kesäkuu, 2010, artikkelit

Ajattelin kirjoitella kesähelteitä odotellessa muutaman artikkelin rooleista keskisuuren tai suuren yrityksen tai muun kookkaan organisaation tiedonhallinnallisena haasteena. Tämä siksi, että roolitiedon ottaminen haltuun näyttää olevan toisaalta vaikeaa, mutta myös toisaalta asia, jota ei ole totuttu lähestymään tiedonhallintaongelmana. Teoriani on, että se on vaikeaa juuri siksi, että lähestymistapa ongelman ratkaisuun on väärä.

Tässä ensimmäisessä kirjoituksessa käyn läpi sitä, mitä roolitieto on ja mihin sitä käytetään, sekä miksi sen haltuunottoon lähdetään usein väärästä päästä, eli softatuotteen ostamisesta.

Käytännönläheisen tekijäfirman, kuten Trusteqin, kannalta asia on erittäin mielenkiintoinen, mutta minusta perusymmärryksen haltuunotto on suositeltavaa kaikille tietoturvasta kiinnostuneille, sillä kuten kaikki tiedämme, on olemassa oikeaa tietoturvaa ja sitten valitettavasti paljon valohoitoa, jolla ei välttämättä ole tietoturvan kanssa mitään tekemistä.

Niinikään minusta on hieman epämiellyttävä ajatus, että toistaiseksi yksikään roolienhallintaan käytettävän ohjelmistotuotteen edustaja ole juurikaan ymmärtänyt mistä olen heille puhunut kun avaan keskustelua roolitiedonhallinnasta. Tässä asiassa ostajan on helppo olla myyjää fiksumpi ja näin saada itselleen onnistunut hanke.

Tiedonhallintamielessä asia on minusta päivänselvä. Roolitietoa tarvitaan kaikissa organisaation osissa ja kaikkien organisaation osien olisi hyvä ymmärtää roolitieto samalla tavalla, oli sitten kyse ihmisistä tai tietojärjestelmästä. Mitä sitten tämä roolitieto on? No, kaikissa organisaatioissa esitetään jatkuvasti seuraavia kysymyksiä osana yrityksen jokapäivästä toimintaa:

• Kuka on kenenkin esimies?
• Mikä osasto on vastuussa mistäkin?
• Mikä on työntekijän A toimenkuva?
• Mihin järjestelmiin pitäisi A:n päästä toimenkuvansa puolesta?

Roolitieto siis toimii tienviittana, kun organisaatiossa jaetaan vastuita ja velvollisuuksia. Ja näiden vastuiden ja velvollisuuksien toisaalta pitäisi kohtuullisen tarkasti heijastella pääsyä tietojärjestelmiin, jotta voidaan puhua hallitusta ja turvallisesta järjestelmästä. Roolitieto kuvaa siis osaltaan sitä loogista rakennetta, mitä organisaatio on ja mitä sen sisällä tulisi tapahtua vastuumielessä kun jotain työtä tehdään.

Eli meillä on tietoa, joka toisaalta pitäisi ymmärtää samalla tavalla joka puolella organisaatiota ja joka toisaalta pistäisi olla jotenkin hallittu siten, että sekä liiketoiminta että IT-järjestelmät voisivat toimia yhteen tehokkaalla tavalla. Mitä tämä tieto siis tiedonhallinnallisesti on?  Tämä on se kysymys mihin roolienhallintasovellusten valmistajat minusta eivät ymmärrä vastata oikein. Aivan oikein, kysymys on organisaation master datasta. Keskimäärin kuitenkaan role management-hanke ei ole lähelläkään master data management-hanketta lähestymistavan, resursoinnin tai käytettyjen menetelmien kannalta katsottuna.

Olen myös synkkänä päivänä miettinyt, että voiko tämän melko itsestäänselvän havainnon sivuuttaminen olla tarkoitusellista? Jokainen master data- tai data management hankkeita läpikäynyt tietää, että kyseessä ei ole helppo homma. Ensimmäinen tapa mokata ko. hanke on ostaa softatuote, jonka sitten toivotaan ratkaisevan ongelman. Roolien hallinta, kuten data management yleensäkin, on lopulta hyvin prosessi- ja ajatusintensiivistä puuhaa johon toki tarvitaan työkaluja, mutta itse ongelma ei työkaluilla ratkea.

Jos ajatellaan vaikkapa tietoa joka on yleisesti hyväksytty master dataksi, huomataan miksi näin on. Valitaan esimerkiksi tuotedata, eli mitä tuotteita yritys myy ja mitä tietoa näihin liittyy (versioriippuvuudet, dokumentaatio, hinta, vastuullinen osasto jne). Uskooko joku, että on olemassa ohjelmistotuote, joka automaattisesti selvittää mitä tuotteita yritys valmistaa ja keräilee näistä kaiken niihin liittyvän tiedon? Ei varmasti. Toisin sanoen, tarvitaan ihmisiä muokkaamaan dataa informaatioksi, joka sitten syötetään tietojärjestelmään, joka toimii tuotetiedon master-järjestelmänä.

Tilanne ei muutu juuri mitenkään kun tuotetieto vaihdetaan roolitiedoksi. Edelleenkään softa ei sitä automaattisesti muodosta, vaan roolitiedon hallintahankkeeseen tarvitaan mukaan osaavia ihmisiä, jotka tutkimalla organisaatiota ja tallennettua tietoa selvittävät, mitä rooleja firmassa oikeasti on ja miten nämä parhaiten organisoidaan rooleiksi.

Toinen, jopa ehkä vahvempi argumentti sen puolesta, miksi roolienhallinta tulisi tehdä ennemmin tiedonhallintahankkeena on, että roolit muuttuvat organisaation muuttuessa ja niiden luonti, muutos ja poisto tulisi tehdä osana jotain ei-teknistä (esim. HR) prosessia ennemmin kuin IT-osaston toimesta. Loogisella tasolla tiedonhallinta on lähempänä business arkkitehtuuria kuin IT-arkkitehtuuria ja prosessien mallinnus on osa business arkkitehtuuria eikä niinkään IT-työ. Varsinaiset vastuut prosessien ja informaation mallintamisesta toki vaihtelevat yrityksittäin, joten tätä on vaikeampi perustella. Tärkeää kuitenkin on, että oikean alan osaajat tekevät työn ja prosessien pyörittämisen vastuu luovutetaan sinne, missä se parhaiten pystytään hoitamaan.

Loppuyhteenvetona: Roolitieto, eli mitä kenenkin on tarkoitus tehdä firmassa ja kuka kantaa vastuun, on minusta selvästi organisaation master dataa. Tästä syystä roolienhallintahankkeita, jotka usein ovat osana IAM-hanketta, tulisi suunnitella, johtaa ja toteuttaa tiedonhallintahankkeina. Kun roolitieto on muodostettu ja hallittu oikein organisaatiossa, IAM-hankkeessa on suhteellisen helppo muodostaa näistä pääsynvalvonnan kannalta merkityksellisiä järjestelmärooleja, jotka sitten edelleen myöntävät oikeuksia eri tietojärjestelmiin.

Seuraavassa kirjoituksessa ajattelin pureutua tarkemmin siihen, miten roolitiedon mallinnus sitten oikeastaan pitää sisällään. Jatketaan harjoituksia pian!

Tietoviikko listasi jälleen kesäkuun alussa 250 suurinta tieto- ja viestintätekniikka-alan yritystä sekä niiden 14 potentiaalisinta haastajaa. Lista koottiin perinteiseen tapaan edellisen vuoden (2009) tilinpäätöstietojen perusteella, ja haastajayritykset valittiin sijoille 251-300 tulleiden yritysten joukosta. Trusteq oli yksi harvoja yrityksiä, jotka onnistuivat pitämään paikkansa haastajalistalla edellisvuodesta, ja lehti ennustaakin yritykselle lähes varmaa nousua 250 suurimman joukkoon ensi vuoden selvityksessä.

“It-palveluita tarjoava espoolainen Trusteq punkee vahvasti ensi vuoden päälistalle merkittävillä kasvuluvuillaan niin viime kuin edelleisenäkin vuonna. Vuonna 2008 yrityksen liikevaihto kasvoi 35 ja viime vuonna 49 prosenttia. Jos yrityksen hallituksen puheenjohtajan Vesa Halosen arvio tahdin kiihtymisestä tänäkin vuonna toteutuu, Trusteq ponnahtaa kevyesti 250 suurinta -listalle ensi vuonna”

Koko artikkeli löytyy Tietoviikon viimeisimmästä julkaisusta (numero 11, ilmestynyt 11.6.2010).

Lisätietoa Tivi 250 selvityksestä löytyy Tietoviikon verkkosivuilta.

Olemme uudistuneet sekä sisäisesti että ulkoisesti:

1.6.2010 alkaen olemme entistä monipuolisempi tietoturvatalo.

Uudistuksemme liittyy 1.6.2010 voimaan tulleeseen yrityskauppaan, jonka seurauksena tietoturvatalo Optisec Oy siirtyi osaksi Trusteq Oy:tä. Yrityskaupan tavoitteena on tarjota entistä parempaa ja monipuolisempaa osaamista nykyisille ja tuleville asiakkaille.

Optisec Oy jatkaa toimintaansa Trusteq Consulting -nimen alla, tarjoten organisaatioille korkeatasoista asiantuntijaosaamista tietoturvaan ja tietoliikenteeseen liittyvissä hankkeissa ja projekteissa: hankejohto, projektijohto, riskienhallinta, -arkkitehtuurisuunnittelu ja konsultointi

Trusteq Solutions on keskittynyt erityisesti pääsyn- ja käyttäjätiedon hallintaan sekä web-tietoturvaan. Se tarjoaa koulutusta, konsultointi, teknistä tukea sekä valmisohjelmistoja. Palvelutarjontaamme pääset tutustumaan helpoiten Palvelut -osion kautta.

Lisätietoja palveluistamme saat tarvittaessa myös myynnistämme. Ota siis rohkeasti yhteyttä! Asiantuntijamme vastaavat mielellään kaikkiin  sinua askarruttaviin kysymyksiin ja auttavat sopivan ratkaisun löytämisessä.

Ethän unohda Blogiamme. Viimeisimmät uutiset ja arviot tietoturva-alan ratkaisuista, tuotteista, palveluista ja tapahtumista päivitetään juuri sinne.