Loppujen lopuksi kyse on siitä, miten ihmiset ja prosessit rakentuvat identiteetinhallinnan ympärille. Teknologia on vain väline, kertoo useita erilaisia organisaatioita auttanut IAM-arkkitehti Eero Kaipiainen.
Kerro taustastasi.
Opiskelin tietojenkäsittelytiedettä Helsingin yliopistossa vuosina 1998–2005. Urani alussa tein Java-ohjelmointia suomalaisessa yrityksessä. Sen jälkeen päädyin Panorama Partnersille, jossa ehdin olla seitsemän vuotta. Siellä tein identiteetinhallintaan liittyviä kehitys- ja toteutustöitä, muun muassa ansaintajärjestelmän käyttövaltuuksien hallintaan liittyviä jatkokehitysprojekteja sekä sivutyönä räätäliohjelmistojen ohjelmointia logistiikka-alan asiakkaalle.
Vuonna 2014 Nixu osti Panorama Partnersin. Nixulla tein identiteetinhallinnan käyttöönoton jatkokehityshankkeita valtionhallinnossa, työeläkeyhtiöissä ja yksityisissä yrityksissä eri rooleissa – projektipäällikkönä, arkkitehtina, määrittelijänä kehittäjänä ja testaajana.
Miten päädyit Secure Cloudille?
Vanha tuttuni Heikki “Numppa” Numminen toimi pitkään Panorama Partnersin hallituksen puheenjohtajana. Eläkkeelle jäätyään Numppa otti yhteyttä ja kysyi, kiinnostaisivatko uudet tuulet. Mahdollisuus kuulosti kiinnostavalta ja olen nyt toiminut täällä IAM-arkkitehtina (IAM = identity and access management) yli kolme vuotta.
Millainen roolisi Secure Cloudilla on?
Teen paljon identiteettien hallintaan liittyviä suunnittelutöitä niin sanottuja esiselvityksiä, joissa kartoitan asiakkaiden tarpeita ja kyvykkyyksiä. Usein näihin töihin kuuluu myös markkina- tai teknologiakartoitus sekä yleisempää konsultaatiota. Olen presales-apuna myyjille, ja teen ratkaisukuvauksia asiakkaille ehdotetuista toteutuksista.
Pääsin myös aluksi kehittämään Secure Cloudin identiteettien hallintaan liittyviä praktiikoita, joilla tuetaan asiakkaita. Ennen IAM-ratkaisujen hankintaa asiakkaalla pitää olla kuvattuna prosessit, arkkitehtuuri ja käyttötapausten, sekä mitä tapahtuu missäkin vaiheessa käyttöönoton aikana ja jälkeen. Näiden tuottamiseen meiltä löytyy nyt hyvät pohjat.
Mikä tietoturvan alue kiinnostaa sinua eniten ja miksi?
IAMista on kertynyt paljon kokemusta, mutta teknologia itsessään ei ole se kiinnostavin osa. Tärkeämpää on ymmärtää, miten organisaation ihmiset ja käyttäjäryhmät toimivat ja millä tavoin heidän vuorovaikutuksensa asettaa vaatimuksia ja toimintatapoja identiteetinhallinnalle. Miten yhteistyö rakentuu identiteettien ja käyttövaltuuksien hallinnan ympärille, ja miten eri käyttäjäryhmät tunnistautuvat tehokkaasti palveluihin?
Työntekijöiden identiteetinhallinnassa HR, IT, liiketoiminta ja johto luovat yhdessä järjestelmän, joka tukee työn sujuvuutta. Kumppanipuolella puolestaan toimittajaorganisaatioiden käyttäjät tarvitsevat saumattoman pääsyn, mikä asettaa vaatimuksia pääsyn- ja käyttövaltuushallinnalle.
Asiakasidentiteettien hallinta mahdollistaa sen, että asiakkaat voivat kirjautua helposti yrityksen verkkopalveluun, jossa he näkevät esimerkiksi omat tietonsa ja tilaustietonsa. Yritykselle tämä avaa ovia asiakasprofilointiin ja kohdennettuun markkinointiin.
Työntekijöiden identiteettien hallinta ja asiakasidentiteettien hallinta ovat usein erilliset kokonaisuudet: työntekijöiden identiteetinhallinta saatetaan pahimmillaan nähdä vain kustannuksena, kun taas asiakasidentiteettien hallinta tukee suoraan liiketoimintaa. Olen urallani nähnyt monenlaisia organisaatioita ja kulttuureja, ja parhaat projektit syntyvät, kun asiakas on todella innostunut tavoitteistaan ja siitä, mitä haluaa saavuttaa.
Miten ala on kehittynyt urasi aikana?
Kymmenen vuotta sitten asiakkailla oli konesalit ja palvelimet, ja niihin asenneltiin erilaisia “IAM-pulikoita” manuaalisesti tai automatisoiduilla skripteillä. Kuviteltiin, että teknologia hoitaa kaiken tarvittavan. Tänä päivänä kyvykkyyksien koodaaminen ”konepellin alle” ei enää onnistu, koska kaikki on pilvessä. Automaation osalta on tapahtunut paljon kehitystä. Ennen kustomoitiin, ja se maksoi paljon.
Mitkä ovat yritysten suurimmat tietoturvahaasteet tänä päivänä?
Maailma on muuttunut kolmen vuoden aikana. Enää ei pelkästään tehdä tihutöitä perinteisessä mielessä, vaan joidenkin toimijoiden tavoitteena on aiheuttaa häiriöitä, jotka voivat pahimmillaan lamauttaa yhteiskunnalle tärkeitä toiminteita. Kiristyshaittaohjelmia käytetään seurauksista välittämättä.
Riskienhallinnan näkökulmasta voi olla haastavaa hahmottaa mihin yrityksen kannattaisi investoida seuraavaksi, jotta riskejä saadaan mitigoitua riittävästi. Joskus tuntuu, että ilman tietoturvahäiriöitä ei tehdä mitään. Tietoturva nähdään valitettavan usein vain kulueränä.
Yrityksille tietoturvariskit ovat uhka bisneksen jatkuvuudelle. On suunniteltava ja harjoiteltava, mitä sitten tapahtuu, kun riski osuu kohdalle. Etukäteen valmistautuminen on aina se halvin vaihtoehto.
Miten tietoturva-ammattilaisten pitäisi auttaa yrityksiä näissä haasteissa?
Tärkeintä on tietoisuuden lisääminen selkokielellä. Keskustelemme yleensä tietoturva-asiantuntijoiden kanssa, jotka ymmärtävät aiheesta paljon, mutta eivät ole budjettivastuussa. Tietämystä ja ymmärrystä pitäisi viedä myös ylemmälle tasolle, jotta tietoturvakontrollit nähtäisiin osana liiketoimintajärjestelmän hankintaa eikä erillisenä kulueränä.
Mitä kuuluu tavalliseen työpäivääsi?
Ensimmäiseksi juon kaksi kuppia kahvia. Sitten joko valmistaudun työpajoihin, kirjoitan loppuraportteja, osallistun asiakastapaamisiin tai täydennän substanssiosioita tarjouksiin. Silloin tällöin tulee seurattua, millaisia teknisiä vempaimia syntyy ratkomaan identiteetinhallinnan asioita. Pallottelemme paljon asioita kollegoiden, esimerkiksi Laurin, kanssa. Lisäksi seuraan uutisia ja analyysitalojen raportteja. Vaikka samanlaisia päiviä ei ole, samat teemat toistuvat viikoittain.
Mikä on parasta työssäsi?
Parhaita ovat ne toimeksiannot, joissa asiakas on oikeasti innostunut ja osallistuu aktiivisesti. Tässä työyhteisössä on mukava työskennellä. Ihmiset ovat tosi mukavia, ammattitaitoisia ja tulevat erilaisista taustoista.
Mitä tavoitteita sinulla on tulevaisuudessa?
Haluaisin nähdä, että Secure Cloud kasvaa, ihmiset viihtyvät täällä ja pystymme palvelemaan asiakkaita jatkossakin hyvin.
Mitä teet vapaa-ajallasi?
Pelaan kiinalaislähtöistä Go-strategialautapeliä. Opin säännöt jo yliopistolla, ja pelasin muutaman vuoden. Ennen koronaa aloitin uudelleen, ja olen ollut Euroopan avoimissa mestaruuskisoissakin. Lajilla on noin pari sataa aktiivista harrastajaa Suomessa.
Mitä neuvoja antaisit uraa tietoturva-alalla harkitseville?
Ole utelias.