Käynnistä IAM-projekti näin: Kolme askelta

Onhan se tiedossa, että identiteetin- ja käyttöoikeuksien hallintaa pitäisi parantaa, ajatellaan monissa organisaatioissa. IAM-projektin aloitus kuitenkin lykkääntyy, sillä kokonaisuudesta on vaikeaa saada otetta. Tästä artikkelista saat selvät askelmerkit IAM-projektin aloitukseen sekä simppelin IAM-roadmapin tekoon ensimmäisen vuoden ajalle.

Mikä on IAM-projekti ja milloin sellaista tarvitaan?

IAM-projekti on selkeästi raamitettu tapa kehittää identiteetin- ja pääsynhallintaa (IAM). Tarkoituksena on, että organisaatiosi hallitsee digitaalisia identiteettejä ja käyttöoikeuksia jatkossa entistä paremmin.

IAM-projektin määrittelyvaiheen parhaisiin käytäntöihin kuuluvat tehtävien rajaus, mitattavat tavoitteet ja realistinen aikataulu. IAM-projekti on usein ensimmäinen vaihe osana laajempaa IAM-strategiaa ja -tiekarttaa.

Projektia polkaistaan harvoin pystyyn tyhjästä. Yksittäisten sovellusten omistajat tai IT-tiimiläiset huomaavat ehkä puutteita nykyisissä prosesseissa ja työkaluissa. Vasta sen jälkeen nähdään tarve laajemmalle IAM-uudistukselle.

Tyypillisiä teemoja IAM-projekteille ovat esimerkiksi salasanattoman tunnistautumisen käyttöönotto, Single Sign-Onin (SSO) tai monivaiheisen tunnistautumisen (MFA) käyttöönotto, käyttäjien onboarding- ja offboarding-prosessien automatisointi tai vanhan identiteettialustan korvaaminen.

Projektin perimmäinen tarkoitus on aina sama: varmistaa, että oikeilla ihmisillä on oikeat käyttöoikeudet oikeaan aikaan. Ja se pitää pystyä tietysti osoittamaan myös liiketoiminnan ja auditoijien suuntaan.

Jos yksi tai useampi väite osuu kohdilleen, tiedät, että IAM-projektin käynnistäminen on ajankohtaista:

Järjestelmien käyttäjien onboarding ja offboarding ovat manuaalisia, hitaita ja käytännöt vaihtelevat tiimeittäin.
Käyttöoikeustarkastukset ovat raskaita, Excel-pohjaisia tai jäävät kokonaan tekemättä.
Käytössä on useita identiteettijärjestelmiä, eikä käytössä ole yhtä keskitettyä tietolähdettä.
Admin-tunnukset ovat yhteiskäytössä tai käytät paikallisia tunnuksia, joita on vaikeaa jäljittää.
Auditoinnit, tietoturvapoikkeamat ja asiakkaiden kysymykset ovat alkaneet paljastaa puutteita käytännöissäsi.

IAM-projekti on lähtölaukaus siirtymälle, jossa satunnainen korjailu vaihtuu suunnitelmalliseen tekemiseen.

Vaihe 1: Ymmärrä nykytilanne

Ennen kuin valitset työkaluja tai laadit IAM-roadmapia, tarvitset realistisen kuvan nykytilanteesta. Kuulostaako itsestäänselvältä? Usko tai älä, moni IAM-projekti kompastuu juuri tämän kohdan ohi kiirehtimiseen.

Kartoita käyttäjät ja järjestelmät

Aloita listaamalla, missä identiteetit sijaitsevat ja mihin järjestelmiin niillä on pääsy:

Käyttäjäidentiteettien lähteet: HR-järjestelmät, hakemistot (AD, Azure AD), ulkoiset identiteettipalvelut
Käyttäjäroolit: Työntekijät, konsultit, palveluntoimittajat, kumppanit, asiakkaat
Elinkaariprosessit: Mitä tapahtuu työsuhteen alussa, roolin vaihtuessa, poistuttaessa tai palattaessa
Sovellukset ja järjestelmät: Pilvipalvelut, on-prem-järjestelmät, räätälöidyt ratkaisut ja kriittinen infrastruktuuri

Täydellistä luetteloa ei tarvitse muodostaa yhdeltä istumalta, mutta yksinkertainenkin taulukko on tyhjää parempi alku. Muista dokumentoida myös, kuka omistaa minkäkin järjestelmän ja mitä kirjautumistapoja siihen liittyy.

Tunnista riskit, ongelmakohdat ja nopeimmat voitot

Seuraavaksi kirjaa ylös ne prosessien kohdat, joissa jokin arkinen tilanne muodostaa mahdollisen riskin. Niitä voivat olla esimerkiksi:

Manuaalinen onboarding ja offboarding, erityisesti ulkoisille käyttäjille
Viiveet roolimuutoksissa, jolloin vanhat oikeudet jäävät voimaan
Yhteiskäyttöiset tai huonosti dokumentoidut admin-tunnukset
MFA:n puuttuminen herkkiä tietoja käsittelevistä järjestelmistä
Käyttöoikeustarkastukset, jotka jäävät vain teorian tasolle

Erottele omille listoileen nopeasti toteutettavat parannukset ja toisaalta rakenteelliset ongelmat, joiden selättämiseen tarvitaan enemmän työtä. Näin projektin ensimmäisten vaiheiden määrittely on helpompaa. Pystyt myös perustelemaan sidosryhmillesi, miksi IAM-roadmapillasi toiset asiat tulevat vastaan heti, toiset vaativat aikaa.

Vaihe 2: Määrittele IAM-projektin laajuus, tavoitteet ja sidosryhmät

Kokonaiskuva alkaa hahmottua. Nyt on vuoro kiteyttää, mitä tällä ensimmäisellä IAM-projektilla oikeasti halutaan saada aikaan? Moni aloittaa lyhyellä esiselvityksellä, jossa tarpeet jäsennellään, ratkaisuvaihtoehdot kartoitetaan ja sovitaan korkean tason IAM roadmapista. Johdon tuki suunnitelmille on tärkeää.

Aseta 2-3 selkeää tavoitetta IAM-projektille

Pitkien listojen sijaan valitse muutama aidosti tärkeä tavoite, kuten nopeampi onboarding, parempi hallinta pääkäyttäjätunnuksille tai tiettyjen auditointihavaintojen korjaaminen. Jos tavoitteita ei pysty esittämään yhdellä dialla, niitä on luultavasti liikaa.

Määrittele pilottivaiheen laajuus realistisesti

Rajaa projektin ensimmäiseen vaiheeseen vain tietty määrä käyttäjiä, järjestelmiä ja IAM-ratkaisuja. Hyvin määritelty aloitusvaihe muodostaa vankan perustan koko IAM-tiekartalle.

Osallista sidosryhmät alusta alkaen

IAM ei ole pelkkä IT-hanke. Vaikka teillä ei vielä olisi koko organisaation lävistävää hallintamallia, tarvitset nimetyt omistajat, selkeän sponsorin ja yhteisymmärryksen siitä, että identiteetin- ja pääsynhallinnan parantaminen on organisaation yhteinen ponnistus.

Vaihe 3: Priorisoi tärkeimmät IAM-käyttökohteet

Kun nykytila on selvillä ja projektin laajuus hahmoteltu, on laitettava työt tärkeysjärjestykseen. Älä keskity liian moneen asiaan kerrallaan.

Tavallisimpia aloituskohteita

Useimmat IAM-projektit alkavat sieltä, missä muutoksen vaikutus on suurin. Esimerkiksi näistä:

Single Sign-On ja MFA kaikkein kriittisimmille sovelluksille
Joiner–Mover–Leaver -automaatio: Käyttöoikeudet käynnistyvät ja poistuvat juuri silloin kun pitää
Pääkäyttäjäoikeuksien näkyvyyden ja hallinnan parantaminen

Nämä esimerkit ovat konkreettisia, helposti perusteltavissa ja vahvistavat suoraan tietoturvaa sekä vaatimustenmukaisuutta.

Valintakriteerit

Arvioi projektin eri osa-alueita kolmen kysymyksen avulla, ja saat tehtävät helpommin järjestykseen:

Kuinka paljon tämä vähentää riskejä?
Miten paljon työtä toteuttaminen vaatii?
Miten näkyviä hyödyt ovat käyttäjille tai johdolle?

Työmäärän ja riskien arvioinnissa auttaa järjestelmän käyttäjämäärien ja datan arkaluontoisuuden arviointi, sekä integraatioiden helppous tai hankaluus.

Valitse kaksi tai kolme "use casea", joiden vaikutukset ovat selvät, mutta toteutus on mahdollinen seuraavan 6–12 kk aikana. Näin saat IAM-roadmapillesi tukevat lähtötelineet.

Huomioi nämä 8 asiaa, ennen kuin hankit IAM-työkaluja →

Viesti varhain, muista muutosjohtaminen

IAM-projekti muuttaa tapoja, joilla ihan tavalliset käyttäjät kirjautuvat järjestelmiin ja tekevät päivittäistä työtään. Lopputulos on eittämättä turvallisempi ja sujuvampi, mutta ilman kunnollista viestintää muutos kuin muutos tuntuu häiriöltä entiseen verrattuna.

Hyvä muutosviestintä vastaa näihin kolmeen kysymykseen:

Miksi muutos tehdään?
Mikä muuttuu käytännön tasolla?
Mistä saa apua, jos jokin ei toimikaan?

Johtoporrasta kiinnostaa eniten riskienhallinta ja vaatimustenmukaisuus, esihenkilöitä vastuut, loppukäyttäjiä taas arkiset vaikutukset.

Aloita viestintä ajoissa, kerro asiat mutkattomasti ja tarjoa helpot kanavat palautteen antamiseen. Näin vältyt vastarinnalta, ja pidät koko porukan hengessä mukana.

IAM roadmap -esimerkki: Ensimmäiset 12 kuukautta

Vaikka jokainen organisaatio onkin omanlaisensa, voi tämä esimerkki auttaa hahmottamaan miltä IAM-implementoinnin ensimmäinen vuosi tyypillisesti näyttää. Ajatuksena on edetä pienin ja konkreettisin askelin samalla, kun pitkän aikajänteen tähtäin on noin kolmen tai viiden vuoden päässä.

0–3 kk: Kartoita ja suunnittele
Nykytilan kartoitus, tavoitteiden ja laajuuden määrittely , 2–3 käyttötapauksen valinta sekä sidosryhmien ja mitattavien tavoitteiden sopiminen.

3–6 kk: Vie tärkeimmät muutokset läpi
SSO ja MFA kriittisimpiin järjestelmiin, ensimmäiset JML-automaatiot, pääkäyttäjäoikeuksien hallinnan parantaminen. Pilotit ja hienosäätöä.

6–12 kk: Skaalaa ja vakauta
Laajenna edellisessä vaiheessa käyttöönotetut teknologiat uusiin järjestelmiin. Paranna datan laatua, ota käyttöön säännölliset käyttäoikeuksien tarkistukset tärkeimmille järjestelmille. Reflektoi aiempien vaiheiden oppeja ja määrittele IAM-projektisi seuraava vaihe.

Vaihe vaiheelta -malli toimii parhaiten, kun sitä ohjaa pitkäjänteinen IAM-strategia.

Tavallisimpia ongelmia IAM-projekteissa

Huolella suunniteltu IAM-projektikin saattaa kompuroida tietyissä kohdissa. Kun tunnet yleisimmät ongelmat, osaat myös väistää ne.

Liian laaja aloitus ilman selkeästi rajattuja ensimmäisiä askeleita

Työkalun valinta ennen tarpeiden ja prosessien ymmärrystä: organisaatiosi joutuu silloin sopeutumaan työkaluun eikä päinvastoin

Identiteetin- ja pääsynhallinnan hahmottaminen kertaprojektina jatkuvan tekemisen sijaan

Liian yksityiskohtaiset tekniset vaatimukset liian varhaisessa vaiheessa

HR:n, esihenkilöiden ja sovellusten omistajien sivuuttaminen

Integraatioiden vaatiman ajan aliarviointi

Puutteellinen viestintä SSO:n ja MFA:n käyttöönoton yhteydessä

Selkeän IAM-omistajan puuttuminen, jolloin uudistukset jäävät herkästi polkemaan paikallaan

Yritys automatisoida kaikki kerralla sen sijaan, että työn alle otettaisiin 1–3 käyttötapausta vaiheittain

FAQ

Useimmat organisaatiot pystyvät muuttamaan pääsynhallinnan käytäntöjä jo ensimmäisen 3–6 kk aikana, jos ne keskittyvät muutamiin selkeisiin käyttötapauksiin ja pitävät projektin laajuuden kohtuullisena. Aikajänne riippuu järjestelmien, datan ja prosessien monimutkaisuudesta, ei niinkään henkilöstön lukumäärästä.

Et tarvitse. Voit aloittaa pienellä ydintiimillä, jossa on edustus IT:stä, tietoturvapuolelta ja HR:stä, kunhan roolit ja vastuut ovat selvillä. Ajan myötä IAM-prosesseille pitää löytyä organisaatiostasi luonteva kotipaikka, jotta prosessien ja automaatioiden kehittäminen toimii jatkossakin.

IAM on ylätason termi identiteetin- ja pääsynhallinnalle. IGA keskittyy hallintamalliin (governance) ja pääsyoikeuksien arviointiin, PAM taas etuoikeutettuihin käyttäjiin, kuten pääkäyttäjätason tunnuksiin (privileged access). Saatat törmätä myös termiin IDM (identity management). Se taas viittaa identiteettidatan synkronointiin eri järjestelmien välillä. Moni IAM-projekti onkin oikeastaan IAM:n ja IDM:n yhdistelmä.

Suosittelemme sitä. Lyhyt ennakkotutkimus auttaa kartoittamaan tarpeet ja prosessit, käymään läpi erilaiset teknologiavaihtoehdot ja luomaan ylätason IAM-tiekartan ennen kuin investoit työkaluihin tai edes lähetät tarjouspyyntöjä. Vähennät huti-investoinnin riskiä ja varmistat, että teknologia mukautuu organisaatiosi tarpeisiin, ei päinvastoin.

Sitten ei muuta kuin liikkeelle

Keskity kolmeen asiaan: 1) ymmärrä nykytilanne, 2) määrittele realistisesti, miten laajasti aloitat ja 3) valitse kehityskohteista kaikkein tärkeimmät jonon kärkeen.

Sen jälkeen voit kehittää identiteetin- ja pääsynhallintaa vaiheittain, käsi kädessä viestinnän ja kertyvän palautteen kanssa. Kaikkea ei tarvitse eikä edes kannata suunnitella valmiiksi etukäteen.

Jos kaipaat apua ensimmäisten askelten jäsentämiseen, IAM-esiselvitys on hyvä alkupiste projektillesi!