Blogi

Edellisissä blogikirjoituksissa kerrotaan tunnistuksenhallinnasta ja sen prosesseista.

Todentamiseen liittyvät kustannukset muodostuvat alla olevan taulukon tekijöistä. Taulukossa on esimerkinomaisesti arvioitu kahden eri teknologian kustannuksia.

-       Token: Perinteinen fyysisen tunnistevälineen ratkaisu, jossa                 kertakustannuksille on käytetty kolmen vuoden kuolettamisaikaa

-       PKI: Vaativampi varmennepohjainen ratkaisu, jossa kertakustannuksille on käytetty viiden vuoden kuolettamisaikaa

Taulukon kustannusarviot ovat euroissa per kuukausi per käyttäjä.

Käyttäjätunnistuksessa tunnistetaan kuusi eri prosessia: rekisteröinti-, toimitus-, uusimis-, palautus-, käyttö- ja vian selvitykseen liittyvät prosessit. Edellisessä blogikirjoituksessa kerrotaan tunnistuksenhallinnasta ja seuraavassa kustannuksista.

1) Rekisteröintiprosessi

Rekisteröintiprosessi on käyttäjätunnistuksen kannalta tärkein prosessi. Rekisteröintiprosessiin kohdistuvat vaatimukset saadaan määrittelemällä tunnistamisen eri käyttötapaukset ja niihin kohdistuvat vahvan tunnistamisen vaatimukset. Tunnistamisen käyttötapauksina on esimerkiksi asiakassuhteen sopimuksen muuttaminen kesken asiakassuhteen ja tämä käyttötapaus halutaan automatisoida tehtäväksi web-pohjaisesti. Tällöin sopimuksen muuttamisen hyväksyntään liittyvä käyttäjän tunnistaminen tulee olla sellainen, missä kiistattomasti voidaan jälkeenpäin osoittaa hyväksyjän identiteetti. Toisin sanoen vahvan tunnistamisen välineen rekisteröinnin yhteydessä on käyttäjän identiteetti todennettava esimerkiksi henkilön passista.

Jos oletetaan, että organisaatiolla on satoja tai tuhansia työntekijöitä ja vahvan tunnistamisen rekisteröintiprosessi suunnitellaan alun perin niin, että yllä mainittua käyttötapausta ei oteta huomioon niin silloin voidaan ajautua tilanteeseen, jossa organisaatiolla on vahvan todentamisen välineet jaettu, mutta ei kuitenkaan voida kiistämättömästi osoittaa että tietty tunnisteväline on tietyllä käyttäjällä.

Yllä olevasta esimerkkeinä ovat pankin asiakkaat, jotka tiliä avatessaan ovat todistaneet pankin henkilökunnalle oman henkilöllisyytensä. Pankki voi tähän rekisteröintiin liittyen perustaa myöhemmin nettipankin vahvan tunnistamisen.

2) Toimitusprosessi

Käyttäjien tunnistamiseen liittyvän fyysisen välineen (esim. toimikortti tai token) toimittaminen on etenkin useammassa maassa toimivalle organisaatiolle haastava hanke. Tällöin toimitukseen liittyy viiveitä ja lähettämiseen liittyviä kustannuksia kuten lähetys-, tulli-, ja veromaksuja. Nämä kustannukset voivat olla hyvinkin merkittäviä, sillä tulli- ja veromaksut tyypillisesti perustuvat kohdemaan viranomaisten arvioihin, jotka eivät välttämättä vastaa todellisia hankintakustannuksia. Esimerkiksi hankintaan liittyvät alennukset jäävät huomioitta. Esimerkkinä:

-       fyysisen välineen hankintahinta: 30 €

-       fyysisen välineen listahinta: 100 €

-       toimituskustannus per väline: 0.2 €

-       tulli- ja veromaksut: 25 % listahinnasta eli 25 €

-       fyysiseen toimittamiseen liittyvä manuaalityö: 40 €

Ylläolevasssa esimerkissä toimituskustannukset lisäsivät hankintahintaa 217 %:lla. Jos toimituskustannukset ovat merkittävä osa, niin organisaation kannattaa harkita vaihtoehtoisten tunnistustapojen käyttöönottoa, kuten esimerkiksi SMS-pohjainen kertakäyttösalasana tai ohjelmistopohjainen token.

3) Uusimisprosessi

Useilla vahvan käyttäjätunnistuksen tunnistusvälineillä on oma elinikänsä; varmenteet ovat tyypillisesti 1-3 vuoden eliniän omaavia ja fyysiset tokenit ovat joko lisenssimielessä rajoitettuja tai esimerkiksi niiden paristot tulevat jossain vaiheessa elinikänsä päähän. Uusimisprosessissa tulee miettiä:

-       kuinka käyttäjiä muistutetaan ennakkoon tunnistevälineen uusimisen tarpeesta

-       tuleeko uusiminen tehdä niin että käytetään vanhentuvaa tunnistevälinettä todentamiseen

-       tarvitaanko tunnistevälineen uusimiseen esimiehen tai palvelun omistajan hyväksyntä (esimerkiksi siitä generoituvan kustannuksen hyväksymisestä)

4) Palautusprosessi

Tunnistevälineen palautusprosessissa tulee huomioida kaksi erilaista seikkaa:

-       organisaatiosta poistuvan työntekijän tunnisteväline kerätään talteen ja poistetaan käyttäjän käytöstä

-       kerätyt tunnistevälineet palautetaan uudelleen käyttöön mikäli niillä on edelleen elinkaarta jäljellä.

5) Käyttöprosessi

Tunnistevälineen käyttöön liittyy ensisijaisesti tunnistevälineen käyttö käyttäjäntodentamistilanteessa. Tällaisia tapauksia ovat esimerkiksi vpn-yhteyden luonti tai etäsähköpostin lukemisen. Käyttäjille suunnattava ohjeistus ja koulutus ovat tämän prosessin tehostamisen kannalta kaikkein merkittävimmät tekijät. Lisäksi teknologiavalinnalla voidaan vaikuttaa käytön helppouteen, esimerkiksi valitsemalla yksi yhteinen käyttäjäntodentamisjärjestelmä, joka soveltuu riittävän hyvin eri käyttötapauksiin sen sijaan, että käytetään kahta tai jopa useampaa teknologiaa eri tarkoituksiin.

6) Vian selvitykseen liittyvät prosessit

Käyttäjätuen ohjeistus ja koulutus eri vikatilanteisiin tuo tehokkuutta ja kustannussäästöjä, kun yleisemmät vikatilanteet pystytään ratkaisemaan välittömästi. Vikatilanteita tulisi seurata ja raportoida säännöllisesti, jotta saadaan selville tyypillisimmät viat. Nykyisin eri tuotteilla on kattava valikoima erilaisia itsepalvelutoiminteita, joilla jopa osa vianselvityksestä voidaan suorittaa itsepalveluna.

Nykyisin etenkin puhelinalustoilla toimivat niin sanotut mobiilitoken-sovellukset voivat generoida huomattavan määrän vianselvityspyyntöjä verrattuna perinteisempiin fyysisiin token-ratkaisuihin.

Käyttäjien ja erilaisten sovellusten tunnistamiseen liittyy itse tunnistustapahtuma, siinä käytettävä teknologia sekä tunnistevälineiden hallinta. Tunnistaminen jaetaan tavanomaiseen ja vahvaan tunnistamiseen. Seuraavissa blogikirjoituksissa kerrotaan tunnistuksenhallinnan prosesseista ja sen kustannuksista.

Tavanomainen tunnistaminen

Tavanomainen tunnistaminen on tyypillisesti käyttäjätunnus ja salasana -pari, joka on halpa hankkia, mutta saattaa olla käyttökustannuksiltaan kallis jos mukaan lasketaan teknologian heikkoudesta aiheutuvat riskit. Lisäksi salasanojen unohtamisesta aiheutuvat käyttäjätuki-puhelut saattavat aiheuttaa yllättävänkin suuren kuluerän. Eri raporttien mukaan salasanan uusiminen (engl. resetting) aiheuttaa 15-30 euron kustannukset.

Vahva tunnistaminen

Vahva tunnistaminen määritellään niin, että käytössä on vähintään kaksi eri käyttäjätunnistuksen pääluokan komponenttia, jotka kuvataan kappaleessa Teknologia. Yleisempiä vahvan käyttäjätunnistuksen ratkaisuja ovat:

-       pankkikortti ja tunnusluku

-       fyysinen token ja tunnusluku

-       Toimikortti ja tunnusluku (Henkilön sähköinen tunnistaminen, HST)

Hieman harvinaisempia vahvan tunnistamisen ratkaisuja ovat seuraavat esimerkit:

-       Kulkukortti ja sormenjälki

-       Kasvojentunnistus ja tunnusluku

-       Varmenne puhelimessa (SIM-kortilla) ja tunnusluku

Teknologia

Käyttäjätunnistamisen komponentit voidaan jakaa kolmeen eri tekijään:

1) Jotain mitä käyttäjällä on

• Kulkukortti, puhelin, toimikortti, varmenne, fyysinen tunnisteväline, ohjelmistoperusteinen tunnisteväline

2) Jotain mitä käyttäjä tietää

• Salasana, tunnusluku (pin)

3) Jotain mitä käyttäjä on tai tekee

• Sormenjälki, iiris, dna, allekirjoitus, kasvot, ääni, käyttäytyminen

Yllä oleviin teknologioihin voidaan myös liittää erilaisia lisäominaisuuksia, joilla parannetaan ratkaisun tehokkuutta tai helpotetaan käyttökokemusta. Tällaisia ominaisuuksia ovat:

-       Mukautuva tunnistus; tunnistustapa valitaan esim. käyttäjäryhmän perusteella     sen sijaan, että kaikilla käyttäjillä on sama tunnistustapa.

-      Riskipohjainen tunnistus; ratkaisu laskee riskikertoimen tunnistustapahtumalle.

Kirjoitin maaliskuussa edellisen blogimerkinnän muutosjohtamisesta. Tässä aikaisemmassa kirjoituksessa oli kaksi pääteemaa.

Ensimmäinen oli, että muutosjohtaminen vaatii paljon johtamistaitoja, joita on vaikea oppia muuten kuin tekemällä, kokemalla ja kuuntelemalla. Toinen teema oli, että erilaiset ohjelmistotuotteet, jotka ratkaisevat identiteettien ja käyttövaltuuksien hallinnan ongelmia, tulevat parhaiten hyödynnetyksi kun ne otetaan käyttöön tavalla, joka on yhteensopiva organisaation muutoskyvyn ja -edellytysten kanssa.

Olen saanut eri tahoilta palautetta, joka viittaa siihen, että jälkimmäinen teema ei ole selkeästi argumentoitu ja olen samaa mieltä. Tästä syystä ajattelinkin, että edellinen merkintä ansaitsee jatko-osan. Maalaisjärjellä selitettynä ajatus on aivan selvä: Ei kannata ottaa käyttöön tuotetta joka on suunniteltu ratkaisemaan yksinkertaisempaa ongelmaa kuin mitä IAM-hankkeessa vaatimusten nojalla tulisi ratkaista. Niin ikään ei kannata alkaa ratkaista vaikeampaa ongelmaa jos vaatimusten ja analyysin mukaan näyttää, että vähempikin riittäisi. Jos hanke tekee eri asioita kuin se viestii ulospäin, hankkeen ympärillä oleva suunnittelu vaikeutuu.

Maalaisjärjessä on kuitenkin se ongelma, että se ei kovin usein toimi kaupallisten ja poliittisten voimien puristuksissa joita jokainen organisaatio ja hanke on pullollaan. Tästä syystä selitykseksi ei riitä edellinen argumentti vaan vaaditaan jotain määrämuotoisempaa ja konkreettisempaa.

Esitin Management Eventsin IAM-seminaarissa syyskuussa Crowne Plazassa erään ajatusmallin, joka voisi toimia konkretisoivana mallina ja haluaisinkin jatkaa keskustelua tämän mallin tiimoilta muiden ammattilaisten kanssa, joten tervetuloa kommentoimaan. Malli lähtee siitä, että pyrkisimme ymmärtämään IAM-hankkeen luomasta muutostilanteesta määrämuotoisesti seuraavan kuvan esittämiä suhteita.

Malli väittää seuraavia asioita:

1. Yrityskulttuurilla on vaikutussuhde organisaation tekemiin teknologiavalintoihin. Dynaaminen haastajayritys, joka haluaa olla edelläkävijä ja myös investoi tähän asemaan rahaa ja aikaa, valitsee todennäköisemmin teknologioita joilla on paljon potentiaalia vaikka kaikelle ei voisi laskeakkaan heti business casea. Edelläkävijäyrityksiä myös leimaa usein rohkeus tehdä päätöksiä perustuen enemmän intuitioon kuin tarkasti analysoituihin vaihtoehtoihin. Toisaalta taas yritys, jonka kulttuuri on henkeen ja vereen välttää kaikkia riskejä, tulee todennäköisesti tekemään teknologiavalintoja sen suhteen, mikä on aikaisemmin toiminut mutta ei välttämättä tue uusimpia mahdollisuuksia, etenkään niitä joita on vaikea argumentoida.
2. Teknologiavalinnat puolestaan vaikuttavat (triviaalisti) teknisiin rajoitteisiin, eli siihen, mitä ylipäätään on mahdollista. Jos esimerkiksi valitaan suljetun lähdekoodin tuote ilman laajennusmahdollisuuksia, on joko elettävä tämän tuotteen kanssa tai sitten vaihdettava koko tuote.
3. Tekniset rajoitteet ovat jotain, mitä pitää ajatella luonnonvakioina projektinäkökulmasta. Jos jokin asia ei ole käytettävissä olevien resurssien puitteissa mahdollista, se vain ei ole mahdollista. Organisaatiomuutoksen ja teknisten rajoitteiden välinen nuoli kuvaa tätä suhdetta. Muutokseen tähtäävä projekti ei voi luoda edellytyksiä organisaatiomuutokselle, jos jokin tekninen asia konkreettisesti estää muutoksen toteutumisen. Esimerkkinä tästä voidaan ottaa erään yrityksen hanke, missä yhdistettiin yritysostojen tuloksena syntynyttä toimintoryvästä. Tässä hankkeessa otettiin teemaksi toimitamallien yhtenäistäminen, joka oli tavoite numero yksi. Ei liene mitenkään yllättävää, että toimintamallien muutos osoittautui kalliiksi ja hankalaksi, siellä jokaisessa ostetussa yrityksessä käytettiin eri tavoilla toimivia ohjemistoratkaisuja liiketoimintojen pyörittämiseen. Jälkiviisaus tästä oli se, että hanketta ei kannata brändätä vain toimintamallien yhdistämiseksi jos kyseessä on oikeasti järjestelmien konsolidaatio ja käyttäjien uudelleenkoulutus.
4. Viimeinen nuoli mallissa (organisaatiomuutoksesta yrityskulttuuriin) puhuu tilanteesta, missä hanke on saatu valmiiksi ja organisaatiomuutos jalkautuu osaksi yrityskulttuuria. Tämä tapahtuu joka tapauksessa, ja onnellisesti päättyvissä tapauksissa tämä jalkautuminen on hallittu toimenpide. Huonosti muutosjohdetuissa tapauksissa tämä on kaoottinen luonnonvalinta joka ei ole kenenkään hallinnassa. Esimerkki jälkimmäisestä tapauksesta on erään toimijan SAP-migraatio, missä hanke saatiin maaliin maalin määritelmiä jatkuvasti muuttamalla ilman, että muutoksilla oli mitään vaikutuksia ymäristöön. Lopullinen jalkautuminen tapahtui, kun henkilöstö- ja asiakashallinnan prosessit muuttuivat joka päivä kallispalkkaisten konsulttien integroidessa kiireellä keskenään epäyhteensopivia järjestelmiä SAP-alustaan.

Tätä dynamiikkaa ymmärtämällä voidaan etukäteen pyrkiä hallitsemaan lopullista organisaatiomuutosta ja sen jalkautumista yrityskulttuuriin. Tyypillisellä IAM-hankkeella on etupäässä vaikutusmahdollisuuksia teknologiavalintoihin ja niiden aiheuttamiin teknisiin rajoitteisiin. Me Trusteqilla pyrimme siihen, että homma hoidetaan kunnolla loppuun asti ja teknisen työn ohella avustamme asiakkaitamme hallitsemaan tuotteiden luomien teknisten rajoitteiden ja mahdollisuuksien vaikutuksia organisaatioon ja sen muutokseen.

IAM haltuun – miksi ja miten?

IAM, nuo kolme suurta kirjainta, tarkoittavat käyttäjätietojen- ja pääsynhallintaa. Se on niin kovaa erikoisosaamista vaativa alue, että Suomessa IAM-hankkeet keskimäärin epäonnistuvat. Tämä johtuu siitä, että IAM-hankkeet ovat haastavia. Niissä kokeneenkin tietohallintojohtajan kannattaa kysyä meiltä apua. Olen nähnyt, kuinka Trusteqin IAM-kyvykkyysmalliin perustuva työskentelytapa varmistaa hankkeen onnistumisen.

Miksi IAM on niin haastavaa?

IAM-hankkeista on kokemuksemme mukaan vain 20 % tekniikkaa ja jopa 80 % hallinnollisia asioita. Tästä syystä ei auta, että vain ostat ”hyvän ohjelmistotuotteen”. Ohjelmiston valinnalla aloitetut projektit kun harvoin onnistuvat täyttämään suuria odotuksia. Silloin on lähdetty liikkeelle väärästä päästä.

Identiteetin- ja pääsynhallinta (IAM) on tietoturvallisuuden ja IT-hallinnon osa-alue, joka integroituu parhaimmillaan kaikkiin organisaation tietojärjestelmiin. Painotan: kaikkiin. Kun me opastamme asiakkaitamme IAM:ssä, kaikki tietojärjestelmät tulee otettua huomioon.

Myös henkilöasiat ovat merkittävässä asemassa. Pienessäkin IAM-hankkeessa voi olla enemmän kuin yksi hankkeen onnistumiseen vaikuttava henkilö, ja usein onkin. Mukana on monesti ammattilaisia sekä IT- että liiketoimintapuolelta. Tietojärjestelmien käyttäjiä voi yrityksessä olla puolestaan tuhansia, jopa kymmeniä tuhansia. Käyttäjien ja käyttöoikeuksien hallinnan prosesseissa on mukana useita osapuolia: esimiehet, sovellusomistajat, palvelukeskuksen väki, vain muutamia tärkeimpiä mainitakseni.

Miten hallita IAM?

IAM:ää hallitessa täytyy hallita nimenomaan kokonaisuus. Koska yritys koostuu monenlaisista liiketoiminta-alueista ja organisatorisista vastuualueista, IAM:ää kehitettäessä on huomioitava yhteen kyvykkyysalueeseen keskittyvien hankkeiden vaikutus muihin alueisiin – ja myös vaatimukset muilta alueilta. Ratkaisu vain yksittäiseen ongelmaan voi olla joskus paikallaan, jos ongelma on merkittävä liiketoiminnan vaateiden tai tietoturvan varmistamisen kannalta. Silti siinäkin tapauksessa on varmistettava ratkaisun soveltuvuus IAM-alueen kokonaisarkkitehtuurin kannalta.

Me Trusteqilla lähestymme tätä ongelmakenttää IAM-kyvykkyysmallin avulla. Siinä IAM jaetaan seitsemään merkittävään alueeseen, joita tarkastellaan syvällisesti. Kyvykkyysmallin avulla voit selvittää meidän kanssamme tarkasti ja luotettavasti, millä tasolla yrityksessänne nyt ollaan IAM-asioissa. Sen avulla voit myös määrittää kanssamme sen, millä tasolla haluatte jatkossa olla. IAM-kyvykkyysmalli näyttää kaiken oleellisen tiedon näistä asioista havainnollisessa ja helposti toimenpiteiksi ja prioriteeteiksi saatettavassa muodossa.

Suurikin, koko organisaation kattava IAM-kehityshanke saadaan ruotuun jakamalla se osiin IAM-kyvykkyysmallin mukaisesti ja tunnistamalla osien riippuvuudet. Pienemmissä kehityshankkeissa puolestaan ymmärretään ratkaisun soveltuvuus olemassa olevaan infrastruktuuriin ja prosesseihin, sekä tunnistetaan vaikutukset organisaation IAM-ohjelmaan.