Organisaation työntekijöitä ja heidän käyttöoikeuksiaan on perinteisesti hallinnoitu IT-osaston toimesta, pääasiallisena tavoitteena tietojen ja tietojärjestelmien turvaaminen. Samaan aikaan asiakkaiden sujuva pääsy digitaalisiin palveluihin ja saumaton asiakaskokemus ovat jääneet pääosin liiketoiminnan huoleksi. Samoja haasteita on ratkottu eri tavoin, eri tahojen toimesta. Tämä kuulostaa turhalta ja tehottomalta, ja sitä se myös on.
Uudet digitaaliset palvelut ja liiketoiminta pakottavat yritykset miettimään asiakaskokemuksen kehittämistä myös identiteetinhallinnan ja pääsynhallinnan (IAM) näkökulmasta. Asiakkaille halutaan tarjota miellyttäviä digikokemuksia ja helppoja tapoja asioida yrityksen kanssa. Erityisesti kuluttaja-asiakkaalle kynnys vaihtaa palveluntarjoajaa on matala, mikäli käyttäjäksi rekisteröityminen tai sisäänkirjautuminen on kovin työlästä.
Moni yritys onkin kehittänyt helppokäyttöisiä ja automatisoituja ratkaisuja käyttäjäidentiteettien ja käyttöoikeuksien hallintaan. Tästä huolimatta samojen yritysten työntekijät ja kumppanit, eli sisäiset käyttäjät, saattavat edelleen painia manuaalisten prosessien ja kömpelöiden käyttöliittymien parissa.
Historian painolasti syynä IAM-ratkaisujen eroihin
Syy työntekijöille ja asiakkaille suunnattujen IAM-ratkaisujen eroavaisuuksiin ja eritahtiseen kehitykseen löytyy historiasta. Organisaatioiden sisäinen IAM on perinteisesti nähty tietoturvan ja tietohallinnon jatkeena, jossa käyttäjäkokemus on ollut toissijainen. Asiakkaiden identiteetin- ja pääsynhallintaa (CIAM) on sen sijaan kehitetty liiketoiminnan tarpeista lähtien, asiakaskokemuksen ollessa toiminnan keskiössä.
Ero heijastuu vielä tänäkin päivänä vaatimusmäärittelyiden sisällössä ja kehityshankkeiden suunnittelussa. IAM- ja CIAM-hankkeita toteutetaan valitettavan usein rinnakkain ja toisistaan irrallaan. Tällöin parhaat opit ja käytännöt jäävät helposti hyödyntämättä ja synergiaedut saavuttamatta.
Yhteiset tavoitteet IAM- ja CIAM-kehitystyölle
Tarkemmin ajateltuna erot sisäisten käyttäjien ja asiakkaiden identiteetin- ja pääsynhallinnassa ovat vähäisiä. Niin työntekijät kuin asiakkaatkin arvostavat nopeita ja helppokäyttöisiä palveluita. Kukaan tuskin jää kaipaamaan käyttöoikeuslomakkeiden täyttämistä tai salasanojen syöttämistä. Vastaavasti väärinkäytösten ehkäisy ja tietoturvariskien hallinta ovat tärkeitä niin työntekijöiden kuin asiakkaidenkin osalta.
Monessa yrityksessä liikkuva työvoima ja kumppaniekosysteemit edellyttävät joka tapauksessa uusien identiteettilähteiden hyödyntämistä. Esimerkiksi työnhakija tai keikkatyöläinen voidaan tuoda sisään CIAM-kanavan kautta – ja myöhemmin integroida osaksi organisaatiota perinteistä IAM-polkua jatkaen.
Tietosuojakäytäntöjen kehittämiseen on usein panostettu enemmän asiakasrajapinnassa. Myös tämän osalta työntekijöiden odotukset ovat nykyisin samalla tasolla. Tämä pätee varsinkin Euroopassa, jossa henkilötietojen käsittely työelämässä on tarkoin säänneltyä.
Yhdessä eteenpäin
IAM- ja CIAM-kehitystä yhtenäistämällä organisaation on mahdollista tehostaa molempia toimintoja, ja tarjota samalla parempaa palvelua kaikille käyttäjille. Maailmalla tämä suuntaus on jo selvästi nähtävissä. Muutos vakiintuneisiin tapoihin vaatii joskus ponnisteluja ja lähtee jokaisen organisaation sisältä. Meillä alan ammattilaisilla on oivallinen tilaisuus toimia muutoksen kärkenä ja IAM/CIAM-yhteistyön edistäjänä.
Ota yhteyttä, mikäli haluat keskustella aiheesta kanssamme lisää:
Tommi Nurminen
Tommi Nurminen vastaa Deloitten identiteetin- ja pääsynhallinnan (IAM) palveluista Suomessa. Ydinosaamisalueenaan hänellä on asiakasidentiteettien hallinta (CIAM), identiteettien hallinnointi ja hallinta (IGA) sekä korkeiden käyttöoikeuksien hallinta (PAM). Hän on tietoturvan ammattilainen, joka ymmärtää turvallisen, toimivan ja skaalautuvan IT-infrastruktuurin merkityksen liiketoiminnalle. Tommilla on yli 10 vuoden kokemus IT:stä ja tietoturvasta. Briefly in English: Tommi Nurminen is responsible for Identity and Access Management services at Deloitte Finland. He specialises in Customer Identity and Access Management (CIAM), Identity Governance Administration (IGA) and Privileged Access Management (PAM). He is an IT-savvy security professional who understands the importance of secure, functional and scalable IT infrastructure for business. He has over 10 years of experience in IT and information security.
Hannu Kasanen
Hannu Kasanen työskentelee johtajana, vastuullaan Deloitten kyberturvallisuuspalvelut Suomessa. Hannulla on mittava kokemus tietoturvan, tietosuojan ja käyttövaltuushallinnan kehittämisestä. Hän on uransa aikana johtanut lukuisia hankkeita Suomen tunnetuimmissa yrityksissä ja julkishallinnon organisaatioissa. Briefly in English: Hannu works as a Director in Finland, leading Cyber Security services. Hannu has an extensive experience on Information Security, Data Privacy, as well as Identity and Access Management. He has successfully led complex projects with some of the biggest brands and government agencies in Finland.