Milloin IAM-tarpeiden analysoinnista on hyötyä?
IAM-ratkaisun hankintaan liittyy useita näkökulmia. Onkin monia tilanteita, joissa tarvekartoitus on erityisen hyödyllinen.
Voit esimerkiksi tarvita apua IAM-vaatimusmäärittelyn laatimisessa, tai haluat ehkä modernisoida nykyistä identiteetin- ja pääsynhallintaa. Monet organisaatiot ovat siirtymässä parhaillaan on-prem IT-arkkitehtuureista pilveen, mikä voi edellyttää aika kattavaakin selvitystyötä.
Tarvekartoituksella tunnistat pääsynhallinnan pahimmat pullonkaulat. Runsas manuaalinen työ, heikko valvonta tai entisten työntekijöiden kummittelevat käyttöoikeudet ovat esimerkkejä tavallisista ongelmatilanteista. Viimeistään GDPR-vaatimukset tai tai ISO 2700x-sertifikaattiprosessi voivat edellyttää käytäntöihin muutosta, ja siihen, miten ne olisi parasta toteuttaa, saat tarveanalyysista kättä pidempää.
Zero Trust -arkkitehtuuriin siirtyminen ja ylipäänsä turvallisempien, käyttäjäystävällisempien kirjautumismenetelmien kehittäminen ovat nekin hyviä perusteluita aloittaa IAM-käytäntöjen ja - mahdollisuuksien läpikäyminen.
Mikä on identiteetin- ja pääsynhallinnan tarvekartoitus?
Tarveanalyysi on kartoitus- ja neuvontapalvelu, ja pääosa kartoituksesta toteutetaan haastattelujen ja työpajojen muodossa.
Tätä prosessia varten yrityksen tulisi osoittaa vähintään yksi vastuullinen ammattilainen, jolla on hyvä näkemys järjestelmäsalkusta, tietoa yrityksen turvallisuustyöstä ja hyvä ymmärrys liiketoiminnan tarpeista. Lisäksi prosessi vahvistuu, jos siihen osallistuu tarvittaessa myös muita resursseja, kuten turvallisuuspäällikkö, henkilöstöpäällikkö ja sovellusten omistajat.
Palvelu räätälöidään asiakkaan tilanteen ja tarpeiden mukaan, ja se sisältää mm:
- Rakenne ja roolit: Millainen on organisaation rakenne, mitä käyttäjäryhmiä IAM kattaa ja kuka myöntää käyttöoikeudet?
- On- ja offboarding: Millaisia ovat nykyiset käytännöt käyttäjien luomisessa, poistamisessa ja käyttöoikeuksien hallinnassa?
- Itsepalvelu ja automaatio: Mitä prosesseja voidaan automatisoida tai toteuttaa itsepalveluna? Mitä järjestelmiä ja sovelluksia voidaan integroida?
- Riski ja haavoittuvuudet: Mitkä järjestelmät ovat liiketoimintakriittisiä tai sisältävät luottamuksellista tietoa? Millaisia ovat luvattoman käytön riskit?
- Hallinta ja vaatimustenmukaisuus: Mitkä ovat organisaation tietoturva- ja compliance-vaatimukset? Mitä prosesseja pitäisi erityisesti parantaa?
Mikä on analyysin tulos?
Tarveanalyysin tuloksena syntyy kattava raportti, joka luovutetaan ja käydään läpi yhdessä.
Raportissa luodaan yleiskatsaus yrityksen nykytilanteeseen ja tavoitteisiin. Siinä esitetään perusteellinen ja kattava konseptiehdotus suosituksineen, jotta tiedät, millaisilla keinoilla pääset tavoitteisiisi.
Tarvekartoituksen lopputuloksena syntyvä konseptiehdotus sisältää tyypillisesti seuraavat osat:
- Luonnoksen yrityksen organisaatioon sovitetusta roolimallista
- Pitkän aikavälin IAM-strategian pohjan, toimenpiteiden ryhmittelyn ja priorisoinnin
- Yhteenvetoluettelon keskeisistä integraatioteknologioista
- Katsauksen identiteetti- ja liiketoimintadatan lähteisiin
- Automaatiosuunnitelman ja suositukset itsepalvelutoiminnoista
- Suositukset käyttäjien on- ja offboarding-prosessien kehittämiseksi
Konseptiehdotus toimii erinomaisena lähtökohtana myös vaatimusmäärittelylle, eli helpottaa kilpailutusvaihetta. Ymmärryksesi identiteetin- ja pääsynhallinnan mahdollisuuksista syvenee. Tiedät, mitä olet ostamassa, ja kasvatat koko organisaation osaamista.
