Nemocnice Šumperk a.s. je všeobecná nemocnice s rozsáhlou lůžkovou i ambulantní péčí pro spádovou oblast až 200 000 obyvatel. Za rok hospitalizuje přes 20 000 pacientů a je zde provedeno okolo 8 000 operativních výkonů. Nemocnice má téměř 2 000 zaměstnanců a bezmála 200 externích spolupracovníků a studentů.

Výchozí situace

Personální systém nebyl propojen s prostředím Microsoft Active Directory (AD), a správa identit i uživatelských účtů proto probíhala převážně manuálně. To vedlo k následujícím problémům:

• správa uživatelských účtů byla komplikovaná a časově náročná;
• účty v AD byly zakládány, upravovány a rušeny ručně na základě e-mailových nebo papírových požadavků;
• žádosti o přidělení nových oprávnění do systémů byly vyřizovány prostřednictvím interního HelpDesku;
• provádění změn bylo zdlouhavé a náchylné k chybám;
• v důsledku chybovosti bylo nutné v pravidelných intervalech ručně revidovat účty a přístupová oprávnění.

Řešení 

Abychom vyřešili všechny výzvy výchozí situace, dodali jsme a nasadili IDM řešení, které tvoří integrační vrstvu mezi HR systémem a prostředím Active Directory a řídí přístupy prostřednictvím: 

• každodenní synchronizace dat z HR systému Vema Cloud;
• automatizovaného zakládání, aktualizace a blokace účtů v AD;
• řízení oprávnění v cílových systémech pomocí skupin AD,
• žádostí a schvalování přístupů v uživatelském rozhraní;
• samoobslužné obnovy hesla s ověřením pomocí SMS kódu;
• úplné auditní stopy všech relevantních operací.

Specifické vlastnosti řešení: 

• Pokud má osoba více pracovněprávních vztahů, je řízena jako jedna identita.
• IDM spravuje zaměstnance, externisty i studenty.
• Role lze vázat na konkrétní pracovní poměr nebo na konkrétní období od-do.
• Schvalovatelé si mohou nastavit zástup po dobu nepřítomnosti.
• Při změně jména systém připraví nové uživatelské jméno a jeho aktivaci odloží o 7 dní, systém pošle uživateli notifikaci, aby se na změnu připravil.
• IDM poskytuje reporty přístupů uživatelů, compliance, schválených přístupů a garantů aplikací a rolí. Navíc posílá denní přehled událostí a hlídá neobvyklé množství změn v datech z HR.

Přínosy

Nové řešení přineslo: 

• nižší chybovost a menší zátěž pro IT díky automatizovanému řízení  životního cyklu identit – změny v HR datech se automaticky promítají do AD, po ukončení pracovního poměru systém automaticky odebere navázaná oprávnění;
• lepší kontrolu, vyšší bezpečnost a jednodušší audit díky jednoznačnému a auditovatelnému řízení oprávnění – u každého přístupu jde jednoznačně doložit kdo o něj požádal, kdo jej schválil, ke kterému pracovnímu poměru se vztahuje a jak dlouho platí;
• odlehčení IT podpory díky samoobslužnému portálu – část běžné agendy si uživatelé vyřeší sami a IT oddělení už nemusí ručně zajišťovat každou změnu přístupu ani reset hesla.

Nasazení IDM systému v Nemocnici Šumperk ukazuje, jak může automatizace řízení identit zásadně zjednodušit provoz IT a zároveň zvýšit bezpečnost i auditovatelnost. Propojení HR systému s Active Directory minimalizovalo  manuální zásahy, zrychlilo správu přístupů a přineslo větší kontrolu nad celým životním cyklem identit a připravilo organizaci na plnění legislativních požadavků.

„Nasazení IDM nám přineslo výraznou úsporu času IT týmu, nižší chybovost a jasnou auditní stopu v řízení životního cyklu uživatelů i jejich oprávnění. Oceňujeme také konstruktivní spolupráci s týmem Orchitech a rychlou reakci při řešení urgentních situací.“

— Ing. Josef Loupanec, vedoucí IT, Nemocnice Šumperk a.s.

Systém IDM byl vysoutěžen jako veřejná zakázka v rámci projektu CZ.06.01.01/00/22_003/0000038 – Podpora kybernetické bezpečnosti pro Nemocnici Šumperk a.s. a tento projekt byl podpořen z fondů EU.