Monivaiheisen todentamisen toteutus PK-yrityksessä
Lindberg, Mika (2020)
Lindberg, Mika
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202004034450
https://urn.fi/URN:NBN:fi:amk-202004034450
Tiivistelmä
Opinnäytetyön tavoitteena oli kuvata yleisellä tasolla pk-yrityksen it-ympäristö, vaatimukset todentamiselle ja vertailla erityyppisiä ratkaisuja todentamisen toteutukseen vaatimuksiin pohjautuen. Työn tavoitteena ei ollut tehdä yksityiskohtaista analyysia todentamisesta ja sen teknisistä ratkaisuista vaan löytää yleinen määritelmä ja ratkaisuvaihtoehtoja todentamisen vaatimuksille tyypillisessä pk-yrityksessä opinnäytetyön teon ajankohtana. Työlle ei ollut varsinaista toimeksiantajaa ja se tehtiinkin työelämässä havaittujen tarpeiden perusteella.
Työssä määriteltiin aluksi tietoturvallisuus ja mikä rooli todentamisella on sen toteuttamisessa. Tämän jälkeen selvitettiin todentamisen menetelmät, joista tarkemmin käytiin läpi monivaiheisen todentamisen tapoja. Seuraavassa vaiheessa pyrittiin määrittelemään tavanomainen pk-yrityksen it-infrastruktuuri ja liiketoiminnan sekä käyttäjän vaatimukset todentamiselle. Tässä vaiheessa havaittiin, että vaikka yleisellä tasolla vaatimukset pystyttiin kirjaamaan, ovat ne silti niin yrityskohtaisia, että toteutuksen vertailuun tulisi valita erilaisia ratkaisuja niin tekniseltä toteutuksen kuin kustannustenkin kannalta.
Vaatimuksiin pohjaten tehtiin markkinakartoitusta ja valittiin neljä erilaista ratkaisua vertailuun. Vertailuun valittujen ratkaisujen osalta käytiin läpi ominaisuudet ja kustannukset, sillä tasolla millä vaatimusmäärittely tehtiin. Vertailun perusteella valittiin yksi ratkaisu minkä käyttöönotto tehtiin testiympäristöön ja vaiheistus kirjattiin liitteeseen tehtävälistaksi eikä niinkään asennusoppaaksi, sillä asennuksesta on saatavissa runsaasti valmistajan tukimateriaaleista. Vaihtoehtoisen toteutustavan käyttöönotto kuvattiin myös liitteellä yleisellä tasolla.
Työn tulokset ovat hyödynnettävissä pk-yrityksen tietoturvatyössä sen pohtiessa omia vaatimuksiaan ja ratkaisujaan todentamiselle sekä etenkin monivaiheiselle todentamiselle.
Työn perusteella voidaan todeta, että vaikka pk-yritys ei olisi riskienhallinnan menettelyin määrittänyt monivaiheisen todennuksen vaatimusta, niin kaikkia organisaatioita koskevien lakisääteisten vaatimusten, yleisten suositusten ja ajankohtaisten uhkakuvien vuoksi monivaiheisen todennuksen tulisi olla yksi käyttöönotettavista tietoturvan hallintakeinoista. Markkinoilla on tällä het-kellä tarjolla laaja kirjo erilaisia ratkaisuja, joiden soveltuvuus pk-yritykselle vaihtelee merkittävästi ja markkinoiden tarjonta lisääntyy sekä kehittyy koko ajan. Ratkaisuja pohtivan kannattaakin aktiivisesti seurata tarjonnan kehitystä.
Työssä määriteltiin aluksi tietoturvallisuus ja mikä rooli todentamisella on sen toteuttamisessa. Tämän jälkeen selvitettiin todentamisen menetelmät, joista tarkemmin käytiin läpi monivaiheisen todentamisen tapoja. Seuraavassa vaiheessa pyrittiin määrittelemään tavanomainen pk-yrityksen it-infrastruktuuri ja liiketoiminnan sekä käyttäjän vaatimukset todentamiselle. Tässä vaiheessa havaittiin, että vaikka yleisellä tasolla vaatimukset pystyttiin kirjaamaan, ovat ne silti niin yrityskohtaisia, että toteutuksen vertailuun tulisi valita erilaisia ratkaisuja niin tekniseltä toteutuksen kuin kustannustenkin kannalta.
Vaatimuksiin pohjaten tehtiin markkinakartoitusta ja valittiin neljä erilaista ratkaisua vertailuun. Vertailuun valittujen ratkaisujen osalta käytiin läpi ominaisuudet ja kustannukset, sillä tasolla millä vaatimusmäärittely tehtiin. Vertailun perusteella valittiin yksi ratkaisu minkä käyttöönotto tehtiin testiympäristöön ja vaiheistus kirjattiin liitteeseen tehtävälistaksi eikä niinkään asennusoppaaksi, sillä asennuksesta on saatavissa runsaasti valmistajan tukimateriaaleista. Vaihtoehtoisen toteutustavan käyttöönotto kuvattiin myös liitteellä yleisellä tasolla.
Työn tulokset ovat hyödynnettävissä pk-yrityksen tietoturvatyössä sen pohtiessa omia vaatimuksiaan ja ratkaisujaan todentamiselle sekä etenkin monivaiheiselle todentamiselle.
Työn perusteella voidaan todeta, että vaikka pk-yritys ei olisi riskienhallinnan menettelyin määrittänyt monivaiheisen todennuksen vaatimusta, niin kaikkia organisaatioita koskevien lakisääteisten vaatimusten, yleisten suositusten ja ajankohtaisten uhkakuvien vuoksi monivaiheisen todennuksen tulisi olla yksi käyttöönotettavista tietoturvan hallintakeinoista. Markkinoilla on tällä het-kellä tarjolla laaja kirjo erilaisia ratkaisuja, joiden soveltuvuus pk-yritykselle vaihtelee merkittävästi ja markkinoiden tarjonta lisääntyy sekä kehittyy koko ajan. Ratkaisuja pohtivan kannattaakin aktiivisesti seurata tarjonnan kehitystä.