מנורה מבטחים

מנורה מבטחים - סיפור הצלחה

בית > לקוחות – סיפורי הצלחה > מנורה מבטחים

פרויקט ניהול מבוסס זהויות

כבר בשנת 2002 הבינה חברת מנורה מבטחים שכדי להתמודד בהצלחה עם נושא הגדרת זהויות וצורכי אבטחת מידע, עליה להטמיע טכנולוגיה חדשה ונכונה שתתמודד עם כמויות גדולות של לקוחות וצרכים ייחודיים ומורכבים של מערכות ורגולציות. לכן החליטה החברה לבצע פרויקט ניהול זהויות והזדהות אחת ( SSO ) עם חברת פרולינק, תוך שימוש במוצר IDM שנחשב למוצר המוביל בעולם בתחומו- היום כמו אז.

אומר גבי שובל, מנהל תחום מערכות רוחביות במנורה-מבטחים: "הצוות המקצועי והניהולי של חברת פרולינק מלווה אותנו במקצועיות ואמינות רבה, שתודות לה כל ההיבטים השונים בפרויקט: תשתיות, אבטחת מידע בניית תהליכים ושדרוג לגרסאות חדשות מבוצעים בהצלחה רבה ובזמן".

הפרויקט התחיל במענה שלם וכולל עבור אוכלוסיית סוכני הביטוח ובהדרגה עבר לשאר הלקוחות: עובדי החברה, לקוחות החברה בגלישה באינטרנט וגורמים חיצוניים נוספים כגון: מעסיקים, מרפאות שיניים ועוד. המערכת מבוססת על עקרונות מחמירים של ניהול זהויות ועושה שימוש במספר טכנולוגיות שהעיקרית שבהם כאמור IDM ובנוסף מערכת ייחודית מבוססת e-mergeשל סאפיינס שפותחה באמצעות אגף מערכות מידע בחברה.

נכון להיום המערכת תומכת בתהליכי קליטה/עזיבה, ניהול הרשאות ו- SSO לכל סוגי הלקוחות בארגון ולרוחב כ-200 מערכות שונות ומורכבות. למעשה, מתן/הסרת הרשאה ללקוח למערכת אחת או יותר נעשית באמצעות מסך אחד ועבור כל סוגי המערכות בכל הפלטפורמות השונות.

חברת מנורה-מבטחים מפעילה בהצלחה תשתית מלאה של ניהול זהויות והרשאות, במערכת שהיא מהראשונות שיושמו בארץ, ואשר ממשיכה להתפתח ולהתרחב כדי לתמוך בשנויים הנגזרים מהצרכים העסקיים של הארגון. זוהי מערכת ניהול זהויות גדולה ומורכבת, המטפלת במגוון רחב יחסית של אוכלוסיות משתמשים, בהם כ- 1,200 עובדים, כ 2,000 משרדי סוכנים, כ 6,000 תחנות עבודה וכ- 10,000 מפעלים מכל הארץ.

קבוצת הביטוח מנורה היא מחמש קבוצות הביטוח הגדולות בישראל. פעילותה מכסה את תחומי ביטוח החיים, הבריאות והכללי (אלמנטרי). עם רכישת מבטחים (קרן הפנסיה הגדולה בישראל) הפכה מנורה לגורם הביטוח הפנסיוני המוביל.

אגף טכנולוגיות המידע בקבוצת מנורה מספק שירות ותמיכה לכ- 1,200 עובדים, כ 2,000 משרדי סוכנים, כ 6,000 תחנות עבודה וכ- 10,000 מפעלים. “תחום התשתיות באגף מערכות מידע של קבוצת מנורה מצליח לענות לצרכי הקבוצה בין היתר בזכות הטכנולוגיות שאימץ. למערכת ה IdM של נובל יש חלק נכבד בתרומה לכך” – כך אומר גבי שובל, מנהל תחום תשתיות וטכנולוגיה במנורה.

ואכן, מנורה היא מחלוצי הארגונים בארץ המיישמים טכנולוגיה לניהול זהויות. מנורה נסמכת על תשתית טכנולוגית של נובל כמרכיב מרכזי בשירותי המידע שלה. תשתית זו משרתת אוכלוסית סוכנים רחבה מאד מזה מספר שנים, ואת כל אוכלוסית העובדים בארגון בשנה וחצי האחרונות.

ניהול הרשאות גישה וזהויות

כבר בשלהי שנות התשעים החלה מנורה לאפשר לקהל סוכני הביטוח גישה ישירה לשירותים ממוחשבים בתחום הביטוח. השימוש בתשתית האינטרנט וביישומים מבוססי דפדפן הוגדר כתפיסת העבודה המועדפת לפיתוח יישומים ולגישה אליהם.

מאידך, רבוי היישומים והשונות שביניהם, עמדו ליצור שתי בעיות נלוות: האחת, תקורת ניהול לא מבוטלת המבוטאת במשך זמן ארוך מדי (לעיתים מספר ימים) שנדרש עד לסיום ביצוע הגדרות המאפשרות גישת סוכן חדש למערכות, או לביצוע שנויי הרשאות לסוכנים קיימים. בנוסף, אובחנה בעיה עם “חווית המשתמש” של הסוכן, אשר נזקק להזדהות מול מגוון היישומים השונים שהועמדו לרשותו.

לצורך תכנון והקמת הפרויקט נעזר אגף טכנולוגיות המידע בשירותיה של חברת פרולינק, חברת יעוץ המתמחה בפרויקטים של ניהול זהויות. חברת פרולינק הציעה והדגימה במהלך שנת 2000 אפשרות להקמת מסגרת אבטחה לשירותים לסוכן, על ידי שימוש בשתי טכנולוגיות חדשניות וחדשות (אז) מבית נובל: iChain – כמעטפת אבטחת גישה מהאינטרנט, יחד עם DirXML – כמנגנון אוטומטי להגדרת וניהול חשבונות משתמשים לסוכני הביטוח.

השימוש בשרתי iChain מבטיח כי כל סוכן יוכל לגשת אך ורק לסל השירותים המותר לו, תוך ביצוע הזדהות רק פעם אחת, גם אם בפועל הוא עובד מול מספר רב של יישומים, בו זמנית. מערכת ניהול הזהויות (אז מבוססת DirXML ) איפשרה הקמת חשבונות משתמשים לסוכנים, באופן אוטומטי ומהיר, בכל מערכות המחשב אליהן הותרה גישה לסוכן.

עם הקמת הפתרון היה ברור כי מדובר בהצלחה מבחינת מנורה; תהליך הגדרת שירותים לסוכן התקצר עתה לדקות ספורות מרגע אישור בקשה. סוכנים דווחו על שיפור מהותי באיכות השירות ונוחות העבודה.

לאור ההצלחה הוחלט במנורה כי כל שירות חדש יכנס לתוך מעטפת הפרויקט. מנורה פיתחה והקימה פורטל יישומים לסוכן (“מנורה-נט”), המאגד בתוכו את כל השירותים.

לפני כשנה וחצי הוחלט על הרחבת המערכת לטיפול גם בכ- 1,200 עובדי מנורה, כולל עובדי “מבטחים” שהצטרפה לקבוצה בעקבות רכישת קרן הפנסיה. כיום פועלות בהצלחה מערכת ניהול הזהויות ובקרת ההרשאות הן לאוכלוסית הסוכנים והן לעובדים השונים.

מאחורי הקלעים

מרכיב ניהול המשתמשים השונים, הן בקרב הסוכנים והן בקרב העובדים, שודרג במשך השנים ל- Identity Manager של נובל. נתונים המוזנים למערכת זו גורמים להתנעה אוטומטית של תהליך במנגנון ניהול הזהויות, אשר מבצע בפועל את הגדרת חשבונות המשתמש והרשאותיו במערכות המותרות לו לשימוש.

בסך הכל מקיף הפרויקט עשרות מערכות, מבוססות מוצרים משורה ארוכה ומגוונת של יצרני תוכנה. בתוך כך נכללים מספר גדול של בסיסי נתונים, מערכות הפעלה שונות (יבמ, נובל, מיקרוסופט, לינוקס), שירותי ספרייה (Directories) ושורה ארוכה של יישומים ייעודיים מתחומים שונים.

חברת מנורה היא כנראה החברה היחידה בה היקף הפעילות בתחום ניהול הזהויות וההרשאות הביא להגדרת תפקיד ייעודי: “ראש נושא ניהול זהויות”. ענת קסורלה, הנושאת בתפקיד זה במחלקת התשתיות, מספרת כי המערכת מתרחבת בהתמדה וכוללת יישומים מתחומים מגוונים מאד, הן לאוכלוסית הסוכנים והן לאוכלוסית העובדים.

“תוספות פונקציונליות למערכת מתרחשות כל הזמן, עם קליטת יישומים חדשים בקבוצת מנורה. אנו רותמים יישומים לשימוש בנתוני זהויות באמצעות ממשקים סטנדרטיים כמו LDAP, או באמצעות תהליכי הקמת וביטול משתמש של מערכת Identity Manager אל תוך האפליקציות”.

“מערכת בקרת הגישה וניהול ההרשאות מרכזת את כל פעילות המשתמשים (סוכנים ועובדים) אל שורת יישומים מרכזיים. עקב מרכזיותה, פועלת המערכת בתצורת יתירות גבוהה המבטיחה לנו זמינות של 100%, עם שליטה בהפסקות הפעילות לצרכי תחזוקה יזומה ושדרוגים תקופתיים. המוצרים המרכזיים במערכת הוכחו כאמינים במיוחד ונוחים מאד לשימוש”.

עופר גיגי, מנהל תחום הטכנולוגיות בחברת פרולינק, מלווה את הפרויקט מראשיתו: “מעניין לראות כי מנורה הצליחה ליצור סביבת עבודה נוחה לאוכלוסיות המשתמשים המגוונות, תוך שמירה על עקרונות אבטחת מידע חשובים”.

“בתחום שנחשב עדיין למורכב מאד וקשה ליישום, מנורה היא כנראה דוגמא מוחשית לחברה המיישמת מזה זמן רב טכנולוגיות ניהול זהויות, בצורה רחבה ובהצלחה”.

הרשאות לקבצים DAG data access management
הזהויות של הדברים iot identity of things
ניהול זהויות ובקרת הרשאות IGA IDENTITY GOVERNANCE AND ADMINISTRATION
ניהול משתמשים והרשאות IAM IDENTITY AND ACCESS MANAGAGEMENT
הזדהות משתמש לקוח CIAM CONSUMER IDENTITY AND ACCESS MANAGEMENT
הרשאות גבוהות PAM PRIVILEGED ACCOUNT MANAGEMENT
PAM ACCESS MANAGEMENT

טכנולוגיות שיושמו בפרויקט

הצוות המקצועי והניהולי של חברת פרולינק מלווה אותנו במקצועיות ואמינות רבה, שתודות לה כל ההיבטים השונים בפרויקט: תשתיות, אבטחת מידע בניית תהליכים ושדרוג לגרסאות חדשות מבוצעים בהצלחה רבה ובזמן.

גבי שובל
מנהל תחום מערכות רוחביות

השאירו פרטים לבחינת התאמת הפתרונות הטכנולוגיים של פרולינק לעסק שלכם

השלמת שלב ראשון בפרויקט בקרת הרשאות

חברת מנורה מבטחים השלימה שלב ראשון בפרויקט ארגוני רחב היקף להפעלת מערכת בקרת הרשאות (Access Governance). הפרויקט אשר נערך בליווי חברת פרולינק, המתמחה בתחום ניהול זהויות ובקרת הרשאות, כלל הטמעה של מערכת Access Governance המאפשרת אוטומציה של תהליכי ניהול הרשאות שוטף בארגון והפעלת בקרה הדוקה על המשתמשים וההרשאות המשויכים אליהם.

 

במהלך השלב הראשון נערך מיפוי של 150 מערכות אופרטיביות בארגון הכוללות את רוב מערכות הליבה. כתוצאה מכך התבצע טיוב נתונים במסגרתו נמחקו אלפי חשבונות מיותרים מהמערכות השונות והחל מעבר לשימוש בפרופילים. הפרויקט יאפשר לחברת מנורה מבטחים לעמוד בדרישות הרגולציה באופן שוטף ולאורך זמן, ולחסוך משאבים רבים ביחס לבקרת הרשאות בצורה ידנית.

אייל דורון, מנהל פרויקט בקרת הרשאות במנורה מבטחים: “בסיום השלב הראשון, עברנו מאי-יכולת ביצוע ליכולת ביצוע. בארגון כמו מנורה מבטחים פועלות מאות מערכות ורכיבים המייצרים מאות-אלפי קומבינציות של הרשאות שלא מאפשרים להוציא דוחות כוללים ולקבל תמונת מצב אמיתית. באמצעות מערכת ה – Access Governance של אבקסה אפשר לקבל כעת דוח לגבי הרשאות של כל עובד, לבצע בדיקה אוטומטית של הרשאות מול הגורמים המאשרים, “לחסל” במהירות חשבונות כפולים, לבצע סקירה כוללת לגבי כל סוגי ההרשאות בארגון ולמנוע הרשאות מיותרות. כל זה מתאפשר ממערכת מרכזית אחת ללא צורך להוציא דוחות ממערכות שונות, הפועלות כל אחת בשיטה ורמת מורכבות שונה לניהול הרשאות”.

הפרויקט נע קדימה בתנופה גדולה. בשלב השני של הפרויקט, שיימשך לאורך שנת 2011 יושלם המיפוי של עשרות מערכות נוספות במנורה מבטחים,ופעילות המערכת תורחב לשילוב חוקי SOD (Segregation of Duties) המבטיחים מניעת שילוב הרשאות בהן יש סתירה עסקית, ולפיכך יופחת עוד יותר הסיכון לנזקים הנגרמים משימוש בלתי ראוי במערכות הארגון.

כמו כן, במהלך השלב השני יופעלו מודולים נוספים של מערכת ה – Access Governance המאפשרים לנהל את הקצאת ההרשאות בצורה אוטומטית מול מנהלים בארגון.

“פרולינק היא לא חברה המייצגת מוצר, היא מתמחה בנושא. הצוות של פרולינק יושב בחברה עם אנשיה ,עוזר בתהליך כולו, גם בעבודה עם המשתמשים העסקיים, ומכוון את החשיבה הארגונית במסגרת הפרוייקט”, אומר דורון. “זה עסק מורכב בו יש לך הרבה אפליקציות שכל אחת פועלת בעולם שלה. יש הרבה דמיון בין האפליקציות אבל גם הרבה שונות. צריך להביא את כל השונות למכנה משותף אחד ומכאן מורכבות הפרויקט, אבל גם עוצמתו. אם כל הרשאה מתורגמת ב – Access Governance ל”משאב” ו”פעולה”, זה מאפשר להפיק דוחות רוחב, כמו דוח הרשאות על כל המערכות הפיננסיות, ומבחינת מבצע הביקורת נחסך הצורך “לצלול” לפרטים טכניים מיותרים בכל המערכות המבוקרות בארגון “.

עופר גיגי, מנכ”ל פרולינק מציין כי “נראה שרוב הארגונים נמצאים במצב בו בקרת ההרשאות מתבססת על קבצי אקסל עם נתונים הנשלפים אחת לתקופה ממערכות שונות, ומנסים לשקף עולם שהוא מורכב מדי. יתר על כן, חסרים מאד כלים המיועדים למנהלים העסקיים, אך מצפים מהם “לחתום” ולאשר את מוכנות הארגון לרגולציה בלי לספק להם כלים מתאימים לבקרה ואכיפה.”

“במנורה מבטחים הלכו “עד הקצה”, וכללו בפרויקט את כל האפליקציות וכל האוכלוסיות (כמו: סוכני ביטוח, ספקים, עובדים). מדובר בפרויקט מאסיבי המניע תהליכים רבים בארגון, כולל “שנוי התנהגותי” הנדרש כדי שמערכות המידע ינוצלו נכון, תוך שמירה על רמת הבקרה הגבוהה ביותר”.

הרשאות לקבצים DAG data access management
הזהויות של הדברים iot identity of things
ניהול זהויות ובקרת הרשאות IGA IDENTITY GOVERNANCE AND ADMINISTRATION
ניהול משתמשים והרשאות IAM IDENTITY AND ACCESS MANAGAGEMENT
הזדהות משתמש לקוח CIAM CONSUMER IDENTITY AND ACCESS MANAGEMENT
הרשאות גבוהות PAM PRIVILEGED ACCOUNT MANAGEMENT
PAM ACCESS MANAGEMENT

טכנולוגיות שיושמו בפרויקט

פרולינק היא לא חברה המייצגת מוצר, היא מתמחה בנושא. הצוות של פרולינק יושב בחברה עם אנשיה ,עוזר בתהליך כולו, גם בעבודה עם המשתמשים העסקיים, ומכוון את החשיבה הארגונית במסגרת הפרוייקט

אייל דורון
מנהל פרוייקט בקרת הרשאות

השאירו פרטים לבחינת התאמת הפתרונות הטכנולוגיים של פרולינק לעסק שלכם

פרויקט Access Governance

חברת “פרולינק ניהול זהויות” זכתה בפרוייקט ליישום מערכת Access Governance של חברת Aveksa בחברת הביטוח מנורה. מערכת ה- Aveksa תאפשר למנורה לבקר ולאכוף באופן שוטף את הרשאות הגישה למאות מערכות בארגון בצורה מדויקת מנקודה אחת. המערכת תספק כלי בקרה מקיפים ומסגרת עבודה המאפשרת לארגון לעמוד ברגולציה ובתקנות אבטחת מידע כגון SOX, SOD (הפרדת הרשאות למניעת הרשאות סותרות) ואחרות הנדרשים מארגונים בתחום הביטוח והפיננסים.

Aveksa היא מהחברות הבולטות והמבטיחות בעולם בתחום ה- Access Governance, אשר פתרונותיה מוצעים כעת לשוק הישראלי, ואף הוגדרה כמובילה בתחום בקרת ואכיפת הרשאות(Access Governance) ע”י חברות מחקר שונות , כדוגמת Forrester ו-גרטנר. המערכת משלבת יכולות טכניות מתקדמות ותפיסה עסקית – המספקת כלים המתאימים לשימוש על ידי הנהלת החברה ומחלקות הבקרה והרגולציה – תוך מתן תמונת מצב רחבה ומלאה בכל זמן למנהלים בארגון.

לדברי אייל דורון, מנהל הפרויקט במנורה, פתרון ה- Access Governance של Aveksa נועד לספק מענה לדרישות רגולטיביות שמטרתן לבקר את מערך ההרשאות ביישומים ולעקוב אחר השינויים בהרשאות ואישורי ההרשאות כפי שנדרש מארגוני ביטוח ופיננסים. בין היתר, תסייע המערכת לממש את חוקי ה- SOD מתוך מטרה למנוע הרשאות סותרות ולחזק את אבטחת המידע במישורים כמו מיפוי הרשאות, זיהוי משתמשים כפולים, רשומות יתומות ועוד. בנוסף, הפרויקט יאפשר למנורה לעבור למודל של הרשאות על פי תפקידים. המערכת שנבחרה תסייע רבות בתהליכי חקר הרשאות קיימות ובביצוע סימולציות של תפקידים. באופן זה יחסכו למנורה עלויות רבות. מערכת Aveksa תאפשר מסגרת עבודה מסודרת ושיפור תהליך אכיפת ואישור ההרשאות בארגון”.

“במנורה בחרו ב- Aveksa לאחר ביצוע תהליך ארוך ומקיף של בחינת מערכות בתחום. במהלך זה נפגשה מנורה עם מספר גדול של יצרנים ואף ביצעה הליך POC רחב ומעמיק. המערכת של Aveksa עלתה על המתחרים באופן בולט וברוב הפרמטרים, בשילוב עם חברת פרולינק כמיישמת” הוסיף דורון.

לדברי עופר גיגי, מנכ”ל פרולינק: “תחום ה- Access Governance (מוכר גם כ Access Certification) הופך בהדרגה לחלק בלתי נפרד מתחום אבטחת המידע בארגונים גדולים, בעיקר כאלה הנתונים לרגולציות. בעוד בארגונים רבים דואגים בעיקר למתן הרשאות למשתמשים חדשים והסרתן בעת סיום העבודה (תהליכי IDM/ניהול זהויות “מסורתיים”), גישת ה- Access Governance מאפשרת עליית מדרגה אמיתית ביכולת הבקרה והאכיפה של הרשאות – גם על מערכות שאינן מטופלות בתשתית IDM, תוך שילוב נכון של המנגנונים העסקיים בארגון. בהיבט העמידה רגולציה – מערכת זו גם מספקת את הבקרה והתיעוד הנדרשים”.

קישור לידיעה מאתר ספונסר ( שירותים לקהילת שוק ההון )

קישור לידיעה ב “אנשים ומחשבים

הרשאות לקבצים DAG data access management
הזהויות של הדברים iot identity of things
ניהול זהויות ובקרת הרשאות IGA IDENTITY GOVERNANCE AND ADMINISTRATION
ניהול משתמשים והרשאות IAM IDENTITY AND ACCESS MANAGAGEMENT
הזדהות משתמש לקוח CIAM CONSUMER IDENTITY AND ACCESS MANAGEMENT
הרשאות גבוהות PAM PRIVILEGED ACCOUNT MANAGEMENT
PAM ACCESS MANAGEMENT

טכנולוגיות שיושמו בפרויקט

במנורה בחרו ב- Aveksa לאחר ביצוע תהליך ארוך ומקיף של בחינת מערכות בתחום. במהלך זה נפגשה מנורה עם מספר גדול של יצרנים ואף ביצעה הליך POC רחב ומעמיק. המערכת של Aveksa עלתה על המתחרים באופן בולט וברוב הפרמטרים, בשילוב עם חברת פרולינק כמיישמת

אייל דורון
מנהל פרוייקט בקרת הרשאות

למעבר לסיפור ההצלחה הבא