Organisaatioissa on tärkeää, että oikeat ihmiset ja palvelut pääsevät oikeisiin tietoihin – mutta eivät enempään kuin on tarpeen. Tämä onnistuu, kun identiteetin- ja pääsynhallinta (IAM) sekä käyttövaltuushallinta (KVH) ovat kunnossa.
IAM kattaa kaiken sen, miten organisaation käyttäjät tunnistetaan ja miten heidän pääsyään tietoihin hallitaan. KVH on osa tätä kokonaisuutta: se keskittyy käyttöoikeuksien myöntämiseen, muuttamiseen ja poistamiseen elinkaaren eri vaiheissa.
Tieto on kaiken ydin ja omaisuus, jota IAM:n avulla suojellaan
Organisaation arvokkain omaisuus on tieto, kuten asiakastiedot, sopimukset, henkilöstödata ja suunnitelmat. Tietoaineistot ovat hajallaan eri järjestelmissä, mutta yhdessä ne muodostavat tietovarannon, jota IAM ja KVH suojaavat.
Käytännön esimerkkejä
- Terveydenhuolto: Potilastiedot löytyvät potilastietojärjestelmästä, laboratoriotulokset erillisestä järjestelmästä ja kuvantamistiedot PACS-järjestelmästä. Lääkäri tarvitsee pääsyn kaikkiin näihin tietoihin hoitaakseen potilasta turvallisesti. KVH auttaa varmistamaan, että vain hoitohenkilökunta näkee tiedot ja vain silloin, kun heillä on siihen lupa.
- Pankki: Asiakastiedot sijaitsevat CRM:ssä, maksutiedot maksujärjestelmässä ja luottopäätökset riskienhallintajärjestelmässä. Kassatyöntekijä pääsee maksutietoihin, mutta ei näe luottopäätöksiä, kun taas riskienhallintatiimi käsittelee luottopäätökset. IAM ja KVH pitävät tiedot turvassa ja varmistavat, että kukin pääsee vain tarpeelliseen tietoon.
Identiteetti ja sopimus luovat perustan
Kaikki alkaa identiteetistä – henkilöstä, palvelusta tai laitteesta. Kun henkilö liittyy organisaatioon, tehdään sopimus, jossa sovitaan esimerkiksi työ-/virkasuhteen ehdoista. Usein yhdellä henkilöllä voi olla useita sopimuksia, sillä hänellä voi olla useita rooleja tai erilaisia työsuhteita tai hän voi olla organisaation palveluksessa sekä suoraan että palveluntarjoajan kautta.
Vastaavasti IAM-maailmassa digitaalinen identiteetti syntyy samalla, kun siihen liitetään sopimukset, joiden perusteella myönnetään käyttöoikeuksia. Monisopimushallinta on olennainen osa toimivaa IAM-ratkaisua.
Käytännön esimerkkejä
- Terveydenhuolto: Uusi lääkäri liittyy sairaalan henkilökuntaan ja saa automaattisesti pääsyn potilastietojärjestelmään, reseptipalveluun sekä hoitosuunnitelmiin. Hän pystyy heti tarkistamaan potilastiedot ja määräämään tarvittavat lääkkeet, ilman että IT-osaston täytyy käsin myöntää oikeuksia.
- Julkishallinto: Uusi virkamies aloittaa virastossa ja saa heti pääsyn asianhallintajärjestelmään, sähköpostiin ja dokumenttiarkistoon. Hän voi osallistua kokouksiin, käsitellä asiakirjoja ja hoitaa tehtävänsä turvallisesti heti ensimmäisestä päivästä alkaen.
- Koulutus: Uusi opettaja saa tunnukset oppimisympäristöön ja sähköiseen arviointijärjestelmään. Hän voi heti luoda oppitunteja, seurata opiskelijoiden suorituksia ja palauttaa arviointeja, ilman viiveitä tai ylimääräistä byrokratiaa.
Pääsy perustuu rooleihin ja tehtäviin
Oikeudet määräytyvät työtehtävien mukaan. Näin varmistetaan, että jokainen pääsee vain siihen tietoon, mitä tehtävissään tarvitsee. Käyttöoikeudet koostetaan usein rooleihin, jotka voivat olla esimerkiksi ”HR-asiantuntija” tai ”IT-tuki”. Roolit puolestaan jaetaan usein ryhmien kautta, jolloin hallinta helpottuu.
Käytännön esimerkkejä:
- Pankki: Kassatyöntekijä käsittelee asiakasmaksutapahtumia kassalla. Hän näkee kaikki maksutiedot, mutta ei pääse lukemaan tai muuttamaan luottopäätöksiä. Tämä varmistaa, että arkaluonteiset päätökset pysyvät riskienhallintatiimin vastuulla.
- Teollisuus: Huoltoteknikko pääsee käsiksi koneiden huoltotietoihin ja huoltokirjauksiin. Hän ei näe tuotannon suunnittelujärjestelmää, joten suunnittelutiedot pysyvät hallinnon vastuulla. Näin tuotannon tiedot pysyvät turvassa ja virheet vähenevät.
Politiikat ja ehdot täydentävät rooleja
Roolien kautta annettujen oikeuksien tarkkuus ei aina riitä. Politiikat (Policy-Based Access Control, PBAC) ja ehdot (Attribute-Based Access Control, ABAC) tuovat käyttöoikeuksiin joustavuutta ja turvallisuutta.
Käytännön esimerkkejä
- Attribute-Based Access Control (ABAC): Terveydenhuollossa lääkäri pääsee käsiksi potilastietoihin vain, jos hän työskentelee sairaalan verkossa ja potilas kuuluu hänen hoitovastuulleen. Näin lääkäri voi hoitaa potilasta turvallisesti, mutta ulkopuoliset eivät pääse tietoihin edes vahingossa.
- Policy-Based Access Control (PBAC): Pankissa luottopäätöksiä saa tehdä vain riskienhallintaryhmän jäsen, joka on kirjautunut sisäverkon kautta. Politiikka yhdistää useita ehtoja yhdeksi kokonaisuudeksi ja estää väärinkäytökset, samalla kun oikeat käyttäjät voivat hoitaa tehtävänsä sujuvasti.
Käyttövaltuushallinta (KVH) hallitsee elinkaaren
KVH prosessi varmistaa, että oikeudet ovat ajan tasalla. Se sisältää muun muassa: JML-prosessin (Joiner, Mover, Leaver), pääsypyynnöt ja hyväksynnät, provisioinoinnin eri järjestelmiin sekä säännölliset tarkastukset ja auditoinnit
Käytännön esimerkkejä
- Terveydenhuolto: Kun sijaislääkäri lähtee, käyttövaltuushallinta poistaa automaattisesti kaikki hänen käyttöoikeutensa, jotta potilastiedot pysyvät turvassa, eikä kukaan ulkopuolinen pääse niihin käsiksi.
- Teollisuus: Työntekijän siirtyessä tuotannosta hallintoon vanhat oikeudet poistuvat ja uudet lisätään automaattisesti. Näin hän pääsee heti kiinni hallinnon tehtäviin, mutta ei enää vahingossakaan muokkaa tuotantotietoja.
- Koulutus: Kun opiskelija valmistuu, hänen tunnuksensa poistetaan kaikista järjestelmistä, mikä estää pääsyn koulun tietoihin ja varmistaa tietoturvan.
IAM ja KVH integroivat teknologian ja turvallisuuskulttuurin. Kun identiteetit, roolit ja politiikat toimivat oikein, organisaatio pystyy suojaamaan tietonsa ja tekemään työnsä tehokkaasti.
Kun kaikki on hallinnassa
Kun identiteetit, roolit ja oikeudet on määritelty selkeästi, arki sujuu ilman turhia esteitä – ja tieto pysyy turvassa.
Hyvin rakennettu IAM ja käyttövaltuushallinta tukevat organisaation toimintaa monella tasolla: ne nopeuttavat uusien työntekijöiden aloitusta, helpottavat tehtävävaihdoksia, vähentävät virheitä ja tukevat tietosuojavaatimusten noudattamista. Kun oikeudet pysyvät ajan tasalla ja prosessit toimivat automaattisesti, työ tehostuu, työntekijöiden tyytyväisyys paranee ja myös IT:n kuorma kevenee.
Tärkeintä on ymmärtää, että IAM ei ole kertaluonteinen projekti, vaan jatkuva prosessi – osa organisaation hyvää hallintoa ja tietoturvakulttuuria. Kun identiteettien ja käyttöoikeuksien hallinta on kunnossa, tieto on oikeissa käsissä oikeaan aikaan – ja kaikki toimii niin kuin pitääkin.