Aiheen ‘Identity and Access Management’ sisältävät artikkelit

Asiakastieto (kuluttajien esim. verkkopalvelun kautta antamat tiedot tai yrityksen asiakkaalta keräämä tieto) on monelle yritykselle liiketoimintakriittistä tietoa: tiedon tehokas käyttö mahdollistaa entistä tehokkaamman asiakaskontaktoinnin ja -profiloinnin. Tämä asettaa tietoturvapäällikön haastavaan tilanteeseen, kun tieto tulee suojata riittävän hyvin. Samaan aikaan asiaa koskeva lainsäädäntö on kiristymässä niin Euroopassa kuin Yhdysvalloissa lukuisten tietovuotojen ja väärinkäytösten takia.

Rekisteriseloste avainasemassa

Tyypillinen asiakastiedon käytön kehittämisprojekti alkaa kanta-asiakasohjelmien, asiakaspalvelun ja verkkosivujen kautta kerätyn tiedon kartoittamisella. Kerättyjen tietojen yksityiskohdat, käyttötarkoitukset, luovuttaminen ja suojauksen pääperiaatteet tulee dokumentoida rekisteriselosteessa.

Seuraavassa vaiheessa määritetään ja kuvataan nykyiset ja mahdolliset tulevat käyttötapaukset. Rekisteriseloste on avainasemassa asiakasviestinnässä, ja se tulee pitää ajan tasalla. Siitä voidaan kuitenkin rajata pois esimerkiksi oleellisia tiedonkäyttötapauksia, koska asiakastietoja saa käyttää vain rekisteriselosteen mukaisesti.

Kontrolli tiedon luottamuksellisuuden mukaan

Kun asiakastiedot ja niiden käyttö on inventoitu, voidaan aloittaa tietojen suojauksen suunnittelu. Henkilötietolain mukaan asiakastiedot tulee suojata tarvittavilla toimenpiteillä asiattoman pääsyn estämiseksi ja mm. luvatonta luovuttamista vastaan.

Tarvittavien toimenpiteiden määrittely on usein vaikeaa, mutta suojauksen toteuttamiseksi on olemassa useita hyviksi todettuja ratkaisuja. Toimiva identiteetin ja pääsynhallinnan ratkaisu (IAM) on avainasemassa suojauksen suunnittelussa, koska pääsyä asiakastietoon tulee rajoittaa monella eri tasolla (need-to-know -periaate) ja esimerkiksi tiedon käyttöä pitää pystyä seuraamaan ja auditoimaan jälkeenpäin. Pelkkä IAM-järjestelmä ei ole kuitenkaan riittävä väline tarpeellisten toimenpiteiden toteuttamiseksi, vaan erilaisia todennus-, suojaus- ja muita ratkaisuja tulee ottaa käyttöön tiedon määrän mukaan.

         ”Perussääntö on, että mitä enemmän ja mitä luottamuksellisempaa tietoa käsitellään, sitä enemmän kontrolleja tarpeellinen suojaus vaatii.”

Suurissa asiakastietokannoissa kehittyneet ratkaisut, kuten data loss prevention (DLP) ja audit trail, edellyttävät konfiguraation ja haavoittuvuuden seurantaa. Näiden ratkaisujen käyttöönotossa tulee ottaa huomioon organisaation vaatimukset ja muut ympäristöön vaikuttavat tekijät. Tärkeää on kuitenkin määrittää nykyiset kontrollit ja suunnitelma niiden kehittämiseksi.

Viimeisenä vaiheena on vaatimustenmukaisuuden ja kontrollien mittaaminen, joka mahdollistaa myös suojauksen jatkuvan kehittämisen. Erilaiset GRC-tuotteet (governance, risk & compliance) ovat erittäin arvokkaita tässä vaiheessa, koska ne tarjoavat reaaliaikaisen näkymän kontrolleihin ja eliminoivat manuaalisia vaiheita, kuten esimerkiksi itsearviointilomakkeiden ja tarkistuslistojen käsittelyn.

Asiakastiedot ovat yrityksellesi erittäin tärkeää ja arvokasta pääomaa. Pidä siis huolta niiden asianmukaisesta suojaamisesta ja käytön tehokkaasta suunnittelusta.

—–

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat erityisesti verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.

Suuryrityksiä ja valtionhallinnon organisaatioita intohimoisella ammattiosaamisella palveleva suomalainen tietoturvatalo Trusteq teki vuonna 2010 ennätyksellisen liikevaihdon kasvun. Liikevaihto nousi 5,4 miljoonaan euroon (pro forma), ja liikevaihdon kasvua saatiin aikaan 65 prosenttia. Suunta on vahvasti nousujohteinen, sillä jo vuosi sitten yritys teki 50 prosentin kasvun. Trusteqin tavoitteena on nostaa asiantuntijapalvelujensa myynti 20 miljoonaan euroon neljässä vuodessa, ja tällä menolla se onnistuu mainiosti.

Nyt Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan asiantuntijakeskittymä ja IT-hankejohtamisen palvelutarjoaja. Yrityksen palvelujen kysyntä jatkaa kohisten kasvuaan.

“Vuosi 2010 merkitsi Trusteqille huimaa liikevaihdon kasvua ja uusia menestyksellisiä hankkeita asiakkaiden kanssa. Teimme viime vuonna myös hienon yritysoston. Panostimme asiakastyytyväisyyden varmistamiseen, sisäisen toiminnan kehittämiseen ja prosesseihin sekä johtamiseen ja henkilöstöön. Tämä panostus näkyy isona onnistumisena. Myös kasvuyrityksen normaalit kasvukivut on kohdattu ja hoidettu kuntoon”, sanoo Trusteqin hallituksen puheenjohtaja Vesa Halonen.

”Suuntamme ja vauhtimme on erittäin hyvä. Kaikki hyötyvät kasvustamme, niin asiakkaamme, henkilöstömme kuin koko IT-ala. Voimakkaista kasvupanostuksista huolimatta yrityksemme kannattavuus on säilynyt tavoitteidemme mukaisesti hyvällä tasolla, ja tällä linjalla aiomme jatkaa myös tänä vuonna”, kertoo Trusteqin toimitusjohtaja Jukka Lauhia. ”Kysyntä on kovaa ja rekrytoimme paraikaa lisää väkeä.”

“Trusteqin yhdeksäs toimintavuosi käynnistyy hyvissä tunnelmissa. Erityisen ylpeitä olemme nopeasti kasvavasta henkilöstöstämme. Meillä on töissä vallan erinomaisia ammattilaisia, ja he kaikki jakavat arvomme vastuullisuuden, rohkeuden ja rentouden. On hienoa nähdä, miten nuoret, lahjakkaat ihmiset kasvavat ja venyvät uusissa haasteissa”, Vesa Halonen ja Jukka Lauhia kiittävät.

Sen sijaan Trusteqin vanhat toimitilat eivät venyneet, ja yritys muutti vuodenvaihteessa suurempiin tiloihin Espoon Keilarantaan.

Trusteqilla suunnitellaan tulevaisuutta hymyssä suin. Nerokas uusi palvelumalli on kehitteillä. Lähivuosien tavoitteena on kattaa fiksusti asiakkaiden tarpeiden mukaan laajeneva palvelu- ja ratkaisutarjonta. Trusteqin asiakkaita yritysmaailmasta ovat muiden muassa Aktia, DNA, Kone, Metso, Nordea, Samlink, Sanoma ja Tieto. Valtion organisaatioista esimerkiksi Ulkoasiainministeriö, Valtiovarainministeriö ja Verohallinto luottavat Trusteqin työn jälkeen.

Lisätietoja:

Vesa Halonen, hallituksen puheenjohtaja, perustaja, puh. 040 8470268, vesa.halonen@trusteq.com

Jukka Lauhia, toimitusjohtaja, perustaja, puh. 050 62301, jukka.lauhia@trusteq.com

Trusteq Oy

Trusteq on suomalainen tietoturvaan ja IT-hankejohtamiseen erikoistunut konsulttiyritys. Trusteq auttaa asiakkaitaan riskien ja yritysmaineen hallinnassa käyttäjätietoturvan ja pääsynhallinnan palvelujen avulla. Trusteq antaa asiakkailleen IT-hankejohdon palveluja, joilla taataan sujuvat ja ammattimaisesti hoidetut IT-hankkeet. Trusteqin asiakkaita ovat suuret eri toimialojen yritykset ja valtionhallinnon organisaatiot. Trusteq tarjoaa asiakkailleen konsultointia, koulutusta, teknisiä tukipalveluja sekä valmisohjelmistoja maailman terävintä kärkeä edustavilta ohjelmistotaloilta. Yritys on perustettu vuonna 2003 ja sen palveluksessa työskentelee yli 30 tietoturvan ja IT-hankejohtamisen asiantuntijaa.

www.trusteq.com

Mielenkiinnolla odotettu tiedotustilaisuus on nyt sitten takana. Jäikö tilaisuudesta muutakin käteen, kuin sanoma “We are hiring”.

Kuten arvata saattoi tilaisuus keskittyi hyvin pitkälle laitteistoihin ja tallennusratkaisuihin, sekä mitä etuja tämä yhteenliittymä tuo. Lisäksi Java:n tulevaisuutta käsiteltiin laajasti ja mitään suuria muutoksia tälle alueelle ei ollut tulossa. Oracle yhdistää omaa ja yrityshankintojen mukana tullutta tekniikkaa, jolloin tuloksena pitäisi olla jotain entistä parempaa ja tehokkaampaa. Myös MySQL tulee jatkamaan olemassa oloaan suurin piirtein kuten tähänkin asti. Myöskään Weppiserverien ja aplikaatioserverien osalta ei tullut yllätyksiä. Kaikki jatkuu kuten tähänkin asti.

IAM sai tilaisuudessa jopa odotettua enemmän huomiota. Osaltaan siksi, että Oracle korosti olevansa talo joka pystyy tarjoamaan kokonaisvaltaisia ratkaisuja ja tietoturva oli yksi tärkeistä osa-alueista kaikilla eri kerroksilla alkeaen käyttöjärjestelmistä loppukäyttäjän sovelluksiin. IAM-tuotteiden osalta tulevaisuuden näkymiä avattiin myös, toki tietyiltä osin jäi avoimia kysymyksiä joihin varmasti myöhemmin tulee lisää vastauksia. Sanoma pääasia toki oli, että SUN:n tuotteiden tukea jatketaan aikasempien suunnitelmien mukaisesti, mutta toki pitkällä tähtäimellä muutoksia on tulossa.

Hakemistojen osalta tilanne oli suoraviivainen. SUN:n ja Oraclen LDAP hakemistot jatkavat rinnakain eloaan. SUN Directory Server hakemistoja kehitetään eteenpäin ja ne tarkoitetaan kevyempiin ratkaisuihin kun Oracle Internet Directory hakemisto pysyy vaativan raskaan sarjan ratkaisuna. Hakemistojen osalta tilanteeseen ei siis tule merkittäviä muutoksia.

Oracle Identity Manager tulee olemaan pääasiallinen IdM tuote tulevaisuudessa. SUN:n tuotteesta otetaan kaikki hyvä ja liitetään Oraclen tuotteeseen. Esimerkkinä tällaisista mainittiin mm. SPML-adapterit/connectorit. Role Management puolella Oraclella on kokonaan oma tuote, mutta SUN:n roolien hallinta on ollut liitettynä Identity Manageriin. Roolien hallinnassa Oracle tulee ottamaan ison osan työvälinesitä ilmeisesti SUN:n tuotteiden puolelta. Mm. roolien analysointiin liittyviä sovellus osuuksia, mutta ilmeisesti merkittäviltä osin koko Oraclen roolien hallintaan tulee SUN:n tuotteiden puolelta.

Access Management puolella Oraclen Access Manager tulee olemaan jatkossakin käytettävä tuote. OpenSSO asema jätettiin hiukan auki, mutta mitä ilmeisimmin sen kehittäminen tulee entistä vahvemmin siirtyhmään Open Source yhteisön harteille. Yhteisö tulee kuitenkin saamaan jonkinlaista tukea Oraclen puolelta, mutta tuen laatu lienee lähinnä taloudellista. Itse tuotetta ei Oraclen toimesta ilmeisestikään kehitetä.

Suurilta osin suunnitelmat esiteltiin hyvin korkealla tasolla ja yksityiskohdat tarkentunevat lähitulevaisuudessa. Yleisestiottaen IAM alueella mitä ilmeisimmin Oraclen omat tuotteet kuitenkin korvaavat suurimmalta osin SUN:n omat tuotteet, siten että kaikki hyödylliset toiminnot irroitetaan ja lisätään Oraclen tuotteisiin. SUN:n tuotteita tuetaan suunnitelmien mukaisesti niiden tuen loppuun asti, mutta monilta osin niiden jatkokehitys pysähtynee ja painopiste siirtyy Oraclen vastaaviin tuotteisiin.