Ylipitkäksi venynyt vaatimusmäärittely, tähtitieteellisen suureksi kasvanut budjetti ja lopussa odottaa väärin valittu IAM -teknologia, liiketoiminnan tarpeisiin sopimattomat prosessit ja asiakkaan keskenään riitelevät liiketoiminnan, HR:n ja IT:n edustajat. Kuulostaako valitettavan tutulta? IAM -projekti on organisaatiolle iso satsaus, joka läpiviennissä on oltava pää strategiapilvessä, mutta jalat vahvasti teknisessä maaperässä.
IAM -lyhenne tulee identiteettien (identity) ja pääsyjen (access) hallinnasta (management). Kiteytettynä se tarkoittaa luonnollisten henkilöiden ja laitteiden sähköisten identiteettien keskitettyä oikeellisuuden varmistamista ja luvittamista pääsemään käsiksi tarvitsemiinsa resursseihin ja tietoon. Edellä mainitut toiminnallisuudet toteutetaan tarkkaan määriteltyjen, ihmisten työtä tukevien prosessien, työnkulkujen sekä soveltuvan IAM -teknologian avulla.
Ajan saatossa ja organisaation kasvaessa käytössä olevien järjestelmien ja tietolähteiden määrä kasvaa usein merkittävästi. Ilman selkeää identiteettin ja pääsyjen hallintaa järjestelmien käyttöoikeuksien luvittamiseen käytetty IT:n työpanos kasvaa ylisuureksi, turhat poistamattomat käyttöoikeudet kasaavat järjestelmien lisenssimaksuja, liiketoiminta- ja tietoturvariskit kasvavat ja käyttäjien käyttökokemus lähentelee lopulta nollaa.
IAM -projekti kannattaa aloittaa selkeän tavoitetilan määrittelyllä, jossa tunnistetaan organisaation keskeinen liiketoiminta ja sen tarpeet, identiteettien ja pääsyjen hallinnan kipupisteet sekä IAM:illa katettavat järjestelmät. Parhaiten tähän tarpeeseen soveltuu erillinen esiselvitys, joka tuottaa asiakkaalle tulevan IAM -projektin konkreettisen tavoitetilan ja tiekartan IAM -projektin toteuttamiseksi. Esiselvitys toimii asiakkaan edustajille business casenä, johon organisaation johdon ja kaikkien projektin sidosryhmien on sitouduttava.
Esiselvityksen jälkeen parhaaseen lopputulokseen päästään sillä, että projektin vetovastuu annetaan kokeneelle monitoimittajahallintaan kykenevälle kumppanille, joka kulkee asiakkaan kanssa kuin isä lastaan puolustaen läpi IAM -projektin huiput ja alhot. Käynnistetyssä IAM -projektissa läpikäydään riittävän tarkka, mutta ei itseään tukehduttavan vaatimusmäärittely, joka viedään hallitusti kohti päätöspistettä IAM:in käyttöönotosta – määritetyillä prosesseilla ja valitulla teknologialla. Vaatimusmäärittelyä on hyvä tukea ketterillä ja jatkuvilla käyttötapauskokeiluilla ja -testauksilla, jotka validoivat toiminnallisuuksien lisäksi myös määrittelyn laatua. Oikeanlainen IAM -kumppani ei tiputtaa hanskoja tiskiin teknisessä käyttöönottovaiheessa ja takaa näin määriteltyjen toiminnallisuuksien teknisen toteutuksen sisällöllisen laadukkuuden määrätietoisella otteella.
Isossa IAM -projektissa vaatimusmäärittely vie paljon resursseja ja sen lopputuloksena on tarkka toiminnallinen ja tekninen kuvaus käyttöönotettavasta järjestelmästä. Vaatimusmäärittelyssä käytetyt suuret resurssit saattavatkin antaa päättävälle taholle kuvan käyttöönoton suoraviivaisuudesta ja pienestä työmäärästä. Tämä ajatus on kuitenkin väärä, koska tästä usein alkaa varsinaisesti IAM -teknisten henkilöiden isoin työsarka. IAM -projektin käyttöönotto tulee suunnitella teknisesti tarkasti, jotta jokainen tietomallin ja sovellusrajapinnan yksityiskohta saadaan sovitettua käyttöönotettavaan IAM -teknologiaan ja määriteltyyn aikatauluun. Käyttöönottosuunnitelma on myös hyvä jakaa erillisiin työkokonasuuksiin, jotta jokainen sisältöalue ja työvaihe pysyy systemaattisen hallinnan piirissä. Käyttöönottoprojektiin ei pidä kuitenkaan missään tapauksessa tuottaa mitään turhaa byrokratiaa, jotta työn luonteen edellyttämä ketteryys säilyy.
Parhaimmillaan IAM -käyttöönottoa johtaa systemaattisesti vastuullinen projektipäällikkö, joka pitää IAM -järjestelmän sidosryhmät tietoisina tehdyistä töistä ja varmistaa riittävän vapauden sekä työrauhan käyttöönottoa tekevälle teknisillä henkilöstölle. Let’s make IAM great again!
Tarmo Kellomäki
Senior Consultant (Information & Cyber security)