Näin identiteetinhallinta viedään tietoturvastandardin tasolle – 4 askelta kohti ISO 27001-sertifikaattia .

Tietoturva on tapetilla kaikkialla ja siihen investoidaan nyt paljon. Identiteetin- ja pääsynhallinta (IGA) on tärkeä osa tietoturvaa, sillä jopa 80 % tietomurroista tapahtuu harhauttamalla työntekijöitä. ISO27001-sertifikaatin avulla yritys voi osoittaa sidosryhmilleen huolehtivansa tietoturvasta. Miten kokonaisuus otetaan onnistuneesti haltuun?

Kaikki yritykset rajoittavat työntekijöidensä pääsyä tietojärjestelmiin varmistaakseen tietoturvan. Useimmiten tämä tapahtuu niin sanotun minimioikeuksien periaatteen mukaisesti eli siten, että oikeuksia annetaan vain sen verran kuin työtehtävät edellyttävät. Identiteetti ja siihen liittyvät käyttäjätunnukset ja pääsyoikeudet määritellään jokaiselle työntekijöille, ja mahdollisesti myös ulkoisille sidosryhmille tai muille kuin ihmiskäyttäjille, kuten ohjelmistoroboteille. Tilanteiden muuttuessa identiteettien elinkaarta on seurattava ja käyttöoikeuksia hallittava, jotta ne täyttävät jatkuvasti tarvittavat vaatimukset.

Identiteetin- ja pääsynhallinta vaatii siksi jatkuvaa kehittämistä. ISO27001-tietoturvastandardi on hyvä ohjenuora kehitystyöhön: se määrittelee yleiset vaatimukset, joihin yritys voi peilata omaa tilannettaan. Kun vaatimukset täyttyvät, yritys voi saavuttaa ISO27001-sertifikaatin. Näin tämä tehdään.

1. Pilko kakku sopiviin palasiin

ISO27001-tietoturvastandardi on sellaisenaan suuri kakku syötäväksi; parasta on pilkkoa se osiin. Ensimmäinen askel on nykytilan analyysi: yhdessä liiketoiminnan kanssa on tarkasteltava, missä kunnossa identiteetin- ja pääsynhallinta on tällä hetkellä ja peilattava nykytilaa ISO27001-vaatimuksiin. Näin saadaan aikaiseksi GAP-analyysi nyky- ja tavoitetilan välisistä eroista.

Seuraavaksi on suunniteltava, kuinka tietoturvastandardin vaatimukset muutetaan toiminnaksi. Mitkä ovat yrityksen puutteet ISO27001-vaatimuksiin nähden? Mitä käytännön toimia tämä edellyttää? Millä eri alueilla tarvitaan parannuksia ja mitä ne koskevat? Entä mitkä ovat tavoitteet, joita kohti mennään? Rakettitiedettä tämä ei ole – riittää, että yritys toimii suunnitelmallisesti asettaen välitavoitteet tarvittaville tuotoksille.

2. Nosta prosessit, dokumentointi sekä identiteettitietojen hallinnointi ja valvonta keskiöön

ISO27001-standardin mukaisessa identiteetin- ja pääsynhallinnassa ei ole ensisijaisesti kyse teknologiasta vaan prosesseista, dokumentoinnista sekä toimintatapojen jalkautuksesta liiketoimintaan. Siksi on tärkeää, että liiketoiminta on mukana muutoksessa alusta alkaen. Liiketoiminnalle on myös tärkeä kertoa, miksi tätä tehdään.

Kokonaisuuden keskeisiä osia ovat identiteetin elinkaaren hallinta, pääsynhallinta, identiteettitietojen hallinnointi ja valvonta, prosessit ja standardit sekä korotettujen käyttövaltuuksien hallinta. Lisäksi on hyvä tunnistaa, mitkä ovat kullakin osa-alueella kriittisimpiä lyhyen tähtäimen muutoksia ja mitkä pidemmän tähtäimen isompia linjauksia, jotka takaavat jatkuvan parantamisen.

Yhtä lailla tärkeää on tarkastella identiteetin- ja pääsynhallinnan dokumentointia. ISO27001-auditoinnissa auditoija esittää paljon erilaisia kysymyksiä. Yrityksen on kyettävä näyttämään toteen, kuinka asiat on tehty, dokumentoitu ja jalkautettu liiketoiminnan käytäntöihin.

3.Valjasta tekniikka tukemaan vaatimusten täyttymistä

Teknisten ratkaisujen ja järjestelmien roolina on tukea identiteetin- ja pääsynhallinnan toteuttamista sekä tietoturvastandardin vaatimusten täyttymistä. Nykyaikaiset IGA-järjestelmät sisältävät monipuolisia ominaisuuksia – on tärkeää, että liiketoiminnan sidosryhmillä on käytössään tarvittavat työkalut ja niiden toiminnallisuudet ISO27001-vaatimusten tukemiseksi.

Teknisessä toteutuksessa suunnittelun merkitystä ei voi korostaa liikaa. Jos ratkaisuja tehdään nopeasti miettimättä niiden arkkitehtuuria huolella ISO27001 -vaatimusten näkökulmasta, mennään helposti metsään. Tarvittavat sidosryhmät kannattaa ottaa mukaan projektiin jo varhaisessa vaiheessa – näin vältetään harha-askeleet ja niistä johtuva lisätyö.

4. Pidä maali mielessä – mutta muista, että kyseessä on matka

Teknisiin syövereihin sukeltaessa on vaarana, että maaliviiva hämärtyy. Projektissa on keskityttävä ISO27001-vaatimuksiin ja alussa tehdyn gap-analyysin löydöksiin. Muuten eksyy helposti sivuraiteille. Samalla on hyvä muistaa, että maailma ei tule kerralla valmiiksi.

Tyypillisesti sertifikaattia varten tarvittava valmistelutyö kestää noin vuoden, hieman lähtötilanteesta riippuen. Kehitystyö jatkuu myös sertifioinnin jälkeen. ISO27001-sertifikaatti on voimassa enintään kolme vuotta, jonka aikana sertifikaatin mukainen toiminta varmistetaan vuosittaisilla sertifiointiarvioinneilla. Näin voidaan varmistaa, että standardin vaatimuksia noudatetaan jatkuvasti.

Haluatko tukea identiteetin- ja pääsynhallinnan kehittämiseen?