Miksi automatisoida IAM? IT:n 5 turhaa pääsynhallintatehtävää

Tunnisteet: Self-service, Identity and Access Management

Mitä enemmän organisaatiolla on käytössä sovelluksia ja niissä käyttäjiä, sitä enemmän sovelluspalveluissa ja -arkkitehtuurissa tapahtuu myös IAM-transaktioita. Suuri osa IT:tä kuormittavista tiketeistä ovatkin identiteetin- ja pääsynhallinnan (Identity and Access Management, IAM) tehtäviä, jotka ovat kriittisiä töiden suorittamisen kannalta: mm. salasanojen resetoinnit, oikeuksien ja pääsyn myöntämiset sekä muutokset on suoritettava nopeasti, jotta työntekijät voivat käyttää järjestelmiä.

IT:lle asetetut vaatimukset vasteajoista ja toiminnan nopeudesta ovatkin kovia. Pilvipalveluiden ja mobiilisovellusten yleistymisen myötä ollaan totuttu siihen, että ongelmat ratkeavat välittömästi ja jopa automaattisesti. Lisäksi liiketoiminta kehittyy nopeasti useilla aloilla ja IT:n pitää pystyä vastaamaan bisneksen kiihtyvään tahtiin tarjoamalla sille kaikki tuki teknologian näkökulmasta.

Identiteetin- ja pääsynhallinta voi vaatia suuria määriä manuaalista työtä, ja automaatio onkin erinomainen tapa säästää aikaa ja vastata pyyntöihin jopa reaaliajassa. Jotta business waiting time voidaan lyhentää minimiin, on toimintoja jopa pakko alkaa automatisoida. Lisäksi automaation hyödyntäminen vähentää inhimillisiä virheitä, joita kiireessä helposti sattuu. Tässä viisi pääsynhallinnan tehtävää, jotka kannattaa automatisoida, jotta IT:n aikaa voidaan vapauttaa.

 IAMin turhat tehtävät kannattaa automatisoida

 

1. Salasanan resetointi

Salasanan vaihtamisprosessi kannattaa ehdottomasti automatisoida, jotta se voidaan suorittaa itsepalveluna. Yritykselle voi koitua sekä epäsuoria että suoria kuluja, jos työntekijä ei voi kirjautua sovelluksiin ja suorittaa työtehtäviään, jonka lisäksi tilanteen setviminen ja salasanan vaihtaminen vie help deskin aikaa. Se, että työntekijä voi itse uusia salasanan self-service-tyyliin ja automaatio huolehtii prosessista, pitää sekä työntekijän tyytyväisenä, että vapauttaa IT:n ajan tuottavampiin tehtäviin.

 

2. Käyttäjän rekisteröinti järjestelmään

Uusien käyttäjien lisääminen järjestelmiin tapahtuu usein IT:n toimesta, mutta myös se voidaan ja kannattaakin toteuttaa self-servicenä. IT-osaston ei tarvitse olla pullonkaulana, kun käyttäjä tarvitsee pääsyn johonkin sovellukseen tai järjestelmään nopeasti. Itserekisteröityminen on turvallista, kun käyttäjältä vaaditaan esimerkiksi TUPAS-tunnistautuminen. Myös tuplarekisteröitymisiltä vältytään, sillä automaation avulla voidaan tarkistaa, löytyykö kyseisen henkilötunnuksen omaava henkilö jo järjestelmästä vai tuleeko luoda uusi käyttäjätunnus.

 

3. Työntekijän on-boarding ja off-boarding

Jos yksittäisten käyttäjärekisteröintien itsepalvelu säästää IT:n aikaa, tuo kokonaisuuden automatisointi jo valtavasti hyötyjä. Työntekijöiden rekrytointi- ja lähtötilanteessa pitää muokata oikeuksia nopeasti. Automaatio mahdollistaa näiden tehtävien suorittamisen välittömästi – kun työntekijä saapuu, saa hän tunnukset ja oikeudet tarvittaviin järjestelmiin hetkessä. Jos työntekijä lähtee yrityksen palveluksesta, lakkautetaan käyttäjän pääsyoikeudet automaation avulla reaaliajassa. Näin tietoturva voidaan pitää aukottomana.

 

4. Oikeuksien ja pääsynhallinnan muutokset

Myös on- ja off-boardingin ulkopuolella voi tapahtua muutoksia käyttöoikeusasioissa: esimerkiksi, kun henkilö ylennetään ja hän tarvitsee lisää oikeuksia. Muutokset voivat olla myös väliaikaisia, liittyen mm. loma-aikoihin ja delegaatioon. Väliaikaiset pääsynhallinnan muutokset, joissa työntekijälle pitää joko saada tai evätä pääsy määritellyllä ajanjaksolla, saattavat olla todella työläitä. Haasteena on erityisesti oikeuksien palauttaminen entiselleen juuri oikeana ajankohtana. Automaation avulla oikeuksien palauttaminen tapahtuu aina suunnitellusti etukäteen määriteltynä ajankohtana.

  

5. Pääsynhallinnan seuraaminen ja ilmoitukset

Kiireelliset IAM-tehtävät kuormittavat IT-asiantuntijoita, ja tikettejä syntyy jatkuvasti. Tilanteen tasalla pysyminen on kovan työn takana, ja sen lisäksi tulisi pystyä hallitsemaan kokonaisuutta: mm. varmistaa, että järjestelmiin ei ole jäänyt vanhoja käyttäjätunnuksia, ja että muutokset eivät mahdollista vaarallisia työyhdistelmiä, jotka avaavat ovet väärinkäytöksille. Automaation avulla näitä voidaan seurata ja ratkaista ilman manuaalista työtä. Oikeuksien päättymiselle voidaan paitsi asettaa ennalta määritellyt ajankohdat, mutta myös lähettää ilmoituksia, jotka varoittavat tällaisista tilanteista ajoissa. Tämä vahvistaa organisaation GRC:tä (governance, risk management, and compliance). 

Jukka Papinaho

Kirjoittanut Jukka Papinaho

I am senior product manager @Efecte responsible of Efecte Identity Management.