Miten lasken pääsynhallinnan arvon?

19.04.2018
Pekka Lindqvist

Identiteetin- ja pääsynhallinta (IAM) on nykyään lähes pakollinen hankinta keskisuurissa ja suurissa organisaatioissa. Oli järjestelmäsi sitten perinteisiä tai SaaS-pohjaisia tarvitsee organisaatio turvallisen, mutta joustavan pääsynhallinnan.

Miten määrittää pääsynhallinnan arvo? Monesti näitä laskelmia tehdään ”hihasta vetämällä”. Tässä blogitekstissä on tarkoitus syventyä, miten saadaan suoria kustannussäästöjä pääsynhallinnalla. Esimerkkilaskelmassa on käytetty ”mukavaa” tasalukua, jossa on 1000 työntekijää ja 10 useimmiten käytettyä sovellusta.

Huomaa, että sinun kannattaa itse selvittää oman alasi luvut esimerkiksi Kuppinger-Colen, Gartnerin tai Forresterin raporteista. Tärkeää on keskittyä ratkaisutapaan, ei lukuihin.

Pääsynhallinta

Pääsynhallinnalla on 5 keskeistä tehtävää:

  • Hallita todennuksen edellyttämää lisätyötä
  • Tarjota todennusväylä
  • Mahdollistaa todennuksen hallinnointi
  • Tehdä käytönvalvonnasta pakollista
  • Todennuksen edellyttämä lisätyö

Jokainen tietää, että kirjautuminen useisiin järjestelmiin on vaivalloista, virheitä syntyy ja oikean tunnusparin muistaminen ei aina ole helppoa. Vielä kukaan ei ole keksinyt mittaria millä mitata turhautumisen määrää, niin voimme keskittyä mittaamaan ja laskemaan paljonko kustannuksia säästyy, kun salasanan vaihtaminen helpottuu kertakirjautumisen avulla (Single-Sign-On, SSO).

Tämä laskelma perustuu seuraaviin oletuksiin:

  • Käyttäjätunnuksen/salasanana kirjoittamiseen menee keskimäärin 10 sekuntia
  • Vuodessa on 220 työpäivää
  • Työntekijän tuntikustannus on keskimäärin 33,20 euroa
  • Kertakirjautumisen oletetaan säästävän kuusi kirjautumista päivässä

Päivässä säästyy siis 6x10 (60 sekuntia) eli 220 minuuttia vuodessa. Työntekijää kohden säästyy 220/60 x 33,20 = 121,73 euroa vuodessa. Kun kerrot tämän 1000 työntekijällä, tulokseksi saadaan 1000 x 121,73 = 121 733,33 euroa vuodessa!

Asiakkaiden pääsynhallinnassa todennuksen edellyttämä lisätyö on vieläkin tärkeämpää, ja A/B-testaus on ainoa tapa millä mitata tätä tarkasti. Voin kuitenkin mainita kaksi mielenkiintoista havaintoa, jotka antavat käsityksen asian tärkeydestä.

Amazon sai selville, että 100ms:n viive pienensi liikevaihtoa 1%

Google sai selville, että 500ms:n viive vähensi liikennettä 20%

Todennusväylä

Pääsynhallinnan ongelmat ovat paljon pienempiä nykypäivän sovelluksilla, jotka tukevat uusia todennusprotokollia, kuten SAML ja Kerberos. Kannattaa silti huomioida muutamat seikat:

  • Miten eri SSO-protokollat yhdistetään saumattomaksi käyttäjäkokemukseksi?
  • Miten perinteiset sovellukset saadaan kertakirjautumisen piiriin ilman merkittävää lisätyötä ja jatkuvaa ylläpitoa?
  • Miten todennus voidaan lisätä API-rajapintoihin skaalautuvalla ja ylläpidettävällä tavalla?

Arvon laskemiseen liittyy seuraavat näkökulmat:

  • SSO-tuen lisääminen perinteiseen sovellukseen – aiemman ratkaisun tuottama arvo
  • Uusien tai muutettujen palvelujen markkinoille tuonnin nopeuttaminen – liian ”hankala” asia kvantifioitavaksi.
  • Kehitys- ja ylläpitokustannusten pieneneminen
  • VPN- tai taustajärjestelmän salausprotokollien päivitystarpeen väheneminen

Normaalisti käyttäisin alan yleisiä ESB-väylään (enterprise service bus) liittyviä säästöarvioita, mutta monet standardipohjaiset todennusprotokollat ja -menetelmät, joita käytetään mahdollistamaan takautuva yhteensopivuus (tunnistetietojen lisäys, lomakkeiden täyttö, tietojen luku näytöstä jne.) kasvattavat säästöjä merkittävästi.

Arvolaskelmat perustuvat seuraaviin oletuksiin:

Sovelluskohtaisen todennusratkaisun toteuttamiseen ja testaukseen keskimäärin kuluva aika:

Yksinkertainen: 100 tuntia, normaali: 200 tuntia ja vaativa: 600 tuntia.

  • Sovelluskehityksen ja testauksen keskimääräinen hinta on noin 60 euroa tunnissa
  • 10 sovellusta – viisi yksinkertaista, kolme normaalia ja kaksi vaativaa. Toteutus vie keskimäärin 230 tuntia
  • Nykyaikaisen pääsynhallintatyökalun käyttö säästää 95% kehityskustannuksista
  • Erityisratkaisun ylläpitokustannusten osuus on 30% ja väyläratkaisun 20%

Niinpä kehitysmenojen kertaluontoiseksi säästöksi tulee

10 x 230 x 95% x 60 €  = 131 100 € ja vuosisäästöksi 40 020 €

Erityisratkaisu: 10 x 203 x 60€ x 30 % = 41 400 €

Todennusväylä: 10 x 203 x (1-95%) x 60 €x 20% = 1380 €

Nämä säästöt ovat tärkeitä niin perinteisen sovellusten kuin eri todennusprotokollien (ja versioitten!) integroimisessa saumattomaksi ja turvalliseksi kokonaisuudeksi. Asia voi olla tärkeä, kun protokollaan tulee suojauspäivitys, joka voidaan ottaa hetkessä käyttöön pääsynhallintakerroksessa, minkä jälkeen suojatut resurssit voidaan päivittää rauhallisemmassa tahdissa.

Todennuksen hallinnointi

Todennuksen hallinnoinnilla pyritään varmistamaan, että käytettävät todennusmenetelmät perustuvat käyttäjän tai sovelluksen riskin suuruuteen. Tämän arvo voidaan laskea vertaamalla tietomurron vuotuista todennäköisyyttä sen vaikutukseen sovellukseen tai käyttäjään. Käsittelen tätä asiaa yksityiskohtaisemmin myöhemmässä, hallinnointia koskevassa blogikirjoituksessa.

Käytönvalvonta

Käytönvalvonta kuuluu todennuksen hallinnointiin siinä mielessä, että sillä joko sallitaan tai estetään käyttäjän todentaminen sovelluksessa. Siksi siihen käytetään samaa laskentatapaa.

Lopullinen arvo

Edellä olevasta nähdään, että pääsynhallinta tuottaa yli 160 000 €:n mitattavan kustannussäästön tälle kuvitteelliselle yritykselle vuodessa.

Tämä ei sisällä epäsuoria hyötyjä, kuten turvallisuuden yleistä paranemista, entistä tyytyväisempää henkilökuntaa tai palveluiden tai tuotteiden markkinoille saamisen nopeutumista.

Seuraavassa blogikirjoituksessani tarkastellaan identiteettien hallinnan arvon mittaamista. Jos kirjoitus herätti ajatuksia, ole meihin yhteydessä!

Tutustu Access Manager materiaaleihin

Salasanaviidakko ei palvele ketään! Käyttäjä haluaa yhden tunnuksen

Tilaa uutiskirjeemme  tästä

Tämä blogi on saanut inspiraation Microfocus.com blogista, jonka olemme lokalisoineet lukijoillemme. Keskituntihinta perustuu Eurostatin tilastoon.