Identiteetinhallinnasta identiteettitiedon hallinnointiin (IGA)

23/12/2016 | Kirjoittanut: Tapani Tanskanen | Aihe: GDPR, IGA, Tietosuoja Image for Identiteetinhallinnasta identiteettitiedon hallinnointiin (IGA)

Yksi identiteetinhallinnan (identity management, IdM) keskeisimpiä kysymyksiä on: Mihin palveluihin kukakin pääsee kirjautumaan? Kun käyttäjillä on oikeat oikeudet, he pystyvät tekemään työnsä. Toisaalta tarpeettomia oikeuksia ei pitäisi olla, koska ne lisäävät väärinkäytösten ja hyökkäysten riskiä. Tästä syystä identiteetinhallinnan rinnalla on alettu puhua myös identiteettitiedon hallinnoinnista (identity governance and administration, IGA).

Identiteettitiedon hallinnoinnissa perinteisten kysymysten rinnalle nousevat keskeisiksi teemoiksi mm. seuraavat:

Miksi IGA on tärkeää?

Tuleva EU-tietosuojalainsäädäntö (general data protection regulation, GDPR) kannustaa varmistamaan, että yksityisyydensuoja-asiat on hoidettu hyvin. Heikosti hallinnoitu identiteettitieto saattaa johtaa suuriin sanktioihin tietomurtojen yhteydessä toukokuun 2018 jälkeen. Myös muut määräykset ja sisäiset vaatimukset velvoittavat kunnolliseen tietojen hallinnointiin.

Kustannusten suhteen IGA kannattaa nähdä mahdollisuutena. Automaatio vähentää käsin tehtävän työn ja virheiden määrää. Lisäksi se mahdollistaa sen, että tiedot ovat aina ajan tasalla: uusi käyttäjä/tili luodaan kohdejärjestelmään heti kun se on hyväksytty, eikä enää tarvitse odotella päiväkausia. Tuottavaan työhön pääsee siis kiinni heti. Kun kaikilla on juuri ne tilit ja oikeudet mitkä pitääkin, myös lisenssikulut laskevat merkittävästi.

Identiteettitiedon hallinta auttaa hallitsemaan riskejä, koska sen avulla yrityksellä on aina ajan tasalla oleva tilannekuva yrityksen tärkeimmistä tiedoista ja niihin pääsystä.

Miten IGA toteutetaan?

IGA:n avulla hallitaan identiteettien elinkaarta: uudet työntekijät, työroolin vaihtajat sekä poistuvat työntekijät. Uusille työntekijöille on tärkeää saada pääsy oikeisiin järjestelmiin nopeasti. Toisaalta poistuvilta työntekijöiltä täytyy saada kaikki oikeudet pois oikeaan aikaan.

Myös käyttövaltuuksilla on oma elinkaarensa. Työroolin muuttuessa oikeuksien pitää muuttua vastaavasti. Osa oikeuksista voidaan antaa automaattisesti roolien perusteella, osan voi hakea itse ja ne hyväksytään oikean tahon toimesta. Oikeuksia kuitenkin kertyy vuosien varrella liikaa, ja koska kaikkea ei voi automatisoida, on tärkeää tehdä oikeuksien tarkastamista (recertification).

Oikeuksien tarkastamisesta vastaavat palveluiden omistajat, esimiehet, projektipäälliköt sekä auditoijat. Lisäksi omatoiminen tarkastaminen (self-review) helpottaa edellä mainittujen työtä. Tarkastaminen voi olla jatkuva prosessi tai sitä voidaan tehdä säännöllisin väliajoin. Mitä useammin tarkastamista täytyy tehdä, sitä tärkeämpää on, että tarkastettavana on olennaisia oikeuksia — ne pitää siis priorisoida riskin perusteella. IGA-järjestelmä tekee riskilaskelman ja pyytää sen perusteella tarkastamaan tärkeimmät oikeudet ensin.

Tapani Tanskanen
Chief #IAMist, Spellpoint