Organisaatiot ovat perinteisesti suojanneet resurssejaan muun muassa paikallisilla palomuureilla, tunkeilijan havaitsemis- ja estämisjärjestelmillä sekä virtuaalisilla yksityisverkoilla. Tämä strategia ei ole enää riittävän tehokas nykypäivän digitaalisissa liiketoimintaympäristöissä, joissa yhdistyvät julkiset ja yksityiset pilviratkaisut, SaaS-applikaatiot, DevOps (digitaalisten palveluiden kehitys- ja tuotanto) ja ohjelmistorobotiikka. Pilvipalveluiden kasvava käyttöönotto ja hybridityömallit ovat pakottaneet organisaatioita tarkastelemaan kyberturvallisuutta uudesta näkökulmasta.
Zero Trust – niin sanottu nollaluottamus tai luottamattomuuden periaate – on moderni kyberturvallisuuden viitekehys ja strategia. Se nojaa periaatteeseen siitä, että mihinkään ei voi luottaa, ei edes sisäisessä verkossa. Tietoturvallisuuden jokaiseen kolkkaan ulottuvan skeptisyyden nimissä Zero Trust painottaa:
Tämän takia Zero Trustiin onkin viitattu toisinaan reunattomana turvallisuutena.
Zero Trust -viitekehyksen yksi kuudesta puolustusalueesta on identiteetit, mikä tekee identiteetin- ja pääsynhallinnasta (engl. Identity and Access Management, IAM) entistäkin tärkeämmän aiheen. Pohjimmiltaan identiteetin- ja pääsynhallinnan tarkoituksena on tarjota niin yrityksen omille kuin ulkoisillekin käyttäjille oikein mitoitettu ja oikea-aikainen pääsy organisaation resursseihin, samalla estäen luvattoman pääsyn.
IAM ja Zero Trust jakavat samat periaatteet jatkuvan varmentamisen, todentamisen ja minimioikeuksien osalta. Identiteetin- ja pääsynhallinnalla on tärkeä rooli laitteiden ja käyttäjien todentamisessa ja varmentamisessa Zero Trust -ympäristössä. Vahva identiteetin- ja pääsynhallinta tarjoaa dynaamisen suojamuurin organisaation sisäisen verkon ympärille sen sijaan, että oltaisiin riippuvaisia vain staattisesta verkon ympärille rakennetusta suojakehästä.
Alla mainitut tekijät auttavat organisaation Zero Trust -ohjelmaa hyötymään vahvoista identiteetin- ja pääsynhallinnan kyvykkyyksistä:
Tekoälyn ja koneoppimisen kehittyminen on tehnyt identiteetin- ja pääsynhallinnan teknologioista kyvykkäämpiä dynaamisten pääsykäytäntöjen toteutumisen valvonnassa. Pääsynhallintasääntöjä ja -ehtoja voidaan mukauttaa reaaliaikaisesti esimerkiksi muuttuneen liiketoiminnan turvallisuusympäristön tai käyttäjän käyttäytymisen mukaan. Nämä käytännöt auttavat organisaatioita sopeutumaan nopeasti alati muuttuviin tarpeisiin ja riskeihin.
Lisäksi identiteettien elinkaaren hallinta on täydellisesti linjassa Zero Trustin jatkuvan arvioinnin periaatteen kanssa. Elinkaari alkaa, kun työntekijä aloittaa organisaatiossa — yleensä jo ennen varsinaista aloituspäivää eli kun työsopimus on allekirjoitettu ja työntekijän profiilia aletaan rakentaa organisaation järjestelmiin — ja päättyy silloin, kun hän lähtee organisaation palveluksesta. Tähän väliin mahtuu muitakin vaiheita urakehityksestä ja organisaatiosta riippuen; esimerkiksi pidemmät vapaat, sairaslomat tai muutokset työtehtävissä.
Elinkaaren aikana työntekijän käyttöoikeuksia tulee päivittää säännöllisesti vastaamaan senhetkisiä työtehtäviä ja vastuualueita. Samanaikaisesti identiteetin- ja pääsynhallintateknologia varmistaa, että pääsyoikeudet mukautuvat dynaamisesti tarpeen mukaan koko identiteetin elinkaaren ajan. Teknologialla on mahdollista lisäksi sertifioida pääsyoikeuksia uudelleen.
IAM ja Zero Trust ovat tärkeä osa organisaation kyberturvaa. Ne eivät ole erillisiä tai toisiaan korvaavia konsepteja, vaan täydentävät toisiaan osana kokonaisvaltaista kyberstrategiaa. Näiden kahden kokonaisuuden yhteisvaikutus luo vankemman puolustuksen, joka auttaa organisaatioita selviytymään laajenevasta uhkaskaalasta ja vahvistamaan tietoturvaa.
Deloitte voi auttaa organisaatiotasi suunnittelemaan identiteetin- ja pääsynhallintaa Zero Trust -metodologian mukaisesti, mikä on erityisen tärkeää kasvavan kyberturvallisuuden tarpeen aikana. Samalla varmistamme, että organisaatiosi identiteettiturvakerros on ajan tasalla ja valmiina vastaamaan tulevaisuuden haasteisiin.
Hannu Kasanen toimii partnerina Risk Advisory -yksikössä, missä hän johtaa Deloitten kyberpalveluita Suomessa. Hannulla on yli kahdenkymmenen vuoden kokemus IT- ja tietoturvakonsultoinnista. Hän on onnistuneesti johtanut Suomen merkittävimpien yritysten ja julkisen sektorin organisaatioiden kehityshankkeita. Hannu on erikoistunut identiteetinhallintaan ja tietosuojaan, mutta hän auttaa asiakkaitaan laajalla skaalalla kyberturvallisuusaiheissa. Briefly in English: Hannu leads Deloitte’s Cyber Risk service offering in Finland. He has more than twenty years of IT and security consulting experience with a proven track record of delivering substantial results. Hannu has successfully led complex projects with some of the most iconic brands and the biggest public-sector organizations in Finland. Hannu specializes in digital identity and data privacy but advises his clients on a broad spectrum of cybersecurity topics.
Jami työskentelee Deloitten identiteetin- ja pääsynhallinnan (IAM) sekä sovellus- ja infrastruktuuripalveluiden parissa Suomessa. Erityisesti hän on perehtynyt identiteettien hallinnointiin ja hallintaan (IGA) sekä korkeiden käyttöoikeuksien hallintaan (PAM). Ennen Deloittelle siirtymistään Jami on opiskellut tietojärjestelmätieteitä Turun yliopistossa. Ylempänä mainittujen palveluiden lisäksi hän on tottunut työskentelemään monenlaisissa eri kyberturvallisuuden projekteissa Deloittella. Briefly in English: Jami works with Deloitte's Identity and Access Management (IAM) as well as application and infrastructure services in Finland. He has expertise in identity governance and administration (IGA) and privileged access management (PAM). Before joining Deloitte, Jami studied information systems science at the University of Turku. In addition to the aforementioned services, he is accustomed to working on various cybersecurity projects at Deloitte.