Sisältöön

Käyttövaltuudet - SecMeter

Ohita valikko
Ohita valikko

Käyttövaltuudet

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Käyttövaltuudet



Käyttövaltuuksien hallinta on yksi tietoturvallisuuden keskeisimmistä tehtävistä, mutta sen toteuttaminen on samalla yksi vaikeimmista tietohallinnollisista ja teknisistä tietoturvallisuushaasteista.

Käyttövaltuudella tarkoitetaan tiedon käsittelyoikeuksia. Käyttövaltuuden omaava henkilö saa myönnettyjen valtuuksien mukaiset käsittelyoikeudet suojattuun tietoon.

Käyttövaltuushallinto on palvelukokonaisuus, joka tukee yrityksen liiketoimintastrategian tavoitteita rajaamalla henkilöstön käyttöoikeudet asianmukaisesti työtehtävien edellyttämiin tietoihin.
Tehtävälista
Suunnittelu ja valmistelu

  1. Määritä käyttövaltuushallinnan tavoitteet, kuten turvallisuus, roolipohjaisuus ja vaatimustenmukaisuus.
  2. Nimeä vastuuhenkilöt ja määrittele heidän roolinsa, esimerkiksi käyttövaltuushoitajat ja hyväksyjät.
  3. Laadi käyttövaltuushallinnan politiikka ja ohjeet, jotka kattavat muun muassa käyttövaltuuksien myöntämisen, muuttamisen ja poistamisen elinkaaren.

Roolien ja oikeuksien määrittely

  1. Laadi roolipohjainen käyttöoikeusmalli (RBAC).
  2. Arvioi yksilöllisten käyttäjäkohtaisten käyttövaltuuksien tarve.
  3. Listaa kaikki järjestelmät ja sovellukset, joissa hallitaan käyttövaltuuksia.
  4. Tunnista henkilöstöryhmät ja heidän työtehtävänsä, esimerkiksi HR, talous, myynti.
  5. Määrittele järjestelmäkohtaiset käyttöoikeustasot eri rooleille työtehtävien mukaan.
  6. Määrittele yksilöllisesti myönnettävät käyttövaltuudet.

Käyttövaltuuksien hallintaprosessien luonti

  1. Määrittele käyttöoikeuksien myöntämisprosessi, esimerkiksi hakemus, hyväksyntäketjut.
  2. Laadi muutosprosessi esimerkiksi työtehtävämuutoksen, roolinvaihdon tai projektisiirron yhteydessä.
  3. Määrittele käyttöoikeuksien poistoprosessi työsuhteen päättyessä.
  4. Nimeä vastuuhenkilöt käyttöoikeuksien myöntö-, muutos- ja poistoprosesseihin.
  5. Ota käyttöön käyttöoikeustapahtumien lokitus ja dokumentointi.
  6. Määrittele käyttövaltuusraportoinnin menettelyt, esimerkiksi raporttien aikataulutus ja sisältö.

Teknisten työkalujen ja järjestelmien käyttöönotto

  1. Valitse ja ota käyttöön IAM-järjestelmä (Identity and Access Management), jos tarpeellista.
  2. Konfiguroi kirjautumismekanismit (esimerkiksi kertakirjautuminen (SSO) ja monivaiheinen tunnistautuminen (MFA)).
  3. Varmista järjestelmien integraatio käyttövaltuushallinnan kokonaisuuteen.
  4. Varmista, että lokitus ja audit trail -toiminnallisuus on käytössä ja seurannassa.

Käyttövaltuushallinnan koulutus ja viestintä

  1. Kouluta henkilöstö käyttövaltuuskäytännöistä ja oikeuksien hakemisesta.
  2. Kouluta vastuuhenkilöt järjestelmien käytöstä ja käyttöoikeuksien hallinnasta.
  3. Viesti organisaatiossa selkeästi käyttöoikeuksien myöntö- ja poistokäytännöt.

Valvonta, tarkastus ja ylläpito

  1. Suorita käyttöoikeustarkastukset säännöllisesti, esimerkiksi kerran tai kahdesti vuodessa.
  2. Tarkista roolien ja oikeuksien vastaavuus todellisiin työtehtäviin.
  3. Seuraa ja analysoi lokitietoja sekä mahdollista poikkeavaa käyttöä.
  4. Dokumentoi tarkastuksista tehdyt havainnot ja niistä johtuvat toimenpiteet.

Jatkuva parantaminen

  1. Arvioi käyttövaltuushallinnan prosessien ja työkalujen toimivuutta säännöllisesti.
  2. Päivitä politiikkoja ja prosesseja tarpeen mukaan.
  3. Kerää palautetta käyttäjiltä ja vastuuhenkilöiltä ja hyödynnä sitä kehitystyössä.
Asia Tapauksia
Käyttövaltuuksien hallinta on tietojärjestelmän käyttäjien käyttövaltuuksien elinkaaren hallintaa. Käyttövaltuuksien elinkaarenhallinnalla tarkoitetaan menettelyitä, joilla yrityksen tietojärjestelmän käyttäjien käyttövaltuuksia perustetaan, muutetaan ja poistetaan sekä valtuustietoja tarkistetaan ja arkistoidaan.

Käyttövaltuuksia voidaan hallinnoida tarkoitukseen rakennetuilla sovelluksilla, mutta myös huomattavasti edullisemmin ja yksinkertaisemmin lomakkeiden avulla. Kaikissa tapauksissa hallinnointiongelmat eivät ole yksinomaan sovelluksella ratkaistavissa. Menetelmän valintaan vaikuttavat yrityksen koko ja tietojärjestelmäpalveluiden moninaisuus.

Hallinnolliset käyttövaltuusprosessit

  • Ohjeistus
  • Koulutus
  • Käyttövaltuuksien elinkaaren hallinta
  • Seuranta ja raportointi

Ohjeistus
Ohjeistuksen tulee olla kattava ja kuvata selkeästi sekä ymmärrettävästi käyttövaltuushallinnon palvelut.

Koulutus
Yrityksen toiminnoille tulee järjestää ohjeistusta tukevaa koulutusta.

Käyttövaltuuksien elinkaaren hallinta
Käyttäjien perustietojen ja käyttöoikeuksien elinkaaren hallinta voidaan toteuttaa käyttäjähallintaan manuaalisesti käyttöliittymän avulla tai automaattisesti liittämällä henkilöstöhallinnon tietojärjestelmä suoraan käyttäjähallintaan.

Automatisoinnilla on omat etunsa ja myös haittansa. Haittatekijänä mainittakoon se, että käyttäjätunnuksia ei voida perustaa uusille henkilöille ennen, kuin heidän tietonsa on kirjattu henkilöstöhallinnon tietojärjestelmään. Tämä saattaa viivästyttää mm. tietojärjestelmiin pääsyä. Haittoja ja etuja on punnittava tapauskohtaisesti.

Seuranta ja raportointi (Audit trail)
Käyttövaltuushallintoon liittyvä vaatimus on, että käyttäjät ja käyttövaltuudet sekä niihin liittyvät operaatiot (tapahtumat) voidaan raportoida erikseen sovitun raportointikäytännön mukaisesti.

Tekniset ratkaisut

  • Pääsynhallinta (tunnistus ja autentikointi)
  • Käyttäjähallinta (auktorisointi)
  • Kertakirjautuminen (SSO, Single Sign-On)
  • Operaatioiden käsittely (workflow)
  • Provisiointi (käyttäjäprofiilin ylläpito)
  • Federointi (käyttäjän identiteetin siirtäminen)

Pääsynhallinta
Pääsynhallintaan käytetään ohjelmistoja, joiden avulla voidaan sallia tai estää käyttäjän pääsy tiettyyn kohdejärjestelmään. Ohjelmistoissa pääsynhallinta tapahtuu pääsyroolien avulla, jotka liitetään käyttäjäryhmään tai tehtävärooliin.

Käyttäjähallinta
Käyttäjähallinnalla tarkoitetaan käyttäjäidentiteettien ylläpitoa. Ylläpito voi perustua keskitettyyn tai hajautettuun hallintamalliin.

Kertakirjautuminen
Kertakirjautuminen tarkoittaa kerran tehtävää tunnistusta, jonka voimassaoloaika kestää uloskirjautumiseen saakka. Käyttäjä saa yhdellä tunnistautumisella käyttöönsä kaikki hänelle kuuluvat tietojärjestelmäpalvelut.

Provisiointi
Provisioinnilla tarkoitetaan käyttövaltuustietojen (käyttäjäprofiilien) automaattista siirtoa kohdejärjestelmiin. Provosiointia kuvaava kansainvälinen avoin standardi on SPML (Service Provisioning Markup Language).

Federointi
Federoinnilla tarkoitetaan käyttäjien identiteettien siirtoa organisaatiorajojen yli niin, että kertakirjautuminen toteutuu. Federoidussa ympäristössä henkilöllä on mahdollisuus käyttää luottamusverkoston puitteissa oman yrityksen käyttäjätunnuksia muiden organisaatioiden palveluihin kirjauduttaessa. Federoidun palveluympäristön autentikointiin liittyviä standardeja ovat esimerkiksi Liberty, SAML ja Shibboleth.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön