W środowisku korporacyjnym, temat First Day Readiness jest dziś powszechnie znanym, jednak różnie bywa z jego faktycznym wdrożeniem. Czym zatem jest First Day Readiness?
Jest to nic innego, jak zdolność pracownika do wykonywania pracy od razu po dołączeniu do organizacji (albo przynajmniej w bardzo krótkim czasie po dołączeniu). Oznacza to, że nowo zatrudniona osoba otrzymała cały potrzebny sprzęt do wykonywania swoich obowiązków (laptop, telefon służbowy, kartę dostępu do biura) oraz wszelkie niezbędne dostępy do środowiska IT, i tym samym jest w stanie od razu mieć realny wkład w spełnianie celów biznesowych swojego pracodawcy. Jest to ściśle powiązane z procesem znanym w terminologii zarządzania tożsamością i dostępem (IAM) jako proces Joiner (o czym w dalszej części tekstu).
Czy First day readiness to standard na rynku pracy? Okazuje się, że nie. Czasem słyszymy historie, kiedy to nowy pracownik pojawia się w nowej pracy i czeka miesiąc lub dwa na to, by po prostu uzyskać możliwość wykonywania swojej codziennej pracy. Być może konto do danej aplikacji nie zostało jeszcze utworzone albo wciąż oczekuje na akceptację managera lub zajętego dyrektora… a może dział IT Service Desk jest nadmiernie obciążony pracą i wniosek utknął w „kolejce” w systemie ITSM (IT Service Management)? Warto zwrócić uwagę, że tam, gdzie nie ma automatyzacji, mogą pojawić się błędy ludzkie przy procesowaniu wniosków manualnie, dodatkowo wydłużając cały proces i potencjalnie prowadząc do incydentów bezpieczeństwa. Przyczyn takiego opóźnienia w uzyskaniu dostępów do infrastruktury IT może być wiele, jednak zwykle powtarzają się one w organizacjach i można je sprowadzić do ograniczonej liczby problemów w zakresie IAM.
Czym jest Identity and Access Management? Jest to framework z obszaru Bezpieczeństwa IT, który oferuje ustrukturyzowane podejście do rozwiązywania problemów w zakresie kont i dostępów użytkowników, także na etapie technicznego wdrażania nowych pracowników (proces Joiner). Odpowiednie zarządzanie dostępem do różnych systemów i aplikacji ze szczególnym uwzględnieniem bezpieczeństwa jest kluczowym aspektem tego procesu. Warto zwrócić uwagę, że jedna z fundamentalnych zasad IAM, tzw. Least Privilege mówi o tym, że pracownik ma mieć tylko taki dostęp do środowiska IT, jakiego potrzebuje do wykonywania swoich obowiązków, a także tylko na taki okres, na jaki jest to wymagane. Warto zwrócić uwagę na rozróżnienie pomiędzy tożsamością (osoba, czyli nasz nowy pracownik Jan Kowalski) a kontem użytkownika (np. jankowalski@domena.pl). Tożsamość jest w organizacji zawsze pojedyncza i unikalna, natomiast jedna tożsamość może mieć przypisanych do siebie wiele kont na raz (np. konto Active Directory, konto mailowe, konto w aplikacji Trello). Trzeba jednak zaznaczyć, że wszystkie muszą wskazywać jednoznacznie na daną tożsamość. Problem w zdefiniowaniu pojęć „tożsamość” i „konto” pojawia się często, również w dojrzałych organizacjach. Może to prowadzić do problemów z wdrożeniem skutecznych procesów IAM.
W kwestii problemów w zakresie First day readiness, taka sytuacja stanowi problem dla wielu interesariuszy w całej organizacji – IT i Service Desk mogą być ponaglani o szybsze przyznanie odpowiednich dostępów i zalewani dodatkową ilością zgłoszeń w systemie wnioskowania właściwym dla organizacji (lub też poza nim, czyli ponaglani mailami, wiadomościami na Teams czy telefonami). Takie kroki mogą być podejmowane przez przełożonego pracownika, by osoba zatrudniona w celu odciążenia zespołu z nadmiaru obowiązków mogła szybko rozpocząć działanie. Taki manager zespołu ma często związane ręce i musi cierpliwie czekać, aż tzw. proces onboardingu dobiegnie końca. Z perspektywy działu finansów także nie jest pożądanym, żeby ktoś nowo zatrudniony (może to być wiele osób) pozostawał w rozliczeniu jedynie kosztem. A z punktu widzenia działu bezpieczeństwa, taka sytuacja może prowadzić do nadużyć. Na przykład, udostępnienie nowemu koledze konta i hasła, to nie pomoc w wykonaniu pracy i wdrażaniu w nowe obowiązki, a zagrożenie bezpieczeństwa danych firmy.
Nie można też zapomnieć o samym pracowniku – długotrwały okres bezczynności może się przejawiać frustracją i poddawaniem w wątpliwość czy aby na pewno zmiana pracy była dobrym pomysłem. W końcu, kto z nas lubi siedzieć i patrzeć w ścianę przez cały dzień?
Pierwszym krokiem do naprawienia sytuacji bezproduktywnych pracowników, którzy dołączyli do organizacji i nie mają odpowiednich dostępów, jest dokładna analiza stanu obecnego. Polega ona na przyjrzeniu się odpowiednim procesom Identity and Access Management (lub ich braku) i zlokalizowaniu potencjalnych problemów i wąskich gardeł w procesie Joiner. Ma to też związek z analizą infrastruktury IT, obecnie używanych aplikacji i systemów, a w rezultacie może nawet wiązać się z wdrożeniem odpowiedniego narzędzie IGA (Identity Governance and Administration), które posłuży do automatyzacji procesu Joiner. Polega to na w dużym stopniu zautomatyzowanym procesie utworzenia potrzebnych kont dla pracownika i nadaniu odpowiednich dostępów w taki sposób, aby First day readiness stało się konceptem w pełni osiągalnym dla organizacji, a nie tylko złotym standardem należącym wyłącznie do świata teorii.
Taka analiza stanu obecnego jest procesem skomplikowanym i wymagającym nakładów pracy ludzi z różnych działów wewnątrz organizacji, m.in. HR, IT, IAM, Bezpieczeństwo IT, a także managerów poszczególnych zespołów. Ta czynność jest też jedynie pierwszym krokiem do urealnienia wizji First day readiness w organizacji, stanowi ona jednak nieodzowny wstęp do przyszłych usprawnień.
Czy musi to być trudne i długie zadanie? Otóż, nie. Na rynku są bowiem dostępne usługi ekspertów z dziedziny IAM, którzy mają już za sobą podobne projekty i będą w stanie poprowadzić klienta przez zawiłości zarządzania tożsamością i dostępem dzięki swojej eksperckiej wiedzy i doświadczeniu. Warto jednak zdecydować się na sprawdzonego dostawcę, który cieszy się renomą i będzie w stanie wynieść produktywność oraz ograniczenie kosztów zw. z procesem Joiner na nowy poziom.
Piotr Słonka – starszy menedżer w dziale Risk Advisory, Deloitte
Jakub Brzozowski – konsultant w dziale Risk Advisory, Deloitte
