Kevyttä yläpilveä? Käyttäjien identiteetin ja käyttövaltuuksien hallintaa pilvessä

Ennen kaikki oli toisin. Käyttäjien hallinta alkoi siitä, kenellä on pääsy fyysisesti toimistoon, toimistossa nimettyyn työhuoneeseen ja työhuoneessa olevalle työasemalle. Henkilön lopettaessa työnsä riitti monesti vain kulkuavaimien pois ottaminen ja henkilön mahdollisuudet käyttää tietojärjestelmää päättyivät.

Kannettavat päätelaitteet, monitoimityötilat ja etätyön eri mahdollisuudet ovat muokanneet käyttäjien digitaalisen identiteetin ja käyttövaltuuksien hallintaan liittyviä tarpeita. Miten tunnistetaan luotettavasti ja käyttäjäystävällisesti palvelun käyttäjä? Miten huolehditaan hänen sopimuksiinsa liittyvä elinkaaren aikainen käyttöoikeuksien hallinta? Pilvipohjaisten palveluiden käyttö on tuonut tähän yhden tulokulman lisää.

Yksi osoitus maailman muuttumisesta on Valtionvarainministeriön julkaisema linjaus julkisen hallinnon pilvipalveluihin liittyen (VM:n julkaisuja 35/2018). Linjauksessa todetaan: ”Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita”.

Miten ja millä aikataululla tämä tulee vaikuttamaan julkishallinnon ratkaisuihin, jää nähtäväksi. Tämä on kuitenkin selkeä askel kohti pilvipalveluiden laajempaa hyödyntämistä myös julkishallinnossa.

Käytettäessä pilvipalveluita

Tietojen luottamuksellisuuden, eheyden, saatavuuden ja kiistämättömyyden varmistaminen korostuvat, kun tieto ja palvelut sijaitsevat pilvipalvelussa. Organisaation jatkuva riskienhallinta, selkeä tietoturvapolitiikka ja näiden pohjalta johdon tekemä linjaus käyttövaltuuksien hallintapolitiikasta muodostavat perustan käyttäjän digitaalisen identiteetin ja käyttövaltuuksien hallinnalle.

Hyvä käyttövaltuushallinta on tasapainossa riskienhallinnan, tietoturvan ja käyttäjäkokemuksen näkökulmista. Käyttäjällä on pääsy niihin tiloihin, laitteisiin, palveluihin ja tietoihin, joita hän työssään tarvitsee, ei enempää eikä vähempää. Pilvipalveluiden luonteen vuoksi sekä käyttäjän ja palvelun identiteetin varmistaminen että pääsynhallinta vaativat erityistä huomiota. Enää ei riitä, että otetaan työntekijältä avaimet pois.

Kun käytetään toisen palveluntuottajan palveluita, oli tämä sitten yksityinen yritys tai viranomainen, ei organisaatio enää pysty samalla tavalla suoraan vaikuttamaan fyysiseen tietoturvaan kuin mallissa, jossa kaikki tuotetaan omasta konesalista.

Identiteetin ja käyttövaltuushallinnan ratkaisut tarjoavat tänä päivänä työkaluja henkilöiden vahvaan tunnistamiseen, hyvin pitkälle automatisoituun sopimuksen elinkaareen pohjautuvan käyttövaltuuksien hallintaan sekä työkalut käytön seurantaan, lokitukseen ja valvontaan sekä poikkeavaan käyttöön reagoimiseen. Hallintajärjestelmä kykenee esimerkiksi tunnistamaan, onko henkilö kirjautumassa hänelle tyypillisestä lokaatiosta vaikkapa Suomesta vai poikkeavasti kaukaisesta (loma)kohteesta. Ja tämän perusteella järjestelmä vaatii henkilöltä tarvittaessa vahvempaa tunnistautumista, vaikkapa mobiiliapplikaation kautta.

Tietosuoja (GDPR)

Käyttövaltuusrekisteri muodostaa henkilörekisterin, jota koskettaa tietosuojavaateet. Tästä syystä on huolella mietittävä mitä tietoja käyttövaltuuksien hallintaan oikeasti tarvitaan ja millä perusteella.

Henkilöille tulee tarjota myös tarvittavat näkymät rekisteröityihin tietoihin sekä mahdollisuus korjata virheelliset tiedot.

Unohtamisen vaade koskee yhtä lailla käyttövaltuusrekisteriä kuin muitakin henkilörekistereitä ja siksi tietojen käyttöperusteet ja sitä myöden säilytystarpeet on tunnistettava etukäteen. Haetko tietopyynnön saatuasi tietoja järjestelmittäin erikseen vai keskitetysti yhden palvelun kautta?

Muutakin kuin palveluiden tai tietojärjestelmien käyttövaltuuksien hallintaa

Käyttövaltuushallintajärjestelmä voi periaatteessa hallita paljon muutakin kuin vain palveluiden ja tietojärjestelmien käyttövaltuuksia. Tässä korostuu erityisesti kaksi osa-aluetta – kulkuoikeuksien hallinta ja lisenssien hallinta, jotka usein on hoidettu erillisratkaisuin johtaen helposti sekä tietoturvariskeihin että turhiin kuluihin.

Kun kulkuoikeuksien ja lisenssien voimassaolo kytketään mukaan käyttövaltuushallintajärjestelmän toimintaan, muodostuu sopimuksen elinkaari oikealla tavalla ohjaavaksi tekijäksi.

Kokonaan toinen asia on, miten ja missä määrin käytössä oleva kulunvalvontajärjestelmä sallii toisen järjestelmän integroitua toimintoihinsa ja minkälaisilla ehdoilla lisenssejä on ostettavissa.

Myös identiteetin ja käyttövaltuushallinnan ratkaisut voidaan toteuttaa pilvipalveluna

Identiteetin ja käyttövaltuushallintajärjestelmän uudistus ja käyttöönotto on käytännössä aina myös toiminnanmuutos jossain mittakaavassa.  Ratkaisevaa ei ole mistä palvelut tuotetaan, vaan muutoksen ytimessä ovat riskienhallinta, tietoturva ja tietosuoja. Toisin sanoen, mitä organisaation on turvattava ja millä tasolla ja miten se toteutetaan järkevillä kustannuksilla. Organisaation liiketoiminta ja toimintaprosessit luovat vaatimukset yrityksen toimintaa tukeville IT-palveluille; mitä tietoja ja palveluita tulee olla käytettävissä, jotta tavoiteltu toiminta on mahdollista.

Onko teillä identiteetin ja pääsynhallinta tarvittavalla tasolla?

Haluaisitko tietää ja hallita nykyistä paremmin mitä oikeuksia käyttäjillä oikeasti on järjestelmiinne ja tietoihinne? Haluaisitko minimoida henkilö- ja tehtävävaihdosten aiheuttamat manuaaliset työt käyttöoikeuksien pitämiseksi ajantasaisina ja sujuvan arjen mahdollistajana turvallisesti? Vai askarruttaako joku muu asia identiteetin ja pääsynhallinnan saralla?

Mikäli vastasit yhteenkin kohtaan kyllä tai jäit pohtimaan vastausta, ota yhteyttä ja katsotaan yhdessä, miten voisimme kehittää teidän identiteetin sekä pääsynhallinnan ratkaisuja, olivat ne sitten pilvessä tai ei.

Asiantuntijamme tukevat organisaation käyttövaltuushallinnan kehittämistä aina projektin esivalmisteluista käyttöönottoon asti. Olemme tarvittaessa asiakkaan mukana myös tuotannon aikana auttamassa palvelun ylläpidossa ja kehittämisessä.