Mitä on identiteetin ja pääsynhallinta?
Identiteetin ja pääsynhallinta (IAM) on olennainen osa nykyaikaista IT-infrastruktuuria, varmistaen, että oikeat henkilöt saavat pääsyn oikeisiin resursseihin oikeaan aikaan oikeista syistä.
Johdanto IAM:iin
Identiteetin- ja käyttöoikeuksien hallinta, lyhennettynä IAM, on IT-alan osa-alue ja ohjelmistoratkaisujen luokka, joka keskittyy käyttäjien pääsyyn yrityksen kriittisiin resursseihin. Näitä voivat olla esimerkiksi tietokannat, sovellukset, järjestelmät, laitteet sekä fyysiset tilat, kuten rakennukset ja huoneet.
Laitteiden, sovellusten ja datan määrän kasvaessa, teknologia muuttuu yhä monimutkaisemmaksi. Tämän myötä kasvaa myös tarve varmistaa, että näihin resursseihin pääsevät käsiksi vain oikeat henkilöt, oikeaan aikaan ja oikeista syistä. IAM-järjestelmät tarkistavat nämä oikeudet ja luvat. Autorisointivaiheessa tarkistetaan pääsyä pyytävän henkilön tai järjestelmän identiteetti. Tämä voidaan tehdä eri tavoin, kuten salasanoilla, biometrisellä tunnistuksella tai turvatunnisteilla. Kun identiteetti on varmennettu, käyttäjän on saatava valtuutus tiettyihin toimiin resurssin sisällä. Valtuuttaminen määrittää, minkä verran käyttöoikeuksia käyttäjä saa tämän roolin ja lupien perusteella. Lopuksi pääsynhallinta varmistaa, että vain valtuutetut henkilöt saavat pääsyn resursseihin.
IAM-ratkaisun käytöstä on organisaatiolle monia hyötyjä. Se mm. parantaa turvallisuutta varmistamalla, että vain valtuutetut käyttäjät saavat pääsyn arkaluonteisiin resursseihin. Tämä auttaa estämään tietomurrot ja yrityksen tietojen luvattoman käytön.
Pääsynhallinta vs. Identiteetinhallinta
Identiteetinhallinta varmistaa, 'kuka' käyttäjä on, kun taas pääsynhallinta varmistaa, että käyttäjällä on pääsy vain niihin resursseihin, joihin tällä on oikeudet.
IAM koostuu kahdesta osasta:
Identiteetinhallinta
Identiteetinhallinta keskittyy organisaation käyttäjien identiteettien luomiseen, hallintaan ja todennukseen. Käytännössä se vastaa kysymykseen "kuka". Tämä sisältää käyttäjien roolien, käyttöoikeuksien ja etuoikeuksien määrittämisen ja hallinnan.
Tyypillisesti identiteetinhallintaan kuuluu tiettyihin sovelluksiin ja järjestelmiin liittyvän käyttäjäluettelon luominen ja ylläpito. Tavoitteena on tarjota yksi lähde kaikille organisaation käyttäjäidentiteeteille, virtaviivaistaen pääsynhallintaprosessia.
Keskeiset elementit:
-
Käyttäjien resurssointi - Varmistaa, että oikeat käyttöoikeustasot määritetään työntekiöiden aloittaessa, vaihtaessa roolia tai yrityksestä lähtiessä.
-
Todentaminen - Varmistaa käyttäjien identiteetin esimerkiksi salasanalla, biometrisellä tunnistuksella tai kaksivaiheisella todennuksella (2FA).
-
Hakemistopalvelut - Ylläpitää keskitettyjä käyttäjätietovarastoja tehokasta identiteetin seurantaa ja pääsynhallintaa varten.
Hyödyt:
-
Yksinkertaistaa käyttäjien sisään- tai uloskirjautumista.
-
Vähentää salasanojen hallinnan haasteita ottamalla käyttöön kertakirjautumisen (SSO).
Esimerkkitapaus: Kun työntekijä palkataan, identiteetinhallinta varmistaa, että hänelle myönnetään roolinsa mukaiset järjestelmäoikeudet. Vastaavasti, hänen lähtiessä organisaatiosta pääsy peruutetaan viipymättä. Tämä vähentää tietoturvariskejä.
Pääsynhallinta
Kehys, jonka avulla määritellään, myönnetään, hallitaan ja valvotaan käyttäjien käyttöoikeuksia organisaation resursseihin sekä todennetaan käyttäjät heidän kirjautuessaan niihin. IAM-lyhenteen A-kirjain voi joskus viitata myös "todennukseen" (authentication) eikä pelkästään "käyttöoikeuksiin" (access). Vaikka markkinoilla on useita ohjelmistoratkaisuja identiteetin- ja käyttöoikeuksien hallintaan, monet niistä on suunnattu ensisijaisesti suurille organisaatioille. Tämän seurauksena pienet ja keskisuuret yritykset turvautuvat usein manuaalisiin menetelmiin käyttäjäidentiteettien ja käyttöoikeuksien hallinnassa, kuten taulukoiden käyttöön käyttäjätietojen ja heidän oikeuksiensa seuraamiseksi.
Pääsyoikeuksien hallinta (ARM) on prosessi, jolla valvotaan ja hallitaan organisaation resursseihin ja tietoihin pääsyä. ARM auttaa varmistamaan, että arkaluontoiset tiedot ovat suojattuja ja että vain valtuutetut käyttäjät voivat käyttää niitä.
Tyypillisiä haasteita, joita eurooppalaiset organisaatiot kohtaavat pääsyoikeuksien hallinnassa (ARM), ovat:
- Käytettävissä olevien työkalujen rajallisuus: pääsyoikeuspyyntöjä saatetaan edelleen käsitellä sähköpostitse, MS Word- ja MS Excel -ohjelmilla tai ilman keskitettyä järjestelmää.
- Vaikeus toimeenpanna ja hallita hyväksymisketjuja joustavasti.
- Haasteet muutosten tai päivitysten auditoinnissa käyttöoikeuksiin tai omistajuuksiin liittyen.
Pääsynhallinnan keskeiset komponentit
-
Valtuuttaminen - Määrittää, mitkä toiminnot ovat sallittuja kullekin käyttäjäryhmälle.
-
Roolipohjainen pääsynhallinta (RBAC) - Rajoittaa pääsyä työtehtävien perusteella, jotta arkaluontoisiin järjestelmiin ei ole tarpeettomia pääsyjä.
-
Käytäntöjen toimeenpano - Varmistaa, että organisaation käytännöt koskien pääsyjä ja niiden ehtoja sovelletaan johdonmukaisesti.
Esimerkkitapaus: Vanhempi kirjanpitäjä voi olla valtuutettu pääsemään palkkahallintojärjestelmiin, mutta häneltä voidaan estää pääsy insinöörihankkeiden tiedostoihin.
IAM:in käyttämisen hyödyt
IAM-ratkaisu parantaa identiteetin- ja käyttöoikeuksien hallintaa sekä vähentää kustannuksia ja tehostaa ajankäyttöä.

Tehostettu identiteetin- ja pääsynhallinta
Modernit IAM-järjestelmät tarjoavat helppokäyttöisen itsepalveluportaalin. Sen avulla pääsyoikeuspyyntöjen, -poistojen ja -hyväksyntöjen käsittely (joka voidaan laajentaa muihin IT- ja yrityspalveluihin), muuttuu tehokkaammaksi.

Paranneltu tietoturva ja vaatimustenmukaisuus
Cybersecurity Insidersin mukaan 70 % käyttäjistä on enemmän pääsyoikeuksia kuin mitä heidän työnsä vaatii. IAM-ratkaisut helpottavat nykyisten ja aktiivisten pääsyoikeuksien ja identiteettien (käyttäjä- ja ryhmäjäsenyyksien) seuraamista ja antavat mahdollisuuden:
- Auditoida käyttäjiä ja pääsyoikeuksia
- Uudelleenvahvistaa kenen tahansa käyttäjän pääsyoikeudet
- Varmistaa, että käyttäjillä on vain heille tarpeelliset käyttöoikeudet
- Estää ei-toivottu tietovuoto ja tietomurrot automaattisella käyttöoikeuksien poistamisella
- Tunnistaa ja poistaa velvollisuuksien erottamisen (SoD) käytäntörikkomukset, jotka johtuvat pääsyoikeuksien haitallisista yhdistelmistä käyttäjien välillä
- Ratkaista etuoikeutettujen käyttäjien liian laajojen pääsyoikeuksien ongelman.

Kustannussäästöt
Vähennä IT- ja tietoturvakustannuksia monin tavoin:
- Vähennä manuaalista työtä ja virheiden riskiä. IAM voi auttaa sinua automatisoimaan identiteettien ja pääsyoikeuksien hallintaprosesseja. Kun täysi automaatio ei ole käytettävissä, IGA välittää nämä prosessit tehtävien hallinnalle, varmistaen selkeät SLA:t ja suostumukset.
- Tunnista ja poista tarpeettomat ohjelmistolisenssit. Blissfullyn mukaan, keskikokoisella yrityksellä on keskimäärin 4,3 hylättyä SaaS-tilausta. IAM muistuttaa, jos organisaatiosta poistuneella käyttäjällä on edelleen pääsyoikeudet, jolloin nämä voidaan peruuttaa tai kohdentaa uudelleen.

Säästöt ajassa ja tehokkuudessa
Säästät merkittävästi työtunteja ja odotusaikaa keskeisissä IAM-toiminnoissa, kun verrataan manuaaliseen ratkaisuun:
- Säästä jopa 30 minuuttia jokaiselta uudelta käyttäjältä
- Säästä jopa 30 minuuttia aina, kun käyttäjäprofiilia päivitetään
- Säästä jopa 8 tuntia odotusaikaa, kun pääsyoikeuksia lisätään yhdelle uudelle käyttäjälle
- Säästä viikkojen verran odotusaikaa käyttäjien pääsyoikeuksia päivitettäessä
Mitä haasteita organisaatiot ratkaisevat IAM-ratkaisuilla?
IT- ja tietoturvatiimit etsivät parempaa tapaa hallita ja automatisoida pääsyjä ja identiteettejä, sillä manuaaliset menetelmät käyvät liian vaikeiksi ja riskialttiiksi. Uudentyyppisiin työympäristöihin sopivien IAM-käytäntöjen käyttöönotto yleistyy. Näille luonteenomaista on:
Enemmän joustavuutta työhön
Euroopassa määrä- ja osa-aikainen työllisyys oli kasvussa jo ennen pandemiaa. Eurostatin mukaan, vuonna 2019 14,8 % EU-27:n työntekijöistä oli määräaikaisessa työssä ja 18,3 % osa-aikatyössä.
Pandemia on vauhdittanut työelämäntapojen muutosta. Yhä useampi valitsee joustavan työn. Myös freelance-työvoiman käyttäminen on kasvanut joissakin Euroopan maissa. Yritysten, jotka tarjoavat joustavaa työtä, työn jakamista ja sopimus-/freelancetyötä, on pystyttävä hallitsemaan eri työntekijäidentiteettejä turvallisesti ja tehokkaasti.
Lisääntyvät uhat - mitä ne ovat?
Mobiililaitteiden käyttö työnteossa on laajentanut uhat perinteisen organisaation rajojen ulkopuolelle. IT-tiimien on nyt hallittava identiteettejä ja pääsyä monenlaisiin mobiililaitteisiin, kuten henkilökohtaisiin tabletteihin ja älypuhelimiin.
Työympäristöt ovat avoimempia ja enemmän yhteyksissä toisiinsa, sekä työntekijöiden, urakoitsijoiden, toimittajien, kumppaneiden että IT-järjestelmäresurssien ja fyysisten resurssien välillä. Tämä tekee asioista monimutkaisempia ja kasvattaa riskejä. Arvokkaisiin järjestelmiin ja tietoihin kohdistuvien hyökkäysten määrä on kasvanut, koska käyttäjät ovat yhä useammin hyökkäysten kohteena.
Kehittyvä tietosuojalainsäädäntö
Tarve hallinnoida henkilötietoja EU:n yleisen tietosuoja-asetuksen (GDPR) sekä kansallisten tietosuojan ja kyberturvallisuuslakien ja -säädösten mukaisesti, vaatii entistä vahvempaa lähestymistapaa identiteetin- ja pääsynhallintaan.
Etätyöskentelyn selkeä lisääntyminen
COVID-19-pandemia lisäsi hybridityöhön siirtymistä, mikä on lisännyt vaatimuksia IT-tiimejä kohtaan. Heiltä odotetaan nyt pääsyn mahdollistamista ja sen hallintaa sekä paikallisille että pilvipohjaisille järjestelmille. Tämäntyyppisissä käyttötilanteissa täytyy ottaa huomioon myös mahdolliset ei-turvatut sijainnit.
Tarve digitaaliselle transformaatiolle
Kaiken kokoiset organisaatiot pyrkivät lisäämään tehokkuutta ja vähentämään kustannuksia digitalisaation ja automatisaation avulla. IAM on vahva väline muutokselle, sillä manuaaliset menetelmät vievät aikaa, jota voitaisiin muuten käyttää muihin ydintoimintoihin.

Unlock Efficiency: Getting Started with AI in Service Management
helmikuuta 10, 2025

ITSM – The Path to Choosing the Optimal IT Service Management Tool
joulukuuta 16, 2024

From Vision to Reality: How Our Annual Event is Shaping the Future of Service Management
syyskuuta 16, 2024

Single Sign-On (SSO) – Yksinkertaistaa kirjautumista sallimalla käyttäjien käyttää useita sovelluksia yhdellä tunnuksella..

Monivaiheinen todennus (MFA) – Lisää ylimääräisen turvatason vaatimalla kahden tai useamman vahvistustavan.

Salasanaton todennus – Vähentää salasanoihin liittyviä riskejä käyttämällä biometrisiä tai muita kehittyneitä vahvistusmenetelmiä.

Tarkastus ja raportointi – Seuraa käyttäjätoimintoja ja kirjautumislokeja poikkeavuuksien tunnistamiseksi ja auditointien tukemiseksi.