KPMG Oy Ab
Lehdistötiedote
27.10.2009
Tiedon ollessa yksi organisaatioiden kriittisimmistä menestystekijöistä on myös sen suojaaminen oleellinen osa yritysten liiketoimintaa ja organisaatioiden tietoturvaa. Vastikään julkaistu eurooppalaistutkimus kertoo, että keskitetyn käyttövaltuushallinnan (Identity and Access Management, IAM) merkitys organisaatioita ohjaavana tekijänä on kasvanut. Lähes 90 prosenttia tutkimukseen osallistuneista organisaatioista oli aloittanut vähintään yhden keskitettyyn käyttövaltuushallintaan tähtäävän kehitysprojektin viimeisen kolmen vuoden aikana.

Keskitetyn käyttövaltuushallinnan, IAM:n, hankkeissa on kyse siitä, että luodaan politiikkoja, prosesseja ja teknisiä ratkaisuja henkilöiden käyttöoikeuksien keskitettyyn hallintaan ja valvontaan sekä pääsyyn organisaation tietoon.

– Kasvanut kiinnostus keskitettyä käyttövaltuushallintaa ja sitä tukevia ratkaisuja kohtaan on selkeästi nähtävissä myös Suomessa, kertoo KPMG:llä tietoturva-asiantuntijana työskentelevä Mikko Kinnanen.

Riskien hallinta ja ulkoiset vaatimukset vauhdittavat kehitystä

Merkittävimmät tekijät IAM-järjestelmien kehittämishankkeiden aloittamiselle ovat viimeisen vuoden aikana olleet hyvän hallinnointitavan kehittäminen, riskien hallinta ja ulkopuoliseen sääntelyyn liittyvät vaatimukset.

Edelläkävijä IAM-kehityksessä on erityisesti rahoitusala, jossa ulkopuolelta tulevat vaatimukset ja riskien hallinta ovat jo pitkään säädelleet yritysten toimintaa. Myös julkishallinnossa ja terveydenhuollossa tietoturvalle ja yksityisyyden suojalle asetetut vaatimukset lisääntyvät entisestään, mikä osaltaan on lisännyt kiinnostusta IAM-järjestelmien kehittämistä kohtaan.

– Tietoturvan sääntelyn lisääntyminen on erittäin ajankohtaista myös Suomessa, sillä valtionhallinnon tietoturvatasot ja ICT-varautumisen vaatimukset velvoittavat jatkossa kaikkia valtionhallinnon organisaatioita sekä näiden alihankkijoita, summaa Kinnanen.

Onnistuneen hankkeen perustana liiketoimintalähtöisyys

Suurin osa tutkimukseen vastanneista ilmoitti, että IAM-strategian kehittämisestä ja toimeenpanosta organisaatiossa vastaa tietoturva- tai IT-päällikkö. Tämä viittaa siihen, että IAM-hankkeet toteutetaan edelleen liian teknologiapainotteisesti, jolloin liiketoimintahyödyt jäävät helposti saavuttamatta. Suurimpana yksittäisenä haasteena nähtiin se, että organisaation johto ei sitoudu hankkeen läpivientiin.

KPMG:n mukaan IAM-strategia ja sen toimeenpano tulisi toteuttaa liiketoimintalähtöisesti ja päävastuu IAM-strategiasta tulisi olla liiketoiminnan edustajalla, kuten riskienhallinta-, talous- tai tietohallintojohtajalla.
IAM-hankkeet ovat myös varsin mittavia kehitysprojekteja, jotka vaativat strategista suunnittelua. Merkittävässä roolissa ovat tietojärjestelmäarkkitehtuuri ja organisaatioiden tekniset ratkaisut, ja näin ollen toimiva yhteistyö liiketoiminnan ja IT:n välillä on onnistuneen IAM-hankkeen edellytys.

– Parhaiten suomalaisista IAM-hankkeista ovat onnistuneet ne projektit, jotka ovat käynnistyneet riskienhallintajohtajan aloitteesta tai tietojärjestelmätarkastajan neuvon perusteella. Tällöin hankkeessa on mukana riittävästi tutkimuksessakin viitattua liiketoiminnallista näkökulmaa, kertoo käyttöoikeushallintaan erikoistuneen tietoturvatalo Trusteq Oy:n teknologiajohtaja Jukka Lauhia

– IAM-hankkeet koetaan usein monimutkaisiksi, joten projektissa on ehdottoman tärkeää saada nopeita tuloksia. Panostamalla hankkeen ensi vaiheissa vaatimuksenmukaisuuteen ja käyttöoikeuksien riskienhallintaan, saadaan organisaation johto vakuutettua järjestelmän hyödyistä. Teknisemmät asiat voidaan hoitaa ajallaan, Lauhia neuvoo.

Talouskriisi leikannut kehitysbudjetteja

Tutkimuksessa havaittiin, osin odotetusti, että talouskriisi on vaikuttanut negatiivisesti IAM-kehityshankkeiden budjetteihin. Eniten budjettileikkauksia on tehty pankki- ja vakuutussektorilla, joihin talouskriisi on vaikuttanut voimakkaimmin, mutta jossa toisaalta IAM-hankkeiden budjetit ovat myös olleet euromääräisesti suurimpia.

Merkillepantavaa tutkimustulosten valossa on kuitenkin se, että miltei kolme neljäsosaa vastaajista kertoi talouskriisin olevan myös yksi syy IAM-kehityshankkeen aloittamiseen. Noin 80 prosenttia vastaajista puolestaan totesi, että nykyisessäkin markkinatilanteessa liiketoiminnalliset perusteet hankkeen aloittamiselle olisivat edelleen hyväksyttävissä. Tähän vaikuttanee luonnollisesti myös odotettu riskienhallinnan, sääntelyn ja valvonnan lisääntyminen.

Suomen IAM-markkinat kasvavat talouskriisistä huolimatta. Taloudellisesti epävarmat ajat näkyvät kuitenkin siinä, että organisaatiot eivät aina halua sitoutua pelättyyn jättiprojektiin. Tämä näkyy hankkeiden aloituksen siirtämisenä tai hankkeen toteutuksena pienemmissä osissa.

Taustaa tutkimuksesta:
KPMG ja Everett Group suorittivat yhdessä järjestyksessään toisen Identity and Access Management – hankkeita koskevan kyselytutkimuksen. Tutkimukseen osallistui yhteensä 128 organisaatiota 23 Euroopan maasta, ml. Suomesta. Tutkimuksessa kartoitettiin muun muassa IAM-kehityshankkeiden nykytilaa Euroopassa, talouskriisin vaikutuksia niihin, hankkeiden käynnistämiseen vaikuttavia tekijöitä sekä projektien tavoitteita.

Tutustu tutkimusraporttiin 2009 European Identity and Access Management Survey.

Lisätietoja:

Mikko Kinnanen, Tietoturva-asiantuntija, KPMG Oy Ab
puh. 020 760 3637
e-mail: mikko.kinnanen@kpmg.fi

Mika Iivari, Tietoturva-asiantuntija, KPMG Oy Ab
puh. 020 760 3495
e-mail: mika.iivari@kpmg.fi
www.kpmg.fi

Jukka Lauhia, Teknologiajohtaja, Trusteq Oy
Puh. 050 62 301
e-mail: jukka.lauhia@trusteq.com
www.trusteq.com