Käyttövaltuushallinta
Organisaation tietoturvan perusta
Käyttövaltuushallinta (Identity and Access Management – IAM) on organisaatioiden tietoturvan kannalta keskeisessä roolissa. Sen avulla suojataan kriittisiä järjestelmiä, tietoja ja tiloja, sekä organisaation mainetta. Käyttövaltuushallinnalla on myös merkittävä vaikutus käyttäjien ja ylläpitäjien työn sujuvuuteen.
Käyttövaltuushallinnan kokonaisuus muodostuu neljästä osasta – identiteettitietojen hallinnasta, käyttövaltuuksien hallinnasta, pääsynhallinnasta ja turvallisuuden valvonnasta. Identiteetit ovat kohteita (henkilöitä, laitteita, ohjelmistoja), joille annetaan oikeuksia (käyttövaltuuksia) päästä käsiksi organisaation resursseihin (tietojärjestelmät, tiedot, tilat). Käyttövaltuuksia voidaan antaa identiteetille esimerkiksi roolin, tehtävän, aseman, sijainnin tai ajan perusteella. Pääsynhallinnassa varmistetaan tarpeen mukaisen vahvaa tunnistautumista käyttäen, että identiteetit ovat juuri niitä, joille oikeuksia resursseihin on annettu. Turvallisuuden valvonta perustuu järjestelmien käytön tapahtumien tallentamiseen ja käyttäjien käyttäytymisen seurantaan, joiden avulla jälkikäteen auditoida tai reaaliaikaisesti reagoida poikkeustilanteisiin ja väärinkäytöksiin.
Identiteettitietojen hallinta
Identiteetinhallinta varmistaa, että tietoihin ja tiloihin pääsy- ja kulkuoikeuksia saavien digitaalisten identiteettien tiedot ovat eheitä ja oikeita. Identiteetit voivat olla henkilöitä, laitteita ja ohjelmistoja, ja ne voivat olla organisaation sisäisiä tai ulkoisia. Identiteeteille määritellään rooleja, tehtäviä ja ominaisuuksia, joiden perusteella käyttövaltuuksia resursseihin myönnetään toistaiseksi voimassaolevina, määräaikaisina tai kertaluonteisesti.
Identiteettitiedot ovat usein hajautuneena moniin järjestelmiin, joissa ei myöskään ole riittävästi tietoja tarvittavien käyttövaltuuksien tarkkaan määrittelyyn. Tietojen hallinnassa on paljon manuaalista työtä, minkä voi korvata identiteettien mastertiedon hallinnan ratkaisulla, joita on kuitenkin tarjolla valitettavan vähän.
Käyttövaltuuksien hallinta
Käyttövaltuuksien hallinta ja määrittely on ratkaisevassa roolissa siinä, kuinka vaivatonta identiteetin työnteko on ja siinä, kuinka vähän vahinkoa vääriin käsiin joutunut identiteetti voi saada aikaan. Järjestelmiin on päästävä juuri silloin kuin niitä tarvitsee, siellä missä niitä tarvitsee ja sillä päätelaitteella, jolla tarve on. Käännettynä järjestelmiin ei myöskään pitäisi saada pääsyä väärään aikaan, väärästä paikasta tai luvattomalla laitteella.
Identiteettien valtuuksista saadaan työn näkökulmasta sopivan sallivia ja tietoturvan kannalta riittävän rajoittavia vain, kun eri roolien ja tehtävien oikeudet on määritelty tarkasti. Tämä taas aiheuttaa paljon työtä ja muistamista, ellei valtuuksien elinkaarien hallintaa ole automatisoitu.
Pääsynhallinta
Pääsynhallinta toimii portinvartijana ja sen avulla käyttäjät pääsevät järjestelmiin helposti ja turvallisesti, mutta samalla palvelua suojataan asiattomalta käytöltä. Pääsynhallintajärjestelmä varmistaa, että käyttäjä on se, joka väittää olevansa. Tämä toteutetaan käyttäjän tunnistautumisella, jonka tulee tilanteeseen nähden olla aina riittävän vahva. Kun käyttäjä on tunnistettu, pääsynhallinta tekee päätöksen päästää käyttäjä palveluun, jolle identiteetin hallinnan kautta on välitetty käyttäjän, eli identiteetin, oikeudet palveluun ja palvelussa.
Riittävän turvallinen pääsynhallinta saadaan käyttäjille vaivattomaksi ja nopeaksi käyttää ottamalla käyttöön kortti- ja kertakirjautumisratkaisu, joka toimii sekä työasemilla että mobiililaitteissa. Suurimmat hyödyt pääsynhallinnasta saadaan, kun se integroidaan kaikkiin käytössä oleviin sovelluksiin.
Turvallisuuden valvonta
Turvallisuuden valvonta käyttövaltuushallinnassa mahdollistaa kaikenlaisten poikkeamien havaitsemisen tiedon ja käyttövaltuuksien käytössä. Valvonnalla havaitaan mm. tietojen nuuskiminen ja luvaton kopiointi, huomataan asiaton tietojen muuttaminen ja entisten työntekijöiden yritykset päästä tietoihin ja tunnistetaan käyttäjätunnusten väärinkäyttö.
Valvonnassa kiinnitetään huomio kaikkeen epänormaaliin käyttäytymiseen, se mahdollistaa järjestelmien käytön auditoinnin ja raportoinnin ja antaa eväät kehittämisen tarpeisiin. Valvonta perustuu lokienhallintaan, minne aikajärjestyksessä tallennetaan tietojärjestelmän tapahtumia ja niiden aiheuttajia.
Haluan kuulla lisää käyttövaltuushallinnan eri ratkaisuista ja palveluista
Miksi käyttövaltuushallinnan projektit eivät onnistu?
Projektien onnistumisen avaimet piilevät käytettävyydessä. Ratkaisun tulee olla helppokäyttöinen niin tietosisällön kuin teknisen ympäristönkin ylläpitäjille – ja erityinen huomio on kiinnitettävä loppukäyttäjien käytön helppouteen. Automaation puute identiteetti- ja käyttövaltuustietojen ylläpidossa on toiseksi merkittävin projektien onnistumisen este. Suurin este on sovellusintegraatioiden vähäinen hyödyntäminen.
Minkälainen on organisaatiosi käyttövaltuushallinnan tilannekuva?
Käyttövaltuushallinta on organisaatioiden tietoturvan kannalta keskeisessä roolissa. Kokonaisuus rakentuu teknisistä ratkaisuista, mutta onnistumisen ytimessä ovat hyvin suunnitellut toimintamallit ja -prosessit, sekä ohjeistus, koulutus ja seuranta.
Tilannekuvapalvelussa selvitetään nykytila, määritellään tavoitetila ja rakennetaan etenemissuunnitelma tavoitetilaan pääsemiseksi. Mikä tilannekuva sinulla on organisaatiosi käyttövaltuushallinnasta?
Käytettävyys luo tietoturvaa
Nykyaikaisissa järjestelmissä käytettävyys ja tietoturva eivät ole vaa’an eri koreissa, vaan molempia voidaan parantaa yhtä aikaa. Ratkaisuna on käytettävyyden parantaminen kaikilla tasoilla.
Käytettävyyttä tulee tarkastella sekä järjestelmän ylläpitäjien että loppukäyttäjien kannalta. Käytettävyyden puutteet lisäävät manuaalista työtä, mikä lisää virheiden riskiä, ja vaikeakäyttöisyys saa käyttäjät ’oikomaan mutkia’, aiheuttaen tietoturvariskien kasvua. Ylläpitäjien apuna on identiteettien ja käyttövaltuuksien hallinnan automatiikka, ja käyttäjien työtä helpottavat pääsynhallinnan integtaariot ja kertakirjautuminen.
Kertakirjautuminen parantaa käytettävyyttä ja tietoturvaa
Kortti- ja kertakirjautumisratkaisu vapauttaa käyttäjät käyttäjätunnusten ja salasanojen käyttämisen vaivalta, mutta samalla tietoturva huomioiden. Tunnistautumiseen voidaan käyttää henkilökorttia, tai mitä tahansa sirukorttia. Järjestelmä tietää henkilön käyttövaltuudet, eikä käyttäjätunnuksia tai salasanoja tarvitse syöttää. kortin näyttämistä vahvempaa tunnistautumista voidaan vaatia vaikka työvuoron alussa, määräajoin tai tiettyihin ohjelmiin kirjautuessa. Lue täällä kuinka kertakirjautuminen vapauttaa aikaa potilastyöhön terveydenhuollossa. Kertakirjautuminen helpottaa erityisesti yhteiskäyttöisten työasemien käyttäjien työtä, ja sama toimii myös mobiililaitteilla.
Käytettävyyden ja tietoturvan paradoksi
Kun toimintaohjeita ja ratkaisuja ajatellaan pelkästään tietoturvan näkökulmasta, tulee järjestelmistä todennäköisesti turvallisempia, mutta usein työläämpiä ja hankalampia käyttää. Puhutaankin tietoturvan ja käytettävyyden paradoksista – mitä turvallisempi järjestelmä, sitä hankalampi käyttää, ja päinvastoin.
Käytettävyyttä tulee tarkastella kahdella tasolla, eli järjestelmän ylläpitäjien osalta sekä loppukäyttäjien näkökulmasta. Käytettävyyden puutteet lisäävät manuaalista työtä, mikä lisää virheiden riskiä, ja vaikeakäyttöisyys saa käyttäjät ’oikomaan mutkia’, aiheuttaen tietoturvariskien kasvua. Nykyaikaisissa järjestelmissä käytettävyys ja tietoturva eivät kuitenkaan ole toistensa vastakohtia, vaan ratkaisuilla voidaan parantaa yhtä aikaa molempia.
Identiteetin- ja pääsynhallinta, käyttövaltuushallinta, on olennaisen tärkeä tietojen yksityisyyden, luottamuksellisuuden ja eheyden varmistamisessa. Se lisää tietoturvaa ja vähentää samalla toistuvia, manuaalisia tehtäviä erilaisten automaatioiden avulla. Automatisoinnit helpottavat merkittävästi ylläpitäjien tehtäviä ja lisäävät siten käytettävyyttä, ja manuaalityön väheneminen parantaa myös tietoturvaa.
Loppukäyttäjien näkökulmasta käytettävyyttä on se, että kaikki tarvittavat järjestelmät ovat käytössä heti ensimmäisenä työpäivänä tai uuden tehtävän alkaessa. Pääsynhallinnan toteutuksen sisältämä automatiikka varmistaa sitä omalta osaltaan, mutta sen lisäksi salasanaton kertakirjautumisratkaisu on merkittävä käyttökokemuksen parantaja. Käyttäjä voi silloin keskittyä tietotekniikan sijaan varsinaisen tehtävänsä hoitamiseen.
Käyttövaltuushallinnan projekteissa merkittävä hyöty saadaan automatisointeja hyödyntämällä. Kaikkein suurin hyöty tulee kuitenkin integraatioita toteuttamalla. Lue täältä miksi käyttövaltuushallinnan projektit eivät onnistu.
Miksi käyttövaltuushallinta on tärkeää juuri nyt?
Työnteko ja tietojärjestelmien käyttö on muuttunut merkittävästi tällä vuosituhannella. Aiemmin organisaatioiden tiedot ja tietojärjestelmät olivat omassa sisäverkossa ja tietoturvan näkökulmasta riittävää oli suojautua palomuureilla verkon ulkoreunoilla. Nyt teemme työtä entistä enemmän etänä ja mobiileilla laitteilla, minkä lisäksi ohjelmistot ja tiedot ovat verkossa ympäri maailman.
Tietomurtojen anatomia on viime vuosikymmenen aikana muuttunut. Identiteettitietojen hyödyntämisestä on tullut pääasiallinen tapa päästä luottamukselliseen tietoon käsiksi. Siksi identiteettitietojen ja identiteeteille myönnettyjen käyttövaltuuksien turvallisuuteen on kiinnitettävä erityistä huomiota. Muutaman palomuurin sijaan meillä tulee nyt olla yhtä monta palomuuria kuin käyttäjääkin. Jokaista identiteettiä on pystyttävä suojaamaan, mutta myös jokaisen identiteetin poikkeuksellinen käyttäytyminen on pystyttävä havaitsemaan.
Tietomurtojen määrä kasvaa vauhdilla joka vuosi. Arvioiden mukaan noin 80% murroista tapahtuu nykyjään varastettuja ja väärinkäytettyjä identiteettejä hyödyntämällä. Tämän takia identiteettien ja käyttövaltuuksien hallinnan ratkaisuihin panostaminen on tarpeen. Arvioiden mukaan 80% identiteettien väärinkäytöksistä kohdistuu lähes kaikkeen tietoon pääseviin erityisiä oikeuksia omaaviin identiteetteihin. Tähän käyttövaltuushallinnan osa-alueeseen tuleekin ottaa käyttöön oma ratkaisunsa (Privileged Access Management – PAM).
Haluatko tietää lisää käyttövaltuushallinnan ratkaisuista tai selvittää organisaatiosi käyttövaltuushallinnan tilannekuvan?
Ota yhteyttä, niin kerromme miten voimme auttaa