Miten pilvisiirtymä vaikuttaa yritysten työtekijöiden ja kumppanien käyttöoikeuksien hallintaan?

Miten pilvisiirtymä vaikuttaa yrityksen työntekijöiden ja kumppaneiden kayttöoikeuksienhallintaan

Yritysten työntekijöiden ja kumppanikäyttäjien työskentely-ympäristöt digitalisoituvat voimakkaasti ja muuttuvat yhä monitahoisemmiksi johtuen siirtymisestä perinteisestä omasta konesalipalveluympäristöstä kohti pilviympäristöjä. Gartnerin ennusteen mukaan yritysten käyttöönottamista uusista digitaalisista palveluista on 95% erilaisilla pilvialustoilla vuonna 2025

Suomessa suurin osa organisaatioista toimivat edelleen hybridiympäristössä eli useilla organisaatioilla on otettu käyttöön pilvipalveluita esim. M365, mutta edelleen käytössä on paljon Active Directory -hakemistopalveluun sidonnaisia sovelluksia. Jossain vaiheessa Microsoftin tuki Active Directorylle päättyy ja on hyvä olla ajoissa mietittynä suunnitelma Active Directory -keskeisen ympäristön ja kokonaisarkkitehtuurin muuttamisesta modernimmaksi.

Jokainen käyttöönotettava sovellus tarvitsee käyttäjien rekisteröimis- ja poistoprosessit sekä pääsyn- että käyttövaltuushallinnan. On tärkeää kuvata organisaation periaatteet pilvipalveluiden käyttöön liittyen eli mitä tietoja tallennetaan käyttäjien osalta, kuka vastaa tietojen käsittelystä ja käyttäjien sekä tietojen elinkaaresta.

Uuden haasteen luo organisaatioille pilvipalvelut, joihin käyttäjät voivat itse rekisteröityä yrityksen sähköpostiosoitteella hoitaakseen työtehtäviään. Käyttäjät voivat tällöin tallentaa myös yrityksen kannalta sensitiiviseksi luokiteltua tietoa. Haasteena on käyttäjätilien poistaminen ja pääsyn estäminen pilvipalveluista, kun käyttäjän sopimussuhde yritykseen päättyy.

Identiteettien keskitetty hallinta auttaa erillispalveluiden tunnusten hallinnassa ja kirjanpidossa, mutta ei estä pilvipalveluiden käyttöä tai käyttöönottoa käyttövaltuusprosessien ohi. Ratkaisuina tähän on tietoturvatietoisuuden lisääminen organisaatiossa koulutusten avulla, periaatteiden luominen pilvisovellusten käytölle sekä käyttäjien verkkoliikenteen valvontaratkaisut (Security Service Edge, SSE) pilvisovellusten tunnistamiseksi. Lisää aiheesta Peten kirjoittamassa blogitekstissä.

Mikä on IGA?

Identiteettien hallinnointi (Identity Governance and Administration, IGA) mahdollistaa organisaation digitaalisten identiteettien hallinnan ja näkyvyyden niihin liitettyihin käyttövaltuuksiin sekä sisältää toiminnot esimiehille ja järjestelmän omistajille käyttövaltuuksien säännölliseen katselmointiin ja tarkistamiseen.

Tyypillisesti IGA ei tarjoa käyttäjien todentamiseen ja pääsynhallintaan toimintoja ja rinnalla on hyvä olla toinen ratkaisu pääsynhallintaa varten. Tulevaisuudessa markkinoille todennäköisesti tulee SaaS-palveluita, joissa on kyvykkyydet pääsyn- ja käyttövaltuushallintaan.

Mitä hyötyjä IGA:sta on?

1)Sujuva käyttäjän elinkaarihallinta eli automatisoidut käyttäjien tulo-, muutos- ja lähtöprosessit parantavat sekä loppukäyttäjän käyttökokemusta että tietoturvaa. Käyttäjillä on ensimmäisenä työpäivänä syntymäoikeutena voimassa oleva pääsy palveluihin, jotka ovat käyttäjän tehtäväkuvan kannalta oleellisia. Jos tehtävänkuva muuttuu, pääsy- ja käyttövaltuudet päivittyvät automaattisesti tehtäväkuvan mukaisesti. Lopuksi kun sopimussuhde päättyy, poistetaan käyttäjän pääsyoikeudet ja käyttövaltuudet.
2)Keskitetty käyttövaltuuksien hallinta mahdollistaa käyttäjien pääsyn seurannan ja selvittämisen, kenellä on pääsy mihinkin resursseihin.
3)Vaatimustenmukaisuus ja tietoturva paranevat, kun käyttäjien pääsyä hallitaan keskitetysti. Käyttämällä työkaluja, jotka tehostavat käyttäjien identiteettien elinkaaren hallintaa, on organisaatiossasi pienempi riski siitä, että väärät käyttäjät pääsevät käsiksi luottamuksellisiin tietoihin, ja saat paremman näkyvyyden, mitä eri käyttäjät tekevät ja mihin resursseihin heillä on pääsy.
4)Inhimillisten virheiden määrä pienenee, kun automatisoidut prosessit huolehtivat käyttäjien elinkaaren hallinnasta ja automaattisesta provisioinnista eli käyttäjätilien ja käyttövaltuuksien tallentamisesta ja poistamisesta kohdejärjestelmissä. Tämä parantaa tietoturvallisuutta, kun manuaaliset tehtävät vähenevät. Lisäksi vaatimustenmukaisuus paranee automatisoitujen ratkaisun tarjoamilla raporteilla.
5)Identiteettien hallinnointi antaa organisaatioille mahdollisuuden varmistaa, että asianmukaiset kontrollit ovat käytössä tietoturvallisuus- ja tietosuojavaatimusten täyttämiseksi. Se tarjoaa muun muassa toimintoja salasanojen hallintaan, käyttövaltuuksien säännölliseen tarkistukseen, käyttövaltuuksien anomiseen ja hyväksymiseen, vaarallisten rooliyhdistelmien hallintaan (Segregation of Duties, SOD), roolien louhintaan ja hallintaan, raportointi- ja analytiikka-toiminnot, käyttöoikeuksien hallinta (entitlement management). Roolipohjaisen pääsynhallinnan ja syntymäoikeuksien avulla organisaatiot vähentävät merkittävästi vaatimustenmukaisuuden kustannuksia samalla, kun ne hallitsevat riskejä.
6)Automaatio vapauttaa organisaation asiantuntijoita aikaa keskittyä paremmin liiketoiminnan kehittämiseen.

    Mitä haasteita IGA:aan liittyy?

    Pilvipalvelut, joita organisaatiossa käytetään ohi käyttövaltuusprosessien, jäävät katveeseen. Usein käyttövaltuushallinnan prosessit ja omistajuus strategisella, taktisella ja operatiivisella tasolla jää IT-yksikön harteille, vaikka pääsyn- ja käyttövaltuushallinta pitäisi olla johdon vastuulla.

    Jokaisen organisaation on tiedettävä, mihin resursseihin heidän käyttäjä- ja koneidentiteeteillä on pääsy  ja mitä käyttäjät voivat tehdä käyttövaltuuksillaan. Identiteettien ja käyttöoikeuksien hallinnan on ulotuttava ihmisten ulkopuolelle. Jokaisen identiteetistä on tiedettävä riippumatta siitä, onko kyseessä henkilöidentiteetti vai koneidentiteetti.

    Identiteettien hallinnointiratkaisut (IGA) keskittyvät usein vain henkilöiden identiteetteihin, mikä voi jättää valtavia aukkoja näkyvyyteen. Onko mahdollista, että joku ottaa koneidentiteetin luvattomasti haltuun? Tässä organisaatiot joutuvat vaikeuksiin ja tähän haasteeseen Cloud Infrastructure Entitlement Management (CIEM) ratkaisu voi auttaa.

    Kustannuksista

    IGA-ratkaisun  kustannukset voivat vaihdella tarvitsemiesi ominaisuuksien ja toimintojen mukaan. IGA-ratkaisu on kuitenkin tärkeä osa tietoturvallisuutta, ja se tulee ottaa huomioon pääsynhallintajärjestelmiä suunniteltaessa. Vaikka halvempien IGA-ratkaisujen alkukustannukset voivat olla houkuttelevia, on tärkeää ottaa huomioon pitkän aikavälin kustannukset sellaisen ratkaisun käytöstä, joka ei vastaa tarpeitasi. Huonolaatuisen ratkaisun ylläpito saattaa vaatia enemmän aikaa ja vaivaa, eikä se välttämättä tarjoa tarvitsemaasi suojaustasoa.

    IGA-ratkaisujen kustannuksia tulisi punnita ratkaisun puuttumisen kustannuksiin tietomurron tai tietosuojaloukkauksen sattuessa. Tietomurtojen ja tietosuojarikkomusten riski voi olla organisaatioille kallista, ja tällöin identiteetinhallinnan kustannukset voivat näyttää mitättömiltä. Myös automatisoinnista syntyvät säästöt on hyvä huomioida.

    7 hyvää käytäntöä

    Pitkän kokemuksemme perusteella suosittelemme, että organisaatiolle määritellään selkeät toimintaperiaatteet ja käytännöt, miten digitaalisia identiteettejä hallitaan. Tähän ratkaisuna tarjoamme omistajuus- ja hallintomallin laatimista ja jalkauttamista.

    On hyvä saada näkyvyys, kenellä on pääsy mihinkin järjestelmään, resurssiin ja tietoon. Suosituksemme on laatia ja jalkauttaa prosessi käyttäjien käyttövaltuuksien  ja pääsyoikeuksien säännölliseen katselmointiin ja tarkastukseen. Tavoitteena on, että käyttäjällä on vain ne käyttövaltuudet ja pääsyoikeudet, jotka ovat välttämättömiä hänen työtehtävänsä kannalta. Tarkistus ja katselmointi kannattaa viedä osaksi hallintomallin vuosikelloa.

    Suosituksemme on luoda menetelmät ja puitteet identiteettien muutoksien säännölliselle seurannalle, rajoittaa pääsyä sensitiivistä tietoa sisältäviin kohteisiin vain niille käyttäjille, jotka tarvitsevat sitä työtehtäviensä hoitamiseen.

    Ennen IGA-ratkaisun hankintapäätöstä kannattaa tehdä analyysi IGA-ratkaisun kustannuksista huomioiden tietomurron riskit.

    Lisäksi aikaa on varattava riittävästi omilta asiantuntijoilta eri vaiheisiin ja voit tarvittaessa hyödyntää ulkopuolista asiantuntemusta.

    Suosituksemme on teettää tai tehdä esiselvitys, mitä IGA-ratkaisulta tarvitaan. Esiselvityksen sisältö tyypillisesti kattaa seuraavat aiheet: keskeiset vaatimukset, laaditaan kuvaus ylätason arkkitehtuurille sisältäen identiteettien lähde- ja kohdejärjestelmät, käyttäjien tulo-, muutos ja lähtöprosessit, käyttövatuuksien hakuprosessit, käyttäjätarinat (käyttötapaukset), käyttöönoton vaiheistus ja markkinakartoitus.

    Ennen käyttöönottoa kannattaa tehdä Proof-of-Concept-toimeksianto ratkaisulle, jonka perusteella voit arvioida,  täyttääkö valittu ratkaisu halutut vaatimukset ja tarpeet.

    Ole yhteydessä – voimme auttaa Teitä digitaalisten identiteettien kehittämisessä; esimerkiksi omistajuus- ja hallintomallin, identiteetinhallinnan esiselvityksessä ja kehitystiekartan laatimisessa.

    Eero Kaipiainen

    Eero Kaipiainen

    Eerolla on yli 15 vuoden kokemus digitaalisten identiteettien hallinnasta. Hän on toiminut konsultoinnin lisäksi eri rooleissa määrittelytyöstä koodaamiseen, projektijohdosta tekniseen käyttöönottoon ja ylläpitoon sekä kokemusta löytyy useasta eri digitaalisten identiteettien teknologiasta ja palvelusta. Tällä hetkellä Eero toimii Secure Cloudilla IAM arkkitehtina. Eeron harrastuksiin kuuluvat Go-lautapelin opettelu ja osakepoiminta.