Kirjausketjusta on hyötyä mm. erilaisten virheiden ja väärinkäytösepäilyjen selvittämisessä. Lisäksi ylläpitäjät toimivat vastuullisemmin, jos tietävät että heidän tekemänsä toimenpiteet talletetaan. Julkishallinnon kannalta valtion Vahti-ohjeet sisältävät kirjausketjuun liittyviä vaatimuksia: korotetulla tasolla vaaditaan, että käyttöoikeuksien myöntöprosessista jää jälki.

Kirjausketju on ainakin periaatteessa helppo toteuttaa, kun käyttövaltuudet myönnetään keskitetyssä IAM-järjestelmässä. Kuitenkin jostain syystä sen suunnittelu jää usein puolitiehen ja toimivuus testaamatta.

Eri valmistajien IAM-tuotteet ja edelleen yleiset räätälöidyt IAM-järjestelmät sisältävät eritasoista tukea kirjausketjulle. Tietoja talletetaan yleensä IAM-järjestelmän tietokannan historiatauluihin, erilaisiin lokitiedostoihin tai molempiin. Historiatietojen tulisi sisältää kustakin muuttuneesta käyttöoikeudesta ja sen hyväksymisestä tai hylkäyksestä ainakin muuttuneet tiedot, tapahtuma-aika sekä tieto siitä kenen toimesta muutos tehtiin. Viimeinen kohta on tärkeä – toimiva kirjausketju edellyttää tietysti, että ylläpitäjät käyttävät henkilökohtaisia käyttäjätunnuksiaan jaettujen tunnusten sijaan. Joskus käy niin, että tämä toteutuu mutta siitä huolimatta historiatietoihin päätyy ylläpitäjän tunnuksen sijasta esim. palvelukerroksessa käytetty tekninen tunnus.

Koska historiatietoja kertyy tietokantaan ja lokeille koko ajan lisää, tulee arvioida onko tarvetta erilliselle arkistointiratkaisulle. Jollain tavalla tulee myös varmistaa, ettei kukaan voi jälkikäteen muokata historiatietoja. Lisävaikeuksia tulee myös siitä, että oikeuksien tulkinta kohdejärjestelmissä voi muuttua ajan myötä. Hyväksytetäänkö käyttöoikeudet uudestaan esim. silloin, kun liiketoimintaroolien ja järjestelmäroolien välinen suhde muuttuu? Edelleen vaikeusastetta nostaa se, että monissa organisaatioissa ylläpitäjät tekevät silloin tällöin käyttöoikeusmuutoksia suoraan kohdejärjestelmiin ja nämä jäävät IAM-järjestelmän ylläpitämän kirjausketjun ulkopuolelle, jos IAM:n ja kohdejärjestelmien käyttöoikeuksien eroavaisuuksia ei säännöllisesti tarkisteta.

Vaikka kirjausketju saataisiin talteen täydellisenä ja luotettavasti, niin miten sitä päästään tutkimaan? Usein kirjausketjun raportointi IAM-tuotteissa on puutteellista tai sitä ei ole. Tyypillisesti historiatietojen selvittäminen vaatii työpyyntöä toimittajalle, joka tekee kyselyitä tietokantaan ja etsii tietoja lokitiedostoista. Voi olla, että useista eri lokitiedostoista haettuja tietoja joudutaan yhdistämään. Harvoin näkee toimivia ratkaisuja, joissa asiakas voi itse etsiä historiatietoja graafista työkalua käyttäen. Jos tämä on mahdollista, tulee toki miettiä kenelle voidaan antaa oikeudet hakea tällaista tietoa.

Täydellisen IAM-kirjausketjun toteuttaminen on siis haastava tehtävä, eikä se ole ilmaista. Toisaalta ilman sitä organisaation on vaikea sanoa mihin tämänhetkiset käyttöoikeudet perustuvat. Vaikka kirjausketjun tarkasteluun ei normaalisti ole mitään syytä, se on kuitenkin väärinkäytöstapauksissa elintärkeä. Asia on entistäkin tärkeämpi, kun organisaatiot avaavat sähköisiä palveluitaan internetin kautta myös ulkoisten sidosryhmien käyttöön.

Kirjoittaja toimii Panorama Partnersilla vanhempana IAM-konsulttina.

Pilvipalveluiden osalta IAM on keskeisessä roolissa, mahdollistaen hallitun tavan kontrolloida pääsyä pilvipalveluihin. Edelleen markkinoilla ei ole yhtä ylivertaista tapaa toteuttaa käyttöoikeuksien hallintaa pilvipalveluissa. Ratkaisut pohjautuvat Excel-taulukoiden ylläpitämiseen, “vanhan koulukunnan” provisiointiin liityntämoduuleilla, hakemistojen synkronointiin tai käyttäjien federointiin. Käyttäjähallinta perustuu edelleen Gartnerin mukaan useimmissa tapauksissa Excel-taulukoihin. Ehkä jatkossa SCIM (Simple Cloud Identity Management) helpottaa pilvipalveluntarjoajakohtaisten provisiointien toteuttamista standardointityöllään.

Edellä mainitut vaihtoehdot perustuvat lähtökohdalle, missä organisaation on vietävä omat käyttäjät palveluun (push) tavalla tai toisella. Gartnerin mukaan markkinoilla on näköpiirissä mahdollisuuksia, missä pilvipalvelun sovellus kykenee hakemaan (pull) tarvittavan käyttäjätiedon kun sitä tarvitaan. Käytännössä tämä vaatii uudenlaista ajattelua  sovelluskehityksessä, missä käyttöoikeuksien hallinnan ulkoistaminen nähdään liiketoimintaa edistävänä asiana ja irrottaudutaan itsekeskeisestä suunnittelusta.

Jatkossa pilvipalveluna tarjottavat henkilöhakemistot, provisiointipalvelut, sekä käyttöoikeuksien ja pääsynhallinnan ratkaisut tuovat uusia haasteita ja paineita tietohallinnon mukautumiseen käyttäjien ja liiketoiminnan tarpeisiin. Millä tavalla jo tehdyistä investoinneista saadaan paras hyöty uudessa muuttuvassa maailmassa? Miten voidaan kontrolloida missä pilvipalveluissa yrityksen käyttäjiä on ja mitä käyttöoikeuksia heillä on? Miten välttyä “liityntähulluudelta”, missä jokaiseen organisaation käyttämään pilvipalveluun toteutetaan oma provisiointiliittymä?

Myös federointimaailma on uuden maailman edessä. Libertyn jälkeen määritellyn SAML-standardin oletettiin olevan “se” standardi. Kuluttajille suunnatuissa sähköisissä palveluissa se aiheuttaa tiettyjä haasteita. Standardi olettaa, että SAML IdP:n ja SP:n välille on muodostettu luottamussuhde ennen käyttöä. Entäs jos näin ei olekaan? Lisäksi yksityisyyden kannalta ei välttämättä ole hyväksyttävää, että IdP pystyy seuramaan mitä palveluita sen tunnistamat käyttäjät käyttävät (panoptisuus). Näistä näkökulmista tarjolle on ilmaantunut uusia standardeja, kuten OpenID, OAuth ja UMA jotka pyrkivät käyttäjälähtöisemmin suojaamaan yksityisyyttä. Organisaation tietoturvakäytännöt ja käyttäjän yksityisyys ovat jatkossa selkeämmin törmäyskurssilla.

Mobiililaitteiden käyttö arkipäiväistyy käyttäjien työkaluina sekä työnantajan nimissä että henkilökohtaisissa asioissa. Käyttäjät voivat ladata mobiililaitteisiin sovelluksia kolmannen osapuolen sovelluskaupasta. Miten organisaatio pyrkii kontrolloimaan identiteettejä ja käyttöoikeuksia tässä kontekstissa? Jatkossa mobiililaitteet mahdollistavat sosiaalisen verkoston hajautetusti keräämän kontekstuaalisen informaation hyödyntämisen käyttäjän tunnistuksessa. Piileekö tässä ratkaisu tietoturvan unelmaan, missä tietoturva ei olisi loppupeleissä 4-numeroisen pin-koodin tai post-it lapulle kirjoitetun epämiellyttävän 42-kirjaimisen salasanan takana? Pankit hyödyntävät jo nykyisin kontekstuaalista informaatiota tunnistaessaan huijausyrityksiä. Olisiko tulevaisuudessa mahdollista, että vastaavaan todennäköisyysmalliin perustuen käyttäjät voitaisiin tunnistaa ilman erillistä käyttäjälle esitettävää haastetta? Loppujen lopuksi tällainen ratkaisu olisi yhtä luotettava kuin tapa, jolla käyttäjä tunnistaa itsensä rekisteröityessään järjestelmään.

IAM:n muuttuva maailma tarkoittaa, että organisaation tietohallinnon ja meidän IAM-alan asiantuntijoiden on ymmärrettävä yhä useampia standardeja, arkkitehtuurin suunnittelumalleja ja teknologioita, useampia eri päätelaitteita ja palvelumalleja. Eikä siinä vielä kaikki. Nykyisen taloustilanteen huomioon ottaen, hankkeiden koko ja budjetti pitää olla tasapainossa realististen tavoitteiden kanssa.

Gartner Identity and Access Management Summit 2012 Park Plaza Westminster Bridge, Lontoo

Kirjoittaja on Panorama Partnersin pääarkkitehti.

Identiteetinhallintajärjestelmät rakennetaan tyypillisesti ylhäältä alas. Lähtökohtana on usein säädöstenmukaisuus, tai käyttäjien ja käyttöoikeuksien hallinnan prosessien sulavoittaminen automatiikkaa hyödyntämällä. Näin päädytään parhaimmillaan ratkaisuun, jossa keskitetyn identiteetinhallinnan tasolla käyttöoikeudet ovat hyvin hallussa ja vastuu käyttöoikeuksista ja niiden ajantasaisuudesta kyetään delegoimaan esimiehille.

Mutta miten luotettavia tosiasiassa ovat keskitettyyn identiteetinhallintaan perustuvat valvonnan ja tarkastuksen kontrollit? Väitän, että tyypillisen identiteetinhallinnan ratkaisun kanssa eletään usein valheellisessa turvallisuuden tunteessa. Vaikka käyttöoikeuksien hallintokäytännöt ylätasolla olisivat peräti aukottomia, jäävät järjestelmien tosiasiallisesti voimassa olevat käyttöoikeudet useimmiten rautaesiripun taakse piiloon valvovilta silmäpareilta. Esiripun takana kohdejärjestelmien käyttöoikeuksien epäjärjestys kasvaa muun muassa prosessin ohi suoraan kohdejärjestelmiin tehtävien muutosten ja manuaaliprovisioinnin inhimillisten virheiden aiheuttamana.

Ongelman taklaamiseksi provisiointia voidaan täydentää täsmäytysprosessilla, joka peilaa kohdejärjestelmien käyttäjä- ja käyttöoikeustietoja identiteetinhallinnan tietoihin. Täsmäytyksessä ilmenneet poikkeavuudet käsitellään kohdejärjestelmän kannalta soveltuvalla tavalla. Toimenpide voi olla esimerkiksi virheellisen käyttöoikeuden poistaminen kohdejärjestelmästä tai käyttöoikeuden lisääminen identiteetinhallintaan raportoitavuutta silmällä pitäen. Tuki automaattiselle täsmäytykselle ei ole käyttöoikeuksien provisiointiratkaisuissa itsestäänselvyys, ja manuaalisena prosessina toteutettuna täsmäytys on usein työlästä ja retroaktiivista.

Elegantimpi ja reaktioajaltaan merkittävästi parempi lähestymistapa on kohdejärjestelmien käytöstä syntyvän lokitiedon valjastaminen hyötykäyttöön. Toteutuksessa voidaan käyttää lokeja seuraavaa SIEM-ratkaisua, joka syöttää tietoja järjestelmien käytöstä identiteetinhallintajärjestelmälle. Siellä käytön tapahtumia voidaan peilata politiikkatasolla tosiaikaisesti kyseisen käyttäjän oikeuksiin. Kun identiteetinhallintajärjestelmä tunnistaa käytön olevan käyttäjälle myönnettyjen oikeuksien vastaista, käynnistää se automaattisen tai manuaalisen provisioinnin käyttöoikeuden poistamiseksi. Toki identiteetinhallinnan ja SIEM:in suhde voi olla myös symbioottinen. Silloin SIEM-ratkaisu hyödyntää tietoturvapoikkeamien tunnistamisessa myös käyttäjän identiteettiä käyttöoikeuksineen.

SIEM- ja identiteetinhallintaratkaisujen integraatio mahdollistaa valvonnan ulottamisen myös järjestelmiin, joita ei ole liitetty keskitettyyn identiteetinhallintaan lainkaan. Yksinkertaisimmillaan voidaan tällaisen järjestelmän käyttöä verrata lokien perusteella käyttäjän identiteetin tilaan esimerkiksi aktiivihakemistossa: Jos käyttäjän AD-tili on passivoitu, ei käyttäjällä liene asiaa yhteenkään organisaation sisäiseen sovellukseen.

Pelkkä politiikan tasolla toimiva identiteetinhallintaratkaisu ei riitä käyttöoikeuksiin liittyvien riskien hallintaan. Organisaation tulee saavuttaa riittävä varmuus käyttöoikeuksien paikkansapitävyydestä tietojärjestelmissä. Valmiiksi käytössä olevan SIEM-ratkaisun integroinnilla identiteetinhallintaan voidaan saavuttaa tavoite täsmäytysprosesseja helpommin ja oikea-aikaisemmin, samalla ulosmitaten hyötyjä SIEM-investoinnista. Identiteetinhallinnan ja lokienseurannan yhdistäminen luo myös perustan hankkeille, joissa tietoja käyttäjien toiminnasta palveluissa valjastetaan liiketoiminnan päätöksenteon tueksi.

Kirjoittaja toimii Panorama Partnersilla vanhempana IAM-konsulttina.

Miten nämä Olympia-fraasit sitten assosioivat IAM –aihealueeseen? Allen asetti itselleen sekä seminaariosallistujille seuraavat kysymykset ja toivoi osallistujien löytävän IAM Summit 2012 tapahtuman aikana niihin myös vastaukset.

Nopeammin − Miten IAM nostaa liiketoiminnan tehokkuutta ja palveluiden tasoa?

Korkeammalle − Voiko IAM olla todellinen muutosvoima liiketoiminnalle? Miten IAM toimii mahdollistajana liiketoiminnan ketteryyden ja tuottavuuden nostamisessa?

Voimakkaammin − Miten IAM tukee organisaation hallintoa, riskien hallintaa, johtamista ja periaatteiden noudattamista organisaation kaikilla tasoilla?

Gartnerin kokonaisnäkemys IAM:stä avattiin Keynote -puheessa ja näkemystä syvennettiin kaksipäiväisen seminaarin runsaassa ja kiitettävän monipuolisessa esityssisällössä. Gartnerin omien analyytikkojen pitämiä esityksiä täydensi asiakkaiden case-esitykset. Myös teknologiatoimittajat olivat tilaisuudessa läsnä esittelemässä viimeisimpiä tuoteuutuuksiaan.

Yleisesti hyväksyttynä peruslähtökohtana voidaan nykyään pitää, että jokaisen organisaation (oli sitten yksityinen tai julkisrahoitteinen) vastuulla on huolehtia sidosryhmiensä identiteeteistä ja näiden identiteettien pääsystä tarjoamiinsa palveluihin ja tietoihin. Sidosryhmät pitävät sisällään niin oman henkilöstön, ulkoiset työntekijät, kumppanit, asiakkaat ja muut (erityis)ryhmät. Lähtökohdasta johdetun tavoitteen toteuttamiseen sisältyy suuria eroja. Liiallinen painotus riskien hallintaan ja tietoturvaan voi vaarantaa IAM:n mahdollistaman liiketoiminnan tehostamisen ja sen tuottaman arvon toiminnan muulle kehittämiselle.

Seuraavassa on kerätty seminaarin aikana esiin tulleita parhaita käytäntöjä yllä kuvattujen otsikoiden alle.

Nopeammin (tehokkuutta ja laatua)

Nostetaan palveluiden tehokkuutta ja laatua IAM:n avulla. Automatisoimalla käyttäjähallintaa, tehostamalla ja yksinkertaistamalla työnkulkujen hallintaa, yksinkertaistamalla sovellusten ja palveluiden käyttäjähallintaa yhteisten toimintaperiaatteiden avulla sekä nopeuttamalla prosessia kehityksestä käyttöönottoon.

Edellytyksenä on hyvä valmistelu ja etenemisen vaiheistus. Vain tällä saavutetaan tila, jossa onnistutaan tuottamaan IAM:lle haluttu toiminnallinen ja laadullinen taso sekä tulos. Keskitytään hallintoon, riskien hallintaan ja laatujohtamiseen. Parannetaan todennusta tarkentamalla käyttöoikeuksia ja valvontaa sekä analysoidaan niitä toimia, jotka vaikuttavat palveluiden laatuun ja tehokkuuteen. Vastuutetaan tehtävät sekä hyväksymiset niille, joille se operatiivisesti kuuluu, ja jotka ymmärtävät oman vastuunsa prosessissa.

Korkeammalle (uuden liiketoiminnan mahdollistamista)

Annetaan liiketoiminnalle uusia keinoja, joilla he voivat tuottaa nykyistä parempia palveluja verkossa. Vastataan paremmin heidän vaatimuksiinsa. Tuotetaan, tuetaan ja varmistetaan liiketoiminnan sidosryhmille parempi ja yhtenäisempi käyttäjäkokemus. Vahvistetaan markkina-asemaa tarjoamalla mahdollisuutta liittää kumppaneiden palveluita osaksi palvelutarjontaa. Vastaavasti mahdollistetaan yritysten omien palvelujen tarjoaminen valittujen kumppanien kautta. Tuetaan liiketoimintapäätösten tekemistä IAM:n tarjoamalla käyttäjä- ja käyttötiedolla. Mahdollistetaan myös uusien kanavien, teknologioiden ja menetelmien hyödyntäminen liiketoiminnalle.

Voimakkaammin (hallintoa ja riskien hallintaa sekä johtamista)

Tehokkuuden, laadun ja uusien liiketoimintamahdollisuuksien mahdollistamisen lisäksi yhtenäisillä toimintaperiaatteilla ja työnkuluilla luodaan IAM –prosessit, jotka “piilotetaan” osaksi jokapäiväisiä operatiivisia prosesseja.

IAM, sosiaaliset mediat ja pilvipalvelut.

Tulevaisuudesta esitettiin pari erittäin mielenkiintoista kehitysskenaariota. Nämä skenaariot liittyivät sosiaalisten medioiden kehittymisen mukanaan tuomiin mahdollisuuksiin sekä toisaalta niiden haasteisiin.

Hurjimmat ja eniten hämmentäneet skenaariot liittyivät tunnistamisen kehittymiseen tai niin kuin paneelikeskustelun otsikko provosoi ”tunnistamisen kuolemisen”. Tässä perinteisten tunnistamismenetelmien tarpeellisuuden kyseenalaistavassa skenaariossa seminaarivieraita provosoitiin esittelemällä loogisia malleja, joissa tunnistaminen perustuu meistä netissä olevaan runsaaseen käyttäytymistietoon.

Meistähän löytyy jo nyt älykännyköiden seurantatietoa, itsemme ja kavereidemme tallettamia valokuvia sekä tietysti hakukoneiden tallentamaa kiinnostustietoa. Sosiaalisissa verkoissa (Facebook, LinkedIn, Twitter jne.) meistä löytyy myös paljon tietoa ystäviemme kautta. Näiden kaikkien tietojen sekä kehittyneiden kasvojen ja hahmon tunnistusmallien perusteella luotu profiilimme voi toimia vähintäänkin “automaattisena” perustason tunnistusmenetelmänä. Pidemmällä aikavälillä jopa vahvana sellaisena. Kuulostaa lähes scifiltä meikäläisen korvissa, mutta esittäjien mukaan 5-10 vuoden kuluessa ihan todennäköistä. Huh huh!

Jo nyt on nähtävissä sosiaalisten medioiden ja organisaatioiden toimintaperiaatteiden yhteentörmäyksiä. Ihmiset ovat tottuneet sosiaalisten medioiden tarjoamaan tiettyyn vapauden ja itsenäisyyden tunteeseen. Tästä syystä organisaatioissa noudatettavat tiukemmat säännöt tuntuvat jopa perustelemattomilta tavoilta rajoittaa yksilön luovuutta ja tehokkuutta työyhteisössä toimiessaan. Päällimmäisenä organisaatioiden halu rajoittaa niitä apuvälineitä (tabletit, älypuhelimet jne.), joita työntekijät haluavat käyttää työtehtävissään. Toinen esimerkki on ulkoisten pilvipalveluiden käyttö organisaatioiden sisällä, johon seminaarin esityksissä tuli selkeästi samat ohjeet kuin edellä kuvattuun omien laitteiden käyttöön.

Neuvona edellä mainittuihin oli, että organisaatioiden tulisi hallitusti joustaa näiden uusien yksilöllisten vaatimusten huomioimisessa. Työntekijöiden valmentaminen 80-luvun malliin ”Corporate Man” –muottiin ei ole nykypäivää. Yksilöllisyys on sallittua kun samalla huomioon otetaan yhteiset toimintaperiaatteet.

Yhteenveto eli paluu pilvistä tähän hetkeen

Kaiken kaikkiaan edellä kuvattu anti tapahtumasta oli erinomaisen rohkaisevaa ja tuntuu ohjaavan IAM-asioita entistä enemmän liiketoiminnan vastuulle. Teknologia- ja tietoturvalähtöisyyden väistyessä tulee IAM päätymään yhä useammin johdon agendalle muussakin yhteydessä kuin vain investointien hyväksymisvaiheessa.

Tämä ei ole huono uutinen tietohallinnolle. Päinvastoin. Tietohallinnolla on projektiosaaminen teknologiaperusteisten hankkeiden läpivientiin. Nyt se saa IAM-hankkeelle vihdoinkin sen tarvitseman tuen. Ja kun omistus on liiketoiminnassa niin voi olettaa, että myös eurot jatkokehitykselle löytyvät nykyistä helpommalla.

Tapahtuma:

Gartner Identity & Access Management Summit – London
London 12 – 13 March 2012
Park Plaza Westminster Bridge

Kirjoittaja on Panorama Partnersin johtava konsultti ja partneri.

Keskitetty käyttöoikeuksien hallinta ja pääsynhallintaratkaisut tulisi mieltää yhdeksi tekniseksi ekosysteemiksi yrityksen IT-arkkitehtuurissa. Tämä ekosysteemi tarjoaa arkkitehtuuritason palveluita yhdistäen sovellukset ja käyttäjät. Hyvin usein pääsynhallintaan keskittyvät projektit ovat erillään sisäisen käyttöoikeuksien hallinnan projekteista, jopa projektien ohjauksen tasolla. Parhaiten taas näiden synergia ilmenee verkkopalveluiden pääsynhallinnan hankkeissa, joissa esim. käyttöoikeuksien hallinnan delegointi asiakkaille on selkeä tavoite pääsynhallinnan lisäksi.

Käyttöoikeuksien ja pääsynhallinnan arkkitehtuuri tarjoaa “mustan laatikon”, johon uudet ja päivitetyt sovellukset voivat liittyä hallittujen rajapintojen ja käytäntöjen kautta. Sen sijaan, että IT-projekteissa pyritään ratkaisemaan esim. pääsynhallinnan ongelmia paikallisesti, hyödynnetään olemassa olevaa arkkitehtuuria ja sen tarjoamia palveluita. Näin voidaan varmistua siitä, että yrityksellä on keskitetty näkymä siitä millä kaikilla tahoilla on käyttöoikeuksia yrityksen sovelluksiin ja järjestelmiin.

Sovelluksille arkkitehtuuri voi tarjota erilaisia palveluita käyttäjien tunnistamiseen tai valtuuttamiseen. Arkkitehtuuri voi määritellä tavat miten sovelluksia upotetaan JavaEE-säiliöihin tai integraatio voi olla suoraan aktiivihakemistoon. Joka tapauksessa integraatiorajapintojen takaa löytyvät valmiit käytännöt ja prosessit käyttöoikeuksien hallintaan. Kypsyystasoltaan korkeammissa arkkitehtuureissa voi olla valmiita palveluita hienojakoiseen pääsynhallintaan, jonka hallinta voidaan delegoida jopa liiketoiminnalle.

Lisäksi käyttöoikeuksien ja pääsynhallinnan arkkitehtuuri tulisi sisällyttää tarjouspyyntöihin teknisinä vaatimuksina, kun hankitaan uusia valmisratkaisuja. Ei riitä että vanhat sovellukset integroidaan käyttöoikeuksien hallintaan, vaan on varmistettava että jatkossakin IT kehittyy kontrolloidusti strategian mukaisesti haluttuun suuntaan. Uusien liiketoimintatarpeiden kautta myös käyttöoikeuksien hallinnan arkkitehtuuri saa mahdollisuuden kehittyä oikeaan suuntaan. Arkkitehtuurin tulee myös kehittyä suuntaan, joka tarjoaa liiketoiminnalle mahdollisuuksia kilpailuedun saavuttamiseksi esim. asiakasarvon kasvattamiseen tai uusien liiketoimintamallien mahdollistamiseen.

Tietohallinnossa käyttöoikeuksien ja pääsynhallinnan arkkitehtuurin osa-alueet tulisi olla sijoitettu samaan salkkuun ja yhteiseen ohjaukseen. Se sisältää eri kypsyysvaiheessa olevia teknologioita ja näiden kokonaisvaikutusta on vaikea arvioida yhden osa-alueen näkökulmasta. Tuskin kukaan haluaa, että esim. pääsynhallintaan käytetyn ohjelmistoratkaisun version päivittäminen rikkoo koko käyttöoikeushallinnan arkkitehtuurin epäyhteensopivuuksien vuoksi.

Kirjoittaja on Panorama Partnersin IAM-pääarkkitehti

Johdon kysyvä katse kääntyy tietohallinnon tai tietoturvavastaavien suuntaan. Virhe on kuitenkin tehty jo paljon aikaisemmin. It- tai tietoturvaosaston asiantuntijat auttavat asian toteuttamisessa, mutta pohjimmiltaan kyse on organisaation prosesseista ja toimintaperiaatteista. Ja kun toimintaperiaatteet tai prosessit pettävät, niin siitä on vastuu organisaation johdolla.

Organisaation tai viime kädessä poliisin ryhtyessä selvittämään tietoturvarikosta, ollaan yllättyneitä, kun syyllistä ei saadakaan selville. Tietojen vuotajan selvittäminen on hankalaa, koska organisaatioissa ei tiedetä, kuka tietojärjestelmää on käyttänyt, millä oikeuksilla sitä on käytetty tai kuka oikeudet on myöntänyt.

Jokaiselle työntekijälle on selvää, että hän tarvitsee kulkuoikeudet kiinteistöön, jossa työtä tehdään. On helppo ymmärtää, että avaimet ja kulkukortit tarvitaan tiettyihin oviin kulun mahdollistamiseksi. Kun työsuhde päättyy tai muuttuu avaimet ja kulkukortit palautetaan tai vaihdetaan.

Samaan aikaan eri tietojärjestelmien käyttöoikeudet ovat organisaatioissa lähes arpapeliä. Kukaan ei tiedä mitä kaikkia oikeuksia työntekijälle on työhistoriansa aikana kertynyt. Todennäköisesti työntekijällä on paljon sellaisia oikeuksia, joita hän ei enää tarvitse tai saisi edes pitää hallussaan.

Tässä piilee tietovuotojen ongelman ydin.

Käyttöoikeuksien tulisi perustua työntekijän ja organisaation väliseen työsopimukseen. Näitä sopimuksia solmitaan ja hallinnoidaan organisaation operatiivisissa perusprosesseissa, kuten henkilöstöhallinnossa. Jos näistä prosesseista vastaavat johtajat, esimiehet ja asiantuntijat eivät edes tiedä tai tunnista asian kuuluvan heille, miten voidaan edellyttää, että he osaisivat jotenkin huomioida tai valvoa tietojärjestelmien käyttöoikeuksia.

Nyt vastuu käyttöoikeuksien tietoturvasta työnnetään helposti tietohallinnolle, jolle se ei kuulu muuten kuin teknisessä mielessä. Eihän kukaan vaadi tietohallintoa vastaamaan organisaation kirjanpidosta, vaikka se vastaakin kirjapitojärjestelmien pyörittämisestä.

Uskon, että viimeaikaisten tietovuotouutisten jälkeen yritysjohto on herännyt tilanteeseen. Tietojärjestelmien käyttöoikeus- ja suojauskysymysten tulee olla osa organisaation jokapäiväistä toimintaa ja johtamista.

Kirjoitus on julkaistu Kauppalehdessä 20.12.2011

Kirjoittaja on Panorama Partnersin johtava konsultti.

Valvontaa hankaloittaa sovellusten suorittamien aktiviteettien seuraaminen tietokannassa. Erityisenä haasteena on sovelluksen tietokantayhteyteen käyttämän käyttäjätunnuksen yhdistäminen sovelluksen loppukäyttäjään. Pahimmassa tapauksessa käyttäjä hyödyntää tietokannasta haltuun saamaansa arkaluonteista tietoa laittomiin tarkoituksiin.

Kun organisaatio suunnittelee IAM-ratkaisua, niin käyttöoikeuksien hyvän hallinnoinnin ulkopuolelle jäävät valitettavan usein tietokannat ja niihin liittyvät kontrollit. Siksi edellä kuvattuihin oireisiin tarvitaan täsmälääkettä!

Täsmälääkkeellä tietokantojen valvonta kuntoon

Ratkaisu: tietokantaan kohdistuvien aktiviteettien valvontatuote (engl. Database Activity Monitoring, DAM)

Ensimmäinen askel tietokantojen haltuunotossa on pääsynvalvonta, tai pääsynesto sensitiiviseen tietoon. Valvontaa varten määritellään riittävät ja tarpeelliset hälytykset, jotka perustuvat tavallisesta poikkeavaa tietokannan käyttöä kuvaaviin sääntöihin. Sääntöjen määrityksissä voidaan käyttää esimerkiksi seuraavia tietokantahaun ominaisuuksia: ajanhetki, käyttäjän IP-osoite, palautettavien tietokantataulujen rivien määrä.

Lisäksi on huomioitava valvonnan aiheuttamien hälytysten käsittely, jonka tulee edetä organisaation prosessien mukaisesti. Prosesseissa puolestaan on huomioitava, miten tietyn hälytyksen lauetessa toimitaan, luokittelusta riippuen. Toimenpide voi olla esimerkiksi havaitun poikkeaman kirjoitus lokiin, sen ilmoittaminen sähköpostitse nimetylle valvontahenkilölle, tietokantahaun palauttaman tiedon osittainen piilottaminen tai pääsyn estäminen tietoon katkaisemalla tietokantahakuun liittyvä tietoliikenneyhteys palomuurin tapaan.

Tietokantaa käytetään yleensä sovelluksista käsin sovelluksen tietokantakäyttäjätunnuksen kautta, jolloin todellinen sovelluksen loppukäyttäjä piiloutuu tietokannan näkökulmasta. Ratkaisun vaatimuksena on siis myös menetelmä selvittää tietokantahakuun liittyvä todellinen sovelluskäyttäjä.

Hyödyllisiin ominaisuuksiin kuuluvat luonnollisesti riittävä skaalautuvuus, haavoittuvuusanalyysit tietokantajärjestelmän konfiguraatiosta ja sen tilasta, raportointiominaisuudet sekä erityisesti vaatimus, ettei valvottavien tietokantaympäristöjen suorituskyky pienene merkittävästi valvontatoimien johdosta.

Valvontatuote sopii jouhevasti sisäisen auditoinnin tukivälineeksi, kun voidaan osoittaa ja varmistaa, että vain valtuutetut etuoikeutetut käyttäjät (joko ylläpitäjät tai sovelluskäyttäjät) pääsevät sensitiiviseen tietoon käsiksi. Lisäksi voidaan valvoa tietokannan rakenteiden ja tietokantaan tallennettujen arvojen muutoksia ja havaita, mikäli niissä tapahtuu organisaation soveltamien käytäntöjen vastaisia asioita.

Onko organisaatiosi tietokantojen ylläpito ulkoistettu? Toimivatko organisaatiosi tietokantajärjestelmät pilvessä? Tiedätkö kenellä organisaatiossasi on pääsy sensitiiviseen tietoon? Valvooko pääsyä kukaan?

Mikäli vastasit johonkin edellä olevista kysymyksistä kyllä, suosittelen harkitsemaan tietokannan aktiviteettien valvontatyökalua.

Eväitä päätöksenteon tueksi

Kun päätöksenteon tueksi kaivataan apua, esikartoitus antaa eväät eteenpäin. Esikartoituksessa käydään yhdessä asiakkaan kanssa läpi vaatimukset asiakkaan tarpeiden mukaan. Vaatimukset voivat esimerkiksi liittyä seuraaviin asioihin:

• Luokitellaan ja tunnistetaan organisaation kannalta sensitiivisen tiedon lähteet
• Tunnistetaan organisaation kannalta käyttäjät, joilla on pääsy sensitiiviseen tietoon
• Tunnistetaan tietokantapalvelimet, joiden asetusten luvattomia muutoksia halutaan valvoa
• Luodaan työnkulut raporttien kommentointia, hyväksyntää ja eskalointia varten
• Tunnistetaan organisaation tarpeet säännöstöjen noudattamiseksi kuten SOX, PCI-DSS ja EUDPD.

Kerättyjen tietojen perusteella koostetaan etenemisehdotus. Lisäksi kerättyjä tietoja voidaan hyödyntää myös tietokantojen aktiviteettien valvontatyökalun käyttöönotossa. Ensimmäisen vaiheen tuotantoon viennin kustannukset ovat yleensä jääneet alle sadan tuhannen euron, joka on usealle organisaatiolle pieni hinta saatuun hyötyyn nähden.

Kaikki tiet vievät Roomaan

Markkinoilla on tarjolla puolen tusinan verran vaihtoehtoja. Yksi varteenotettava vaihtoehto on IBM InfoSphere Guardium, johon kävin toukokuussa tutustumassa Roomassa. Guardium erottuu muista vastaavista tuotteista edukseen mm. usean tietokantateknologiatuotteen tuellaan.

Kirjoittaja toimii Panorama Partnersissa vanhempana konsulttina

Pilvipalvelut olivat yksi puhutuimpia IAM:n trendejä tänä vuonna. Mitään hopealuotia pilvipalveluiden tuomiin tietoturvan haasteisiin ei tullut esille, mutta muutama hyvä vinkki kuitenkin. Pilvipalvelut tulisi mieltää yrityksen yhtenä vaihtoehtona tuottaa IT-palveluita ja hyödyntää niitä siellä missä niistä on mahdollista saada liiketoimintaetuja. Pilvipalveluiden takia ei ole tarvetta lähteä rakentamaan erilaista IT-palvelumallia tai tietoturvaratkaisuja. Paremminkin yritysten pitäisi hyödyntää olemassa olevia ratkaisua ja teknologioita pilvipalveluihin. Pelkästään pilvipalveluihin kohdistuvissa standardeissa ja teknologioissa on vähän hyötyä yrityksen tietoturva-arkkitehtuurille.

Pilvipalveluita on syytä tarkastella useasta eri IAM-alueen näkökulmasta

Pilvipalvelulähestymisissä uupui selkeä pragmaattinen ote. Vaikka pilven käsite on lähtöisin insinöörien sutkauksista, se ei tarkoita että sitä pitäisi nähdä sellaisena. Pilvipalveluita on syytä tarkastella useasta eri IAM-alueen näkökulmasta: sovellusten, käyttäjähallinnan, käyttövaltuushallinnan, tunnistamisen ja käyttäjien näkökulmasta. Kukin näistä elementeistä vaikuttaa omalta osaltaan, miten IT-palveluita kannattaa tuottaa pilvipalveluina.

Tapahtumassa puhuttiin myös uudesta lyhenteestä; BYOD. Se ei tarkoita Bring Your Own Drink vaan Bring Your Own Device. Yksinkertaisuudessa kyse on siitä, että ihmiset haluavat käyttää omia henkilökohtaisia laitteitaan työssään. Joidenkin tutkimusten mukaan jopa 95% haastateltavista käytti vähintään yhtä omaa laitetta työssään. Tietoturvapäälliköillä riittää haasteita, kun yhä enenevässä määrin yrityksen kriittistä informaatiota käsitellään tietoturvan näkökulmasta hallitsemattomissa laitteissa. Omien laitteiden käyttöön liittyy läheisesti julkiset pilvipalvelut, kuten Google tai DropBox jotka ovat tällä hetkellä ainoat tavat synkronoida tietoa eri laitteiden välillä.

Trendejä horisontissa

Käyttövaltuushallinnan ulkoistaminen sovelluksilta sai myös huomiota tapahtumassa, ja on varmasti trendi tuleville vuosille. Tekniset ratkaisut tällä alalla keskittyvät XACML-standardin ympärille, ja tulevina vuosina tuotteet kehittyvät käytettävyydeltään niin ettei taustalla olevaa monimutkaista XACML-standardia tarvitse ymmärtää sellaisenaan. Uudessa XACML-standardissa on ominaisuuksia, mm. delegoitu hallinnointimalli mikä sopii hyvin esim. pilvipalveluiden käyttövaltuushallinnan kanssa.

Viimeisin tekninen määrittely IAM:n saralla on SCIM eli Simple Cloud Identity Management. Se pyrkii onnistumaan siinä missä SPML epäonnistui, siis standardina. Edellisestä kerrasta viisastuneina SCIM:n taustalla toimivat Salesforcen ja Googlen kaltaiset pilvipalveluntarjoajat. Tavoitteena on määritellä tekninen standardi provisioida käyttäjiä pilvipalveluihin, ja samalla tehdä pilvipalveluntarjoajakohtaiset integraatiot turhiksi.

Lopuksi mainittakoon että Verohallinnon KATSO-tunnistuspalvelu sai tapahtumassa palkinnon parhaasta julkisen sektorin sähköiseen asiointiin liittyvästä IAM-projektista. Onnittelut!

Kirjoittaja on Panorama Partnersin IAM-pääarkkitehti.

Pilvipalvelut yleistyvät hurjalla vauhdilla, koska ne ovat yleisesti ottaen yrityksille erittäin kustannustehokkaita ja käteviä. Käyttäjät löytävät vaivattomasti ja palvelut ovat helppoja käyttää. Lisäksi monet niistä ovat edullisia tai jopa maksuttomia.

Niihin sisältyy kuitenkin tietoturvauhka, koska niiden käyttöönotto ei vaadi välttämättä edes tietohallinnon tukea tai hyväksyntää. Siksi tietohallinto ei voi myöskään kontrolloida tai vastata mitenkään palveluiden käyttöön liittyvistä riskeistä.

Ja riskejä riittää, sillä kvartaalitaloudessa kasvanut bisnessukupolvi haluaa voitot nopeasti. Riskit ja turva eivät ole keskeisiä huolia, koska nehän ovat hallinnon murheita, kunhan bisnes pyörii. Kun tällainen sukupolvi upottaa tiedostonsa huolettomasti esimerkiksi ilmaiseen Drop Box-pilvipalveluun eikä tietohallinto tiedä asiasta mitään, on yrityksen tietoturvassa pilven kokoinen aukko.

Tietohallinto ei voi jäädä pilveen makaamaan, vaan sen täytyy reagoida uuteen haasteeseen. CIO:n täytyy ymmärtää uusi kilpailutilanne pilvitarjonnan ja sisäisen tarjonnan välillä. Täytyy ymmärtää entistä paremmin sisäisten asiakkaiden tarpeet. Yksi ratkaisuvaihtoehto uudessa kilpailutilanteessa on tarjota ”sisäinen pilvipalvelu”, joka vastaa liiketoiminnan vaatimuksia, on helppo käyttää ja käyttöönottaa.

Käyttöoikeudet ovat johdon vastuulla

Lontoon konferenssissa korostettiin myös, että käyttöoikeuksiin liittyvät kysymykset kuuluvat johdon agendalle. Henkilöstöhallinto on jo nyt yhä useammin täysillä mukana IAM-hankkeissa. Nyt mukaan ovat hyppäämässä myös liiketoimintajohtajat. Hyvä niin, sillä silloin käyttöoikeuksien hallinta alkaa auttaa myös uuden liiketoiminnan kehittämistä.

Käyttöoikeushallinnan uusin akronyymi on IAI!

Gartner on jakanut IAM:n kolmeen toiminnalliseen osa-alueeseen Access, Administration ja Intelligence. Näistä kaksi ensimmäistä on jo tällä hetkellä viety käytäntöön monissa organisaatioissa melko hyvinkin. Kasvu organisaatioiden panostuksissa ja myös uusimmat IAM:sta tulevat hyödyt löytyvät jatkossa kolmannesta eli Intelligence osa-alueesta.

Kolmannelle osa-alueelle Gartner ehdottaa nimitykseksi Identity & Access Intelligence (IAI). IAI tulee tuottamaan yhdessä loki- ja tapahtumatiedon hallinnan (SIEM) kanssa sisältöä liiketoimintaraportoinnille (BI). Liiketoimintaraportointi saa uutta pohjatietoa palveluiden käyttäjien identiteeteistä sekä käyttäytymisestä analyyseilleen ja skenaarioilleen. Identiteettitietojen hyödyntämisessä on tärkeätä tietysti huomioida esim. henkilötietolain (Privacy) asettamat vaatimukset.

Kirjoittaja on Panorama Partnersin johtava konsultti.