PAM! Lähtölaukaus it-asiantuntijoiden oikeusturvalle

PAM! Lähtölaukaus it-asiantuntijoiden oikeusturvalle


Asiantuntijat, jotka hallinnoivat tietoteknistä infrastruktuuria eli verkkoja ja sovelluksia pilvessä tai perinteisessä konesalissa, käyttävät tunnuksia ja käyttöoikeuksia, joilla voi tehdä kaiken hyvän lisäksi paljon pahaakin. Näitä tunnuksia kutsutaan etuoikeutetuiksi tunnuksiksi (privileged accounts).

Etuoikeudet kuulostavat näinä tasa-arvon aikoina huonolta ja tuomittavalta asialta. Etuoikeudet saattavat kuitenkin johtaa ihan konkreettisesti tuomioon, myös väärin perustein. Siksi asiaan on syytä kiinnittää huomiota ja toteuttaa tarvittavat kontrollit ja toimintaa helpottavat järjestelyt.

Privileged Access Management eli PAM sisältää nämä kontrollit sekä toimintaa tehostavat ja helpottavat asiat. PAM siis kertoo vastauksia kysymyksiin kuka, mitä, milloin ja miksi. Lisäksi PAM on hyvä esimerkki siitä, kuinka tietoturva tehostaa toimintaa ja parantaa käytettävyyttä. PAM lisää automaatiota, yksinkertaistaa arkkitehtuuria ja siirtää VPN:t ja infran hallinnoinnissa käytetyt ”hyppykoneet” osaksi tietotekniikan lyhyttä historiaa. Samalla se helpottaa asiantuntijoiden työtä kertakirjautumisella ja poistaa tarpeettoman salasanojen käsittelyn.

Yleisin PAMin hankinnan ja käyttöönoton peruste ovat viimeaikoina olleet GDPR:n vaatimukset ja osoittamisvelvollisuus. PAMin avulla ei pelkästään toteuteta organisaation vaatimustenmukaisuutta, vaan myös parannetaan asiantuntijoiden oikeusturvaa. Asiantuntija ei syyttä suotta joudu ongelmatilanteiden syntipukiksi, kun tehdyt asiat voidaan jälkikäteen aukottomasti todistaa. Parempi asiantuntijan oikeusturva parantaa myös organisaation mainetta ja houkuttelevuutta työnantajana. Kukapa haluaisi työskennellä organisaatiossa, joka uhraa asiantuntijan tietomurron tai -vuodon tapahduttua.

Tietoturvaa ja vaatimustenmukaisuutta ei pidä ajatella pelkästään organisaation kannalta, vaan on tärkeää huolehtia myös ihmisistä. Ihmiset tekevät organisaation ja mahdollistavat liiketoiminnan ja sen menestyksen, ja kun tietoturva on kunnossa myös asiantuntijoiden työnkuvassa, se tukee positiivista kierrettä.

Eipä tuota PAMia siis ole aivan turhaan nostettu kärkeen tämän vuoden tietoturvaprojektien listalla (Gartner, Top 10 Security Projects for 2019).
Fujitsu tarjoaa PAM-palvelut as a Service -mallilla. Privileged Access Management as a Service (PAMaaS) on hieman kryptisestä nimestään huolimatta suoraviivainen ja kustannustehokas tapa hankkia ja toteuttaa nykyaikainen PAM.