Hvilke medarbejdere har adgang til forretningskritiske data i jeres organisation?

De fleste af os har nok oplevet at løbe panden i en mur, når vi har prøvet at tilgå et fællesdrev, en mappe, en gruppe eller et dokument, fordi vi ikke har haft den tilstrækkelige adgang. Det er typisk en god ide, for det er sjældent hensigtsmæssigt, at alle medarbejdere har adgang til alt i en organisation.

I stedet handler det om at sikre, at de rigtige mennesker har adgang til de rigtige ting på de rigtige tidspunkter. Og derfor er det afgørende at have styr på medarbejdernes digitale identitet i sin egen organisation, for ellers kan det hurtigt koste dyrt. Især fordi det ikke nødvendigvis er noget, man automatisk opdager.

Det siger Anders Ahlgreen Pedersen, som er Manager of Security and Network i KMD.

”Ofte ved man måske slet ikke, at en medarbejder har adgang til for meget data, i forhold til hvad han burde have. Men hvis den samme medarbejder fx fratræder og har adgang til hele kundekartoteket og alle kontrakter, så kan han gå til en konkurrerende virksomhed og arbejde videre med de samme kunder – og hvis du ikke vidste det, dengang han var ansat, så ved du det jo heller ikke senere,” forklarer Anders Ahlgreen Pedersen.

”Derfor bør enhver organisation af en hvis størrelse have styr på medarbejdernes adgang – eller hvad vi kalder identitetsstyring eller Identity Management - så medarbejderne kun har adgang til de rigtige dele af ens it-systemer. Det kræver styr på både lovgivning og sikkerhed, så man både kan give rettigheder til de rigtige personer, men ikke mindst får frataget rettighederne, hvis folk forlader virksomhederne eller får en anden rolle i virksomheden,” siger han.

Handler både om sikkerhed og lovgivning

Udfordringen kan løses på forskellige niveauer, men bliver ofte håndteret ved hjælp af et stykke Identity Management-software, som fx bliver integreret med organisationens HR- og lønsystem. På den måde kan man tildele de korrekte rettigheder, når folk bliver oprettet i systemet eller får nyt job med nye eller færre rettigheder.

”Det er ikke mindst relevant nu, hvor der er meget fokus på GDPR, og man faktisk er tvunget til at kunne dokumentere, hvem der har adgang til hvad, hvem der har godkendt denne adgang, og hvornår det senest er evalueret. Så at have styr på sin identitetsstyring er god praksis for it-sikkerhed og er også et krav, hvis man fx er ISO-27000-certificeret,” siger Anders Ahlgreen Pedersen.

”Hvis man bruger et Identity Management-værktøj til at håndtere det, skal man dog stadig have styr på sine processer. For værktøjet er ikke nødvendigvis bedre end dine processer. Når tingene bliver dagligdag, og organisationen vokser, kan det hurtigt komme ud af kontrol, hvem der har adgang til hvad. Derfor skal man have fastsat de rigtige procedurer, så systemet kan støtte op omkring behovet for en fornuftig identitetsstyring,” siger han.

Problemerne ved en for generøs tildeling af rettigheder opstår typisk, når medarbejdere forlader en virksomhed eller myndighed. Men problemerne kan bestemt også opstå, hvis en medarbejder misbruger sin adgang til for mange informationer til egen vinding.

”Det er jo sjældent et problem, når man er en lille virksomhed med tre medarbejdere, og alle ved hvem alle er. Men efterhånden som organisationen vokser, bliver tingene dagligdag. Og så er der også lige en ny medarbejder, der får adgang til alt, og så kommer der en praktikant i et halvt år og to studentermedhjælpere, og så kører det bare, så vokser tingene. Og lige pludselig har man ingen kontrol med, hvem der har adgang til hvad,” siger Anders Ahlgreen Pedersen.

”Første skridt er derfor at få styr på sine processer og regler for, hvordan og hvorfor man tildeler rettigheder. Hvis man er en lille organisation, investerer man måske ikke i et Identity Management-system som skridt to, men på et tidspunkt bliver det for komplekst at håndtere uden, når man både skal have fokus på sikkerhed og lovgivning, og så bør man sikre sig det værktøj,” siger han.