Kukaan johtoryhmästä ei halunnut ottaa vastuuta henkilödatasta, joten toimitusjohtaja päätti kokeilla jotain uutta

Heikki_N

Heikki Numminen

Johtava konsultti, Digitaaliset identiteetit

Syyskuu 27, 2019 at 13:47

Data on valtaa – sen tietää jokainen. Useimmat uskoo, että IT-osasto vastaa organisaatioiden henkilötiedoista. Karu totuus on kuitenkin se, että moderni identiteettienhallinta liittyy hyvin vähän IT:hen ja olennaisesti hyvään hallinnointitapaan.

Nykyajan organisaatiot joutuvat käsittelemään valtavia määriä henkilötietoja. Kun tietueiden määrä kasvaa, tarvitaan järjestelmä käsittelemään niitä. Tämä koskee kaikkea tietoa, oli sitten kyse henkilökunnasta, yhteistyökumppaneista, toimittajista tai asiakkaista.

Sanoiko joku ”järjestelmä”? Kuulostaa teknisen osaston hommalta! Tarvitsemme toki IT-osastoa ylläpitämään järjestelmiä ja hoitamaan teknisiä ongelmia, mutta oikeanlaisen identiteetinhallinnan pihvi ei löydy palvelinkeskuksesta.

Trauma luo perspektiiviä

Kuulin erään yrityksen palkanneen uuden toimitusjohtajan muutama vuosi sitten. Toimitusjohtajan aiempi työpaikka oli joutunut kyberhyökkäyksen uhriksi. Nyt toimitusjohtaja aloitti uuden käytännön: jokaisessa johtoryhmän kokouksessa hän kysyi, mitä identiteetin- ja pääsynhallinnan alueella tapahtuu. Tällä tavoin johtoryhmä sai heti tiedon identiteetinhallintaan liittyvistä huolista.

Gartnerin mukaan sillä ei ole väliä, mikä organisaation taho omistaa identiteetin- ja pääsynhallinnan (Identity and Access Management eli IAM), kunhan vastuuhenkilö kuuluu johtoryhmään. Ylin johto on kuitenkin aina se, joka joutuu selittämään medialle, miksi työntekijällä oli mahdollisuus kajota yrityksen luottamuksellisiin tietoihin tai miksi tietosuojaloukkaus aiheutti niin paljon vahinkoa. Haastateltavana on aina pomo, ei IT-tuki.

Digitaaliset identiteetit ovat yhä melko häilyviä ja epäseksikkäitä käsitteitä ylimmälle johdolle. IAM:stä huolehtiminen ei onneksi ole kovin vaikeaa. Nixulla on ollut muutamia asiakasyrityksiä, joissa identiteetinhallinta on ratkaistu hienosti.

Luova IAM-ratkaisu

Yksi asiakkaistamme käsitteli noin 15 000:ta henkilötietotietuetta ja suunnitteli laajentavansa digitaalisia palvelujaan. Johtoryhmä keskusteli, kuinka identiteettiä ja käyttöoikeuksia käsiteltäisiin kasvavassa yrityksessä. Toimitusjohtaja oli vakuuttunut, että he tarvitsisivat joukostaan yhden henkilön, joka olisi vastuussa IAM-asioista.

nixu-IAM

”Löytyykö vapaaehtoisia?” toimitusjohtaja kysyi, ja hiljaisuus laskeutui kokoushuoneeseen. Johtoryhmän jäsenet olivat kiireisiä, eivätkä he tunteneet intohimoa IAM:ää kohtaan. ”Okei, ei se mitään”, toimitusjohtaja sanoi. ”Aloitamme aakkosjärjestyksessä ensimmäisestä!”

Johtoryhmän jäsen, jonka nimi oli aakkosjärjestyksessä ensimmäinen, ottikin IAM:n vastuulleen ensimmäisenä vuonna. Seuraavana vuonna työtä jatkoi henkilö, jonka nimi oli aakkosjärjestyksessä toisena ja niin edelleen. Vastuuhenkilön ei tarvinnut välttämättä tuntea IAM:n yksityiskohtia. Käytännössä katsoen ylimmän johdon jäsen otti asian omistajuuden itselleen ja varmisti, että IAM:llä on tarpeeksi resursseja ja riittävät toimintamahdollisuudet.

Hyvän hallinnoinnin, johtajuuden ja tietoturvan ydin

IAM:n hyvä hallinnointi tarkoittaa, että organisaatio tietää, minkälaisia käyttöoikeuksia se jakaa, kenelle se niitä jakaa ja mitä tietynlaisella tilityypillä voi tehdä. Digitaalisen identiteetin elämänkaareen kuuluu erilaisia oikeuksia esimerkiksi asiakassuhteen, työsuhteen tai yhteistyökumppanuuden päättyessä. Yrityksen täytyy tietää, mitä tapahtuu, kun roolit vaihtuvat, kuka myöntää käyttöoikeuksia sekä mitä oikeuksia on myönnetty ja mitä poistettu. Kun kaikki toimii jouhevasti, prosessia ei edes huomaa.

Rutiinit ja selkeät vastuualueet – siitä oikeastaan hallinnoinnissa, johtajuudessa ja tietoturvassa on kyse. Helppoa, eikö?

 

Millä tasolla on sinun organisaatiosi identiteetin- ja pääsynhallinta? Tee testi: nixu.com/fi/DI