Ads 468x60px

tiistai 24. huhtikuuta 2012

IAM hankkeissa on syytä ottaa huomioon GRC:n vaatimustenmukaisuus ja IAG:n tuomat mahdollisuudet

Monessa organisaatiossa on tällä hetkellä IAM-hanke (Identity and Access Management) käynnistymässä, käynnistynyt tai päättynyt. IAM-hankkeissa on syytä ottaa huomioon että identiteetin- ja käyttövaltuushallintaan liittyy yhä enemmän myös raportointivelvollisuuksia ja hyvän hallinnon vaatimuksia sisäisten ohjeistusten ja ulkoisten standardien myötä – kuten esim. Valtionhallinon VAHTI-ohje, korttimaailman PCI-DSS ja finanssimaailman Basel II. IAM kuuluu tästä syystä osaksi organisaation omaa GRC:ta (Governance, Risk & Compliance), joka on mahdollisesti myös alun perin käynnistänyt koko IAM-hankkeen organisaatiossa.

Maailmalla on tullut yhä enemmän tavaksi liittää IAM:ää olennaiseksi osaksi GRC:ta, ja tätä lähestymistä kutsutaan IAG:ksi (Identity & Access Governance). IAG:ta helpottamaan voidaan lisäksi integroida IAI:ta (Identity & Access Intelligence). IAM on siis hyvä olla osana GRC:ta ja toisaalta IAM luo velvollisuuksia GRC:n suhteen.

Mutta, perinteiset IAM-toimittajat - joitakin lukuun ottamatta - eivät ole vielä ainakaan isommassa mittakaavassa Integroineet GRC:tä osaksi IAM-ratkaisujaan, eli lisänneet tai laajentaneet ratkaisuja IAG-ominaisuuksilla. Joissain ratkaisuissa on esim. IAG raportointivalmius olemassa, mutta tiedonkeruu raportointia ajatellen ei onnistu. Toisissa sitten tiedonkeruu onnistuu, mutta raportointisovellus puuttuu. Muutamissa IAM-ratkaisuissa on jo täysiverinen tuki IAG:lle, mutta mahdollisesti itse projektissa ei ole otettu IAM-hanketta GRC:n näkökulmasta huomioon ja sitä kautta ottanut IAG-ominaisuudet käyttöön.

On kuitenkin selvää, että identiteetin- ja käyttövaltuustiedon kerääminen (data mining) eri sovelluksista ja järjestelmistä ja sen tallentaminen erilliseen ns. identiteetti-tietovarastoon (Identity Data Warehouse) on haasteellinen tehtävä. Näistä tiedoista pitäisi koostaa järkevän muotoista ja vaatimustenmukaista raporttia esim. IT-tarkastukselle kuukausittain. Tästä syystä löytyykin jo pieni valikoima eri toimittajien puhtaasti IAG-lähtöisiä ratkaisuja joita käytetään täydentämään nykyisiä IAM-ratkaisuja. Myös perinteiset IAM-toimittajat ovat kehittämässä IAG-toiminnallisuuksia nykyisiin ratkaisuihinsa.

Gartner on hiljattain julkaissut ensimmäisen "Magic Quadrant for Identity and Access Governance" jossa se ennustaa IAG:n olevan IAM-hankkeiden nopeiten kasvava markkinasektori. Lähitulevaisuus IAM alueella on siis erittäin mielenkiintoinen. IAM-pelikenttä laajenee sekä uusien ominaisuuksien että uusien toimittajien myötä ja ostajan pitää olla entistä valppaampi siitä, mikä on lähtökohtainen IAM:n tarve, mikä on GRC:n vaatimukset ja mitä on tarjolla esim. IAG:n suhteen.

Ei kommentteja:

Lähetä kommentti