11 tilannetta, joissa tarvitaan identiteetin- ja pääsynhallinnan roadmap

Digitalisaatio muuttaa toimialoja ja yrityksiä kaikkialla maailmassa. Ihmiset ovat alkaneet huomata, että henkilötietojen hallinnassa on kasvavia ongelmia. Konsulteilla onkin tarjolla identiteetin- ja pääsynhallinnan (IAM) etenemissuunnitelmia eli roadmapeja monenlaisille yrityksille ja julkiselle sektorille. Mitä IAM-roadmapit oikeasti ovat ja miksi yrittäjät tarvitsevat niitä?

Mikä on IAM-roadmap?

IAM-roadmap on yrityksen suunnitelma identiteetin- ja pääsynhallinnan prosessien ja toimintojen valvomiseksi. Roadmapissa esitetään haluttu IAM-tila ja konkreettiset toimenpiteet tilaan pääsemiseksi. Se on myös yrittäjän viestintäväline yrityksen sisällä.       

Roadmap on identiteetin- ja pääsynhallintaan liittyvän konsultointiprojektin loppuraportti. Projektin vaiheet sisältävät vallitsevan IAM-tilan analysoinnin, tavoitteiden asettamisen ja roadmapin laatimisen.

Roadmapia voidaan soveltaa esimerkiksi yrityksen työntekijöiden digitaalisiin identiteetteihin tai asiakkaiden identiteetteihin. Painopistealueeksi voidaan rajata vaikkapa tietty verkkopalvelu ja sen identiteetit, B2B-asiakkaat tai jokin asiakaskategoria.

Millaisissa tilanteissa organisaatiot tarvitsevat IAM-roadmapin?

Tilanteet vaihtelevat, mutta seuraavat yksitoista ovat käännekohtia, joissa organisaatiot yleensä ottavat meihin yhteyttä.

1. Uudessa verkkopalvelussa tarvitaan IAM-ratkaisu. Yritys saattaa suunnitella uuden verkkopalvelun käyttöönottoa, ja palveluun tarvitaan identiteetin- ja pääsynhallintajärjestelmä.
    
2. Asiakas- tai työntekijädata on siiloutunutta. Asiakasdataa tallennetaan moniin erillisiin verkkopalveluihin ja työntekijöiden pääsyoikeustietoja säilytetään kymmenissä eri järjestelmissä, eikä kaikista tiedoista ole keskitettyä näkymää. Ongelman korjaamiseksi tarvitaan IAM-ratkaisu.
    
3. Työntekijöiden sisäänkirjoitus on hidas ja manuaalinen prosessi. Organisaatiolla ei välttämättä ole mitään työkalua käyttäjien ja eri järjestelmien käyttöoikeuksien hallintaan. Identiteettien hallinta saattaa tapahtua erillisessä Excel-tiedostossa, johon merkitään uusi työntekijä tai työtehtävän muuttuminen. Käytössä voi olla myös tulostettu lomake, jonka uusi työntekijä täyttää. Tällaiset lomakkeet arkistoidaan manuaalisesti.
   Prosessi voidaan kuitenkin automatisoida, ja työntekijät voivat hakea itselleen lisää käyttöoikeuksia IAM-työkalulla.
    
4. Käyttäjäkokemus on kömpelö. Jos rekisteröityminen, kirjautuminen tai henkilökohtaisen tilin hallinta on vaivalloista, ihmiset eivät palaa digitaaliseen palveluun.
    
5. Nykyinen IAM-työkalu on vanhentunut. IAM-työkalut voivat olla kymmeniä vuosia vanhoja järjestelmiä, jotka eivät enää palvele organisaatiota. Tuotteen toimittaja on saattanut jopa lopettaa järjestelmän tukemisen. Tässä vaiheessa organisaatio tarvitsee perusteellisen vallitsevan tilan analyysin voidakseen hankkia uuden, vaatimukset täyttävän järjestelmän.
6. Yritys on kasvanut, eikä manuaalinen IAM ole enää vaihtoehto. Kun käsiteltäviä tietueita alkaa olla 500, organisaatio huomaa tarvitsevansa automaattisen IAM-järjestelmän.
    
7. Kaksi yritystä yhdistyvät. Kun kaksi käytäntöä ja IAM-ratkaisua olisi yhdistettävä, yleensä on tarpeen selvittää, kumman sovelluksen parissa on järkevää jatkaa.
    
8. Useat päivittäiset kirjautumiset rasittavat käyttäjiä. Tietotyöntekijä tarvitsee nykyään kymmeniä IT-järjestelmiä päivittäin. Järjestelmiin kirjautuminen voi olla työlästä ja aiheuttaa keskeytyksiä työnkulkuun. Nykyaikaiset kertakirjautumisratkaisut voivat tasoittaa kokemusta, koska ne poistavat tarpeen muistaa useita salasanoja.
    
9. Organisaatio on sidottu sääntöihin. Yksityisellä ja julkisella sektorilla on noudatettava monentasoisia identiteetin- ja pääsynhallinnan sääntöjä, joiden rikkomisesta aiheutuu seuraamuksia. Esimerkkejä säännöistä ovat EU:n yleinen tietosuoja-asetus, globaali ISO27001-standardi ja kansalliset säännökset, kuten KATAKRI Suomessa. Jos yritys ei osaa asettaa vaatimuksia tai ei tiedä, miten vaatimukset vaikuttavat liiketoimintaan, yritys tarvitsee IAM-roadmapin.
    
10. Tietoturvaloukkauksen riski on ilmeinen. Tietoturva on vaarassa, jos IAM hoidetaan huonosti. Jos tiedot vuotavat luvattomille käyttäjille, seurauksena voi olla oikeustoimia, maineen menetys ja mahdollisuuksia hakkereille ja muille huijareille.
     
11. Organisaatio haluaa hyödyntää digitalisaatiota ja tekoälyä turvallisesti. Digitalisaatiosta ja tekoälystä puhutaan paljon, mutta käytännössä riittämättömät IAM-toimet estävät digitaalisten työkalujen muuntamisen liiketoimintamahdollisuuksiksi.

Mitä hyötyä IAM-roadmapista on?

Organisaatio saa roadmapista konkreettisia ehdotuksia IAM-järjestelmänsä parantamiseksi. Käytännössä tämä voi tarkoittaa seuraavia:

• Organisaation periaatteiden ja käytäntöjen määrittely identiteetin- ja pääsynhallinnan näkökulmasta.
• Suosituksia esimerkiksi tietojen laadunvarmistukseen tai tietojen uudelleenjärjestämiseen.
• Muut ennen tuotepohjaisen ratkaisun hankintaa tarvittavat toimet.
• Tuote- ja/tai teknologialuettelo, joka kokoaa yhteen IAM-ongelmia ratkaisevat IT-tuotteet.
• Mahdollisille tuotetoimittajille lähetetään tietopyyntöjä, jotka perustuvat vallitsevan tilan analyysiin ja etukäteen määriteltyihin toimittajakriteereihin.

IAM-roadmapin pohjalta organisaatio voi siirtyä toteutuksen osalta tarjouskilpailuun.

Haluatko selvittää organisaatiosi IAM-kypsyystason? Tee testi: nixu.com/fi/DI