Pk-yrityksen kyberturvallisuustason korottaminen identiteetti- ja pääsynhallintajärjestelmän käyttöönoton avulla

Abstract

Tutkielma tarkastelee, miten identiteetti- ja pääsynhallintajärjestelmän käyttöönotto vaikuttaa suomalaisen pk-yrityksen kyberturvallisuustasoon. Kohteena on pksektori ja esimerkkiyritys, joka nimettiin tässä työssä ACME:ksi. Esimerkkiyrityksen avulla mallinnettiin yleistettävissä oleva käyttöönottoprosessi ja sen vaikutukset organisaatioon. Tutkimusmenetelmänä käytettiin konstruktiivista tutkimusotetta. Taustoittava työ tehtiin kirjallisuuskatsauksena ja työn aikana toteutettiin käytännön käyttöönotto, josta kerättiin havaintoja ja arvioitiin ratkaisun toimivuutta. Tuloksena syntyi vaiheistettu käyttöönottomalli, joka nojaa toimittajariippumattomiin periaatteisiin ja jäsentää etenemisen hankinnasta ja suunnittelusta tuotantoon siirtymiseen ja alkuvaiheen tukeen. Malli korostaa yleisiä IAM-käytänteitä, kuten keskitettyä vahvaa tunnistautumista, todennettavaa jäljitettävyyttä ja ennakoidusti valikoituja käyttöoikeuksia. Esimerkkiyrityksen tapauksessa keskitetty hallinta vähensi manuaalista työtä ja auttoi tunnistamaan omistajattomia käyttäjätunnuksia. Tutkimustulosten määrällinen vahvistaminen jäi aikataulusyistä tutkielman ulkopuolelle. Keskeinen löydös on, että käyttöönottoprosessin vaiheet ovat yleistettävissä eri kokoisiin organisaatioihin, kun ne vaiheistetaan ja pidetään toimittajariippumattomina. Pk-yrityksille suositellaan organisaatiotasoista käyttöönottoprojektin käynnistystä ja riskiperusteista, iteratiivista etenemistä, käyttäen systemaattista dokumentaatiota.

This thesis examines how the implementation of an identity and access management system affects the cybersecurity level of a Finnish small or medium-sized enterprise. The focus is on the SME sector and a case company referred to as ACME. Using the case, the study models a generalizable implementation process and its effects on the organization. The research uses a constructive approach. The background work was carried out as a literature review and during the work, a practical implementation was carried out, from which observations were collected and the functionality of the solution was evaluated. The outcome is a phased implementation model grounded in vendor-agnostic principles that structures the progression from procurement and planning through transition to production and early support. The model emphasizes common IAM practices, including centralized strong authentication, verifiable traceability, and predictively selected authorization decisions. In the case of the example company, centralized management reduced manual work and helped identify ownerless user accounts. Quantitative validation of the research results was outside the scope of the study due to scheduling constraints. The key finding is that the phases of the implementation process are generalizable to organizations of different sizes when they are phased and kept vendor-neutral. For SMEs, the thesis recommends initiating the implementation at the organizational level and advancing in a risk-based, iterative manner with systematic documentation.