Tietoturva teknisesti kunnossa, entäpä käyttöoikeudet?

Viimeistään Vastaamon tietomurron myötä on vaihdettu pääkäyttäjätunnusten oletussalasanat ja ehkä myös pistetty palomuurit ja kryptaukset kuntoon. Hyvä juttu, tekninen tietoturva on lähtökohta, millä asiakkaiden ja henkilöstön tiedot suojataan.

Entäpä käyttöoikeudet? Tietosuoja-asetuksen (GDPR) mukaan henkilötietoja saa käyttää vain käyttötarkoitukseen, johon ne on kerätty. Käyttövaltuushallinnalla varmistetaan (muun muassa), että henkilötietoihin pääsevät käsiksi vain ne henkilöt, joiden työnkuvaan tietojen käsittely kuuluu. Lisäksi viranomaisia, kuntia ja tiettyjä oppilaitoksia velvoittava tiedonhallintalakikin vielä erikseen vaatii, että käyttöoikeuksien tulee perustua käyttäjän työtehtäviin ja ne on pidettävä ajan tasalla.

Sopivilla käyttöoikeuksilla kuka tahansa voi ihan ilman hakkerintaitoja käydä katsomassa mitä tahansa järjestelmissä olevia tietoja. Käyttöoikeuksien asianmukaisuus ja ajantasaisuus ovat siksi ensiarvoisen tärkeitä. Monissa organisaatioissa käyttövaltuushallinta on, jos ei suorastaan retuperällä, niin ei ainakaan kovin hallittua.

Työntekijöitä tulee ja menee, mutta muistetaanko käyttöoikeudet aina poistaa talosta lähteviltä? Vaikka sisäverkossa oleviin järjestelmiin ei välttämättä pääse talon ulkopuolelta ilman työkonetta, ovat pilvipalvelut saatavilla miltä tietokoneelta tahansa. Omien työntekijöiden poistumiset voi sentään yleensä tunnistaa HR-järjestelmän tiedoista, mutta entäpä konsultit, yhteistyökumppanit ja muut ulkopuoliset? Kuka vastaa näiden käyttäjäryhmien käyttöoikeuksista?

Vielä suurempi haaste on varmistaa, että käyttöoikeudet vastaavat työntekijöiden ja muiden käyttäjien työtehtäviä. Nekin kun muuttuvat aina välillä. Yleensä muutenkin kiireinen esimies on vastuussa alaistensa käyttöoikeuksista. Siksi monesti annetaan ”varmuuden vuoksi” käyttöoikeudet, jotka varmasti ovat riittävät. Erityishaasteen tuovat tilanteet, joissa käyttöoikeuksia tulisi muuttaa esimerkiksi esimies-alaissuhteen, lääkäri-potilassuhteen tai asiakasorganisaation edustajan muuttuessa. Jos nämä tilanteet jätetään hoidettaviksi käsin, ei kaikkia tarvittavia käyttöoikeuksien muutoksia todennäköisesti saada kiinni.

Käyttövaltuushallinta ei ole pelkästään tekniikkaa, vaikka IT-ratkaisut ovat myös olennaisia, jotta käyttövaltuushallinta toimisi hyvin. Liikkeelle kannattaa lähteä kokonaisuuden ymmärtämisestä. Mitä järjestelmiä meillä on ja millaisia käyttöoikeuksia niihin voi antaa? Mitä työtehtäviä meillä tehdään? Mitä järjestelmiä ja käyttöoikeuksia kussakin työtehtävässä vaaditaan? Mistä saadaan tieto uusista ja poistuvista käyttäjistä sekä muista tilanteista, joiden tulisi vaikuttaa käyttöoikeuksiin? Vasta kun näihin on saatu vastaukset, kannattaa siirtyä miettimään käyttövaltuushallinnan IT-ratkaisuja.

Olisiko nyt aika laitaa myös käyttöoikeudet kuntoon? Coala auttaa tilannekuvan muodostamisessa ja etenemissuunnitelman tekemisessä.

 

Yhteydenotto