Это инициатива ИБ, которая усложнит нашу работу.

В итоге пострадает скорость: задачи будут стоять, процессы тормозить, а отвечать за сроки все равно нам.

Это нормальная реакция на любые изменения, особенно если раньше доступы выдавались быстро, неформально и бессистемно. Проблема здесь, как правило, не в самом внедрении продукта, а в том, как донести до сотрудников необходимость, пользу и своевременность изменений.

Важно сразу зафиксировать ключевой принцип.

IDM - это не про контроль людей, а про контроль процессов. Речь идет не об усилении надзора, а о наведении порядка в том, как выдаются, используются и отзываются доступы.

Что действительно меняется:

В первую очередь меняется сама логика работы с правами доступа:

• доступы перестают выдаваться «по памяти», «по договоренности» и «как раньше»;

• права привязываются к ролям, задачам и срокам, а не к конкретному человеку и, зачастую, навсегда;

• устраняются ситуации, когда сотрудники работают с избыточными правами просто потому, что так исторически сложилось.

Что при этом не меняется:

При внедрении IDM важно обозначить и границы изменений:

• никто не следит за каждым действием пользователя;

• доступы не усложняются ради формальной безопасности;

• бизнес-процессы не должны замедляться.

Почему на практике становится проще.

Корректно настроенный IDM не добавляет ручной работы, а наоборот, снимает ее. В повседневной работе это выглядит так:

• доступы автоматически выдаются при приеме на работу и смене роли;

• временные права отзываются без ручного вмешательства;

• исчезает необходимость «ходить и выбивать» доступы через чаты и письма;

• руководитель в любой момент понимает, кто и зачем имеет доступ к системам.

Почему без этих изменений дальше нельзя.

Отказаться от наведения порядка в доступах сегодня уже невозможно. Причин для этого несколько:

• регуляторы требуют формализованного разграничения прав;

• аудиторы больше не принимают аргумент «у нас так принято»;

• значительная часть инцидентов происходит не из-за атак, а из-за старых, лишних и забытых доступов.

Как правильно говорить об этом с сотрудниками:

Ключевой момент коммуникации - честность и прозрачная логика. Не объяснение в формате «нам так приказали», а понятное и честное сообщение:

Мы приводим доступы в соответствие с реальными задачами, чтобы упростить работу администраторов, улучшить качество сервиса по выдаче доступов и снизить риски организации, связанные с несанкционированным использованием корпоративной информации.

В таком формате IDM перестает восприниматься как история про запреты и ограничения. Если это объяснить сразу и спокойно, саботажа не возникает: сначала формируется привычка, а затем вполне искренняя благодарность за то, что этот процесс наконец автоматизировали.