Käyttöoikeudet poistetaan – jos muistetaan


Käyttöoikeudet poistetaan – jos muistetaan



Elettiin vuoden 2000 loppua, olin irtisanoutunut opistoupseerin virasta Santahaminassa, ja edessä oli virkasuhteen päättämiseen liittyvät rituaalit. Puolustusvoimille tyypillisellä yksityiskohtaisuudella haluttiin varmistaa, ettei Savolaiselle jää selvittämättömiä asioita jälkeensä.

Näin se toimi: Esikunta tulosti minulle 6-sivuisen lomakkeen, jossa oli lueteltu Santahaminan varuskunnan yksiköt, toimistot, varastot ja muut ”narikat”. Minun tuli käydä jokaisessa lomakkeella luetellussa paikassa ja pyytää vahvistus sille, että minulla ei ole selvittämättömiä asioita heidän kanssaan. Kierroksesta tuli mainio. Tulin käyneeksi varastoilla, joiden olemassaolosta en ollut kuullutkaan, tapasin joitakin kollegojani ensimmäistä kertaa ja sain hyvästeltyä tutummat kaverit oikein käskettynä. Aikaa tähän toki vierähti toista viikkoa, kun valtuutetut henkilöt eivät olleet paikalla, tai varastojen palveluajat eivät sopineet yksiin oman aikatauluni kanssa.

Tällaisille valtuuksien ja käyttöomaisuuden poistamiselle on olemassa nykyaikaisempiakin ratkaisuja, mutta kuinka tehokkaita tällaiset kontrolleiksi tarkoitetut prosessit ovat? Tehokkuudelle voidaan asettaa useita mittareita, selkeimpiä lienevät poistamisen varmuus ja poistamiseen käytetty työaika, sekä näiden keskinäinen suhde.

Pohditaan asiaa muutaman esimerkin kautta. Olet tehnyt henkilökohtaisen ratkaisun työpaikan vaihdosta, irtisanoutumisaika kuluu ja olet henkisesti jo muualla töissä. Työsuhteen päättämiseen liittyvät prosessit nytkähtävät liikkeelle.

Yksi toimeenpantavista käytännöistä kaikissa organisaatioissa on – tai pitäisi olla – käyttövaltuuksien poistaminen. Edistykselliset yritykset ovat automatisoineet käyttövaltuuksien poistamisen keskitetyn käyttövaltuushallinnan avulla, toisissa poistetaan oikeuksia yksitellen jos nyt ehditään tai muistetaan. Yhteinen piirre näissä on se, että säännöllinen käyttövaltuuksien poistaminen koskee yrityksen hallinnassa olevien tietojärjestelmien käyttöoikeuksien poistamista.

Muistettiinko poistaa pankkitilin käyttöoikeudet? Vaihdettiinko yrityksen domain-nimen haltijan tiedot, kun se yrityksen perustettaessa rekisteröitiin Jaskan hotmail-tilillä? Pyydettiinkö kumppania poistamaan tunnukset heidän extranetissa toimivaan tilausjärjestelmäänsä?

Näitä käyttövaltuuksia harvemmin hallinnoidaan keskitetyn käyttövaltuushallinnan menetelmin, ne kun eivät ole yleensä

a) yrityksen it-osaston hoitamia asioita

b) keskitetyn hallinnan ja valvonnan piirissä

Kuitenkin esimerkin kolme käyttövaltuutta omaavat sellaista voimaa, jolla mielensä pahoittanut työntekijä kiusaa työnantajaansa.

Aina ongelma ei ole näin ilmeinen, muut kontrollit kaventavat väärinkäytön mahdollisuutta ja osassa yrityksistä irtisanoutumisprosessi tehtäviä myös muille osastoille kuin it:lle. Ongelmajoukkoa kuvaa kuitenkin tietohallintopainotteisuus, vaikka tietohallinto itsessään tuskin on se ongelma. Käyttövaltuuksien hallinta onkin muuttunut IAM-järjestelmäksi, jonka omistajaksi ilmoittautuu tietohallinto – sen tarve ja hyödyt tunnistetaan ensimmäisenä siellä, eikä sitä käyttöönottoprojektia moni muu yrityksessä haluaisikaan hoitaa.

Kuvatun kaltainen haaste löytyy monessa muussakin liiketoiminnan ja tietohallinnon välisessä työnjaossa. Tässä muutamia ratkaisumalleja:

  • Selvitetään ei-tekniset tarpeet, eli ketkä ovat asianosaisia työntekijän irtisanoutuessa, mitkä ovat heidän huolenaiheensa ja tarpeensa. Lopuksi sovitaan käytännöistä ja vastuista, kirjataan ne ylös ja perehdytetään asiaankuuluva henkilöstö toimimaan sen mukaan. Helppoa ja mukavaa, eikö totta?
  • IAM-järjestelmien data-sisällön laajentaminen. Ne organisaatiot, joilla on käytössään keskitetty käyttövaltuushallintajärjestelmä, voisivat laajentaa tätä hallinnoimaan myös ei-teknisiä valtuuksia, ja muistuttamaan niistä työsuhteen luonteen muuttuessa. Edellyttää toki käyttövaltuushallinnan prosessimuutosta koko elinkaaren ajalle, jotta käyttövaltuuskirjanpitoon saadaan relevantia tietoa. Tätä voi toteuttaa myös yhdistelemällä olemassa olevia tietovarantoja (avainhallintakirjanpito, työntekijään liittyvien palvelusopimusten kirjanpito jne).
  • Federoidutaan kumppaneiden kanssa siten, että muutos työntekijän käyttövaltuuksissa vaikuttaa myös kumppanioikeuksiin. Tähän löytyy teknisiä ratkaisuja, joskin suurin jumppa todennäköisesti tehdään sopimusneuvotteluissa eikä konfiguraation ääressä.
  • Täydennetään henkilöstöhallinnon prosesseja keräämään laajempaa tietoa työntekijän rooliin liittyvistä valtuuksista. Roolipohjainen käyttövaltuushallinta ei ole tietohallinnon yksinoikeus (jos käyttövaltuushallinnan ylipäätään pitää tietohallinnon juttuja olla), vaan sinne voisi kuvailla laajemminkin tehtävään liittyviä tietoja, sidonnaisuuksia ja riippuvuuksia – eli IAM- ja HR -järjestelmien syvempi integraatio.

Varsinainen ongelma ja sen ratkaisu kiteytyy siis tiedon ja sen oikea-aikaisen käyttämisen ympärille. Tietojärjestelmät auttavat hyvään alkuun, ja organisaation tapakulttuurilla ja prosesseilla ulosmitataan järjestelmiin tehdyt investoinnit – tai sitten on taas ostettu läjä rautasoftaa ja keskitytty (liike)toiminnan kannalta toissijaisiin asioihin.