Tiedot

Palvelu: Neuvontapalvelut, Performance & Technology, IT-neuvontapalvelut, Risk & Compliance, Riskienhallinnan kehittäminen
Aihealue: Liiketoiminta- tai toimiala-aihe, Lehdistötiedote
Päivämäärä: 27.10.2009

Keskitetyn käyttövaltuushallinnan merkitys osana organisaation tietoturvaa kasvussa (27.10.2009)

Tiedon ollessa yksi organisaatioiden kriittisimmistä menestystekijöistä on myös sen suojaaminen oleellinen osa yritysten liiketoimintaa ja organisaatioiden tietoturvaa. Vastikään julkaistu eurooppalaistutkimus kertoo, että keskitetyn käyttövaltuushallinnan (Identity and Access Management, IAM) merkitys organisaatioita ohjaavana tekijänä on kasvanut. Lähes 90 prosenttia tutkimukseen osallistuneista organisaatioista oli aloittanut vähintään yhden keskitettyyn käyttövaltuushallintaan tähtäävän kehitysprojektin viimeisen kolmen vuoden aikana.

Keskitetyn käyttövaltuushallinnan, IAM:n, hankkeissa on kyse siitä, että luodaan politiikkoja, prosesseja ja teknisiä ratkaisuja henkilöiden käyttöoikeuksien keskitettyyn hallintaan ja valvontaan sekä pääsyyn organisaation tietoon.

– Kasvanut kiinnostus keskitettyä käyttövaltuushallintaa ja sitä tukevia ratkaisuja kohtaan on selkeästi nähtävissä myös Suomessa, kertoo KPMG:llä tietoturva-asiantuntijana työskentelevä Mikko Kinnanen.

Riskien hallinta ja ulkoiset vaatimukset vauhdittavat kehitystä

Merkittävimmät tekijät IAM-järjestelmien kehittämishankkeiden aloittamiselle ovat viimeisen vuoden aikana olleet hyvän hallinnointitavan kehittäminen, riskien hallinta ja ulkopuoliseen sääntelyyn liittyvät vaatimukset.

Edelläkävijä IAM-kehityksessä on erityisesti rahoitusala, jossa ulkopuolelta tulevat vaatimukset ja riskien hallinta ovat jo pitkään säädelleet yritysten toimintaa. Myös julkishallinnossa ja terveydenhuollossa tietoturvalle ja yksityisyyden suojalle asetetut vaatimukset lisääntyvät entisestään, mikä osaltaan on lisännyt kiinnostusta IAM-järjestelmien kehittämistä kohtaan.

– Tietoturvan sääntelyn lisääntyminen on erittäin ajankohtaista myös Suomessa, sillä valtionhallinnon tietoturvatasot ja ICT-varautumisen vaatimukset velvoittavat jatkossa kaikkia valtionhallinnon organisaatioita sekä näiden alihankkijoita, summaa Kinnanen.

Onnistuneen hankkeen perustana liiketoimintalähtöisyys

Suurin osa tutkimukseen vastanneista ilmoitti, että IAM-strategian kehittämisestä ja toimeenpanosta organisaatiossa vastaa tietoturva- tai IT-päällikkö. Tämä viittaa siihen, että IAM-hankkeet toteutetaan edelleen liian teknologiapainotteisesti, jolloin liiketoimintahyödyt jäävät helposti saavuttamatta. Suurimpana yksittäisenä haasteena nähtiin se, että organisaation johto ei sitoudu hankkeen läpivientiin.

KPMG:n mukaan IAM-strategia ja sen toimeenpano tulisi toteuttaa liiketoimintalähtöisesti ja päävastuu IAM-strategiasta tulisi olla liiketoiminnan edustajalla, kuten riskienhallinta-, talous- tai tietohallintojohtajalla.

IAM-hankkeet ovat myös varsin mittavia kehitysprojekteja, jotka vaativat strategista suunnittelua. Merkittävässä roolissa ovat tietojärjestelmäarkkitehtuuri ja organisaatioiden tekniset ratkaisut, ja näin ollen toimiva yhteistyö liiketoiminnan ja IT:n välillä on onnistuneen IAM-hankkeen edellytys.

– Parhaiten suomalaisista IAM-hankkeista ovat onnistuneet ne projektit, jotka ovat käynnistyneet riskienhallintajohtajan aloitteesta tai tietojärjestelmätarkastajan neuvon perusteella. Tällöin hankkeessa on mukana riittävästi tutkimuksessakin viitattua liiketoiminnallista näkökulmaa, kertoo käyttöoikeushallintaan erikoistuneen tietoturvatalo Trusteq Oy:n teknologiajohtaja Jukka Lauhia.

– IAM-hankkeet koetaan usein monimutkaisiksi, joten projektissa on ehdottoman tärkeää saada nopeita tuloksia. Panostamalla hankkeen ensi vaiheissa vaatimuksenmukaisuuteen ja käyttöoikeuksien riskienhallintaan, saadaan organisaation johto vakuutettua järjestelmän hyödyistä. Teknisemmät asiat voidaan hoitaa ajallaan, Lauhia neuvoo.

Talouskriisi leikannut kehitysbudjetteja

Tutkimuksessa havaittiin, osin odotetusti, että talouskriisi on vaikuttanut negatiivisesti IAM-kehityshankkeiden budjetteihin. Eniten budjettileikkauksia on tehty pankki- ja vakuutussektorilla, joihin talouskriisi on vaikuttanut voimakkaimmin, mutta jossa toisaalta IAM-hankkeiden budjetit ovat myös olleet euromääräisesti suurimpia.

Merkillepantavaa tutkimustulosten valossa on kuitenkin se, että miltei kolme neljäsosaa vastaajista kertoi talouskriisin olevan myös yksi syy IAM-kehityshankkeen aloittamiseen. Noin 80 prosenttia vastaajista puolestaan totesi, että nykyisessäkin markkinatilanteessa liiketoiminnalliset perusteet hankkeen aloittamiselle olisivat edelleen hyväksyttävissä. Tähän vaikuttanee luonnollisesti myös odotettu riskienhallinnan, sääntelyn ja valvonnan lisääntyminen.

Suomen IAM-markkinat kasvavat talouskriisistä huolimatta. Taloudellisesti epävarmat ajat näkyvät kuitenkin siinä, että organisaatiot eivät aina halua sitoutua pelättyyn jättiprojektiin. Tämä näkyy hankkeiden aloituksen siirtämisenä tai hankkeen toteutuksena pienemmissä osissa.

Tutustu tutkimusraporttiin 2009 European Identity and Access Management Survey

Taustaa tutkimuksesta

KPMG ja Everett Group suorittivat yhdessä järjestyksessään toisen Identity and Access Management - hankkeita koskevan kyselytutkimuksen. Tutkimukseen osallistui yhteensä 128 organisaatiota 23 Euroopan maasta, ml. Suomesta. Tutkimuksessa kartoitettiin muun muassa IAM-kehityshankkeiden nykytilaa Euroopassa, talouskriisin vaikutuksia niihin, hankkeiden käynnistämiseen vaikuttavia tekijöitä sekä projektien tavoitteita.

Lisätietoja

Mikko Kinnanen, Tietoturva-asiantuntija
KPMG Oy Ab
puh. 020 760 3637
Mika Iivari, Tietoturva-asiantuntija
KPMG Oy Ab
puh. 020 760 3495
e-mail: etunimi.sukunimi@kpmg.fi
Jukka Lauhia, Teknologiajohtaja
Trusteq Oy
puh. 050 62 301
e-mail: etunimi.sukunimi@trusteq.com

KPMG on yksi maailman johtavista asiantuntijapalveluja tarjoavista organisaatioista, jonka tarkoitus on siirtää osaaminen arvoksi ja hyödyksi asiakkailleen, henkilöstölleen ja pääomamarkkinoille. KPMG:n palveluihin kuuluvat tilintarkastus, vero- ja neuvontapalvelut. KPMG:n jäsenyritysten verkosto toimii 137 000 asiantuntijan voimin 144 maassa ympäri maailmaa. Suomessa KPMG:n palveluksessa on yli 650 asiantuntijaa 15 paikkakunnalla.

Trusteq Oy on johtava ratkaisutoimittaja pääsynhallinnan (Access Control), käyttäjätietojen hallinnan (Identity Management) ja hakemistovirtualisoinnin (Virtual Directories) alueilla Suomessa. Trusteqin korkeatasoisen teknologiaosaamisen ja laadukkaiden sovellustuotteiden yhdistelmällä ratkaistaan niin käyttäjien tunnistamiseen, kertakirjautumiseen (Single Sign-on) kuin keskitettyyn käyttäjien hallintaankin liittyvät haasteet. Trusteqin tietoturvan hallinnalla voidaan tunnistaa käyttäjä, valtuuttaa eri palveluihin sekä seurata ja monitoroida yrityksen resurssien käyttöä ja tietoturvaa erilaisista raporteista. Valmisohjelmistojen lisäksi Trusteq tarjoaa lisäarvopalveluina konsultointia, koulutusta ja teknistä tukea paikallisille asiakkailleen. Lisätietoja: www.trusteq.com

2009 European Identity and Access Management Survey (October 2009)

2009 European Identity and Access Management, keskipalstakuva

KPMG:n tutkimus kertoo, että keskitetyn käyttövaltuushallinnan merkitys osana organisaation tietoturvaa on kasvussa.

© 2012 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

KPMG International Cooperative (“KPMG International”) is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.