Identiteetit ovat yksi tietoturvan kulmakivistä, mikä on korostunut entisestään hybridi- ja pilviympäristöissä. Identiteettien hallintaan (Identity and Access Management eli IAM) liittyy useita ratkaisuja ja kirjainyhdistelmiä, kuten IGA, AM, PAM ja CIAM. Tässä keskityn IGA eli Identity Governance and Administration -ratkaisuun, joka on tehokkain tapa huolehtia käyttövaltuuksista ja sovelluspääsyistä.
IGAn käyttöönottoon liittyy monia kompastuskiviä, jotka voi välttää huomioimalla muutaman asian. Tässä artikkelissa listaan vaaranpaikat ja kokemuksemme siitä, mikä yhdistää onnistuneita IGA-projekteja.
Mitä hyötyä on IGA-ratkaisusta?
Aluksi lyhyt kertaus, mistä IGAssa on kysymys.
IGA-ratkaisu tuo näkyvyyden ja hallinnan kaikkiin käyttäjätileihin ja käyttövaltuuksiin, mikä vähentää tietoturvariskejä ja tukee vaatimusten täyttämistä (esimerkiksi NIS2 tai ISO27001).
Se automatisoi tunnusten ja käyttövaltuuksien elinkaarenhallinnan, kuten myöntämisen, tarkastamisen ja poistamisen. Tämä säästää aikaa ja vähentää virheitä. Lisäksi IGA parantaa käyttäjäkokemusta tarjoamalla selkeät prosessit ja itsepalvelumahdollisuuden oikeuksien hallintaan.
Haasteet käyttövaltuuksien elinkaaren eri vaiheissa
Sekä omat työntekijät että ulkopuoliset kumppanit tarvitsevat käyttäjätunnuksia ja käyttövaltuuksia työtehtäviensä suorittamiseen. Haasteita voi tulla vastaan prosessin kaikissa vaiheissa: tunnusten myöntämisessä, muuttamisessa ja poistamisessa.
Ensinnäkin tunnukset ja käyttövaltuudet pitäisi saada voimaan tai muokattua oikeaan aikaan, jotta uudet työntekijät, roolinvaihtajat tai alihankkijat pystyvät hoitamaan tehtävänsä tehokkaasti.
Käyttövaltuuksien niputtaminen työrooleiksi voi tuntua hyvältä ajatukselta kokonaisuuden helpottamiseksi. Usein mallinnus on kuitenkin haasteellista, koska työroolit muuttuvat jatkuvasti.
Käyttövaltuuksien pitäisi olla jäljitettävissä eli niistä tulisi löytyä audit trail: kuka on tilannut ja kuka on hyväksynyt käyttövaltuuden sekä milloin ja miksi käyttövaltuus tarvitaan.
Käyttövaltuudet kasaantuvat ajan myötä, kun työtehtävät vaihtuvat. Siksi ne on tarkistettava säännöllisesti joko esihenkilön, järjestelmäomistajan tai käyttäjän itsensä toimesta.
Tunnuksia ja käyttövaltuuksia ei saisi jäädä voimaan, kun sopimussuhde päättyy.
Ongelmat tavoitteissa ja omistajuudessa
Eri sidosryhmät, kuten liiketoiminta, IT, tietoturva, HR ja johto, odottavat eri asioita IGA-ratkaisulta. Siksi vaatimusten ja tarpeiden yhtenäistäminen voi olla vaikeaa.
Ongelmia voi koitua myös ristiriitaisista tavoitteista. Liiketoiminnan kannalta sujuvuus ja helppokäyttöisyys ovat tärkeitä, kun taas tietoturvassa korostuvat riskienhallinta ja sääntelyn noudattaminen.
Iso haaste liittyy omistajuuteen. Jos identiteetinhallinta on yksin IT:n vastuulla, se jää helposti jälkeen liiketoimintamuutoksissa, eikä vastaa enää tarpeita.
IAM-politiikka määrittelee identiteetinhallinnan periaatteet
IAM-politiikka määrittelee organisaation identiteetinhallinnan periaatteet. Sen avulla varmistetaan käyttäjien ja käyttövaltuuksien turvallinen, hallittu ja valvottu elinkaari.
Käyttövaltuuksien hallinnan tavoitteena on, että jokaisella käyttäjällä on ainoastaan työtehtäviensä edellyttämät valtuudet, ja että ne tarkistetaan, muutetaan ja poistetaan ajantasaisesti roolin tai työsuhteen muuttuessa.
Politiikka määrittelee vastuut roolien, järjestelmäomistajien, esihenkilöiden ja IAM-tiimin välillä sekä ohjaa käyttövaltuuksien myöntämisen, muutoksen, poistamisen ja valvonnan prosessit. IGA toimii teknisenä kontrollina, joka tukee näiden periaatteiden toteutumista automatisoimalla hallinnan ja valvonnan sekä varmistamalla, että käyttövaltuuksien hallinta on läpinäkyvää, jäljitettävää ja vaatimustenmukaista.
Seitsemän askelta onnistuneeseen IGA-projektiin
1. Tee perusteellinen selvitys ennen käyttöönottoa
Teknologian valintaan ja käyttöönottoon ei kannata hypätä suoraan. Tee ensin koko organisaation kattava selvitys, joka sisältää:
- nykytilan kartoituksen, joka auttaa ymmärtämään eri käyttäjäryhmien tulo-, muutos- ja lähtöprosessit
- tavoiteprosessien määrittelemisen, joka kattaa edellä mainitut prosessit sekä käyttövaltuuksien haun ja hyväksynnät
- identiteetin lähdejärjestelmien ja kohdejärjestelmien (eli sovellusten) tunnistamisen
- hankkeen priorisoinnin ja tiekartan.
Esiselvitys varmistaa, että arkkitehtuuri- ja suunnittelupäätökset tukevat sekä kokonaiskuvaa että pitkän aikavälin tiekarttaa. Muuten riskinä on, että ratkaisu ei tue liiketoiminnan prosesseja.
2. Määrittele omistajuus
Tunnista ja vastuuta identiteetin- ja käyttövaltuushallinnan omistajuus operatiivisella, taktisella ja strategisella tasolla. Varaa tarvittavilta asiantuntijoilta riittävästi aikaa hankkeeseen.
3. Suunnittele arkkitehtuuri etupainotteisesti
Identiteetinhallinnan tuotantoympäristö saattaa joutua hallitsemaan myös kehitys- ja testiympäristöjen käyttövaltuuksia, joten analysoi tarpeet kaikissa ympäristöissä ennen integraatioiden kehittämistä. Tunnista eri käyttäjäryhmien (työntekijät ja kumppanit) lähdejärjestelmät jo alkuvaiheessa. Kun hankit liiketoimintasovelluksia, varmista, että ne tukevat identiteettien elinkaaren hallintaa ja integroituvat IGA-ratkaisuun.
4. Määrittele selkeät liiketoimintaprosessit
Liiketoimintavaatimusten ja -prosessien määritteleminen on usein vaikeampaa kuin tekninen toteutus. Ajankäyttö identiteetin- ja käyttövaltuuksien hallinnan määrittelyvaiheessa kannattaa, koska se johtaa aina parempaan lopputulokseen.
5. Ole valmis haastamaan vanhoja tapoja
Monella yrityksellä on jo olemassa prosessit identiteettien hallintaan, vaikka ne olisivatkin manuaalisia. IGA-projektin alussa ne kannattaa kuitenkin kyseenalaistaa. ”Näin on aina tehty” ei ole hyvä peruste, jos se johtaa kalliisiin räätälöinteihin.
Muokkaa mieluummin prosesseja kuin järjestelmää. Tarvittaessa ulkopuolinen asiantuntija auttaa tunnistamaan ja haastamaan prosessit, jotka aiheuttaisivat turhaa räätälöintiä tai lisäkustannuksia.
6. Älä yritä tehdä kaikkea kerralla
Priorisoi työ sen perusteella, mikä vaikuttaa eniten organisaatiosi toimintaan, ja toteuta projekti vaiheittain. Iteratiivinen eteneminen antaa käytännön kokemusta, paljastaa mahdolliset ongelmat aikaisin ja auttaa tekemään parempia päätöksiä myöhemmissä vaiheissa. Suunnittele ja priorisoi kohdejärjestelmien liittäminen huolellisesti.
7. Ota keskeiset käyttäjät mukaan testaukseen
Kukaan ei tunne liiketoimintaasi paremmin kuin omat asiantuntijat. Heillä voi olla ainutlaatuisia oivalluksia prosesseista ja tarpeista, ja he huomaavat puutteet, jotka paljastuvat vasta käytännössä. Älä ulkoista hyväksyntätestausta kokonaan toimittajalle, vaan varmista, että oma tiimisi testaa ratkaisun päästä päähän lähde- ja kohdejärjestelmien välillä.
Kysy meiltä IGA-projekteista
Jos IGA-projekti on organisaatiossanne ajankohtainen, me Secure Cloudilla autamme mielellämme. Liikkeelle kannattaa lähteä IAM-esiselvityksestä. Räätälöimme esiselvityksen tarpeidenne mukaan, jolloin voit olla varma, että siihen sisältyy juuri teille oleelliset aihealueet.
