iam strategia - kompastelematta maaliin

IAM STRATEGIA – KOMPASTELEMATTA MAALIIN Thomas Malmberg

IDM...SIIS IAM, EI VAAN SIIS SSO...

IDM … SIIS IAM, EI VAAN SIIS SSO…

LYHENTEIDEN SEKAMELSKA VAI AIKANSA LAPSIA?

• Onko rakkaalla lapsella monta nimeä? – Historia on tuottanut erilaisia käsitteitä

– Sama asia myyty moneen kertaan - epäilemättä

• Kuka päättää, mikä lyhenne on sinun lyhenteesi? – SSO = Single Sign On

– IAM = Identity and Access Management

– IDM = Identity Management

– IGA = Identity Governance and Administration

• Tietoturvapäällikkö muistuttaa – älä unohda näitä – PIM = Privileged Identity management

– PUM = Privileged User Management

LYHENTEILLÄ VOI OLLA ERI TAVOITTEITA


PÄÄTETÄÄN MITÄ TARKOITETAAN..

• A set of processes to manage identity and access information across systems

• Management of the identity life cycle

• Creates, maintains and retires identities as needed

• Governing the access request process, including approval certification, risk scoring and segregation of duties enforcement

Määrittelyt ovat Gartnerin - korostukset ovat tämän esityksen tekijän omia


VAIKKAKIN VÄHÄN MONISANAISESTI

• Core functionality – identity life cycle processes

– automated provisioning

– access requests (including self-service)

– governance over user access to critical systems

– governance over access certification processes

• Additional capabilities – role related tasks

– Identity analytics reporting


MÄÄRITTELYSTÄ VIISASTUMME

• Määritelmä ei ole huono – tämän päälle voi rakentaa omat vaatimuksensa, toiveensa, haaveensa sekä kuvitelmansa

• Muut vastaavat määritelmät eivät vaikuta olevan Gartnerin kanssa olennaisilta osiltaan ristiriidassa

• Konsensus näyttää olevan, että PIM ja PUM on jonkintasoista ylikurssia

Ei pidä pelätä siirtymistä “määritellyn laatikon” ulkopuolelle, mutta älä ajaudu niin kauas että hukkaat laatikon kokonaan

VOIKO OLLA PÄÄSYNHALLINTA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN

VOIKO OLLA PÄÄSYNHALLINTAA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN

PÄÄSYNHALLINTA VS IDENTITEETINHALLINTA

• Pääsynhallintaan riittää määritelmällisesti yksi suojattava järjestelmä, yksi käyttäjähakemisto ja yksi pääsynhallintajärjestelmä

• Identiteetinhallinta on määritelmällisesti paljon laajempi, eikä yhden käyttäjähakemiston hallintakäyttöliittymää vielä voida laskea identiteetinhallinnaksi

Jos identiteetinhallintajärjestelmä kutistuu tietyn rajan alle, on se enää käyttäjärekisteri.


PÄÄSYNHALLINTA VS IDENTITEETINHALLINTA

• Pääsynhallintaohjelmistoja ja ratkaisuja voi olla monta – Eri tekniikoille (Java, .Net, ..)

– Eri ympäristöille (työasema, pilvi, intra/extra, mobiili)

• Identiteetinhallintajärjestelmiä pitää olla vain yksi

Tämän väittämän voi myös arkkitehti hyväksyä menettämättä yöuniaan.


ENTÄ MISSÄ ME KOHTAAMME

• Pääsynhallintaan tarvitaan käyttäjähakemistoja

• Käyttäjähakemistot tarvitsevat käyttäjiä

• Käyttäjät tulevat identiteetinhallintajärjestelmästä – Käyttäjät syntyvät jossain

– Käyttäjiä säilytetään jossain

– Käyttäjät provisioidaan kaikkialle

Ympyrä sulkeutuu ja palaamme alkuperäiseen määritelmään.

IAM-STRATEGIAN KOMPLEKSISUUS - ÄLÄ KAADU SEN MUKANA

IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA

MITÄ VOITIT MÄÄRITTELEMÄLLÄ

• Voit myydä asian sisäisesti oikeilla termeillä

• Voit ostaa oikeita asioita

• Tavoittelet sellaisia asioita joita kuuluukin tavoitella, sillä – Tämä EI ole EA-hanke

– Tämä EI ole IT-hallinnon uudistumisprojekti

– Tämä EI ole laiterekisteriprojekti

– Tämä EI ole käyttöliittymäprojekti

– Tämä EI ole intranetin killer-applikaatio

– Tämä EI ole tietoturvaprojekti • ...joskin joihinkin yllämainituista törmätään – hyvässä ja pahassa

Totuus on seuraavalla kalvolla.


MITÄ VOITIT MÄÄRITTELEMÄLLÄ

Ensisijaisesti tämä on

PROSESSI-projekti.


JOITAIN TÄRKEITÄ LATTEUKSIA

• Älä luovu tavoitteistasi – aikatauluta ja priorisoi

• Älä suunnittele ratkaisuja jotka vie vain seuraavaan tiehaaraan - katso oikeasti pitkälle tulevaisuuteen

• Kenen käsistä vaatimukset syntyvät, sen näköinen on lopullinen järjestelmä

• Älä tee IAM-hanketta eriössä oman erinomaisuutesi seurassa

“Ne jotka eivät osaa, tekevät yhä suuremman osan kaikesta. Asiantuntijoiden sivuuttaminen lisää epävarmuutta.”


ASIAA PERUSASIOISTA

• Mitä kannattaa tavoitella ja kenelle sopii mikäkin? Heitä ensimmäinen ja toinen versio roskiin.

• Mieti tarkasti - onko identiteetti osa liiketoimintaasi vai välttämätön paha jotta käyttäjä pystyy kirjautumaan työasemalleen ja lukemaan sähköpostia

Strategiatyö alkaa tästä.


ASIAA PERUSASIOISTA

• Tee tylsää työtä ja ankkuroi IAM-strategia yrityksen liiketoimintastrategiaan ja IT-strategiaan

• Ilman perusasioita ollaan nopeasti tilanteessa jossa jotain asentuu, konsultit juoksee käytävillä ja päätöksiä tehdään kapeista näkökulmista – synnytetään lopputulos jossa on paljon I:tä, tuskin A:ta eikä nimeksikään M:ää

Mutta se ei lopu tähän.


EDESSÄNI ON VALKOINEN PAPERI

• Piirrä organisaatiokaavio fläppitaululle (määrittelet potentiaaliset stakeholderit)

• Arvaa – siis määrittele - erilaisia user-story -tyyppisiä otsikkotason ajatuksia post-it -lapuille ja liimaa ne organisaatiokaavioon

• Ryhdy evankelistaksi – kirjoita myyntipuhe ja jalkaudu organisaatioon

• Innosta organisaatiota visioimaan mitä ongelmia voisitte ratkaista – kerää ajatuksia omien määritelmiesi avustamana

• Yhdistä tekemäsi strategia-ankkurointi, oma määrittelystyösi ja organisaatiosta keräämäsi kokemukset

“Strategia pitää sisällään keinot ja menetelmät saavuttaa tietyt päämäärät”


UTOPIASTA KONKRETIAAN

• Huolellisella strategiatyöllä – Voidaan varmistaa että ei ainakaan rikota mitään

olemassaolevaa joka on säästämisen arvoista

– Identifioidaan organisatoorinen vastustus

– Osoitetaan nöyryyttä nykyisyyttä kohtaan – tällä on vahva mitigoiva vaikutus edelliseen kohtaan

– Saatetaan löytää osaajia ja tekijöitä joita et tiennyt organisaatiossa olevan olemassakaan

– Saadaan tukea ja kannustusta tulevaa lopputulosta kohtaan – ja avointa keskustelua matkan varrelle

– Löydetään laadukkaat lähtökohdat sisäiseen hanke-esitykseen

Mahtavaa – utopistinen ja maksimaalinen tavoitetila ja strategia on nyt löydetty.


LOPPUJEN LOPUKSI

• Yhdistä tekemäsi strategia-ankkurointi ja organisaatiosta keräämäsi kokemus ja tee hanke-esitys, tavoitekuvaus ja aikataulutus tärkeimillä voitoilla höystettynä

• Budjetoi ja viimeistele sisäinen myyntityö

• Vastaanota hankintalupa ja valmistele tarjouspyynnöt

• Valmistaudu aloittamaan POC

OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET


MITEN ROOLIT JAETAAN

• Omistajuus, tekninen omistajuus ja pääkäyttäjyys – aivan erilaiset roolit

• Mihin kohtaan organisaatiota tämä sijoittuu? Kenen vastuulle?

• Analysoi tärkeimmät IAM-toimialueet strategisesta näkökulmasta, analysoi missä on osaamista

• Identiteetinhallinnan omistajuus ei ole IT-asia (kuten esimerkiksi sähköposti, AD tai palvelintilan sähkönsyöttö)

• IAM-järjestelmä itsessään ON tekninen asia – jos mahdollista, ota tekninen osuus vahvasti osaksi yrityksen EA-osastoa


OMISTAJUUDESTA

• Omistajuus on perinteisesti vertikaalinen asia – organisaatiot osaavat useammin omistaa vertikaaleja kuin horisontaaleja

• ...ja jos se ei ole vertikaali, on sen oltava IT-asia.

• VÄÄRIN

• Harkitse virtuaalihorisontaalista ratkaisua

Omistajuutta ei voi ulkoistaa


PÄÄKÄYTTÄJYYDESTÄ

• Pääkäyttäjä – tekee operatiivisia päätöksiä ja huolehtii jatkokehityksestä

– noudattaa roadmappia ja toteuttaa strategiaa

– raportoi omistajalle

• Pääkäyttäjä huolehtii siitä, että ylläpito, dokumentaatio, toteutustekniikat ja integraatiot noudattavat yrityksen yleistä linjaa ja sovittuja menettelytapoja

• Pääkäyttäjä hankkii tarvittavan osaamisen – Konsultteja tarpeen mukaan

– Sisäinen osaaminen


HAASTAVIA TAVOITETILOJA

• Stakeholder: IT:n jokin osa – Käyttäjän perustaminen pitää olla nopeata ja kaikki tarvittavat roolit

pitää saada heti – mielellään jopa aikaisemmin

– Käyttäjän pitää loman jälkeen pystyä vaihtamaan salasanansa itse ilman meidän apuamme

• Stakeholder: Sisäinen tarkastus – Tarvitaan raportteja jotta tiedetään mitä on tapahtunut ja kuka teki

mitäkin ja jotta organisaation toimintaa voidaan tarkastella mitä erilaisimmista näkökulmista

• Stakeholder: IT:n jokin toinen osa – 147 palvelinta jotka eivät ole AD-domainissa ja joissa

käyttöjärjestelmiä on n kappaletta pitää saada tämän tämän piiriin

Onko näitä lisää?


LISÄÄ HAASTAVIA TAVOITETILOJA

• Stakeholder: Riskienhallinta – Roolit pitää määritellä siten että vaarallisia työyhdistelmiä ei synny ja

jos syntyy pitää meidän pystyä raportoimaan niistä sisäiselle tarkastukselle kysyttäessä heti eikä viikkojen tutkimustyön kautta

• Stakeholder: Henkilöstöosasto – Me perustamme aina käyttäjän tähän yhteen järjestelemään, me siis

omistamme käyttäjän

• Stakeholder: Liiketoimintaorganisaatio – Pitääkö meidän TAAS ottaa johonkin kantaa, eikös tämä nyt ole IT-

asia?


VIELÄKIN LISÄÄ HAASTAVIA TAVOITETILOJA

• Stakeholder: IT:n jokin kolmas osa – Pilvipalveluna ostettava järjestelmä tarvitsee tunnuksia, mistä ne

otetaan ja millä tekniikalla

• Stakeholder: Liiketoiminta – osa 2 – Olemme päättäneet ryhtyä yhteistoimintaan tämän tietyn tahon

kanssa, ja meidän pitää hallinnoida partnereiden tunnuksia omissa järjestelmissämme – me omistamme nämä tunnukset

– ...tarkemmin ajateltuna, heidän pitää kyllä pystyä hallinnoimaan rajatusti omia tunnuksiansa itsekin

• Stakeholder: Sovelluskehitys – Meidän testitunnuksemme on aina hukassa emmekä oikein ymmärrä

missä ne on ja kuka niitä hallinnoi


MINUN TAVOITTEENI ON TÄRKEÄMPI KUIN SINUN

• Omistajuuden ja pääkäyttäjyyden sijoittuminen väärään paikkaan voi tuottaa järkevästä ja hyvästä strategiasta tehottoman ja siiloutuneen erillisjärjestelmän

• Ratkaise organisatooriset haasteet ja tavoitetilahaasteet mahdollisimman aikaisessa vaiheessa – mielellään heti strategiatyön jälkeen tai sen yhteydessä


NYT VAI HETI

• Olet toteuttamassa projektia jonka pitää olla valmis tiettynä hetkenä

• Olet toteuttamassa järjestelmää jonka kanssa voidaan elää tietystä hetkestä eteenpäin

• Mikä on tärkeämpää – olla valmis tiettynä hetkenä vai olla valmis tietystä hetkestä eteenpäin?

Tiettynä hetkenä – vaiko siitä hetkestä eteenpäin?

MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY


OSTAMISEN OSAAMINEN

• Voit ostaa mitä tahansa – josta seuraa että sinulle myydään ihan mitä vaan

• Myyjän etu ei ole ostajan etu – Hyvä ostaja ajattelee vuosissa

– Hyvä myyjä ajattelee kvartaaleissa

• Osta aluksi pieniä makupaloja

• Älä hyväksy tarjouksia tai sopimusehdotuksia joita ei kukaan vähänkin hankalammassa tilanteessa osaa tulkita

Paras ostaja osaa tehdä kaiken itse, mutta aika ei riitä?

Paras ostaja tietää mitä hän ei itse osaa, ja ostaa sen?


MITÄ VOISIN OSTAA

• Strategiatyön avuksi kannattaa ostaa sparrausta. Älä kuitenkaan päästä itsesi liian helpolla ostamalla “valmiin strategian”

• Roadmap- ja projektisuunnitelman voi ostaa kolmannelta osapuolelta – jolla ei ole omaa lehmää ojassa

• Tuote-evaluaatiot kannattaa toteuttaa kolmannella osapuolelle – joka ei edusta jotain tiettyä tuotetta

• Tarjouspyyntöjä tekee kätevimmin osto-ammattilainen

• Järjestelmän implementaatiotyö ostetaan kätevästi kokonaistarjouksena

• Järjestelmän liittyvät spesifiset integraatiotyöt voidaan ostaa erillistoimituksina

Sisäinen työ ei ole Ilmaista.


OSTAMINEN ON HANKALAA

• Määrittele ostoksesi definition-of-done tarkasti – Jokaiselle ostettavalle kokonaisuudelle joudut määrittelemään oman

definition-of-done:n

– Mitä epämääräisempi se on, sitä hankalampi sinun on hyväksyä osatoimituksia tai kokonaisuuksia

– Älä piilota (tai anna toimittajan piilottaa) hankalia harmaita alueita ympäripyöreiden tavoiteasettelujen taakse

• Ostamiseen menee paljon aikaa – käytetty aika korreloi suoraan saatuun lopputulokseen

Haluatko olla oikeassa, vai haluatko toimivan järjestelmän?


OSTAMINEN KANNATTAA

•Ostamalla hyvin voit vähentää omia riskejäsi

•Ostamalla hyvin säästät kaikkien aikaa

•Ostamalla hyvin saat parhaan osaamisen käyttöösi

Käänteisesti?

EXTRA BALL

EXTRA BALL

PIM

• PIMin pitäisi olla olennainen osa IAM-strategiaa – Strategiassa voit myös rajata sen ulos - kunhan perustelet sen

• Voidaan ajatella että IAM:ssä – Ratkaistaan isojen massojen ongelmat ja haasteet

– Kosketellaan pääsynhallinnallisia asioita joihin liittyy rajalliset riskit

• Voidaan ajatella että PIM:issä – Ratkaistaan pienen (ja monesti näkymättömän) piirin ongelmia ja

haasteita

– Kosketellaan pääsynhallinnallisia asioita johon liittyy valtavat valtuudet ja oikeudet ja sen mukana erittäin suuret

RISKIT

EXTRA BALL

…PELIPOM

• Yksinkertaistetusti voidaan sanoa että PIM on paljon teknisempi pelikenttä kuin IAM – Osana strategiaa, mutta erilainen toteutustapa

– Omistajuus sijoittuu IT:hen tai riskienhallintaan tai IT-Riskienhallintaan

• PIMillä yritetään ratkaista sellaisia riskejä, mistä ei tavallisesti edes haluta puhua siksi että asian ratkaiseminen on hankalaa ja kivuliasta – IT-työntekijäriski

– Ulkoistamispartnerin työntekijäriski

– Pilvihallinta Erilainen omistajuus.

YHTEENVETO JA KYSYMYKSIÄ • Hallitse lyhenteesi – hallitse pelikenttäsi • Suunnittele strategia huolellisesti • Suunnittele strategia ymmärrettävästi • Aikatauluta ja rajaa – älä luovu • Minimoi vastustus – jalkauta • Osta hyvin

Thomas Malmberg linkedin.com/thomasmalmberg @tsmalmbe

iam strategia - kompastelematta maaliin

Presentations & Public Speaking