Identiteetin- ja pääsynhallintaan liittyvät riskit asiantuntijaorganisaatioissa

Abstract

Nykypäivänä asiantuntijaorganisaatioissa käsitellään suurta määrää tietoa, kuten heidän asiakkaisiinsa ja työntekijöihin liittyvää sensitiivistä tietoa. Erityisesti asiantuntijaorganisaatiot ovat hyvin riippuvaisia heidän maineestaan ja luotettavuudesta asiakkaiden silmissä, koska koko organisaation liiketoiminta perustuu asiakkaiden luottamukseen. Tietoturva on suurimpia organisaatioiden kohtaamia haasteita, ja monet yritykset vastaavat tähän haasteeseen erilaisin teknologiaratkaisuin. Identiteetin- ja pääsynhallinta on tärkeä osa organisaation tietoturvaa, koska sen avulla voidaan taata organisaatioresursseihin pääsy vain valtuutetuille käyttäjille. Tämän tutkimuksen tavoitteena oli selvittää identiteetin- ja pääsynhallintaan liittyviä riskejä asiantuntijaorganisaatioissa. Tutkimus toteutettiin kirjallisuuskatsauksena ja empiirisenä tutkimuksena, jolle kirjallisuuskatsaus muodostaa teoreettisen perustan. Tutkielma toteutettiin toimeksiantona kohdeorganisaatiolle. Kirjallisuuskatsauksen perusteella luotiin teemahaastattelurunko, jolla pyrittiin selvittämään erilaisia identiteetin- ja pääsynhallintaan liittyviä riskejä. Haastateltavina toimivat kohdeorganisaation asiantuntijat, joita tutkimukseen haastateltiin kymmenen. Haastateltavia valittiin kolmesta eri asiantuntijaryhmistä, joita olivat tietohallinnon asiantuntijat, identiteetin- ja pääsynhallinnan asiantuntijat ja sisäisen tietoturvan asiantuntijat. Haastattelun perusteella selvisi identiteetin- ja pääsynhallintaan liittyvän runsaasti erilaisia riskejä. Tutkimuksessa esiin nousseet riskiteemat olivat manuaalisuus, hajautuneisuus, pilvipalveluihin liittyvät riskit, keskitetyn identiteetin- ja pääsynhallinnan riskit, automaation riskit ja organisaation sisäiset riskit. Jokaiseen riskiteemaan tunnistettiin niin kirjallisuuskatsauksessa, kuin empiirisessäkin tutkimuksessa runsaasti riskejä. Identiteetin- ja pääsynhallintaan voidaan siis tutkielman perusteella liittyvän runsaasti erilaisia riskejä, joita asiantuntijaorganisaatioiden tulee ottaa huomioon heidän identiteetin- ja pääsynhallinnassa, etenkin pohdittaessa uuden ratkaisun valintaa ja hankintaa.