Käyttövaltuushallinta on organisaatioiden tietoturvan kannalta keskeisessä roolissa – niin teknisen toteutuksen osalta, mutta erityisesti myös toimintaprosessien ja -tapojen kannalta ajateltuna. Onnistumisen avaimet piilevät kuitenkin käytettävyydessä. Ratkaisun tulee olla helppokäyttöinen niin tietosisällön kuin teknisen ympäristönkin ylläpitäjille – ja erityinen huomio on kiinnitettävä loppukäyttäjien käytön helppouteen. Kun tämä tiedetään, niin miksi käyttövaltuushallinnan projektit eivät siltikään onnistui?
Käyttövaltuushallinta
Käyttövaltuushallinnan (Identity and Access Management – IAM) kokonaisuus muodostuu kolmesta osasta – identiteettitietojen hallinnasta, käyttövaltuuksien hallinnasta ja pääsynhallinnasta. Usein näiden alueiden toimintatavat, säännöt ja ratkaisut muodostetaan pääsääntöisesti tietoturvan lähtökohdista, mikä on ymmärrettävää ja tärkeää – onhan organisaation tietojen, tilojen, omaisuuden, liiketoiminnan ja maineen suojaaminen kiihtyvällä tahdilla kasvavien kyberuhkien johdosta erityisen tärkeää.
Käytettävyyden ja tietoturvan paradoksi
Kun toimintaohjeita ja ratkaisuja ajatellaan pelkästään tietoturvan näkökulmasta, tulee järjestelmistä todennäköisesti turvallisempia, mutta usein työläämpiä ja hankalampia käyttää. Puhutaankin tietoturvan ja käytettävyyden paradoksista – mitä turvallisempi järjestelmä, sitä hankalampi käyttää, ja päinvastoin.
Käytettävyyttä tulee tarkastella kahdella tasolla, eli järjestelmän ylläpitäjien osalta sekä loppukäyttäjien näkökulmasta. Käytettävyyden puutteet lisäävät manuaalista työtä, mikä lisää virheiden riskiä, ja vaikeakäyttöisyys saa käyttäjät ’oikomaan mutkia’, aiheuttaen tietoturvariskien kasvua.
Nykyaikaisissa järjestelmissä käytettävyys ja tietoturva eivät kuitenkaan ole toistensa vastakohtia, vaan ratkaisuilla voidaan parantaa yhtä aikaa molempia.
Identiteetit ja tietosisältö
Identiteetinhallinnalla varmistetaan, että pääsy- ja kulkuoikeuksia saavien digitaalisten identiteettien tiedot ovat eheitä ja oikeita. Itse asiassa on ehkä parempi puhua identiteettien masteritiedon hallinnasta, sillä henkilöiden (ja muiden valtuuksia saavien kohteiden) titojen lähteet ovat lukuisissa eri, sisäisissä ja ulkoisissa, järjestelmissä. Mastertiedon hallinnalla tarvittavat identiteettitiedot kerätään yhteen tietokantaan, missä varmistetaan tietojen eheys ja oikeellisuus.
Ilman identiteettien mastertiedon hallintaa järjestelmien pääkäyttäjät ja ylläpitäjät joutuvat tekemään merkittävästi manuaalista työtä tietoja luodessaan ja varmistaessaan. Tämä on toiseksi merkittävin käyttövaltuushallinnan projektien onnistumisen este.
Käyttövaltuudet ja aikaulottuvuus
Digitaalisten identiteettien käyttövaltuuksia määritellään yleensä rooli-, tehtävä- ja organisaatioasemapohjaisesti (RBAC, role-based access control), mutta ominaisuuspohjanen malli (ABAC, attribute based access control) roolipohjaisen sijaan ja etenkin lisänä, on uudemmissa toteutuksissa yleistymässä. Mallit yhdistämällä saadaan varsin dynaaminen käyttövaltuuksiin pohjautuva pääsynhallinta, jossa käyttöoikeuspyynnöt voidaan reaaliaikaisesti analysoida rooliin, tehtävään, asemaan, mutta myös käyttäjän sijaintiin, vuorokaudenaikaan, käytettyyn teknologiaan (sisäverkko, ulkoverkko, mobiili, jne) perustuen. Esimerkiksi, määrättyyn tietoon pääsee käsiksi esimiesasemassa oleva tutkimusyksikön teknikko, joka kirjautuu järjestelmään toimistolla, arkipäivinä klo 6-20 ja kiinteällä työasemalla.
Monipuolinen käyttövaltuuksien määrittely vahvistaa tietoturvaa ja mahdollistaa käyttäjille pääsyn tarvitsemaansa tietoon juuri silloin kun tarvitsee, siellä missä tarvitsee ja niillä välineillä, jotka ovat käytettävissä. Järjestelmän ylläpitäjille aiheutuu usein paljon työtä, etenkin muutostilanteissa (uusi henkilö, roolin ja tehtävien muutokset, henkilön poistuminen). Tähän auttaa automaatio.
Hyvä keino helpottaa ylläpitoa, on ottaa käyttöön toteutus, joka hyödyntää aikaulottuvuutta. Ratkaisussa voidaan luoda palvelu-, tehtävä- tai käyttöjaksoja, joihin liittyy määrätyt valtuudet, ja jotka ovat määräaikaisia tai toistaiseksi voimassaolevia. Jaksoilla voi siten olla alkamisaika ja päättymisaika. Ylläpidon avuksi saadaan silloin automatiikkaa, kun valtuuksien voimaantulo, muutokset ja poistot tapahtuvat järjestelmän toimesta – ja tietoturvallisesti, kun väärät valtuudet samalla poistuvat.
Automaation ja kertakirjautumisen hyödyntäminen
Identiteetin- ja pääsynhallinta, käyttövaltuushallinta, on olennaisen tärkeä tietojen yksityisyyden, luottamuksellisuuden ja eheyden varmistamisessa. Se lisää tietoturvaa ja vähentää samalla toistuvia, manuaalisia tehtäviä erilaisten automaatioiden avulla. Automatisoida voidaan identiteettitietojen muodostaminen ja ylläpito mastertiedonhallinnan avulla, identiteettien ja käyttövaltuuksien elinkaaren hallinta, sekä monet roolien, tehtävien ja organisaatiorakenteen muutokset. Automatisoinnit helpottavat merkittävästi ylläpitäjien tehtäviä ja lisäävät siten käytettävyyttä, ja manuaalityön väheneminen parantaa myös tietoturvaa.
Loppukäyttäjien näkökulmasta käytettävyyttä on se, että kaikki tarvittavat järjestelmät ovat käytössä heti ensimmäisenä työpäivänä tai uuden tehtävän alkaessa. Toteutuksen sisältämä automatiikka varmistaa sitä omalta osaltaan, mutta sen lisäksi salasanaton kertakirjautumisratkaisu on merkittävä käyttökokemuksen parantaja. Käyttäjä voi silloin keskittyä tietotekniikan sijaan varsinaisen tehtävänsä hoitamiseen.
Integraatiot jäävät tekemättä – ja moni projekti epäonnistuu
Käyttövaltuushallinnan projektissa merkittävä hyöty saadaan automatisointeja hyödyntämällä. Kaikkein suurin hyöty tulee kuitenkin integraatioita toteuttamalla. Käyttövaltuushallinta ja pääsynhallinta kannattaa integroida kaikkiin keskeisiin sovelluksiin, joita organisaatiossa käytetään. Tyypillisesti integraatiot ovat kuitenkin olleet hyvin kalliita toteuttaa, maksaen jopa kymppitonneja per integraatio. Tämän takia niitä on toteutettu hyvin rajallisia määriä – ja projektit epäonnistuvat, kun suurimmat hyödyt jäävät ottamatta.
On olemassa myös ratkaisu, joka hyödyntää automatisoitua tiedon syöttöä ja käyttöliittymätunnistusta. Näihin tekniikkoihin perustuvalla toteutuksella saadaan korvattua henkilötyöpainotteinen integraatiotyö. Kustannukset laskevat merkittävästi, mikä mahdollistaa integraatioiden laajan hyödyntämisen. Ja silloin käyttövaltuushallinnan projektit onnistuvat. Ota meihin yhteyttä, niin kerromme miten.
Kirjoittaja/Author: Antti Kaihovaara