Pääsyoikeuksien jakaminen

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Organisaatio ylläpitää keskitettyä tallennetta käyttäjätunnukselle tietojärjestelmiin ja -palveluihin myönnetyistä pääsyoikeuksista. Tätä tallennetta hyödynnetään pääsyoikeuksien katselmoimiseksi työsuhteen muutoshetkillä tai samaan rooliin liittyvien uusien kollegoiden onboarding-prosessissa.

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

• määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
• tarkistamaan palveluita tietoturvan suhteen
• pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

• saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
• saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
• saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.