Artikkelit kirjoittajan mukaan
IAM haltuun – miksi ja miten?
IAM haltuun – miksi ja miten?
IAM, nuo kolme suurta kirjainta, tarkoittavat käyttäjätietojen- ja pääsynhallintaa. Se on niin kovaa erikoisosaamista vaativa alue, että Suomessa IAM-hankkeet keskimäärin epäonnistuvat. Tämä johtuu siitä, että IAM-hankkeet ovat haastavia. Niissä kokeneenkin tietohallintojohtajan kannattaa kysyä meiltä apua. Olen nähnyt, kuinka Trusteqin IAM-kyvykkyysmalliin perustuva työskentelytapa varmistaa hankkeen onnistumisen.
Miksi IAM on niin haastavaa?
IAM-hankkeista on kokemuksemme mukaan vain 20 % tekniikkaa ja jopa 80 % hallinnollisia asioita. Tästä syystä ei auta, että vain ostat ”hyvän ohjelmistotuotteen”. Ohjelmiston valinnalla aloitetut projektit kun harvoin onnistuvat täyttämään suuria odotuksia. Silloin on lähdetty liikkeelle väärästä päästä.
Identiteetin- ja pääsynhallinta (IAM) on tietoturvallisuuden ja IT-hallinnon osa-alue, joka integroituu parhaimmillaan kaikkiin organisaation tietojärjestelmiin. Painotan: kaikkiin. Kun me opastamme asiakkaitamme IAM:ssä, kaikki tietojärjestelmät tulee otettua huomioon.
Myös henkilöasiat ovat merkittävässä asemassa. Pienessäkin IAM-hankkeessa voi olla enemmän kuin yksi hankkeen onnistumiseen vaikuttava henkilö, ja usein onkin. Mukana on monesti ammattilaisia sekä IT- että liiketoimintapuolelta. Tietojärjestelmien käyttäjiä voi yrityksessä olla puolestaan tuhansia, jopa kymmeniä tuhansia. Käyttäjien ja käyttöoikeuksien hallinnan prosesseissa on mukana useita osapuolia: esimiehet, sovellusomistajat, palvelukeskuksen väki, vain muutamia tärkeimpiä mainitakseni.
Miten hallita IAM?
IAM:ää hallitessa täytyy hallita nimenomaan kokonaisuus. Koska yritys koostuu monenlaisista liiketoiminta-alueista ja organisatorisista vastuualueista, IAM:ää kehitettäessä on huomioitava yhteen kyvykkyysalueeseen keskittyvien hankkeiden vaikutus muihin alueisiin – ja myös vaatimukset muilta alueilta. Ratkaisu vain yksittäiseen ongelmaan voi olla joskus paikallaan, jos ongelma on merkittävä liiketoiminnan vaateiden tai tietoturvan varmistamisen kannalta. Silti siinäkin tapauksessa on varmistettava ratkaisun soveltuvuus IAM-alueen kokonaisarkkitehtuurin kannalta.
Me Trusteqilla lähestymme tätä ongelmakenttää IAM-kyvykkyysmallin avulla. Siinä IAM jaetaan seitsemään merkittävään alueeseen, joita tarkastellaan syvällisesti. Kyvykkyysmallin avulla voit selvittää meidän kanssamme tarkasti ja luotettavasti, millä tasolla yrityksessänne nyt ollaan IAM-asioissa. Sen avulla voit myös määrittää kanssamme sen, millä tasolla haluatte jatkossa olla. IAM-kyvykkyysmalli näyttää kaiken oleellisen tiedon näistä asioista havainnollisessa ja helposti toimenpiteiksi ja prioriteeteiksi saatettavassa muodossa.
Suurikin, koko organisaation kattava IAM-kehityshanke saadaan ruotuun jakamalla se osiin IAM-kyvykkyysmallin mukaisesti ja tunnistamalla osien riippuvuudet. Pienemmissä kehityshankkeissa puolestaan ymmärretään ratkaisun soveltuvuus olemassa olevaan infrastruktuuriin ja prosesseihin, sekä tunnistetaan vaikutukset organisaation IAM-ohjelmaan.
Aiheet: 
Korttitietomurto Helsingissä
Helsingin Sanomat uutisoi tänään tietomurrosta helsinkiläisessä kivijalkaliikkeessä, josta varastettiin yli 100.000 maksukortin tiedot. Uutisen mukaan yrityksessä oli korttitiedot tallennettu sellaiseen paikkaan, josta konnat pääsivät niihin internetistä käsiksi.
Korttitiedot eivät varmasti (ja toivottavasti) ole olleet kenen tahansa ohikulkijan luettavissa netissä, mutta jollain hyökkäyspolulla tiedot ovat olleet saatavilla. Oletettavasti polku on ollut liian lyhyt ja tietojen salauksessa on ollut puutteita. Kuten Luottokuntakin arvioi, kyseessä tuskin on yksittäistapaus, vaan vastaavia ongelmia on odotettavissa jatkossakin.
Maksukorttitietojen vuotaminen pitkäkyntisille on vähittäiskauppaa harjoittavalle yritykselle varmasti yksi kiusallisimmista tietoturvallisuuteen liittyvistä riskeistä. Miten vuoto voidaan välttää? Vastaus on yksinkertaisesti alan tietoturvastandardin noudattaminen.
Maksukorttialan itse luoma standardi PCI DSS (payment card industry data security standard) määrittelee vaatimukset, joita noudattamalla riski korttitietojen vuotamisesta pienennetään alan vaatimalle tasolle. PCI DSS antaa keppiä ja porkkanaa. Keppi on se, että standardia noudattamaton yritys voidaan sulkea maksunvälityksen ulkopuolelle, jos substanssi osuu tuulettimeen. Vuonna 2005 maksunvälitykseen erikoistunut yritys Cardsystems Solutions menetti 40 miljoonan luottokortin tiedot rosvoille. Yhtiö ei noudattanut PCI DSS:ää, joten Visa ja American Express lopetti korttimaksujen vastaanottamisen yhtiöltä. Cardsystems meni konkurssiin. Porkkana puolestaan on mahdollisuus pienempiin komissioihin.
PCI DSS asettaa laajasti vaatimuksia tietoturvan hallinnalle kaikilla osa-alueilla. IAM:n näkökulmasta PCI DSS:a tullaan käsittelemään tuonnempana Trusteqin blogissa. Stay tuned!