Palveluiden, prosessien ja tietoturvan hallinnointi monitoimittajaympäristössä itsmf Finland 21.09.2017 Timo Hyvönen, Vice President, Services Efecte Finland Oy Copyright Efecte Corporation 2017
Johtaminen monitoimittajamallissa Monitoimittajaympäristössä palveluiden, prosessien ja varsinkin tietoturvan johtaminen edellyttää selkeitä malleja ja valistuneita teknologiaratkaisuja. Palvelut Taloushallinto Suunnittelu Tekniset Viestintä Yhteydet Tulostus Miten ihmeessä tämän kokonaisuuden voi hallita niin, että edes jokin regulaatiovaatimus täyttyisi? Copyright Efecte Corporation 2017
Efecte today Finnish based SaaS company for Service Management, Self-Service, Identity Management and Access Governance solutions supported with Professional Services Established in 1998, 97 professionals by end of 2017 Our user-friendly software has been especially successful in the mid-sized and enterprise markets as well as public organizations Over 300 customers with excellent retention Offices in Finland, Sweden, Germany and Denmark Owned by management, board-members, employees and private investors Revenue 8.3 m and EBITDA 0.5 m in 2016 Over 20 % YOY growth
Palveluiden ja prosessien hallinta monitoimittajaympäristössä Perusasiat Mitä palveluita tuotetaan? Ketkä palveluita tuottavat Millä palveluita hallitaan? Service name Service description Service options Service status Service classification Related applications Used Data/Data schema Supported business processes Business owner(s) Business user(s) IT owner(s) Service warranty Availability capacity. Continuity security Service promise SLAs and SLRs (requirements) service promise, support hours, availability/usage hours Supporting services Supporting resources: operational support / service manager Depending resources Depending agreements (OLA, UC) Service costs / principles Service charging Service turnover Service metrics / numbers How can you affect the service Liiketoimintapalvelut Loppukäyttäjäpalvelut IT-asiantuntijapalvelut Tekniset IT-palvelut
Palveluiden ja prosessien hallinta monitoimittajaympäristössä Perusasiat Mitä palveluita tuotetaan? Ketkä palveluita tuottavat Millä palveluita hallitaan? Liiketoimintapalvelut Loppukäyttäjäpalvelut IT-asiantuntijapalvelut Tekniset IT-palvelut
Palveluiden ja prosessien hallinta monitoimittajaympäristössä Perusasiat Mitä palveluita tuotetaan? Ketkä palveluita tuottavat Millä palveluita hallitaan? Liiketoimintapalvelut Loppukäyttäjäpalvelut IT-asiantuntijapalvelut Tekniset IT-palvelut
Palveluiden ja prosessien hallinta monitoimittajaympäristössä Yksi portaali vai toimittajien portaalit Käyttäjien hallinta Datan turva Käyttäjätiedon leviäminen Prosessien johtaminen - keskitetty vai toimittajien ITSM Päätoimittajan ympäristö (yleensä työasematoimittaja) Hajautettu jokaisella toimittajalla oma Oma ympäristö + integraatiot Ratkaistavia asioita Ajantasainen tieto asioiden tilasta Tiedon omistajuus toimittajien hallinta Regulaatioiden vaatimuksiin vastaaminen Raportointi ja audit trail Liiketoimintapalvelut Loppukäyttäjäpalvelut IT-asiantuntijapalvelut Tekniset IT-palvelut
Palveluiden hallinta monitoimittajaympäristössä Palvelut: Portaali Keskitetty kokoelma käyttäjälle tarjolla olevia palveluita Tilaukset ja seuranta, myös prosessien Hyväksynnät Liiketoimintapalvelut Loppukäyttäjäpalvelut Prosessit: ITSM-työkalu Työnohjaus ja toimittajaintegraatiot Raportointidata ja lokitiedot CMDB ja prosessit SIAM IT-asiantuntijapalvelut Tekniset IT-palvelut Omistajuus ja johtamismalli - SIAM
Tietoturva? Miten ihmeessä tämän kokonaisuuden voi hallita niin, että edes jokin regulaatiovaatimus täyttyisi? Palvelut Taloushallinto Suunnittelu Tekniset Viestintä Yhteydet Tulostus Copyright Efecte Corporation 2017
Tietoturvariskit monitoimittajaympäristössä Tietoturvaratkaisut ovat yleensä hyvin rakennettu Palomuuri VPN Kryptatut massamuistit Kertakäyttösalasanat Vaihtuvat salasanat SSO Identiteetinhallintajärjestelmä
Suurimmat tietoturvariskit 1. Tyytymättömät työntekijät Ylläpidä käyttöoikeuksia Poista käyttöoikeuksia Seuraa käyttöä ja käyttömalleja 2. Tietämättömät tai varomattomat työntekijät Salasanakäytännöt vahvuus, vaihto, käyttömallien seuranta Teknologiaratkaisut (pakottavat)
Tietoturva - identiteetinhallinta Ihmiset ovat tietoturvan suurin muuttuja Kontrolli hyvä, kontrolli paras IT:n tehtävä on helpottaa työntekoa Automaatio ja helppous Hyvä alku: Roolikartta ja työroolien määrittely Vastuut ja valtuudet Roolinmukaiset käyttöoikeudet Käyttöoikeuksien perustaminen Käyttöoikeuksien poistaminen Käyttöoikeuksien muuttaminen Automaatio Contract Management Office IT Manager IT Asset Manager IT Manager IT Analyst IT Service Coordinator Business Services Service Delivery Service Manager Technology Specialist IT Vendor Portfolio Manager IT Contract Manager IT Service Manager IT Manager Supplier IT Director Administrator Management Common roles* IT Vendor Relationship Manager IT Process Roles IT Manager IT Manager IT Project Manager IT Manager IT Supply Manager IT Project Delivery IT Supply team IT Test Manager IT Security Officer Application & Technology Center IT Manager IT Technology Specialist IT Technology Manager
Tietoturva kokonaisuuden tekninen hallinta
Tietoturva käyttöoikeudet ja pääsynhallinta Liiketoimintapalvelut Loppukäyttäjäpalvelut IT-asiantuntijapalvelut Tekniset IT-palvelut
Regulaatiot ja raportointi Regulaatiot vaativat aina hallinnan lisäksi raportointia Audit trail eli tapahtumaketju tulee pystyä todentamaan Auktorisointi, vastuut ja valtuudet Tietoturvatapahtumat pitää pystyä erottamaan muista häiriöistä tai pyynnöistä
Esimerkki: kokonaisvaltainen tekninen toteutus Authentication methods Password SAML2 LDAP SMS Bank ID Kerberos oauth2 OpenID Connect Access management Authentication, Authorization and Accounting SSO and Federation Multi representation Password reset Consent management Single sign-on to services User interfaces Administration Self-service wizards Identity management Entitlement model User and access administration Self service and workflows Delegated administration Reporting and auditing Event rules API Web service API Source systems AD CRM HR ERP Synchronization Integration with external systems Triggered provisioning Scheduled provisioning Target systems LDAP/AD Database API
GDPR? 25.5.2018 Henkilötietojen käsittely Lupa käyttöön (suostumus) Säilytys Muuttaminen Poistaminen erno.epailevainen@efecte.com Merkittävä linjaus: Oikeus tulla unohdetuksi
Palveluiden, prosessien ja tietoturvan hallinnointi monitoimittajaympäristössä Liiketoimintapalvelujen tunnistaminen, liiketoiminnan ITpalvelut, yhteiset palvelut, loppukäyttäjäpalvelut Käyttötarkoitus, käyttäjät, palvelulupaus, laajuus, rakenne, sidosryhmät ja sopimukset Palveluiden tunnistaminen ja hallinta Liiketoiminnan vaatimukset PORTAALI ITSM Tietoturvan hallinta Organisaation ja sen roolien tunnistaminen Identiteetin ja valtuuksien hallinta Vaatimustenmukaisuus ja turvallisuus Riskien tunnistaminen ja hallinta Prosessipolitiikat ja mittarit Prosessien kehityssuunnitelma, laajuus ja työnkulku Prosessin päivitys, parannus ja optimointi Automatisointi ja tehostaminen Prosessien määrittely ja hallinta INTEGRAATIOT TOIMITTAJAT PARTNERIT ALIHANKKIJAT Palvelunhallinta kokonaisuutena - organisointi Palvelunhallinnan organisointi ja kehityssuunnitelma - SIAM Palveluiden ja prosessin käyttöönotto Prosessien jalkautuksen tuki ja ohjaus Muutosjohtaminen ja koulutus
Timo Hyvönen Vice President, Services Efecte Finland Oy Vaisalantie 6 Espoo timo.hyvonen@efecte.com +358 50 3748371 www.efecte.com Copyright Efecte Corporation 2017