Pääsynhallinnan nykytilan tarkastelu – Oikeudet annettiin, mutta oliko se suunniteltua? Osa 2.


Maailmantilanne ja sen suunta ei tunnu vieläkään olevan lähellä normalisoitumista, mutta pahin paniikkivaihe vaikuttaa olevan jo takanamme. Nyt monessa organisaatiossa saattaa tilanne olla se, että jo tehtyjä päätöksiä tulisi käydä läpi uudelleen ja varmistaa, että tietoturva on edelleen kokonaisvaltaisesti hallussa. 

Kaikki eivät tässä kohtaa ole samalla viivalla, sillä Suomesta löytyy varmasti lukuisia yrityksiä, jotka kykenivät reagoimaan nykyisten järjestelmien ja käytäntöjen avulla ja näin ollen välttämään suuremmat konfliktit politiikan ja tarpeen välillä. Monet eivät välttämättä osanneet reagoida ihan vastaavalla tasolla. Sillä oliko varautumisessa onnistuttu sattumalta vai suunnitellusti, ei tässä kohtaa ole merkitystä. Pääasia on, että vastaavia tilanteita varten voidaan olla paremmin varautuneena.  

Pääsynhallinnan peikko: superosaaja

Pääsynhallinnan periaatteisiin kuuluu pohtia pääsyä myös prosessivetoisesti. Eräs tarkastelunäkökulma on toistaiseksi voimassaolevien pääsyoikeuksien hallinnointi. Suomessa organisaatiot ovat tyypillisesti pieniä ja IT-osaston hartiat kapeita.

Loma-aikoina tyypillisesti tarvittavia lisäoikeuksia on vaikea hallita, jolloin organisaatioon vaivihkaa kasvaa superosaajia, joilla on pääsy kaikkialle. Tähän varmasti voi liittyä monia muitakin asioita, mutta näin voi tapahtua, jos nykyisen pääsynhallinnan ratkaisun prosessiohjaus ei taivu määräaikaiseen ja täsmälliseen aikaperusteiseen käyttöoikeusmalliin.  

Monet IdM-järjestelmät sisältävät jo roolikäsitteen ja työnkulkutoiminnot (work flow). Kehittyneemmissä järjestelmissä on jopa roolikoreja, joissain jopa tekoälyyn perustuvia automatisoituja roolikorimalleja. Nykytila monessa organisaatiossa silti on se, että käyttövaltuushallinnan järjestelmän roolin yhteys tosielämän pääsyoikeuksiin aukenee päätöksentekijälle huonosti. Voi olla, että roolikoreja ei ole lainkaan käytössä.

Heikosti kuvattujen roolien ja roolikorien seuraus on myös superkäyttäjät, joilla on runsas joukko käyttöoikeuskohteita. Kun ei tarkkaan tiedetä, mitä käyttöoikeuskohteita tulisi myöntää, myönnetään työn tekemisen helpottamiseksi enemmän kuin on tarpeen.  Jälleen muodostuu käyttäjiä, joilla on avaimet koko valtakuntaan. Tällaisen käyttäjän tunnuksien päätyminen vääriin käsiin on erittäin suuri tietoturvariski.

Inventoi käyttöoikeudet – katse eteenpäin

Pääsynhallinnan toteuttamiselle on tapoja yhtä monta kuin on tekijöitäkin. Yleisesti ottaen on tärkeää, että annetuista oikeuksista tallentuu aina tieto miksi ja milloin ne on annettu ja kenen toimesta. Mikäli seurantaa oikeuksille ei ole, ensimmäinen ja tärkein asia olisi inventoida jaetut oikeudet.

Käyttöoikeuksien inventointi tulisi olla yrityksen IT:n vuosikellossa. Nyt koronakriisin vakiinnuttua saattaa olla tarpeen aikaistaa vuosikellon mukaista inventointia. Inventointiin on myös syytä ryhtyä ennen kesäloma-aikaa, jotta loma-aikojen tehtävien delegointi onnistuu sujuvasti. 

Samalla kannattaa pohtia sitä, jaettiinko oikeuksia väliaikaisesti vai pysyvästi? Pystyykö nykyinen tietoturvapolitiikka vastaamaan uuden tilanteen haasteisiin? Jos kyse oli väliaikaisesta ratkaisusta: Millä aikataululla ja millä keinoin pääsyä jatkossa taas rajoitetaan?

Korona ei varmasti ole viimeinen kriisi – varmista jatkuvuus

Tässä vaiheessa asiantuntijat ovat yhtä mieltä siitä, että tämä pandemia ei jää ainoaksi laatuaan, vaan vastaavia voidaan odottaa tulevaisuudessa lisää. Uhkana ei ole ainoastaan pandemiat, vaan tulevaisuus voi tuoda tullessaan paljon muutakin odottamatonta. Seuraavan kriisin seuraukset ovat jälleen yllättäviä ja ennakoimattomia. 

Onneksi meillä on kyky ottaa opiksemme ja seuraavilla kerroilla voimme olla paremmin varautuneita. Nyt on hyvä hetki pysähtyä pohtimaan pääsynhallinnan linjauksia:

  • Miten varmistetaan yrityksen tietoturva kriisitilanteessa ja sen jälkeen?
    • Erityishuomio eritasoisiin järjestelmien ylläpito-oikeuksiin
  • Millä tavoin oikeuksia jaetaan ja hallinnoidaan yllättävässä kriisitilanteessa?
  • Miten varmistetaan, että pääsynhallinnan kokonaisuus on hallussa 
  • Tulisiko verkkosegmentointiin tai fyysiseen sijaintiin perustuvat vanhentuneet suojaustoimet uudistaa nykyaikaisilla pääsynhallinnan ratkaisuilla? 

Käyttöoikeuspäätöksien pitäisi perustua yrityksen tietoturvapolitiikkaan. Tietoturvapolitiikkaan perustuen kokonaisarkkitehtuurin mukaiset käytännön toteutukset ja henkilöstön vastuunjaon pitäisi määrittää, miten pääsynhallintaa käytännössä toteutetaan.

Seuraavassa artikkelissa esittelemme lisää näkökulmia ja ratkaisuja, joilla varautua pääsynhallinnan muuttuviin tilanteisiin jatkossa.