HR-tieto identiteetinhallinnan (IDM) avaintekijänä Juha Kunnas, CISA Jukka-Pekka Iivarinen K2 Data Solutions Oy IT Viikko Seminaari 9.10.2008 1
HR-tieto identiteetin hallinnan (IDM) avaintekijänä Liiketoimintalähtöisyys miten ja miksi HR-tieto? Kokonaisnäkemys prosessit avainasemassa Integraatio 2
Identiteetinhallinta Varmistua siitä että vain tunnistetulla käyttäjällä on pääsy siihen informaatioon ja niihin sovelluksiin / palveluihin, joihin hän yrityksen politiikan ja periaatteiden mukaan hyväksyttyjen käyttöoikeuksien perusteella on oikeutettu. 3
Vaporeto- Motoscafi- Vesitaksi- Gondoli-Traghetti 4
Identiteetinhallinta Identiteetinhallinta on keskitetty koko organisaation läpäisevä prosessi Kaikki käyttäjä- ja käyttöoikeustiedon hallinta, muutokset ja hyväksynnät tapahtuvat sen kautta Ilman toimivaa ja kokonaisvaltaista HR-tietoa identiteetinhallinnan prosessi ei toimi Keskitetystä käyttäjä- ja käyttöoikeustiedon tietovarastosta välitetään (provisioidaan) ajantasainen käyttöoikeustieto kohdejärjestelmiin joko automaattisesti tai manuaalisesti 5
Identiteetinhallinnan kehittämisen ajureita 6
Hallintokulttuurin pysyvä muutos Lainsäädäntö, compliance -vaatimukset & auditoinnit Vastuun jalkautuminen johdolle ja läpinäkyvyys Hallinnon systematiikka Dokumentoidut toiminta- ja päätöksentekomallit Dokumentoidut kontrollit Prosessimainen toiminta Toiminnan jäljitettävyys Kattavat ja yksiselitteiset jäljet käyttäjä- ja käyttöoikeustiedon hyväksynnästä ja muutoksista, järjestelmäkäytöstä ja tapahtumista tietoteknisessä ympäristöissä IT hallinnon yhdenmukaistuminen Standardit ja viitekehykset: ISO17799 (BS7799), COBIT, ITIL, COSO Hallinnon työkalut Hallittavuuteen on saatavilla standarditoiminnallisuudella teknologiaa kustannustehokkaasti 7
Haasteet identiteetinhallinnassa Käyttäjä- ja käyttöoikeustieto on pirstaloitunut lukuisiin eri järjestelmäkohtaisiin hakemistoihin ja tietokantoihin. Kokonaiskuva käyttöoikeuksista puuttuu Käyttäjien ja käyttöoikeuksien hallinnan toimintaprosessit ovat manuaaliset, epäyhtenäiset ja tehottomat Virhealttiit ja hitaat hallintaprosessit Tieto ei usein kulje, eiryisesti muutostilanteissa, henkilöstöhallinnosta tukipalveluun ja järjestelmien omistajille > Tyytymättömyys ja käyttäjäkyynisyys Yrityksessä työskentelevän ulkoisen työvoiman käyttäjätietojen ja käyttöoikeuksien hallintaprosessit usein puutteelliset ja hallinta hajautettu liiketoimintayksiköihin Ajantasaista tietoa eri käyttäjien ja käyttäjäryhmien käyttöoikeuksista ei ole saatavilla esimiehille, järjestelmien omistajille, tietoturvasta vastaaville tai sisäiselle tarkastukselle Käyttöoikeuksia ei ole esimääritetty, vaan ne määritetään usein käyttäjäkohtaisesti ja varmuuden vuoksi liian laajoilla oikeuksilla Käytössä on kirjava joukko erilaisia hallintoa tukevia järjestelmiä, jotka vaativat päällekkäistä työtä ja joiden välillä ei ole integraatiota Auditointeihin valmistautuminen on kallista ja aikaavievää, kun informaatio ei ole saatavilla oikeassa paikassa ja oikeassa muodossa raportointia varten 8
Vaaralliset työyhdistelmät Laskun tarkastaja Laskun hyväksyjä Laskun maksaja Monitoroija Pääkäyttäjä Laskun tarkastaja Laskun hyväksyjä Ei Ei Laskun maksaja Ei Ei Monitoroija Pääkäyttäjä Ei Ei Riski mikäli esim. laskun hyväksyjä ja maksaja on sama henkilö Identiteetinhallinnassa voidaan vaarallisten työyhdistelmien syntyminen joko estää tai raportoida 9
Käyttöoikeuksien kertyminen Käyttöoikeudet kertyvät kun henkilö vaihtaa ajan kuluessa työtehtäviä organisaatiossa Myös mikäli tehtäväkuvien mukaiset käyttöoikeusmääritykset rapautuvat Myös mikäli palvelun käyttöoikeusmääritykset rapautuvat 2005 2006 2007 Voidaan ratkaista selkeällä ja systemaattisella prosessilla Aina tarkistuspiste prosessissa kun työtehtävä vaihtuu ja vanhan työtehtävän siirtymäaika ohitse Uusien oikeuksien hyväksyntä esimiehen ja palvelun omistajan toimesta Tilaustenkäsittelijä Tilaustenkäsittelijä Tilaustenkäsittelijä Asiakasvastaava Ostoreskontranhoitaja Ostoreskontranhoitaja 10
Työsuhteen elinkaaren hallinta Uusi työsuhde Työsuhteen muutos Työntekijänä toimiminen Työsuhteen päättyminen Hallintoprosessi Luo uusi käyttäjä Toimi käyttäjänä Poista käyttäjä Muutos käyttäjätiedoissa Käyttäjä-ja käyttöoikeustiedot Identiteetinhallinta Käytön seuranta 11
Identiteetin hallintajärjestelmä
Lähtökohtana: Prosessit ja tietoturva Identiteetinhallinta Käyttäjien hallinta Käyttäjien hallinta Käyttäjätietojen elinkaaren hallinta Yrityksen sisäiset ja ulkoiset käyttäjät Tietoturvapolitiikat iiketoimintaprosessit Käyttöoikeuksien hallinta Työnkulun hallinta Käyttöoikeuksien hallinta Käyttäjien käyttöoikeudet järjestelmiin Käyttöoikeuksien esimääritykset Erikseen haettavat käyttöoikeudet Audit-trail Lokit Työnkulun hallinta Käyttöoikeuspyynnöt, niiden hyväksymiset ja toteutukset järjestelmiin Kirjanpito ja tiedon auditointi Aukoton muutoshistoria käyttäjäja käyttöoikeustiedoista Raportointi eri sidosryhmille13
Identiteetinhallinnan ympäristö Sisäiset organisaatio -yksiköt Omat työntekijät Ulk oinen työvoima Yhteistyökumppanit Toimittajat Kumppanikäyttäjät Asiakkaat Asiak kaan käyttäjä Portaalit (intranet/extranet - palvelut) Työasemayhteydet Pääteyhteydet Yrityskohtaiset järjestelmät Operatiiviset järjestelmät Ostojärjestelmät SaaS / ASP Ulkopuoliset järjestelmät 14
Vastuut ja palveluprosessit Työsopimus Henkilöstöhallinto Esimies Toimittajasopimus Käyttäjän identiteetti Organisaatioyks. Tehtäväkuva Esimääritetyt käyttöoikeudet Käyttäjä Järjestelmät Hyväksyntä Erikseen haetut käyttöoikeudet Hyväksyntä Politiikka, periaatteet Järjestelmän omistaja
Prosessit avainasemassa
Prosessin tyypillisiä osapuolia Esimies Identiteetinhallintaprosessin omistaja Järjestelmän omistaja Hyväksyjä Tilaaja Käyttäjä Identiteetinhallinnan prosessi Tukipalvelut Työjonojen hallinnoija Henkilöstöhallinto Henkilötietojen ylläpitäjä Sisäinen tarkastus Organisaatioyksikkö Käyttöoikeuksien toteuttaja 17
Identiteetinhallinnan ydinprosessit Järjestelmätiedon hallinta Organisaatiotiedon hallinta Käyttäjä- ja käyttöoikeustiedon hallinta Käyttäjä- ja käyttöoikeustiedon valvonta ja raportointi 18
Identiteetinhallinnan prosessit Järjestelmätiedot Identiteetinhallinnan piirissä olevien järjestelmien käyttöoikeusmääritykset ja niiden elinkaaren hallinta Organisaatiotieto Ajantasainen tieto operatiivisen organisaatiorakenteesta ja esimiessuhteista on välttämätöntä identiteetinhallinnalle Tiedon elinkaaren hallinta Käyttäjä- ja käyttöoikeustieto Työntekijöiden ja ulkoisen työvoiman tietojen ja tehtäväkuvien elinkaaren hallinta Esimääritetyn käyttöoikeustiedon hallinta ja erikseen haettavien käyttöoikeuksien tilaus-, hyväksyntä- ja toteutustoimintojen hallinta Valvonta ja raportointi Käyttäjä- ja käyttöoikeustiedon, työjonojen (hyväksymiset ja toteutukset) ja poikkeamien valvonta sekä raportointi 19
HR-tieto prosessissa Identiteetit ovat työntekijöitä ja ulkoista työvoimaa, jotka työskentelevät Yrityksen organisaatioyksikössä Asetetussa tehtävissä Esimiehen alaisuudessa HR-järjestelmän henkilö- ja organisaatiotiedot ohjaavat identiteetinhallinnan toimintaa Tiedon oikeellisuus on varmistettava vastuullisten henkilöiden toimesta HR-järjestelmässä Mikäli tiedot ovat virheellisiä niin käyttöoikeudet määräytyvät myös virheellisinä. Tämä aiheuttaa kustannuksia sekä riskejä liiketoiminnassa. 20
HR-tieto prosessissa Keskitetty malli Taloushallinto / liiketoiminta Organisaatiorakennetietojen hallinta Henkilöstöhallinto Työntekijätietojen hallinta Tehtäväkuvien hallinta Esimies Ulkoisen työvoiman tietojen hallinta Organisaatiorakennetietojen hallinta Ajantasainen tieto operatiivisen organisaatiorakenteesta ja esimiessuhteista on välttämätöntä identiteetinhallinnalle Tehtäväkuvien hallinta Tehtäväkuvien perusteella käyttäjille voidaan esimäärittää käyttöoikeuksia identiteetinhallintaan Työntekijätietojen hallinta Työtekijätietojen perusteella luodaan työntekijälle identiteetti ja käyttäjätiedot järjestelmiin Muutokset työsuhteessa vaikuttavat voimaan astuessaan käyttöoikeuksiin Ulkoisen työvoiman tietojen hallinta Sopimustietojen perusteella luodaan henkilölle identiteetti ja käyttäjätiedot järjestelmiin Muutokset sopimussuhteessa vaikuttavat voimaan astuessaan käyttöoikeuksiin 21
HR-tieto prosessissa Vain HR-järjestelmän kautta luoduilla identiteeteille luodaan automaattisesti käyttäjätiedot ja käyttäoikeudet järjestelmiin Mikäli työsuhde / sopimussuhde päättyy niin käyttöoikeudet lakkaavat (huomioiden asetetut siirtymäajat) määräpäivänä Jopa 80-90% käyttöoikeuksista voidaan asettaa automaattisesti työntekijälle hänen työroolinsa tai organisaatioyksikkönsä perusteella 22
Käyttöoikeuksien hallinta Esimääritetyt käyttöoikeudet työsuhteen perusteella Organisaatiorakenteeseen perustuvat käyttöoikeudet Tehtäväkuviin perustuvat käyttöoikeudet Käyttöoikeus lisätään järjestelmään / poistetaan järjestelmästä Esimääritetyt käyttöoikeudet Tarpeet Liiketoimintayksikkö Hyväksyntä Organisaatiorakenteeseen perustuvien käyttöoikeusmääritysten hallinta Esimäärityksiin perustuvien käyttöoikeuksien luonti (/poisto) Käyttöoikeuden automaattinen toteutus (lisäys / poisto) Järjestelmän omistaja Hallinta Tehtäväkuviin perustuvien käyttöoikeusmääritysten hallinta Käyttöoikeuden manuaalinen toteutus (lisäys / poisto) Esimääritysten omistaja (usein IT) Tukipalvelu 23
Käyttöoikeuksien hallinta Erikseen haettavat käyttöoikeudet Käyttäjä itse tai muu tilaukseen oikeutettu henkilö hakee käyttöoikeutta käyttäjälle Käyttöoikeuspyyntö tulee hyväksyä esimiehen ja/tai järjestelmän omistajan toimesta Hyväksytty käyttöoikeus lisätään järjestelmään. Erikseen haettu käyttöoikeu poistetaan erillisellä pyynnöllä tai mikäli käyttäjän organisaatioyksikkö vaihtuu Erikseen haettavat käyttöoikeudet Hyväksyntä Järjestelmän omistaja Käyttöoikeuden automaattinen toteutus Käyttöoikeuspyyntö Käyttöoikeuden hyväksyntä Käyttäjä / muu Esimies Hyväksyntä Tukipalvelu Toteutus Käyttöoikeuden manuaalinen toteutus 24
Valvonta ja raportointi Esimies saa tiedon alaistensa käyttöoikeuksista ja käyttöoikeustilausten tilasta Järjestelmän omistaja saa tiedon järjestelmän käyttäjistä ja heidän käyttöoikeuksista Käyttäjä saa tiedon omista käyttöoikeuksistaan ja käyttöoikeustilausten tilasta Prosessin omistaja saa kattavasti tietoa IDMjärjestelmästä mm. työjonojen läpimenoajoista Sisäinen tarkastus saa tiedon poikkeamista kuten vaaralliset työyhdistelmät Esimääritettyjen käyttöoikeuksien omistaja saa tiedon organisaatiorakenteeseen ja tehtäväkuviin perustuvista käyttöoikeuksista
Identiteetinhallinnan integraatio
HR-järjestelmä -> HR-järjestelmä on MASTER tietovarasto identiteetinhallintajärjestelmälle, jolle välitetään Organisaatiorakenne Henkilötieto (omat työntekijät ja vierastyövoima) Organisaatio- ja tehtäväkuvatieto -> Identiteetinhallinnan organisaatiorakenteeseen ja tehtäväkuviin perustuvien käyttöoikeuksien esimääritykset
HR-järjestelmän ja identiteetinhallinnan integraatio Työsopimus Portaali Henkilöstöhallinto Palvelupyyntöjen hallintajärjestelmä Tukipalvelu HR-järjestelmä Työntekijälomake Identiteetinhallinta Sähköpostijärjestelmä Esimies Organisaatiorakenne Esimääritetyt oikeudet: Org.rakenne Tehtäväkuvat Käyttöoikeuden tilaus/ hyväksyntä Henkilötiedot Organisaatiorakenne Tehtäväkuvat Käyttäjätiedot Erikseen haettavat oikeudet: Tilauksen tila Tukipalvelu Kohdejärjestelmät: Kohdejärjestelmät: Kohdejärjestelmät: Käyttäjä- ja käyttöoikeustieto Käyttäjä- ja käyttöoikeustieto Käyttäjä- ja käyttöoikeustieto Esimies
HR-järjestelmän rooli identiteetinhallinnassa Informoi esimiestä uudesta työntekijästä, työsuhteen muutoksesta tai päättyvästä työsuhteesta sekä rooleista / kuittaukset Välittää (provisioi) käyttäjän esimääritysten mukaisen käyttäjä- ja käyttöoikeustiedon perusteet edelleen välitettäviksi kohdejärjestelmien käyttöoikeusvarastoihin Automaattisesti (jos tekninen integraatio on toteutettu) Manuaalisena Tehtävänä tukipalvelun työjonoon (jos tekninen integraatio tekemättä)
Identiteetinhallinnan kehittäminen KCI Konecranes Oyj 30
Missio: Auttaa asiakkaitamme kehittämään ja tehostamaan käyttäjä- ja käyttöoikeushallinnan sekä tietoturvainformaation hallintaa ja käytäntöjä vaativissa liiketoimintaympäristöissä. Käyttäjä- ja käyttöoikeushallinta sekä tietoturvainformaation hallinta ovat lähtökohtaisesti liiketoiminnallinen ongelma, ei tekninen ongelma
Tarjottavat palvelut Identiteetinhallinnan (IAM) ja tietoturvainformaation hallinnan osalta (SIEM) asiakkaan puolella Esimääritykset ja vaatimusanalyysit Hankintapäätösten tuki Hankevalmistelut (RFP) Tuote-evaluoinnit (POC) Asiakasprojektit Neuvonantaja- ja projektipäällikköpalvelut Prosessien mallintaminen ja roolitiedon eheytys Hyväksymistestaukset Auditoinnit
33
Kiitos. Kysymyksiä? jukka-pekka.iivarinen@k2datasolutions.com 34