Digitaalisen identiteetin elinkaaren hallinta voi kuulostaa epämääräiseltä atk-osaston asialta. Kyse on kuitenkin yhdestä tietoturvan kulmakivestä, joka auttaa organisaatiota suojautumaan kyberhyökkäyksiltä ja muilta alati kasvavilta kyberuhilta. Tässä blogissa avaan tarkemmin, mitä digitaalinen identiteetti ja sen elinkaaren hallinta tarkoittaa työympäristössä.
Meillä kaikilla on oma yksilöivä identiteettimme — eli millaisia me olemme. Samaan tapaan meillä on työympäristössä digitaalinen identiteetti, joka on käytännössä kokoelma meille annettuja käyttäjätunnuksia, rooleja ja käyttöoikeuksia organisaation eri palveluihin ja järjestelmiin.
Työntekijän digitaalinen identiteetti linkittyy vahvasti hänen työuraansa: identiteetti muuttuu ja muovautuu sitä mukaa, kun työtehtävät muuttuvat. Yksinkertaisimmillaan elinkaaren vaiheita ovat työsuhteen aloittaminen, työtehtävien vaihtaminen ja lopulta työsuhteen päättyminen. Matkan varrelle saattaa lisäksi osua myös pidempiä poissaoloja, kuten vanhempainvapaa tai pitkäkestoinen sairaspoissaolo. Näihin kaikkiin liittyy olennaisena osana käyttöoikeuksien ylläpito.
Digitaalisen identiteetin hallinta on yleensä keskitetty esimiehille sekä tietohallinnon ja henkilöstöhallinnon asiantuntijoille. Tämä ei silti tarkoita, etteikö jokaisen meistä tarvitsisi tietää asiasta mitään. Usein työntekijä pystyy itse vaikuttamaan käyttöoikeuksien kasautumiseen ja vaarallisten työyhdistelmien muodostumiseen. Käyttäjä itse voi pyytää tarpeettomien käyttöoikeuksiensa poistoa sekä tietenkin noudattaa organisaation tietoturvasääntöjä ja -käytäntöjä.
Käyttämättömien ja hallinnoimattomien tunnusten ja niihin liitettyjen käyttöoikeuksien lojuminen organisaatiossa lisää riskiä joutua kyberhyökkäysten kohteeksi.
Tarpeettomien käyttäjätunnusten ja käyttöoikeuksien ”lojuminen” organisaatiossa lisää riskiä joutua kyberhyökkäyksen kohteeksi ja pahentaa hyökkäyksen seurauksia. Vahvoja käyttöoikeuksia hyödyntämällä hyökkääjät pystyvät liikkumaan verrattain helposti tietoverkoissa eri järjestelmien välillä. Merkittävä osa julkisuuteenkin päätyneistä tietomurroista olisi voitu estää – tai ainakin niiden vaikutuksia rajata – paremmalla identiteetinhallinnalla. Toinen hyvä tapa hankaloittaa hyökkääjän elämää on vahva, monivaiheinen tunnistautuminen.
Pienemmissä organisaatioissa identiteetinhallinta voidaan toteuttaa manuaalisesti, mutta mitä suuremmaksi käyttäjämäärä ja järjestelmäkirjo kasvavat, sitä monimutkaisemmaksi ylläpito käy. Suurten käyttäjämäärien hallinnoimisessa kannattaakin tukeutua automaation ja roolipohjaisuuden sekä uudempien teknologioiden, kuten tekoälyn ja koneoppimisen tuomaan apuun.
Organisaation koosta riippumatta identiteetinhallintaan kannattaa panostaa. Se on olennainen osa kyberympäristön uhkatekijöiltä suojautumisessa.
Heräsikö sinulle kysymyksiä? Me Deloittella tunnemme identiteetinhallinnan ratkaisut ja autamme mielellämme. Meiltä saat identiteetin- ja pääsynhallinnan tekniset ratkaisut myös valmiina palveluna.
Tutustu myös tämän blogisarjan edelliseen osaan: Kuka omistaa identiteetin- ja pääsynhallinnan organisaatiossa?
Contact
Tommi Nurminen
Tommi Nurminen vastaa Deloitten identiteetin- ja pääsynhallinnan (IAM) palveluista Suomessa. Ydinosaamisalueenaan hänellä on asiakasidentiteettien hallinta (CIAM), identiteettien hallinnointi ja hallinta (IGA) sekä korkeiden käyttöoikeuksien hallinta (PAM). Hän on tietoturvan ammattilainen, joka ymmärtää turvallisen, toimivan ja skaalautuvan IT-infrastruktuurin merkityksen liiketoiminnalle. Tommilla on yli 10 vuoden kokemus IT:stä ja tietoturvasta. Briefly in English: Tommi Nurminen is responsible for Identity and Access Management services at Deloitte Finland. He specialises in Customer Identity and Access Management (CIAM), Identity Governance Administration (IGA) and Privileged Access Management (PAM). He is an IT-savvy security professional who understands the importance of secure, functional and scalable IT infrastructure for business. He has over 10 years of experience in IT and information security.
