Благодаря внедрению системы управления паролями компании Cummins удалось снизить число обращений в службу технической поддержки и повысить продуктивность работы пользователей.

Eсли информационные технологии предоставляют средства передачи информации, то служба технической поддержки обеспечивает их бесперебойное функционирование. Сотрудникам компании Cummins, специализирующейся на разработке и производстве промышленных систем и оборудования и обладающей многолетним опытом эксплуатации обширной собственной сети, известно множество «маленьких хитростей» для приведения в движение потоков данных в крупной организации. Как и многие другие компании, Cummins стремится к более рентабельной модели производства с высоким уровнем качества и класса предоставляемых услуг (Quality of Service, QoS) в своей информационной инфраструктуре, без снижения темпов и объема работ.

Данная компания с шестимиллиардным бюджетом занимается производством дизельных двигателей для промышленного, сельскохозяйственного и транспортного оборудования, а также энергетических систем и систем фильтрации. В ее арсенале 38 производственных цехов, 15 информационных и технических центров и свыше 500 отделов дистрибуции и сбыта по всему миру. Информационную инфраструктуру компании обслуживают свыше 30 тыс. специалистов.

Имея представительства и налаженные торговые связи во многих странах, в условиях обострившейся конкурентной борьбы на мировом рынке руководству компании Cummins приходится думать об использовании потенциала внутренних информационных служб. Наиболее результативной для увеличения прибыли может оказаться политика ограничения затрат, однако оптимизацию расходов следует производить осторожно, чтобы избежать потери эффективности или качества предоставляемых услуг.

НЕДЕШЕВОЕ УДОВОЛЬСТВИЕ

К неизбежным затратам в компаниях мирового уровня следует отнести справочную систему службы технической поддержки. Вот уже несколько лет Cummins пользуется услугами двух представительств компании Lockheed Martin Services (LMSI): в Соединенных Штатах Америки, где работает около 20 специалистов, и в Великобритании (шесть сотрудников).

Чтобы рациональнее организовать работу и снизить затраты, Cummins сфокусировала свое внимание на управлении паролями — столь небольшом элементе огромной информационной инфраструктуры компании, что это может вызвать удивление у стороннего наблюдателя. По оценкам специалистов компании, автоматизация смены пароля могла бы положительно сказаться на уменьшении числа и продолжительности звонков в справочную службу, влияя на снижение общих расходов.

На переговорах о продлении контракта с компанией Cummins представители LMSI потребовали сократить объем подобных обращений. По словам Криса Прайса, директора ИТ компании Cummins, это дало дополнительный стимул для принятия решения о необходимости разработки соответствующей системы управления паролями.

Затраты на смену пароля на первый взгляд не так уж высоки, однако общая стоимость обработки подобных обращений выливается в кругленькую сумму. «Затраты на обработку одного обращения в справочную службу составляют около 17 долларов, а за помощью конечный пользователь обращается в среднем примерно 1,2 раза в месяц», — объясняет Стивен Каин, руководитель отдела ведения договоров из Gartner Group. И хотя обычный звонок по поводу смены пароля короче запросов по более сложным проблемам, он все равно занимает от 3 до 4 мин, если требуется получить несколько подтверждений.

Затраты на звонки по поводу смены паролей включают в себя не только расходы на персонал и эксплуатацию, но и стоимость рабочего времени конечных пользователей. То время, которое потребовалось на звонок в справочную службу, сотрудник мог бы потратить, работая на компанию и принося определенный доход. Таким образом, дополнительные усилия компании Cummins в поддержке автоматизации смены пароля приобретают важное значение. «Как правило, люди не любят ждать у телефона — они предпочитают получить возможность сменить пароль самостоятельно и немедленно», — замечает Прайс.

Если запросы на смену пароля составляют 30-40% от общего количества обращений в справочную службу, то компания может получить заметный финансовый выигрыш за счет автоматизации данного процесса, считает Роберта Витти, директор отдела исследований в компании Gartner Group. Основным фактором, влияющим на количество звонков, является политика компании в отношении смены паролей. Если смена паролей предусматривается каждые 30, а не 90 дней, то и процент обращений будет соответственно выше.

По данным Прайса, справочная служба в среднем принимает около 20 тыс. звонков в месяц, и половину из них составляют запросы на смену паролей — в равных долях для мэйнфреймов, Windows NT и Lotus Notes. Учитывая приведенное соотношение, Cummins достигла существенной экономии за счет автоматизации этого процесса. Фактически, компании удалось уменьшить сумму контракта с LMSI на 10-15%.

ПЕРЕОСНАЩЕНИЕ СИСТЕМЫ ПОДДЕРЖКИ ПОЛЬЗОВАТЕЛЕЙ

Опробовав различные системы, Cummins остановила свой выбор на программном обеспечении PasswordCourier компании Courion. Благодаря этой системе количество и продолжительность звонков в справочную службу удалось снизить в основном за счет автоматизации. Кроме того, сам процесс стал более рациональным для сотрудников справочной службы, а пользователи получили возможность менять и координировать собственные пароли.

Система PasswordCourier совместима с Windows 95/98, Windows NT, Windows 2000, NetWare, UNIX, мэйнфреймами, а также с различными службами каталогов, базами данных и приложениями электронной коммерции. Она поддерживает два основных режима: Support Stuff, когда специалист службы технической поддержки выполняет смену пароля для пользователей, и самообслуживание, когда пользователь может провести эту операцию самостоятельно.

Пользователи обращаются в справочную службу в режиме Support Stuff, если они забыли свои пароли либо истек срок их действия. Сотрудник службы технической поддержки получает доступ к системе PasswordCourier через интерфейс Web и подтверждает подлинность личности с помощью серии вопросов. Затем система автоматически генерирует задание на исполнение с информацией о пользователе и характере поступившего запроса, меняет пароль, сообщает сотруднику службы технической поддержки новый пароль, а тот передает его пользователю. После этого система автоматически закрывает задание.

При возникновении каких-либо проблем задание может оставаться открытым, а сотрудник справочной службы отсылает его системному администратору или в отдел безопасности компании либо предпринимает какие-то другие действия в соответствии с корпоративной политикой. Система PasswordCourier способна оповещать специалистов службы технической поддержки, администраторов, а также персонал по безопасности обо всех подобных сменах пароля (как успешных, так и безуспешных), а также о неудачных попытках аутентификации по электронной почте или на пейджер.

В режиме самообслуживания пользователи получают доступ к системе PasswordCourier через интерфейс Web, настольную систему Windows либо телефонный интерактивный автоответчик (Interactive Voice Response, IVR). Затем они подтверждают свою подлинность с помощью такой информации, как данные о личности и ответы на вопросы из каталогов и баз данных компании (эти вопросы и ответы устанавливаются администраторами). После завершения процедуры смены пароля система PasswordCourier может автоматически послать электронное сообщение пользователям, извещая их об успешном завершении процесса. Данная системная функция не только предоставляет дополнительные гарантии пользователям, но также освобождает обслуживающий персонал от утомительной рассылки подобных извещений.

Система PasswordCourier автоматически генерирует записи в журналах регистрации, что помогает отслеживать нарушения. Персонал может контролировать изменения, просматривая информацию в базах данных, каталогах и программном обеспечении справочной службы. Интеграция с существующим программным обеспечением позволяет администраторам проверять индивидуальные параметры: число переустановок пароля за определенный период времени — от имени конкретного пользователя (либо IP-адреса), для специальной платформы или приложения, а также среднее значение времени восстановления для этих переустановок (Mean Time To Repair, MTTR).

ПЛАНЫ ПО УКРЕПЛЕНИЮ БЕЗОПАСНОСТИ

Безопасность требует особого внимания, когда дело доходит до управления паролями. Система PasswordCourier может помочь укреплению принятой политики безопасности компании либо реализации новой. К мерам укрепления безопасности можно отнести запрещение использования словарных слов в качестве пароля, разрешение паролей определенной длины или обязательной комбинации цифр и букв, а также автоматическую блокировку пользователя после определенного числа безуспешных попыток входа в систему. Для усиления безопасности сеансы шифруются с помощью протокола защищенных сокетов (Secure Sockets Layer, SSL), а информация для проверки подлинности пользователя запоминается в шифрованном либо хэшированном виде.

Автоматизированная система смены паролей не позволяет сотруднику службы технического сопровождения пользоваться комбинацией клавиш быстрого вызова при большом количестве обращений. Иногда, когда образуется очередь запросов на смену пароля, некоторые специалисты в спешке могут изменить пароль без проведения полной аутентификации пользователя и соответствующей регистрации. Это грозит не только определенными неудобствами, но и даже катастрофическими последствиями для компании.

Другая проблема, сопутствующая большому объему запросов на смену пароля, заключается в слишком щедро раздаваемых привилегиях уровня «суперпользователь», когда служба технической поддержки и прочий персонал ИТ оказываются не в состоянии справиться с нагрузкой. Учитывая, что права административного уровня целесообразно выдавать на короткий срок, в инфраструктуре безопасности компании остается зияющая дыра.

Злоумышленники прибегают к различным приемам обмана пользователей сети или администраторов с целью выведывания паролей, что также проще осуществить, когда персонал, ответственный за смену паролей, перегружен. Пользователь может неоднократно обращаться в службу поддержки паролей с заявлением от имени «пользователя А». Если специалист службы уже работал с «пользователем А», то он, возможно, поменяет пароль, не проведя надлежащую процедуру аутентификации. Хуже всего, если окажется, что на самом деле это только что уволенный, теперь уже бывший «сотрудник B». Автоматизированная система в обязательном порядке проводит аутентификацию и неукоснительно соблюдает правила безопасности, поэтому вероятность подобных инцидентов существенно снижается.

PasswordCourier осуществляет выборочную синхронизацию паролей, так что один пароль может быть использован для входа в несколько систем или платформ. Такая практика с точки зрения безопасности является спорной, поскольку единственный пароль означает и единственное узкое звено в цепочке безопасности в том случае, когда пароль дискредитирован. Для компаний с большим количеством пользователей, приложений и платформ синхронизация паролей имеет огромное практическое значение. Система PasswordCourier позволяет администраторам осуществлять синхронизацию для ограниченного подмножества пользовательских паролей.

ЧТО ПОВЛИЯЛО НА ПРИНЯТИЕ РЕШЕНИЯ

Основная причина, по которой Cummins остановила свой выбор на системе PasswordCourier, заключалась в том, что она интегрировалась с уже работающей системой поддержки пользователей компании Remedy (которую недавно приобрела компания Peregrine Systems). Обязательным условием для совместной работы системы управления паролями с системой этой компании была простота интеграции.

Немалую роль в принятии решения, по словам Прайса, сыграла невысокая цена. Начальная стоимость продукта составляет 15 долларов в расчете на пользователя и увеличивается в зависимости от того, сколько приложений и баз данных будут доступны через этот пароль. Однако часто затраты не ограничиваются только ценой программного обеспечения, устанавливаемого в корпоративной сети. По информации Прайса, это меньше половины стоимости проекта. В числе прочих расходов следует учитывать рабочее время, необходимое для поиска творческих идей, стоимость работы по проектированию и реализации, развертыванию и управлению продуктом, затраты на обучение персонала и обработку нештатных ситуаций при развертывании системы. Такой вид расходов, связанных с неисправностями, не так уж и редок, но в целом, по мнению Прайса, система оказалась высокорентабельной.

Компания Cummins установила версию PasswordCourier 4.5 для мэйнфрейма IBM 9672-R65 под управлением OS 390. Кроме того, соответствующий модуль был приобретен для Windows NT, однако этот пакет еще не развернут. Консоль системы находится на сервере IBM Netfinity с Windows NT 4.0 (см. Рисунок). Программное обеспечение Remedy размещается на серверах Sun Enterprise 450, работающих под управлением Solaris. Запрос на смену пароля по протоколу HTTP посылается клиентами на сервер, где установлена система PasswordCourier. Задания на исполнение направляются на сервер, где установлена система компании Remedy.

Запросы на изменениe паролей с помощью средств контроля за доступом к ресурсам мэйнфрейма (Recource Access Control Facility, RACF) пересылаются на IBM 9672-R65, а запросы на изменение паролей для входа в систему Windows NT — на контроллер домена Windows NT (RACF обеспечивает аутентификацию и является программным средством контроля доступа для платформы OS/390).

КОНСЕРВАТИВНЫЕ БАРЬЕРЫ

Еще до того, как компания Cummins установила систему PasswordCourier, конечный пользователь, заинтересованный в смене пароля, мог обратиться в справочную службу. Сотрудник службы технической поддержки выдавал задание на исполнение, проверял подлинность личности пользователя с помощью серии вопросов, корректировал информацию для смены пароля, записывал новый пароль, предоставлял его пользователю, просил его осуществить попытку входа в систему с новым паролем и затем закрывал задание.

Компания Cummins сначала развернула модуль Support Stuff системы PasswordCourier. Если в прежней системе конечным пользователям приходилось обращаться в справочную службу при необходимости сменить пароль, то в новой многие функции автоматизированы. И, как следствие, процент ошибок, возникающих по вине «человеческого фактора», удалось значительно снизить.

Далее, в Cummins реализовали режим самообслуживания: пользователи должны зайти на сайт компании Cummins, получить доступ к системе PasswordCourier и изменить свои пароли для мэйнфрейма. Они самостоятельно проводят аутентификацию, предоставляя определенную информацию, например идентификатор пользователя, а также отвечая на зашифрованные вопросы в режиме «отзыв/отклик». Система PasswordCourier автоматически открывает задание для системы Remedy на имя пользователя и вводит эти данные в справочную службу. Когда смена пароля успешно завершена, задание автоматически закрывается. Если этот процесс не завершился должным образом, задание направляется в отдельную очередь, и сотрудник службы технической поддержки может еще раз вызвать этого пользователя либо связаться с отделом безопасности, в зависимости от характера проблемы.

Компания Cummins разворачивала систему PasswordCourier «модуль за модулем», подключая каждый раз приблизительно по 1000 пользователей. В режиме Support Stuff система работала около трех лет, а в течение последних шести месяцев стал доступен режим самообслуживания.

Одной их причин такого поэтапного развертывания послужил тот факт, что пользователи иногда плохо осведомлены о возможностях новой системы в период первой волны ее внедрения, поэтому трудно сформулировать ожидаемый результат. «Мы часто слышим, что пользователь пытается установить пароль, допустим, для входа в систему NT, но у него ничего не получается, — рассказывает Прайс. — Или, например, он жалуется, что не может сменить пароль доступа к базе данных Oracle». Именно в связи с названными проблемами было необходимо сделать этот процесс более ясным для пользователей.

Представитель компании Cummins сообщает, что почти половина сотрудников разобралась в этой системе, хотя он предпочел бы лучшие показатели. «Скорость, с которой осваивается система, невысока, и мне кажется, что это происходит из-за консервативного сопротивления изменениям со стороны пользователей», — предполагает Прайс.

По его мнению, для мэйнфреймов эта цифра должна приближаться к 100%, после чего можно приступать к следующему этапу проекта для системы Windows NT. Чтобы помочь пользователям изменить свое отношение к нововведениям, Cummins участвует вместе с компанией Courion в программе, реализация которой должна обеспечить более комфортную работу с системой и помочь лучше разобраться в данной технологии.

МЕТОДЫ УБЕЖДЕНИЯ

Прайс считает, что основным препятствием в развертывании системы являются люди, а не аппаратное или программное обеспечение. «Самые серьезные сражения, которые нам пришлось выдержать, не были связаны с технологиями, сетями или сервером», — поясняет он. Трудности носили организационный характер. Одна из проблем заключалась в том, что персонал отдела безопасности не был должным образом проинформирован на стадии выбора системы управления паролями. Как считает Прайс, это произошло в основном потому, что сначала главное внимание в проекте было сосредоточено на технологических, а не организационных проблемах. Ситуация осложнялась тем, что пользователи дольше, чем ожидалось, приспосабливались к новой системе. Однако отдел безопасности проявил обоснованную обеспокоенность и в конечном счете включился в процесс развертывания, чтобы участвовать в решении возникающих проблем.

Ключ к успешной реализации, по словам Прайса, — в формировании команды, способной решать самые разные проблемы. В ее состав должны войти представители различных отделов, которых в той или иной степени касается политика безопасности. Чтобы прийти к единому решению, необходимо убедить этих людей в том, что бизнес и технологии неразрывно связаны между собой. В компании Cummins прежде всего стараются продемонстрировать сотрудникам отдела безопасности такие преимущества данной системы, как способность отслеживать изменения паролей по IP-адресам, подробная регистрация и аудиторская проверка.

Не обошлось и без технических проблем. «Мы слишком рано начали проводить развертывание», — рассказывает Прайс. В системе обнаружились некоторые ошибки, в результате пришлось провести мероприятия по ее настройке. Однако компания Courion всегда быстро реагирует на подобные ситуации, и недочеты оказались не столь существенны.

Хотя Cummins получила значительные преимущества благодаря многочисленным функциям PasswordCourier, наиболее важной особенностью данной системы является возможность работать с ней через интерфейс Web. «Это, несомненно, огромное достоинство», — убежден Прайс. Кроме того, он ожидает снижение издержек, поскольку число пользователей, обращающихся за сменой пароля к услугам справочной системы, неуклонно растет.

НЕ СКРИПИТЕ, КОЛЕСА

Компания Cummins планирует вскоре развернуть систему PasswordCourier для доступа к Windows NT. Хотя модуль NT работает превосходно, тем не менее, по словам Прайса, в связи с этими планами возникли некоторые вопросы внутри самой компании. Например, если пользователи не имеют доступ к локальной сети по той причине, что они забыли пароли NT, каким же образом они получат доступ к браузеру Web, чтобы войти в систему PasswordCourier? Компания Courion разработала программный модуль таким образом, что пользователи попадают непосредственно в приложение NT, поэтому они могут проводить собственную аутентификацию из этой точки. Поскольку данное решение вполне удовлетворительно, отдел безопасности компании Cummins проявил интерес к очередному продукту компании Courion, системе ProfileCourier, предполагая внедрить ее до того, как будет получено указание разворачивать систему для NT.

Система ProfileCourier позволяет автоматически регистрировать и обновлять личные данные пользователя: идентификаторы, телефонные номера, а также вопросы и ответы в режиме «отзыв/отклик». Такую информацию для подтверждения подлинности можно запомнить в каталогах по упрощенному протоколу доступа к каталогам (LDAP) либо в базах данных с помощью открытого интерфейса доступа (Open DataBase Connectivity, ODBC). Так же как и система PasswordCourier, модуль ProfileCourier имеет пользовательский интерфейс Web и автоматически регистрирует все действия. Кроме того, ProfileCourier оснащена сходными механизмами безопасности, такими, как шифрование и хэширование, и способна заблокировать доступ пользователю, если тот произвел определенное число неудачных попыток аутентификации.

Одной из причин сдержанной позиции отдела безопасности является тот факт, что компания имеет множество географически рассредоточенных представительств. «Чем дальше находится офис от Соединенных Штатов, тем больше проблем с аутентификацией пользователей», — признается Прайс. Это побудило руководство приобрести систему ProfileCourier для выполнения проверки «отзыв/отклик» в более структурированном режиме.

Прайс полагает, что ProfileCourier будет развернута в сжатые сроки. В соответствии с этим, а также с учетом внедрения PasswordCourier для Windows NT, компания планирует внедрить систему PasswordCourier для Lotus Notes.

В целом же Прайс вполне доволен тем, как идут дела. Вдобавок к снижению себестоимости проекта и расширению возможностей, предоставляемых пользователям, общая защищенность повысилась, хотя внедрение системы ProfileCourier еще не завершено. Управление паролями дало инфраструктуре компании дополнительную мощь, хотя на первый взгляд она составляет незначительную часть этой инфраструктуры.

Теперь у компании больше информации о каждой смене пароля, которая выполняется с помощью системы PasswordCourier, в отличие от прежних времен, когда кто-либо, находящийся на другом конце телефонной линии, мог заявить о себе, что он пользователь Джо, и запросто потребовать от персонала службы технической поддержки сменить его пароль.

Элизабет Кларк — ответственный редактор Network Magazine. С ней можно связаться по адресу: eclark@cmp.com.


В двух словах: Cummins

Cummins

Колумбус, шт. Иллинойс

http://www.cummins.com.

Руководитель проекта: Крис Прайс, директор информационной службы компании Cummins.

Задачи. Подобно многим другим компаниям, Cummins — производитель дизельных двигателей для промышленного, сельскохозяйственного и транспортного оборудования, а также энергетических систем и систем фильтрации — стремится к более рентабельной модели производства для обеспечения устойчивости своего положения в обострившейся конкурентной борьбе на мировом рынке. Внимание отдела ИТ привлекло неоправданно большое количество обращений в службу технической поддержки. Кроме того, компании предстояло вскоре продлить контракт с компанией Lockheed Martin Services (LMSI) на аутсорсинг услуг справочного стола. Представители LMSI потребовали сократить объем подобных обращений. Cummins необходимо было найти способ добиться своей цели без снижения эффективности, безопасности или удовлетворенности пользователей.

Решение. Специалисты компании Cummins пришли к выводу, что почти половина обращений о смене пароля поступает от тех пользователей, кто забыл свои пароли, либо в том случае, когда истек срок их действия. Чтобы снизить количество и продолжительность звонков, в Cummins установили систему управления паролями PasswordCourier компании Courion для автоматизации данного процесса. Уже на первом этапе проекта нагрузка на справочную службу резко снизилась. Впоследствии в компании была развернута версия системы, благодаря которой сотрудники могли самостоятельно менять свои пароли через интерфейс Web. Это не только привело к сокращению количества звонков в справочную службу, но и они стали менее продолжительными, что позволило экономить время как пользователей, так и сотрудников службы технической поддержки. Формулируя кратко, развертывание нового программного обеспечения дало возможность снизить себестоимость и повысить эффективность.

Поделитесь материалом с коллегами и друзьями