Yrityspetokset identiteetinhallinnan vaatimusten taustalla

2000-luvun  alkupuolella selvisi joukko suuria yrityspetoksia (mm. Enron, Tyco International, WorldCom), joiden seurauksena säädettiin Sarbanes-Oxley Act (SOX) –laki. Vuonna 2002 Yhdysvalloissa voimaan tullut laki sisälsi tiukkoja vaatimuksia, joiden avulla pyrittiin estämään yrityksien tietojärjestelmien avulla tapahtuvia taloudellisia petoksia. Petoksissa onnistuttiin suurilta osin yritysten sisäisen valvonnan heikkouksien vuoksi. 

SOX:n vaatimuksista johtuen yrityksissä on tiedettävä:

• Kuka heidän järjestelmiään käyttää.
• Milloin järjestelmiin on kirjauduttu sisään ja ulos.
• Mitä järjestelmissä on tehty.
• Mitä muutoksia on tapahtunut.
• Millä valtuuksilla järjestelmiä on käytetty.
• Kuka valtuudet on myöntänyt. 

SOX:n vaatimukset Propentuksen United Identity -kokonaisuuden taustalla

Propentus United Identity –järjestelmän ensimmäinen versio kehitettiin vuonna 2004 yhdessä globaalin asiakkaamme kanssa, joka joutui huomioimaan SOX:n vaatimukset liiketoiminnassaan. Kehitystyön lähtökohtana pidettiin liiketoimintaprosesseja, joita järjestelmän oli tuettava. Tiivistettynä vaatimukset olivat seuraavat:

• Yrityksillä tulee olla kattava prosessi tietojärjestelmien käyttöoikeuksien valvontaan sekä hallintaan, ja käyttöoikeuksien tarkastaminen täytyy suorittaa säännöllisesti.
• Yrityksillä tulee olla tehokas ja turvallinen prosessi henkilöiden käyttöoikeuksien myöntämiseen ja poistamiseen.
• Yritysten on pystyttävä varmistamaan sen, että arkaluontoiseen tietoon on pääsy vain henkilöillä, joilla on käyttöoikeudet.

SOX-laki sisältää 11-kohtaisen säännöstön mm. yritysten johdon vastuista ja velvollisuuksista sekä lain rikkomisesta seuraavista rangaistuksista. Erityisesti laki velvoittaa yhtiöiden johtoa luomaan ja ylläpitämään tehokasta sisäistä valvontaa, joka vaikuttaa suoraan tietojärjestelmien käyttöoikeuksien hallinnan tehostamiseen.