Perinteiseen malliin pohjautuvat pääsynhallinnan ratkaisut eivät aina taivu uusiin tilanteisiin. Päädytään kompromisseihin, joissa joudutaan joko taivuttamaan tietoturvapolitiikan rajoja tai käy jopa niin, että tietoturvapolitiikka joustaa ja mukautuu käytännön sanelemien reunaehtojen mukaan. Toisinaan tarpeeseen sopivia työkaluja ja ratkaisua on saatavilla, mutta ei olla huomattu käyttää niiden suomia mahdollisuuksia.
Tarkista tietoturvapolitiikka
Tietoturvapolitiikkaa tulee ajoittain tarkistaa, mutta tietoturvapolitiikan sisältöä ja toteuttamista ei saisi sanella käytettävien järjestelmien kyvykkyydet ja rajallisuudet. Tietoturvasta ja pääsynhallinnasta vastaavalla organisaatioyksiköllä tulee olla vuosikello, jolla varmistetaan politiikan pysyminen ajan tasalla ja että tukijärjestelmiä hyödynnetään suunnitelmien mukaisesti niiden täysi potentiaali hyödyntäen – politiikkaa kuitenkin noudattaen. Vuosikellossa pitäisi olla varattuna tarkistuskohdat ja resursseja (aikaa) vähintään seuraaville:
- Tietoturvapolitiikan ajantasaisuuden tarkistus ja korjaukset
- Järjestelmäympäristön inventointi ja arkkitehtuurin päivitys
- Roolikorien tarkistus ja korjaaminen, puuttuvien roolien täydentäminen
- Tehtävien ja delegointi- työnkulkujen varmistaminen ja testaaminen (esim. ennen kesäloma-aikaa sen varmistaminen, että loma-aikana tehtäväkokonaisuuksia ei jää hoitamatta)
- Jatkuvuussuunnitelman mukainen riskikohteiden testaus (esim. karttaharjoitus tai testiympäristössä)
Hyödynnä asiantuntijaa apuna katselmoinneissa
Vuosikellon läpikäynnille ja koulutuksille löydät kumppanin esimerkiksi WeAre:n asiantuntijoista, joilla on kattava kokemus toimintojen kehittämisestä identiteetinhallinnan projektien kautta. Asiantuntijoiden apua voidaan käyttää myös kokonaisarkkitehtuurin läpikäyntiin ja arvioimaan ja auttamaan hankittujen tuotteiden ominaisuuksien hyödyntämistä.
Esimerkiksi monet pilvialustapalvelut sisältävät monivaiheisia lisenssimalleja. Asiakas on saattanut valita laajan lisenssin, josta käyttää vain murto-osaa lisenssin sallimista toiminnallisuuksista.
Laajenna pääsynhallintaa korotetulle suojaustasolle
Eräs vaihtoehto perinteisten pääsynhallinnan ratkaisujen täydentämiseksi on laajentaa nykyistä identiteetin- ja pääsynhallinnan arkkitehtuuria korkeiden- ja kriittisten käyttöoikeuksien hallintaan keskittyvällä Privileged Access Management (PAM) ratkaisulla. Ratkaisulla pyritään ensisijaisesti turvaamaan ylläpitäjien (admin tasoiset) tunnukset eriyttämällä niiden hallinta ja käyttö omaksi kokonaisuudekseen. Privileged Access Management pyrkii tarjoamaan seuraavia etuja:
- Kontrolloitu ja suojattu pääsy kriittisiin kohteisiin tarpeenmukaisilla korotetuilla käyttöoikeuksilla
- Käyttöön tarvittavien tunnusten ja oikeuksien aktivoiminen vain käytön ajaksi – Just-In-Time (JIT) oikeudet
- Rooliperusteisten käyttöoikeuksien ja käyttöoikeuskohteiden kategorioinnin vahvistaminen – tehtävien eriyttämisen tietoturvaperiaatteen noudattaminen (Segregation of Duties)
- Järjestelmiin kirjautumisen ja käytön jäljitettävyys lokitiedoista. Tarvittaessa istunnot kriittisimpiin järjestelmiin voidaan jopa tallentaa esim. konsolin videotallenteina, mikäli organisaation tietosuojaperiaatteet sen sallivat.
Mikäli aihe mietityttää tai kaipaat kaveria kuuntelemaan, niin…
…meihin saa helposti yhteyttä sivujemme kautta esimerkiksi here.
tai
