Roolipohjainen käyttöoikeuksien hallinta Terveydenhuollon ATK-päivät 26.-27.5.2009
Propentus Oy Propentus Oy on Suomen johtavin korkeateknologian ohjelmisto- ja palveluyritys, jolla on vankka kokemus käyttöoikeuksien hallintaan liittyvien prosessien ja järjestelmien kehittämisessä sekä yrityksille että julkiselle sektorille. Kuulumme Suomen merkittävimpiin tietojärjestelmäosaajiin ja olemme edelläkävijä myös palvelukeskeistä arkkitehtuuria (SOA) hyödyntävien ratkaisujen suunnittelussa sekä toteuttamisessa. Propentus Oy 6 vuotta toiminnassa Suomen johtavin kokonaisvaltaisten käyttöoikeuksien hallintaratkaisujen toimittaja referensseillä mitattuna Suomen yksi merkittävimmistä SOA -perusteisten ratkaisujen toimittaja 11.5.2009 Propentus Oy 2
Referenssejä Käyttöoikeuksien keskitetty hallinta UPM-Kymmene Oyj Rautaruukki Oyj Metso Oyj Andritz Oy Veikkaus Oy Espoon Seurakuntayhtymä Itä-Uudenmaan koulutuskuntayhtymä Lappeenrannan kaupunki Salon kaupunki 11.5.2009 Propentus Oy 3
Käyttöoikeuksien hallinta (Yleistä) Viranomaisvaatimukset ottivat ensimmäisenä kantaa käyttöoikeuksien hallintaa mm. SOX, BASEL2 Tavoitteita: Saada työntekijälle/sidosryhmäläiselle käyttöön hänen työssään tarvitsemat työkalut nopeasti, joustavasti ja kontrolloidusti Raportoida kenellä on ollut oikeuksia mihin järjestelmään/tietoon/asiaan ja kuka on nämä oikeuden hyväksynyt Parantaa tietoturvaa, seurantaa ja raportointia Pienentää sisäisen hallinnan viemään työaikaa ja kustannuksia Rutiinitöiden automatisointi Lisenssikustannusten pienentäminen Lisätä työntekijöiden tietoisuutta ja oma-aloitteellisuutta omista käyttöoikeuksista Standardoida organisaation tapa kuvata käyttöoikeuksia ja helpottaa niiden hallintaa Selkeyttää oikeuksien hallintaa ja vastuita Selkeyttää esimiehen rooleja ja vastuita sekä tarjota heille toimivat työkalut 11.5.2009 Propentus Oy 4
Kokonaisvaltainen käyttöoikeuksien hallinta HR ESSO IDM Prosessit liittyen käyttäjän elinkaaren hallintaan. Prosessit liittyen käyttäjän tunnistamiseen ja tunnistautumiseen. Prosessit liittyen seurantaan ja raportointiin. IDM Prosessit liittyen käyttöoikeuksien hallinnointiin ja jakamiseen. IDM Prosessit liittyen tiedonhallintaan ja provisiointiin. 11.5.2009 Propentus Oy 5
Tutkimustietoa aiheesta KPMG:n tutkimuksen* ) mukaan IAM (Identity & Access Management) -projektien tavoitteena on yleensä: Parantaa määräysten noudattamista parantuneen raportoinnin ja kontrollin avulla (esim. hyvän hallintotavan ja SOX:n vaatimuksien täyttäminen). Riskien vähentäminen (kontrolli siitä, kenellä on pääsy ja mihin tietoon) Liiketoiminnan arvon nousu (erityisesti prosessien tehostamisen kautta) Suurimmassa osassa projekteja liiketoiminnan arvonnousu ei toteudu odotetusti, syynä tähän useimmiten: Liiketoiminnan fokus ja näkemys sekä siihen liittyvät prosessit jäävät huomioimatta projektien keskittyessä pelkästään teknologisiin ratkaisuihin. Seuranta ja raportointiprosessit heikoimmin hoidettu IAM-strategiat pääosin IT-asiantuntijoiden vastuulla kokonaisvaltainen liiketoiminnan fokus puuttuu * ) KPMG s 2008 European Identity & Access Management Survey 11.5.2009 Propentus Oy 6
Roolipohjaisuus Mitä/mikä on rooli? Roolipohjaisessa käyttöoikeuksien hallinnassa roolilla on useita merkityksiä Toimenkuvarooli Yksikkö sisältää toimenkuvia Tehtävärooli Toimenkuva koostuu tehtävistä/vastuista Yksikkörooli Organisaatio koostuu yksiköistä Projektirooli - työntekijän suhde projektiin Henkilötietoperusteinen sääntörooli Henkilötietoihin perustuva oikeuspooli (esim. sijainnin mukaan) Käyttöoikeusrooli - Järjestelmän yksittäisten toimintojen suhde ryhmään 11.5.2009 Propentus Oy 7
Roolien suhteet Case Salo vaihe 1 11.5.2009 Propentus Oy 8
Roolien suhteet Vaiheet 2-4 11.5.2009 Propentus Oy 9
Käyttöoikeuksien hallinnan moduulit 11.5.2009 Propentus Oy 10
Käyttöoikeusroolien hallinta Käyttöoikeusrooli kuvaa käyttäjän suhdetta yhteen järjestelmään Usein kohdejärjestelmän hallittavissa omilla työkaluilla Eivät tue roolien sisällön hyväksyntää Käyttöoikeusroolien sisältö ennalta määrätty tai IT-henkilön määriteltävissä Vanhat Legacy-järjestelmät eivät tue roolipohjaista hallintaa (RBAC) Selvitettäviä asioita Kuka hyväksyy käyttöoikeusroolien sisällön? Miten määräytyy data-alue rajaukset? Miten hallitaan käyttöoikeusroolien muutoksia? Vastuuhenkilöt? 11.5.2009 Propentus Oy 11
Koosteroolit Primäärisesti koosteroolit koostuvat käyttöoikeusrooleista tai toisista koosterooleista Myös oikeuksista johonkin fyysiseen työnantajan omaisuuteen (esim. IT-omaisuus) Voidaan sisällyttää myös käyttöoikeuksia/transactioita Koosterooleilla pyritään nopeuttamaan ja selkeyttämään loppukäyttäjille oikeuksien hallintaa Hankaloittaa vastuukysymyksiä Hyväksyjän tulisi hyväksyä oikeus tietoon, ei rooliin. Selvitettäviä asioita Millä tasolla koosteroolit kuvataan? Miten turvataan kontrolli- ja vastuuvaatimus? Hyväksyjä hyväksyy käyttäjän oikeuden tietoon Kuka vastaa koosterooleista? Miten hallitaan koosteroolien muutoksia? Kuinka paljon kosterooleja voi olla, jotta hyöty säilyy? Mitä vaikuttaa data-alue rajaukset? 11.5.2009 Propentus Oy 12
PPM -yleisarkkitehtuuri 11.5.2009 Propentus Oy 13
IAM-arkkitehtuurin tavoitetila (2010 2015) 11.5.2009 Propentus Oy 14
KIITOS! Propentus Oy Tomi Hautala +358 400 553 697 tomi.hautala@propentus.fi www.propentus.fi 11.5.2009 Propentus Oy 15