Käyttäjähallinta on riskienhallinnan ytimessä

18/05/2016 | Kirjoittanut: Tapani Tanskanen | Aihe: GDPR, IGA

Nukut paremmin, kun tiedät, kuka saa, milloin ja miten käyttää yrityksesi kalleinta tietoa.

Tilintarkastajat puuttuvat yhä enemmän siihen, kenellä on pääsy yrityksen kriittisiin tietoihin. Niinpä käyttöoikeuksien hallinnasta on tullut keskeinen osa riskienhallintaa.

SOX, GDPR ja muu sääntely

Tietoon liittyvä tiukentunut kansallinen ja kansainvälinen säätely vauhdittaa tilintarkastajien ja auditoijien käyttöoikeuksien hallintaan liittyviä tarkastuksia. SOX-säännöt, EU:n tietosuoja-asetus (GDPR), luottokorttien suojaukseen liittyvä säätely, sosiaali- ja terveydenhuollon asiakastietoja koskevat lait sekä julkisen puolen Vahti- ja Katakri-ohjeet vaikuttavat siihen, miten yrityksen on käyttöoikeuksien hallinnalla suojattava tietojaan.

Taloushallinnon järjestelmät ovat ensisijainen kohde, kun auditoijat tutkivat, ketkä pääsevät ja minkälaisilla valtuuksilla katsomaan, muokkaamaan ja luomaan tietoa. Yritysjohdon tehtävä on määritellä, mitkä missä muissa tietojärjestelmissä on yrityksen arvokkainta tai toiminnan kannalta kriittisintä tietoa. Kun ne ovat selvillä, luodaan vedenpitävät toimintatavat, miten asiakastietojen, tutkimusdatan ja vaikkapa hr-järjestelmän käyttöoikeuksia hallitaan.

Pelkkä työntekijöiden käyttöoikeuksien hallinta ei riitä, sillä käyttöoikeuksia on usein jaettu löyhästi myös ulkopuolisille. On syytä myös varmistaa, millaiset käyttöoikeudet tietohallinnon intialaisen ulkoistuskumppanin verkkolaitteiden ylläpitäjällä on tuotekehitystietoihin? Entä miten valvotaan työvoimavuokrausfirmasta tulleen myynnin määräaikaisen harjoittelijan tietopyyntöjä asiakastietojärjestelmästä tai tuotekehitystietojen kopioimista muistitikulle? Entä kenellä on tieto siitä, pääsevätkö vuosi siten irtisanotut ja kilpailijalle palkatut työntekijät edelleen vpn-yhteydellä kiinni tuotantojärjestelmiin? (edit: lue myös, miten nämä asiat ratkaistaan IGA:n avulla)

Yrityksen ylimmällä johdolla on yksiselitteinen vastuu määräystenmukaisesta käyttäjähallinnasta. Yhtiön hallitus puolestaan patistaa johtoa huolehtimaan asioista niin, ettei tilintarkastajilla ja auditoijilla ole asiasta huomautettavaa.

Auditointi on johdolle paitsi keppi, myös porkkana. Se on hyvä työkalu käynnistää käyttäjähallintaa koskeva toimintatapojen uudistus. Vapaaehtoinen käyttöoikeuksien auditointi tuottaa johdolle ja hallitukselle tietoa, ovatko käyttöoikeuksien hallinta ja raportointi kunnossa. Jos näin ei ole, auditoija antaa toimintaohjeet, miten asiat korjataan.

Auditoinnissa ilmenneet ongelmat ratkaistaan kahdesta suunnasta: yrityksen johto luo prosessit ja ohjeistukset sellaisiksi, että käyttäjähallinta ja sen raportointi ovat säännösten mukaisia ja kiinteä osa yrityksen säännöllistä toimintaa. Ei ole pahitteeksi, jos sisäinen auditointi tehdään automaattisesti vaikkapa jokaisen kvartaaliraportoinnin yhteydessä. Toisaalta yritykseen on luotava tietotekniset ratkaisut, jotka mahdollistavat johdon määrittelemät käyttäjähallinnan prosessit ja joustavan raportoinnin.

Kyseessä on siis yrityksen hyvään hallintotapaan kuuluva käyttäjähallinnan strategian ja siihen liittyvän operatiivisen toteutuksen liitto. Korostan tätä: pelkkä operatiivinen järjestelmä, joilla ratkotaan käyttäjähallinnan käytännön pulmia, ei riitä vaan sen tukena on oltava ylimmän johdon määrittelemä yrityksen toimintatapa, jota myös valvotaan.

Hyvä hallinnointitapa

Käyttöoikeuksien auditoinnissa on siis kyse sekä siitä, miten käyttöoikeuksien hallinta on järjestetty että siitä, miten ja kuka niitä valvoo sekä miten yritysjohdolle ja hallitukselle asioista raportoidaan.

Hyvään hallintotapaan kuuluvalla käyttäjähallinnalla määritellään periaatteet, mihin tietoihin ja minkälaiset oikeudet kullakin käyttäjällä on. Toiseksi on oltava mahdollisimman selkeät ja hyvin dokumentoidut toimintatavat, miten oikeuksia myönnetään, muutetaan ja poistetaan. Kolmanneksi on määriteltävä raportoinnin vastuut, toimintatavat ja aikataulut. Neljäs, muttei vähäpätöisin asia on, kuinka toimitaan poikkeustilanteessa: mitä tehdään, kun havaitaan käyttäjätietojen väärinkäytös, miten muodostetaan tilannekuva, miten asiat priorisoidaan, kuka informoi ketä ja mitä varajärjestelmiä voidaan käyttää.

Auditoijat puuttuvat ensisijaisesti huonoihin toimintatapoihin tai niiden puutteeseen. Yhtä lailla he voivat tarttua kärkkäästi yksityiskohtiin, kuten ”unohtuneisiin” käyttöoikeuksiin. Näitä syntyy silloin, kun työntekijöille annetaan omaa tehtävää laajempia käyttöoikeuksia heidän sijaistaessaan toista työntekijää. Nämä oikeudet jäävät voimaan sijaisuuden päätyttyä ja niitä on voinut kertyä yhdelle ihmiselle vuosien aikana runsaastikin.

Suurissa organisaatioissa ongelmia aiheuttaa myös se, että käyttöoikeuksia myöntävillä esimiehillä ei aina ole tarkkaa tietoa alaistensa työtehtävistä, jolloin käyttöoikeuksia myönnetään varmuuden vuoksi yli tarpeen. Tässäkin tapauksessa käyttöoikeuksia kertyy runsaasti vuosien varrella, kun työtehtävät ja esimiehet vaihtuvat.

Määräystenmukaisen käyttäjähallintajärjestelmän luominen edellyttää, että olemassa olevat käyttöoikeudet siivotaan. Tähän työhön voidaan pyytää neuvoja ja ohjeistuksia ulkopuolelta, mutta organisaation pitää tehdä raaka työ itse. Tuhansien työntekijöiden organisaatiossa järjestelmiin on vuosikymmenten aikana kertynyt paljon virheellistä, päällekkäistä tai vanhentunutta käyttäjätietoa, joka pitää korjata tai poistaa ennen uuden käyttäjähallintajärjestelmän luontia.

Tapani Tanskanen
Senior IAM consultant, CISSP