Käyttäjäoikeuksien hallinta ei ole vain tekninen yksityiskohta, vaan olennainen osa organisaation riskienhallintaa, tietoturvaa ja toiminnan laatua. Käytettäessä järjestelmää joka sitoo yhteen valtavan määrän arvokasta dataa, on syytä tiedostaa myös tietoturvan merkitys ja väärinkäytösten riskit.
Kohossa käyttäjäoikeuksien hallinta on varsin yksinkertaista, mutta organisaation tarpeet ja erityispiirteet tarvitsee määritellä tapauskohtaisesti. Tässä parhaita käytäntöjä tuon prosessin tueksi.
Tärkeää
Oikeuksia ei tule myöntää varmuuden vuoksi. Ylimääräiset oikeudet lisäävät tietoturvariskejä, virheiden mahdollisuutta ja vaikeuttavat ongelmien jäljittämistä.
Ohjeen sisältö:
Parhaat käytännöt
Roolipohjainen käyttöoikeusmalli (RBAC, Role-Based Access Control)
Roolipohjaisessa mallissa käyttöoikeudet määritetään työnkuvan ja vastuualueen perusteella. Käyttäjiä ei hallita yksittäin, vaan heidät liitetään ennalta määriteltyihin rooleihin, kuten "Myyntiassistentti", "Projektipäällikkö" tai "Palkanlaskija", joille on annettu juuri perusteltu määrä oikeuksia tehtäviensä suorittamiseen.
Ylläpito helpottuu merkittävästi, kun muutoksia tehdään roolitasolla
Kaikki saman tehtävän hoitajat saavat yhtenäiset oikeudet
Tietoon pääsy vain niillä, joille se on tehtävien kannalta välttämätöntä.
Vähimmän oikeuden periaate (Principle of Least Privilege, PoLP)
Tämä periaate tarkoittaa, että käyttäjälle annetaan vain ne oikeudet, jotka ovat välttämättömiä hänen työtehtäviensä suorittamiseen – ei enempää. Periaate tuo sekä turvaa, että selkeyttä.
Esimerkiksi myyjällä ei ole oikeutta hallita käyttäjätilejä tai selata muiden työaikoja.
Tehtävien eriyttäminen (Segregation of Duties, SoD)
SoD-periaate estää yksittäistä käyttäjää hallitsemasta koko liiketoimintaprosessia alusta loppuun – näin ehkäistään väärinkäytöksiä ja huijausyrityksiä. Esimerkiksi sama henkilö ei saa luoda ja hyväksyä ostolaskuja tai käsitellä ja maksaa palkkoja.
Käytännön esimerkki:
Käyttäjä A luo ostotilauksen
Käyttäjä B tarkastaa sen
Käyttäjä C hyväksyy sen maksuun.
Käyttöoikeuksien säännöllinen tarkastelu ja elinkaaren hallinta
Käyttöoikeudet ovat pitkäikäisiä, mutta eivät ikuisia – työntekijöiden roolit muuttuvat, uusia henkilöitä palkataan ja työsuhteita päättyy. Käyttöoikeuksien hallinta tulee nähdä jatkuvana elinkaarena.
Myöntäminen: Vain hyväksytyn prosessin kautta
Muutokset: Dokumentoidaan ja perustellaan
Poistaminen: Tehdään heti, kun oikeuksia ei enää tarvita – esimerkiksi roolin vaihtuessa tai työsuhteen päättyessä.
Suositeltavaa on suorittaa käyttöoikeustarkastelu vähintään neljännesvuosittain sekä aina merkittävien muutostilanteiden yhteydessä. Kaikki oikeudet, muutokset ja perustelut tulee dokumentoida läpinäkyvästi, mikä helpottaa auditointia ja sisäistä valvontaa.
Älä ahdistu kontrollista!
Dokumentointi, prosessit ja perustelut voivat kuulostaa raskailta, mutta yksinkertaisimmillaan puhutaan hyvin pienistä teoista. Tekstin määrää tärkeämpää on, että osalliset saadaan samalle sivulle, ja että muutoksista jää jonkinlainen jälki.
Roolien määrittely Kohossa
Käyttäjäprofiilejä päästään ylläpitämään polusta Asetukset - Käyttäjät - Profiilit. Ja uusia voidaan luoda painamalla tämän jälkeen vielä Profiili painiketta.
Profiilille on mahdollista määritellä kymmenittäin erillisiä oikeuksia ja asetuksia. Tässä kohtaa onkin erityisen hyödyllistä miettiä juuri välttämättömyyttä. Etsitään ja määritellään ne kohdat, mitä kyseisessä tehtävässä tarvitaan ja kielletään loput.
.png)
Mikäli sinulla herää kysymyksiä, voit olla yhteydessä Kohon asiakaspalveluun sähköpostitse osoitteessa: asiakaspalvelu@kohosales.com, voit myös halutessasi jättää arvostelun artikkelille alapuolelta.