Sovellus- ja roolikategorisoinnilla paremmat lääkkeet
Identiteettipohjaiset palvelut sekä laajennetut tietoturvapalvelut, kuten Data Loss Prevention (DLP), ovat vuosien saatossa törmänneet moniin haasteisiin, mutta mielestäni keskeisin haaste on organisaatioiden sovellus- ja roolikategorisoinnin puute. Tässä kirjoituksessa käsittelen ongelmaa eri näkökulmista ja kerron, miten asia voitaisiin ratkaista organisaation kannalta ajoissa. Oikein suunnitelluilla rooleilla on todellakin merkitystä.
Omat ja vieraat verkossa
Kun identiteettipohjaisten verkkopalveluiden idea eli siis tekniikka, jossa verkkoon pääsyä voidaan kontrolloida roolipohjaisesti, aukeaa organisaatiolle, ollaan ison muutoksen edessä. Kun verkkokonsultti kysyy, mitä rooleja todennuspalveluun laitetaan, ollaan ison kysymyksen äärellä. Näillä säännöillä kuvataan itse asiassa organisaation toimintaa. Jos vastaukset organisaatiolta ovat vaisuja, fantastiseen ja monipuoliseen identiteettipalveluun määritellään pahimmillaan vain kaksi roolia – yrityksen käyttäjät ja vieraat. Pahimmillaan identiteettipohjainen palvelu näkyy vain upeana vierasportaalina. Tämä ei riitä vuonna 2021. Lääkkeet ovat kunnossa, mutta tautia ei tunneta. Pahimmillaan tarve havaitaan liian myöhään tai käyttöön ottaminen on jopa sattumanvaraista.
Haussa monipuolinen roolimalli
Verkkopalvelut eivät ole toki ainoita palveluita, jotka tarvitsevat sovellus- ja roolikategorisointia. Roolipohjaisuus on luonnollinen tapa lähestyä esimerkiksi sovellusten identiteetinhallinnassa (Identity and Access Management, IAM), roolipohjaisissa palomuurisäännöissä ja päätelaite-tietoturvassa. Ominaisuuksia ja hyötyjä saadaan käyttöön hyvin monessa teknologiassa. Erityisen paljon viime aikoina on puhuttu Zero Trust -käsitteestä, jossa lähtökohtaisesti emme luota mihinkään vaan järjestelmiin pääsy on käytännössä roolipohjaista. Jos sitä kerran voidaan käyttää monipuolisesti, miksi emme vain siirry käyttämään sitä?
Hitaasti, mutta varmasti etenevä tauti
Keskitetty todentaminen on tietoturvan perusteesejä. Miksi kuitenkin sitten päädymme tilanteeseen, jossa meillä on todennusta eri järjestelmien osalta eri paikoissa? Keskitetty todentaminen edellyttää sopimista ja prosessia. On hyvin inhimillistä lähteä käyttämään sovelluksia sovellustoimittajan omalla todennusmenetelmällä ilman, että teemme työpyyntöjä organisaation IT-osastolle. Samasta syystä syntyy myös varjo-IT eli sovelluksia, joita aletaan käyttämään ilman laajempaa tietoisuutta. Siksi sovellusten kasvua ja ennen kaikkea vapaasti keksittäviä todennusmekanismeja tulee pystyä rajoittamaan. Vapaasti lennossa keksittävä todennus on varma tie kaoottiseen lopputulokseen organisaation sovellusten ja käyttäjäroolien kasvaessa.
Toinen taudin esiintyminen tulee liiketoiminnan monipuolistumisen ja yleisen digitalisaation kautta. Organisaatiolla voi olla tarve esimerkiksi monipuoliseen alihankintaan ja silloin voi muodostua tilanne, että rooli ja toimijat eivät ole järjestelmätasolla selkeitä. Tästä voi olla seurauksena yhteiskäyttötunnuksia ja epäformaaleja toimintatapoja. Syynä on yksinkertaisesti vaatimus nopeasta toiminnasta. Roolien keksiminen spontaanisti on haastavaa, jos tietoa käyttötarkoituksesta ei ole eriyttävästi. Pahimmillaan organisaatiossa on siis kaksi roolia – omat käyttäjät ja vieraat. Tekniikka pystyy todellakin nykyään parempaan – ilman massiivisia investointeja.
Toppuuta hetkeksi tuumaamaan
Miten tämä suunnittelemattomuuden ja kiireen kierre saadaan loppumaan? Edellytys on sovellus- ja roolikategorisointi. Käytännössä organisaation pitää pysähtyä miettimään, kuka tekee, mitä tehdään, millä ja missä. Tämä tarkoittaa suunnittelu- ja dokumentaatiotyötä, joka varmasti palkitsee itsensä ajan myötä. Organisaatio voi luoda hallinnolliset roolit sovellusperäisesti matriisiin ja sen jälkeen pysähtyä miettimään, mikä on paras väline roolin mukaisen toiminnan toteuttamiseen eli esimerkiksi verkkotaso, päätelaiteturva tai vaikkapa pilvipohjaiset toimistosovellukset. Kun roolit ja toimintamallit ovat selvillä, nykyaikaisten teknologioitten käyttöön ottaminen on askeleen verran helpompaa.
Tässä työssä Atea voi auttaa konsultoinnin kautta. Rooli- ja sovelluskategorisointi voi olla osa strategiatyöpajoja tai tietoturvan kehittämisprojektia tai se on toki tehtävissä yksittäisenä kokonaisuutenakin. Olennaista on se, että kategorisointi tehdään mieluimmin liian aikaisin kuin liian myöhään, ennen kuin organisaatio joutuu ottamaan käyttöön teknologioita, jotka ottavat todennuksen kautta eri roolit huomioon. Syynä tähän voi olla tietoturva, laatu tai yksinkertaisesti asiakkaan vaatimukset.
Ota yhteyttä, niin mietitään yhdessä sovellusten roolipohjainen kategorisointi kuntoon tulevaisuutta varten.
