Kurkistatko käyttöoikeuksiin avaimenreiästä vai näetkö kokonaiskuvan?

16/12/2019 | Kirjoittanut: Tero Pasanen | Aihe: IAM, Identiteetinhallinta (IdM), IGA Image for Kurkistatko käyttöoikeuksiin avaimenreiästä vai näetkö kokonaiskuvan?

Identiteetin ja pääsynhallinta on tietoturvan ”kuollut kulma”, joka usein unohtuu yrityksiltä – siitä huolimatta, että se on tietoturvan kivijalka. ”Hoidetaan nämä joskus kuntoon”, ajatellaan.

Tiedätkö, ketkä kaikki pääsevät käsiksi yrityksenne järjestelmiin? Entä tiedätkö, millaisia käyttöoikeuksien kokonaisuuksia käyttäjille on kasautunut?

Otetaan esimerkiksi tyypillinen tapaus: Yritys, joka on ollut toiminnassa kymmeniä tai jopa satoja vuosia. IT-järjestelmät on aikoinaan laitettu pystyyn, ja ajan kuluessa järjestelmät ja käyttäjätietojen hallinta niissä ovat kehittyneet enemmän tai vähemmän orgaanisesti. Jossain vaiheessa järjestelmiä ja käyttäjäoikeuksia on sen verran, että yrityksellä ei enää oikeasti ole tietoa siitä, minkälaisia oikeuksia on olemassa. Viimeistään sisäisen auditoinnin myötä asiaa lähdetään viemään eteenpäin.

Identiteetin ja pääsynhallinnalla (Identity and Access Management, IAM) huolehditaan siitä, että järjestelmiä pääsevät käyttämään vain niihin oikeutetut henkilöt eikä vaarallisia käyttöoikeuksien yhdistelmiä pääse syntymään.

Käyttäjäryhmä määrää ratkaisun

Se, millaista IAM-ratkaisua lähdetään tekemään, riippuu siitä, millaiselle käyttäjälle sitä tehdään.

Käyttäjäryhmiä on nimittäin lukuisia erilaisia, kuten yrityksen henkilöstö, ulkoiset sidosryhmät sekä asiakkaat. Näiden kaikkien käyttäjäoikeuksien hallinnassa on eroja: Ulkopuolisille sidosryhmille täytyy olla rajatummat käyttöoikeudet kuin yrityksen henkilöstölle. Vastaavasti asiakkaiden ryhmä poikkeaa muista siten, että kun työntekijäpuolella työnantaja määrittelee, mitä henkilö saa tehdä, kuluttajapuolella henkilö määrittelee itse, mitä muut saavat hänestä nähdä. Lisäksi tulevat ohjelmistorobotit ja järjestelmien väliset tunnukset, joiden käyttöoikeudet voivat olla hyvinkin laajat.

Vaaralliset käyttöoikeusyhdistelmät täytyy pystyä välttämään. Sama henkilö ei saa esimerkiksi taloushallinnossa luoda uutta toimittajaa, tehdä tilauksia kyseiselle toimittajalle ja hyväksyä tilauksia. Nämä ovat periaatteita, jotka kuuluvat hyvään hallintomalliin. Vastaavasti jos käyttäjä siirtyy organisaatiosta toiseen yrityksen sisällä, siinä vaiheessa pitäisi käynnistyä prosessi, jolla tarkistetaan, että käyttöoikeudet vastaavat henkilön uutta työnkuvaa uudessa organisaatiossa.

Mitä jos IAMia ei laita kuntoon?

Aikoinaan tunnusten luovuttaminen on tuntunut turvalliselta – nehän on luovutettu vain asianosaisille. Kun aikaa kuluu, unohtuneista tunnuksista tulee kuitenkin turvallisuusriski.

Pahimmassa tapauksessa käyttöoikeudet jäävät voimaan, kun käyttäjä lähtee pois talosta. Asia käy ikäväksi siinä vaiheessa, jos työntekijä siirtyy vaikkapa kilpailijalle – tällöin on olemassa todellinen riski, että dataa siirtyy. Edes oikeudessa korvauksena saadut miljoonat eivät välttämättä korvaa menetettyjen tuotekehitystietojen, laitepiirustusten tai koodin menetystä.

Toiseksi, lakien ja säännösten aiheuttamia vaatimuksia ei voi ohittaa. On tarkasti säädeltyjä toimialoja, kuten sote tai finanssiala, joilla käyttäjien tai asiakkaiden tietoja ei saa päästä vuotamaan ulkopuolisten tietoon. Siksi pitää pystyä seuraamaan, kenellä on oikeuksia ja mitä järjestelmässä tehdään.

Tavallisesti yrityksillä on jonkinlainen näkymä tiettyyn järjestelmään ja siellä oleviin käyttöoikeuksiin, mutta sen sijaan näkymää ei ole siihen, mitkä ovat käyttäjän oikeudet kaikkiin käytössä oleviin järjestelmiin. Kyseessä on siis pieni avaimenreiästä kurkistus – ”tuolta järjestelmä näyttää” – mutta kokonaiskuva jää usein hämärän peittoon.

Identiteetin arvo on kasvanut

Nykyään IAM-asiat kiinnostavat myös liiketoimintaa eri tavalla kuin ennen. Liikesalaisuuksien hallinta on tärkeä osa riskienhallintaprosessia, ja tunnusten odotus ja tyhjäkäynti maksavat, jos asiat toteutetaan manuaalisesti – ja mitä enemmän käyttäjiä, sitä merkittävämmät kustannukset.

Kun identiteetin ja pääsynhallintaan kaivataan ratkaisuja, asiantuntijamme tulevat paikalle kysymään oikeat kysymykset. Yleensä yhteistyö aloitetaan konsultoinnilla, jossa kartoitetaan ympäristö ja tuote läpi ja selvitetään, mitä kannattaisi tehdä.

Spellpointin Luotsi-palvelu kartoittaa yrityksen tai organisaation nykytilanteen. Lue lisää palvelusta.