Käyttöoikeushallintaprosessin kehittäminen Vantaan kaupungin organisaatiossa: tapaustutkimus
Guday, Tewodros (2012)
Guday, Tewodros
Laurea-ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012121219269
https://urn.fi/URN:NBN:fi:amk-2012121219269
Tiivistelmä
Tämän tutkimuksen kohde on selvittää nykyisen käyttäjätunnus- ja käyttöoikeushakuprosessin tuntemusta esimiesten keskuudessa Vantaan kaupungilla. Tarkoituksena on erityisesti tutkia sitä, minkälaisia käsityksiä esimiehillä on käyttöoikeuksien hausta alaisilleen. Työn aihealue on rajattu organisaation käyttäjätunnus- ja käyttöoikeushakuprosessin tuntemukseen, sekä sen puutteista johtuviin tietoturva-aukkoihin, sekä prosessin kehittämiseen.
Tutkimuksen lähtökohta on vuoden 2011 keväällä Vantaan kaupungin sisäisen tarkastuksen suorittama tarkastus merkittävimpien tietojärjestelmien käyttäjähallinnassa. Tarkastukses-sa havaittiin, että esimiehillä ei välttämättä aina ole riittävää tietoa, siitä kuinka laajoja käyttöoikeuksia heidän alaisillaan on eri järjestelmiin. Samaan aikaan Vantaan kaupungilla oli vireillä käyttäjähallinnan (IDM) Identity Management kehittämishanke, jonka kohdealueena oli mm. keskitetty käyttäjähallintajärjestelmä ja kertakirjautumisratkaisu. Hankkeessa todettiin tarpeelliseksi muun muassa käyttäjähallinnan ja käyttöoikeuksienhallinnan sekä niihin liittyvien prosessien kehittäminen.
Tutkimuksen pääkysymys on: Miten käyttäjätunnuksien ja käyttöoikeuksien haku- ja käsittelyprosessi tunnetaan? Tutkimuksen osatavoite on todeta mitkä asiat ovat epäselviä ja mitä erityishaasteita on käyttäjätunnuksien- ja käyttöoikeuksien haku- ja käsittelyprosessissa.
Tutkimus toteutettiin tapaustutkimuksena (Case Study Research Analysis). Suunnittelutieteellistä tutkimusmetodologian käytön tavoitteena on luoda tietämystä ja suunnittelua käytännön toteutuksessa järjestelmää kehitettäessä (Design Science Research). Tutkimus tehtiin lähettämällä esimiehille tutkimuskysely ja haastattelemalla organisaation merkittävien järjestelmien pääkäyttäjiä eri toimialoilta. Lisäksi käytettiin käyttäjätunnuksia koskevaa, taustajärjestelmästä saatua tilastollista tietoa. Tutkimuskysely, haastattelut ja tilastoaineiston kokoaminen toteutettiin vuosien 2011 – 2012 aikana. Tietojärjestelmäkehittämiä tutkittaessa on käsitelty vaiheistus- ja elinkaarimalleja tietojärjestelmäkehitykselle ja – toteutukselle. Tutkimuksessa analysointiyksikkö oli näyttö esimiesten käyttäjähallintaprosessin tuntemuksesta.
Tutkimustulos osoitti, että käyttöoikeuksin merkitys ja sisältö tulisi kuvata aiempaa parem-min ja ymmärrettävämmin esimiehille. Esimiesten on tiedettävä mikä on heidän alaisilleen hakemiensa käyttöoikeuksien laajuus, niiden mahdollistamat toiminnat ja soveltuvuus suhteessa alaisen työtehtäviin sekä kuka on yhdyshenkilö käyttöoikeuksien asioissa. Esimiehen tietämättömyys alaisten käyttöoikeuksia arvioitaessa ja haettaessa saattaa vaarantaa organisaation tietoturvaa sekä hidastaa käyttöoikeuksien haku- ja käsittelyprosessia.
Kehitystoimenpiteenä tutkimuksesta saatujen tulosten pohjalta on esitetty organisaatiolle käyttöoikeushakemusprosessin kehittämistä ja uusia tapoja, joilla voidaan esittää käyttöoikeuksien sisältö esimiehelle ymmärrettävällä tavalla. Tutkimuksella on merkitystä siten, että saatujen tuloksia hyödyntämällä voidaan parantaa käyttäjätunnus- ja käyttöoikeushakuprosessia sekä kiinnittää huomiota esimiesten ymmärryksen syventämiseen käyttöoikeuksien sisällöstä ja laajuudesta. Tutkimus parantaa organisaation tietoturva huomattavasti.
Tutkimuksen lähtökohta on vuoden 2011 keväällä Vantaan kaupungin sisäisen tarkastuksen suorittama tarkastus merkittävimpien tietojärjestelmien käyttäjähallinnassa. Tarkastukses-sa havaittiin, että esimiehillä ei välttämättä aina ole riittävää tietoa, siitä kuinka laajoja käyttöoikeuksia heidän alaisillaan on eri järjestelmiin. Samaan aikaan Vantaan kaupungilla oli vireillä käyttäjähallinnan (IDM) Identity Management kehittämishanke, jonka kohdealueena oli mm. keskitetty käyttäjähallintajärjestelmä ja kertakirjautumisratkaisu. Hankkeessa todettiin tarpeelliseksi muun muassa käyttäjähallinnan ja käyttöoikeuksienhallinnan sekä niihin liittyvien prosessien kehittäminen.
Tutkimuksen pääkysymys on: Miten käyttäjätunnuksien ja käyttöoikeuksien haku- ja käsittelyprosessi tunnetaan? Tutkimuksen osatavoite on todeta mitkä asiat ovat epäselviä ja mitä erityishaasteita on käyttäjätunnuksien- ja käyttöoikeuksien haku- ja käsittelyprosessissa.
Tutkimus toteutettiin tapaustutkimuksena (Case Study Research Analysis). Suunnittelutieteellistä tutkimusmetodologian käytön tavoitteena on luoda tietämystä ja suunnittelua käytännön toteutuksessa järjestelmää kehitettäessä (Design Science Research). Tutkimus tehtiin lähettämällä esimiehille tutkimuskysely ja haastattelemalla organisaation merkittävien järjestelmien pääkäyttäjiä eri toimialoilta. Lisäksi käytettiin käyttäjätunnuksia koskevaa, taustajärjestelmästä saatua tilastollista tietoa. Tutkimuskysely, haastattelut ja tilastoaineiston kokoaminen toteutettiin vuosien 2011 – 2012 aikana. Tietojärjestelmäkehittämiä tutkittaessa on käsitelty vaiheistus- ja elinkaarimalleja tietojärjestelmäkehitykselle ja – toteutukselle. Tutkimuksessa analysointiyksikkö oli näyttö esimiesten käyttäjähallintaprosessin tuntemuksesta.
Tutkimustulos osoitti, että käyttöoikeuksin merkitys ja sisältö tulisi kuvata aiempaa parem-min ja ymmärrettävämmin esimiehille. Esimiesten on tiedettävä mikä on heidän alaisilleen hakemiensa käyttöoikeuksien laajuus, niiden mahdollistamat toiminnat ja soveltuvuus suhteessa alaisen työtehtäviin sekä kuka on yhdyshenkilö käyttöoikeuksien asioissa. Esimiehen tietämättömyys alaisten käyttöoikeuksia arvioitaessa ja haettaessa saattaa vaarantaa organisaation tietoturvaa sekä hidastaa käyttöoikeuksien haku- ja käsittelyprosessia.
Kehitystoimenpiteenä tutkimuksesta saatujen tulosten pohjalta on esitetty organisaatiolle käyttöoikeushakemusprosessin kehittämistä ja uusia tapoja, joilla voidaan esittää käyttöoikeuksien sisältö esimiehelle ymmärrettävällä tavalla. Tutkimuksella on merkitystä siten, että saatujen tuloksia hyödyntämällä voidaan parantaa käyttäjätunnus- ja käyttöoikeushakuprosessia sekä kiinnittää huomiota esimiesten ymmärryksen syventämiseen käyttöoikeuksien sisällöstä ja laajuudesta. Tutkimus parantaa organisaation tietoturva huomattavasti.