סיום מוצלח של פרויקט ניהול זהויות ובקרת הרשאות

הפניקס חברה לביטוח בע"מ, היא מהגדולות והוותיקות בתחומה בישראל (הוקמה ב- 1949). החברה מספקת שירותים בתחומי ביטוח נרחבים, ובתחומי חסכון ארוך טווח (פנסיה, גמל, ביטוח מנהלים). בתחילת שנת 2015, החל בחברה פרויקט ניהול זהויות ובקרת הרשאות בהובלת אפיון וביצוע ע"י חברת פרולינק ניהול זהויות בע"מ. 

בפרויקט הוטמעה מערכת RSA IDENTITY GOVERNANCE & ADMINISTRATION (מוכרת גם בשם Aveksa) בפרישה כלל ארגונית (כ- 3,000 איש) עם אפשרות ניהול אלפים רבים של חשבונות משתמשים ע"י אוכלוסיות חיצוניות (סוכני ביטוח וישויות נוספות). לאחר אפיון שנמשך כארבעה חודשים, המערכת עלתה לאוויר בינואר 2016. היקף הפרויקט לא נמסר לפרסום, אך מוערך בכמיליון וחצי ₪.

עבודת הפרויקט בוצעה מול גופים רבים בארגון (תשתיות, ביטוח אלמנטרי, חסכון ארוך טווח, משאבי אנוש, מערכות ERP), כשאת כולם מוביל מצד הלקוח, מר בוריס איליאייב מנהל אבטחת מידע בחברת הפניקס.

תפישת הפרויקט היתה מיכון תהליכים ארגוניים הקשורים בהרשאות גישה והגדרת גבולות אחריות בתהליכי הרשאות בין הגורמים הרלוונטיים בארגון: משאבי אנוש, מנהלים ישירים, אבטחת מידע.

בפרויקט הוגדרו שלושה יעדים עיקריים: השגת חסכון מהותי בעלויות תפעול, הגדלת אפקטיביות משתמשים ושיפור ברמת אבטחת המידע. הדרך להשגתם החלה בהגדרת תכולות רחבות ומשמעותיות לפרויקט כבר לשלב הראשון (השגת אפקט מוחשי), תוך ביצוע אפיון רוחבי שכיסה תהליכים וממשקים, בכפוף לעקרונות ארכיטקטורה ואבטחת מידע בחברת הפניקס, בנית מסגרת תהליכית נכונה של תהליכים רוחביים, אליהם ניתן להכניס בהדרגה עוד ועוד יישומים ללא שנוי בתהליך ושיתוף מתודולוגיה לשם קבלת עצמאות תפעולית מהספק ויכולת עצמאית להרחבת המערכת ללא מאמץ רב.

כשנה לאחר העלייה לאוויר, החיסכון התפעולי מוערך בכמיליון ₪ בשנה.

הפרויקט הוגש לתחרות IT AWARDS של אנשים ומחשבים לשנת 2016, וזכה להוקרה עבור מצוינות בפרויקט IDM.

ייחודה של מערכת RSA IDENTITY GOVERNANCE & ADMINISTRATION שהוטמעה בחברת הפניקס, בכך שהיא מיועדת לשימוש על ידי כל עובדי החברה, מהגורמים העסקיים, דרך אחרון העובדים ועד אנשי ה- IT: מנהלים ישירים (אישור בקשות עובדים, סקירת הרשאות תקופתית), מנהלי תוכן / ידע (אישור גישה פרטני, סקירות הרשאה תקופתיות), צוות ניהול הרשאות, מחלקת אבטחת מידע (אישור גישה למשאבים רגישים, פיקוח על סקירות הרשאה), אנשי רגולציה (הזנת חוקה עסקית למניעת הפרות מדיניות) ומשתמשי קצה (הגשת בקשות להרשאות שאינן ניתנות באופן אוטומטי).

בוריס אילאייב, מנהל אבטחת המידע בחברת הפניקס תיאר את הפרויקט כמוצלח מאד, שאף הוכתר על ידי מנמ"ר הפניקס, מר שלמה שמאי, כפרויקט שעלה על הציפיות. "יצאנו לפרויקט כדי להשיג שורה של מטרות, ובהן: טיפול בהרשאות עודפות, אוטומציה של תהליכי ניהול משתמשים והרשאות והעלאת רמת השירות לעובדים. אחרי הליך סדור של בחינת יצרנים ומטמיעים, בחרנו במוצר של RSA עקב שלמות הפתרון. התרשמנו גם שניתן לקבל עצמאות מהירה בתפעול המוצר, דבר שהוכח כנכון גם בפרויקט שלנו, בסיועה של חברת פרולינק, שהיא עתירת ניסיון ייחודי. בראייה לאחור, ברור לי שללא הירתמות של ההנהלה הבכירה לפרויקט, לא היה ניתן לעמוד בתכולה הרחבה יחסית ובלוחות הזמנים שרצינו. בנוסף, רק שילוב יועץ חיצוני שהוא מומחה יישום (עופר גיגי מחברת פרולינק), איפשר להתמקד, לתעדף ולהתקדם ליישום תהליכי ההרשאות הארגוניים".

עופר גיגי, מנכ"ל פרולינק ניהול זהויות תיאר את הפרויקט כייחודי: "מה שאפיין מההתחלה את הגדרות הפרויקט בחברת הפניקס היתה הגדרת יעדים שאפתניים יחסית, וניתן לומר בהחלט שהפניקס הצליחה לעמוד בהם בהצלחה. ארגונים נוטים לרוב להגדיר תכולות מצומצמות יחסית לשלב ראשון של פרויקט IDM. מנגד, לפרויקט בחברת הפניקס הוגדרה תכולה גדולה ומאתגרת מאד, שמכסה עשרות מערכות (רובן Legacy) מכל עולמות הביטוח, עשרות סביבות SAP (בתחומי משאבי אנוש, פיננסים וביטוח), וכל תשתיות המחשוב הרוחביות בארגון."

 קישור לידיעה ב"אנשים ומחשבים".