Identiteetin ja pääsynhallinta on pilviaikakaudella tietoturvan A ja O

Mobiililla

Käytetäänkö teillä pilvestä tuotettuja ohjelmistoja eli Software as a Service (SaaS) tai muita pilvipalveluita? Moni organisaatio on siirtänyt ainakin sähköpostinsa pilveen esim. O365 tai Googlen G-Suite palveluun. Samalla tietysti myös kollaboraatiotyökalut (esim. MS Teams, Slack tai Trello) sekä tiedostojen tallennus- ja jakamispalvelut (Onedrive, G-Drive, Box jne.) ovat pilvipohjaisia ja hyvä niin. Palveluiden saatavuus suoraan Internetistä helpottaa monin tavoin erityisesti näin etätyöaikana.

Edellä mainittujen perustyökalujen lisäksi on yrityksillä lähes aina käytössä myös muita järjestelmiä, kuten toimittajien järjestelmä, asiakkaille suunnatut alustat sekä muiden kumppaneiden kanssa yhdessä käytetyt palvelut. Arvaan sinullakin olevan vähintään kymmeniä tunnuksia eri palveluihin, jotka liittyvät yksinomaan työkäyttöön. Salesforce, Mailchimp, Hubspot, LinkedIn… usein käytössä olevien pilvipohjaisten työkalujen määrä yllättää kun niitä alkaa laskemaan.

Mutta miten organisaatiossa hallitaan työntekijöiden pääsyjä näihin eri järjestelmiin? Miten varmistetaan se, että pilvipalveluun uutta tiliä luova käyttäjä on oikeasti teidän organisaation työntekijä? Entä miten varmistetaan se, että työntekijän jättäessä yhtiönne, hänen pääsyoikeus kaikkiin edellä mainittuihin palveluihin lakkaa?

Työntekijän lähtiessä organisaatiosta IT muistaa kyllä sulkea sähköpostitilin ja deaktivoida kulkuavaimen, mutta entäpä ne kymmenet muut SaaS palvelut ja järjestelmät joita organisaatiossa käytetään? Jos näidenkin pääsyoikeuksien hallinta on muistamisen ja jonkun järjestelmästä vastaavan henkilön tekemisen varassa, on selvää että ajan kanssa jotain unohtuu ja pääsyoikeuksia jää sellaisillekin henkilöille, joilla niitä ei missään nimessä pitäisi olla.

Voi olla hyvä pysähtyä hetkeksi miettimään, mistä oikein on kyse.

Onko yritykselle ongelma, että organisation ulkopuolisilla henkilöillä on pääsy vaikkapa sen asiakasrekisteriin (CRM), toimittajien järjestelmiin, omaan digitaaliseen asiakaspalvelukanavaan tai -kauppaan tai vaikka tiedostojen jakoon käytettyihin palveluihin?

Jos yrityksellä on henkilötietorekistereitä, kuten useimmilla on, niin tällainen tilanne on hyvin ongelmallinen rekisterinpitäjälle asetettujen vastuiden näkökulmasta.

Tähän tarjoaa kuitenkin helpon ratkaisun keskitetty identiteetin ja pääsynhallinta, jolla hallitaan käyttöoikeuksia eri järjestelmiin. Olennaista on, että organisaation käyttämistä palveluista mahdollisimman moni on keskitetyn identiteetin ja pääsynhallinnan piirissä. Myös hienojakoisemmat IGA järjestelmät (identity governance administration), joilla käyttö- ja pääsyoikeuksia  voidaan hakea ja hyväksyä, käytännössä edellyttävät pääsynhallinnan olevan keskitettyä ja mielellään automaattista valmiilla rajapinnoilla tarvittaviin kohdesovelluksiin.

Vuonna 2020 kyberrikollisten suosikkipuuhaa näyttää olleen eri tunnusten kalastelu. Valitettava tosiasia on myös se, että puuhastelu toimii ja myös suomalaisista organisaatioista vuotaa tunnuksia vääriin käsiin päivittäin. Entä jos laitettaisiin asiat kuntoon, ennen kuin näin käy teidän organisaatiolle?

Ensiaskeleet tietoturvan & IAM parantamiseen lähtevästä tästä:

Secure Cloud on toteuttanut useita identiteetin ja pääsynhallinnan projekteja onnistuneesti. Kokeneet asiantuntijamme auttavat alusta lähtien ja loppuun saakka.

OTA YHTEYTTÄ

Petri Heinonen