Identiteetin- ja pääsynhallinnan kehittäminen – case Veho
Fabricius, Johan (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024051411658
https://urn.fi/URN:NBN:fi:amk-2024051411658
Tiivistelmä
Identiteetin- ja pääsynhallinnan rooli organisaatioiden kyberturvallisuuden toteuttamisessa on kasvanut vuosi vuodelta. Siitä on tullut entistä tärkeämpi osa organisaatioiden suojautuessa uusia uhkia vastaan. Samalla erilaisten järjestelmien määrä organisaatioissa on kasvanut hurjasti, ja näihin liittyvä identiteetin- ja pääsynhallinta on monimutkaistunut. Aiemmin voitiin myös ajatella sisäverkon olevan muuri, jonka sisäpuolella kaikki on turvassa. Työn tekemisen siirtyessä enemmän sisäverkon ulkopuolelle on ollut pakko alkaa ajatella toisin.
Työn tavoitteena oli tarkastella, minkälaisia lakeja, asetuksia, standardeja ja parhaita käytäntöjä liittyy organisaation identiteetin- ja pääsynhallinnan toteuttamiseen, ja miten nykytila vastaa näihin vaatimuksiin. Uusia lakeja ja asetuksia on tullut kohtuullisen paljon lyhyessä ajassa, uusimpana näistä loppuvuodesta 2024 voimaan astuva NIS2 sekä siihen liittyvä kansallinen lainsäädäntö. Toisena tärkeänä kohteena työssä oli tutkia, minkälaisia uhkia sekä riskejä huonosti hoidetusta identiteetin- ja pääsynhallinnasta voi organisaatiolle aiheutua, ja miten näitä uhkia voitaisiin torjua sekä riskejä minimoida. Pahimmillaan näiden uhkien ja riskien toteutuminen voi aiheuttaa liiketoiminnan loppumisen.
Tutkimusmenetelmäksi valittiin tutkimuksellinen kehittämistutkimus. Tutkimuskysymysten kautta haettiin vastauksia parhaisiin käytäntöihin, uhkiin, lakien ja asetusten vaatimuksiin sekä siihen, minkälaisia kehitystoimenpiteitä tulisi tehdä, jotta näihin vaatimuksiin pystyttäisiin vastaamaan. Kysymyksiin saatujen vastausten kautta pystyttiin hahmottamaan nykytilan haasteet ja luomaan alustavat raamit suuremmalle kehitystyölle.
Työssä saatiin tuloksena tietoa nykytilasta ja sen vaatimuksiin vastaavuudesta sekä määritettyä toimenpiteitä, jotka toteuttamalla saadaan vietyä identiteetin- ja pääsyhallintaa organisaatiossa uudelle tasolle. Lopputuotoksena luotiin kaksi taulukkoa, joiden avulla organisaatiot voivat arvioida oman ympäristönsä nykytilaa verrattuna tämän hetken parhaisiin käytäntöihin sekä NIS2-vaatimuksiin identiteetin- ja pääsynhallinnan osalta.
Työn tavoitteena oli tarkastella, minkälaisia lakeja, asetuksia, standardeja ja parhaita käytäntöjä liittyy organisaation identiteetin- ja pääsynhallinnan toteuttamiseen, ja miten nykytila vastaa näihin vaatimuksiin. Uusia lakeja ja asetuksia on tullut kohtuullisen paljon lyhyessä ajassa, uusimpana näistä loppuvuodesta 2024 voimaan astuva NIS2 sekä siihen liittyvä kansallinen lainsäädäntö. Toisena tärkeänä kohteena työssä oli tutkia, minkälaisia uhkia sekä riskejä huonosti hoidetusta identiteetin- ja pääsynhallinnasta voi organisaatiolle aiheutua, ja miten näitä uhkia voitaisiin torjua sekä riskejä minimoida. Pahimmillaan näiden uhkien ja riskien toteutuminen voi aiheuttaa liiketoiminnan loppumisen.
Tutkimusmenetelmäksi valittiin tutkimuksellinen kehittämistutkimus. Tutkimuskysymysten kautta haettiin vastauksia parhaisiin käytäntöihin, uhkiin, lakien ja asetusten vaatimuksiin sekä siihen, minkälaisia kehitystoimenpiteitä tulisi tehdä, jotta näihin vaatimuksiin pystyttäisiin vastaamaan. Kysymyksiin saatujen vastausten kautta pystyttiin hahmottamaan nykytilan haasteet ja luomaan alustavat raamit suuremmalle kehitystyölle.
Työssä saatiin tuloksena tietoa nykytilasta ja sen vaatimuksiin vastaavuudesta sekä määritettyä toimenpiteitä, jotka toteuttamalla saadaan vietyä identiteetin- ja pääsyhallintaa organisaatiossa uudelle tasolle. Lopputuotoksena luotiin kaksi taulukkoa, joiden avulla organisaatiot voivat arvioida oman ympäristönsä nykytilaa verrattuna tämän hetken parhaisiin käytäntöihin sekä NIS2-vaatimuksiin identiteetin- ja pääsynhallinnan osalta.