Käyttövaltuushallinta (Identity and Access Management – IAM) on organisaatioiden tietoturvan kannalta keskeisessä roolissa. Kokonaisuus muodostuu neljästä osasta – identiteettitietojen hallinnasta, käyttövaltuuksien hallinnasta, pääsynhallinnasta ja turvallisuuden valvonnasta. Selvitysten mukaan valtaosa tietomurroista tehdään nykyään varastettuja identiteettejä hyödyntämällä, minkä johdosta identiteettien hallinnan on syytä olla kunnossa. Vääriin käsiin joutuneella identiteetillä ei kuitenkaan pääse tekemään isoja vahinkoja, jos käyttövaltuuksien hallinta ja pääsynhallinta on toteutettu huolella. Käyttövaltuushallinnan kokonaisuus ratkaisee. Mikä tilannekuva sinulla on organisaatiosi käyttövaltuushallinnasta?
Käyttövaltuushallinta
Käyttövaltuushallinta rakentuu teknisistä ratkaisuista, mutta onnistumisen ytimessä ovat hyvin suunnitellut toimintamallit ja -prosessit, sekä ohjeistus, koulutus ja seuranta.
Identiteetinhallinta varmistaa, että tietoihin ja tiloihin pääsy- ja kulkuoikeuksia saavien digitaalisten identiteettien tiedot ovat eheitä ja oikeita. Identiteetit voivat olla henkilöitä, laitteita ja ohjelmistoja. Identiteeteille määritellään rooleja, tehtäviä ja ominaisuuksia, joiden perusteella käyttövaltuuksia myönnetään toistaiseksi voimassaolevina, määräaikaisina tai kertaluonteisesti.
Käyttövaltuuksien hallinta ja määrittely on ratkaisevassa roolissa siinä, kuinka vaivatonta identiteetin työnteko on ja siinä, kuinka vähän vahinkoa vääriin käsiin joutunut identiteetti voi saada. Järjestelmiin on päästävä juuri silloin kuin niitä tarvitsee, siellä missä niitä tarvitaan ja sillä päätelaitteella, jolla tarve on. Käännettynä järjestelmiin ei myöskään pitäisi saada pääsyä väärään aikaan, väärästä paikasta tai luvattomalla laitteella.
Pääsynhallinta toimii portinvartijana ja sen avulla käyttäjät pääsevät järjestelmiin helposti ja turvallisesti, mutta samalla palvelua suojataan asiattomalta käytöltä. Pääsynhallintajärjestelmä varmistaa, että käyttäjä on se, joka väittää olevansa. Tämä toteutetaan käyttäjän tunnistautumisella. Kun käyttäjä on tunnistettu, pääsynhallinta tekee päätöksen päästää käyttäjä palveluun, jolle identiteetin hallinnan kautta on välitetty käyttäjän, eli identiteetin, oikeudet palveluun ja palvelussa.
Turvallisuuden valvonta käyttövaltuushallinnassa mahdollistaa kaikenlaisten poikkeamien havaitsemisen tiedon ja käyttövaltuuksien käytössä. Valvonnalla havaitaan mm. tietojen nuuskiminen ja luvaton kopiointi, huomataan asiaton tietojen muuttaminen ja entisten työntekijöiden yritykset päästä tietoihin ja tunnistetaan käyttäjätunnusten väärinkäyttö. Valvonnassa kiinnitetään huomio kaikkeen epänormaaliin käyttäytymiseen, se mahdollistaa järjestelmien käytön auditoinnin ja raportoinnin ja antaa eväät kehittämisen tarpeisiin. Valvonta perustuu lokienhallintaan, missä aikajärjestyksessä tallennetaan tietojärjestelmän tapahtumia ja niiden aiheuttajia.
Kaikkien käyttövaltuushallinnan osa-alueiden tulee kokonaisuuden onnistumiseen kannalta toimia hyvin yhteen. Merkittävä hyöty saadaan automatisointeja hyödyntämällä. Kaikkein suurin hyöty tulee kuitenkin integraatioilla kaikkiin keskeisiin sovelluksiin, joita organisaatiossa käytetään. Vajanaisesti hyödynnetyt automaatiot ja integraatiot ovat suurin käyttövaltuushallinnan projektien epäonnistumisen syy. Lue siitä tarkemmin täällä.
Mikä on tilannekuva organisaatiosi käyttövaltuushallinnasta?
Onko arviota tehty siitä, missä kunnossa käyttövaltuushallintanne on? Jos on tehty, niin mihin tilannetta on verrattu – tunteeseen, poikkeamiin, tietoturvatapauksiin, käyttäjäkyselyihin, tukihenkilöiden työmääriin, toimialan yleiseen tilanteeseen?
Tilannekuvapalvelu antaa tuloksena selvityksen nykytilasta ja sen tehtävänä on tuottaa ns. pika-arviointina kokonaisvaltainen näkemys organisaation käyttövaltuushallinnan tasosta. Palvelun avulla asiakas ymmärtää oman tilanteensa vahvuudet ja heikkoudet analyyttisen mallin pohjalta ja saa paremmat lähtökohdat kehittää systemaattisesti omaa identiteetin-, käyttövaltuus- ja pääsynhallintaa sekä käyttövalvontaa.
Asiakkaille palvelu tuottaa hyötyä oman tilanteen ymmärryksessä, mutta myös vertailee (benchmarking) tilannetta alan muihin toimijoihin. Pitääkö turvallisuuden olla absoluuttisesti parasta, vai riittääkö kun se on paremmalla tasolla kuin toimialalla yleensä? Tähän mielenkiintoiseen kysymykseen palaamme myöhemmissä blogiartikkeleissamme.
Tilannekuvaa muodostettaessa ensin selvitetään organisaation käyttövaltuushallinnan nykytila. Sen jälkeen määritellään tavoitetila, kuvataan vaihtoehtoja kehittämiselle ja laaditaan etenemissuunnitelma.
Nykytilan kartoitus voidaan tehdä monella tasolla, se voi olla suppeampi yleiskatsaus tai laaja selvitys. Jo yleiskatsaus antaa kuvan siitä, missä kehittämisen tarpeita mahdollisesti on, ja laajemmalla selvityksellä saadaan tarkka tieto kehittämistarpeista. Ilman nykytilan huolellista selvittämistä ei kehittämisen toimenpiteitä pystytä kunnolla määrittelemään. Nykytilaa selvitetään kyselyillä, dokumentteihin tutustumalla, haastatteluilla ja työpajoilla.
Tavoitetilan määrittely on tärkein osio, johon todella kannattaa kiinnittää huomiota. Tavoitetilan määrittelyä varten pitää ensin olla nykytila selvitettynä. Tavoitetilaa ei kuitenkaan voi johtaa suoraan kehittämistarpeista. Tavoitetilassa oleellista on suunnata tähtäin tulevaisuuteen – siihen miten asioiden pitäisi olla, jotta kokonaisuus olisi tehokkaampi ja toimivampi. Tavoitetilan hahmottelu vaatii palavereita sekä johdon että asiantuntijoiden kanssa, haastatteluja ja työpajoja aiheiden puntarointiin. Tavoitetila on lähtökohta toimenpiteiden määrittelylle. Tavoitetilaa ei voida täysin määritellä vain omista lähtökohdista ajatellen, vaan on otettava huomioon myös teknologian, lainsäädännön ja toimintamallien ja -tapojen kehitys. Toimintaympäristön kehittymisen selvittämisessä tilannekuvaa tuottavat asiantuntijamme ovat suureksi avuksi kokemuksensa ja osaamisensa kautta.
Etenemissuunnitelma sisältää keinot, kuinka nykytilasta päästään tavoitetilaan. Suunnitelma voi olla monivaiheinen ja siinä voi olla myös vaihtoehtoisia polkuja. Jos tavoitetilassa tavoitteet on teemoitettu, niin etenemissuunnitelma voidaan laatia myös teemoittain. Etenemissuunnitelman toteuttamisessa aikataulut ja resurssoinnit ovat lähes aina haasteellisia jossakin vaiheessa toteutusta. Vaiheiden ja teemojen priorisointi, mielellään jo tavoitetilaa määriteltäessä, auttaa aikataulujen ja resursoinnin hallinnassa. Laadittua etenemissuunnitelmaa on hyvä tarkastella määräajoin, jotta toimintaympäristön kesken toteutusta havaitut muutokset voidaan ottaa huomioon.
Tietoturva on suuressa määrin teknologiaa, mutta asenne ratkaisee
Etenemissuunnitelmassa keskeisessä osassa ovat teknologiaratkaisut ja tekniset valmiudet. Ne ovat tärkeitä, jotta pohja onnistumiselle saadaan luotua. Yhtä tärkeää on samaan aikaan, niin nykytilaa kuin tavoitetilaa määriteltäessä ja etenemissuunnitelmaa laadittaessa, kuvata toimintamallien ja -prosessien periaatteet ja käytäntö. Tietoturvaan pätee samat perusperiaatteet kuin laatutoimintaan, eli jatkuvan kehittämisen malli, jonka tulee olla kantavana osana toimintaa.
Tietoturvan heikoimman kohdan on sanottu olevan ihminen. Teknologian kehittyminen, automaatiot, integraatiot ja valvontaratkaisut auttavat madaltamaan inhimillisen toiminnan tuomia riskejä, mutta tietoturvan vakavasti ottamisen asenteessa on edelleen kehittämisen varaa niin johdossa kuin käyttäjienkin tasolla. Mutta missä ne kehittämisen kohdat ovat ja kuinka edetä? Ota meihin yhteyttä, niin kerromme miten saat käyttövaltuushallinnastasi hyvän tilannekuvan.
Kirjoittaja/Author: Antti Kaihovaara