3 tips til at lave en politik for adgangsstyring

Senest opdateret d. 18. marts 2021

Databeskyttelse er afgørende for organisationens sikkerhed og succes. Den beskyttelse begynder med adgangskontrol. Vi giver dig 3 områder, som du ikke må overse, når du definerer din politik for adgangsstyring. 

Hackerangreb, datalæk, phishing, malware og ransomware. Der er nok at bekymre sig om i det nuværende cybertrusselslandskab. For offentlige såvel som private organisationer – og for organisationer af alle størrelser.

Netop derfor er databeskyttelse så afgørende – og det kræver en officiel databeskyttelsesstrategi. Men en god databeskyttelsesstrategi handler ikke blot om at kryptere information og håbe på det bedste. Den står og falder med en separat politik for adgangsstyring.

Næsten alle applikationer kræver en eller anden form for adgangs- eller autoriseringskontrol. Adgangskontrol drejer sig om at afgøre legitime brugeres tilladte aktiviteter i et system og deres adgang til specifikke ressourcer. I nogle systemer kan brugeren få fuld adgang så snart vedkommende er autentificeret, mens andre systemer har en mere kompleks kontrolmekanisme.

Læs også > 4 tips til at beskytte dine medarbejdere fra deres hjemmearbejdsplads

Adgangskontrollen og autorisationsprincipperne skal struktureres. Her er der flere måder at gøre det på. På den ene side kan man vælge at autorisationen skal spejle organisationsstrukturen, så en specifik placering i organisationshierarkiet giver en specifik adgangssammensætning. På den anden kan man vælge at implementere en mere nuanceret struktur, hvor adgang tildeles baseret på datasensitivitet.

Det er blandt andet det, der skal defineres i jeres politik for adgangsstyring.

Men hvad er en adgangsstyringspolitik?

En politik for adgangsstyring – eller en adgangspolitik – definerer kriterierne for at få adgang til en it-service. I mange organisationer er den en del af informationssikkerhedspolitikken. Det er det dokument, der udstikker overordnede krav og målsætninger for organisationens håndtering af informationssikkerhed. Den består af retningslinjer, forretningsgange, instrukser og beskrivelser af sikkerhedsforanstaltningerne.

Adgangspolitikken beskriver betingelserne for at udføre en eller flere funktioner i organisationens it-systemer og for at få adgang til en afgrænset mængde informationer i en tjeneste. Politikken specificerer hvordan adgange administreres, hvem der har adgang til systemer og under hvilke omstændigheder. Adgange kan f.eks. tildeles til medarbejdere og andre it-brugere på baggrund af organisatoriske placeringer. De kan også tildeles på bagrund af anciennitets- og autoritetsniveau eller kompetenceniveau.

Derfor er det afgørende at have en politik for adgangsstyring

Ingen medarbejdere har behov for adgang til samtlige data, der opbevares i en organisation. Derfor skal adgangsstyring og adgangskontrol i forbindelse med data og ressourcer være en del af enhver databeskyttelsespolitik.

Læs også > Derfor er automatiseret adgangsstyring smart

Kernen i god politik for adgangsstyring er, at kun de it-brugere, der har behov for adgang til dataene i forbindelse med deres arbejdsopgaver, skal tildeles de adgange. Dermed reducerer man markant risikoen for, at de potentielt sensitive data misbruges af andre brugere.

At opretholde datasikkerheden er dog en tilbagevendende opgave. Det betyder, at organisationen løbende skal genevaluere tildelte adgange for at være sikker på, at der stadig er behov for dem. Især hvis der er tale om (person)følsomme data. For eksempel kan det være relevant at evaluere privilegerede brugeres adgange flere gange årligt, da der typisk er tale om, at de har adgang til særlig forretningskritisk data.

3 områder du ikke må overse, når du definerer en politik for adgangsstyring

Hvor starter man, når man vil definere sin adgangspolitik? Et godt bud er at reflektere over og inkludere de tre områder nedenfor i politikken.

  1. Definer principperne, som organisationen skal tildele adgange ud fra
    Overvej ud fra hvilke principper organisationen skal tildele adgange til it-ressourcerne. Her kan en god rettesnor være at tildele adgange ud fra et stærkt need-to-have-princip, der giver brugerne så få adgange som overhovedet muligt. Dermed får brugerne adgang til de data og ressourcer, de skal bruge for at leve op til deres ansvarsopgaver – og ikke flere end dem.
  2. Definer så vidt muligt udløbsdatoer for adgangene
    Overvej hvor længe adgange skal være aktive. Der skal være klare processer for deaktivering af f.eks. midlertidige gæsteadgange, når de ikke længere er relevante. Det samme gælder for vikariater og andre midlertidige ansættelser.
  3. Definer processerne for adgangsevaluering
    Overvej hvor ofte, organisationen skal evaluere adgangene. Evalueringen forhindrer, at der opstår unødig adgangsophobning, at de forkerte har privilegeret adgang eller administratorrettigheder, og at ingen brugere, der burde være deaktiverede, stadig er aktive.

Sådan håndhæver du lettest din politik for adgangsstyring

Der er flere måder, du kan håndhæve din organisations politik for adgangsstyring på. Fælles for dem alle er dog, at det kræver et samlet overblik over alle forretningssystemer, deres sikkerhedsniveau og deres systemejere. Herudover skal der være formelle procedurer og instruktioner til hvert it-system, der dækker praksis for brugeradministrationen i det specifikke system. Det omfatter f.eks. processerne for oprettelse af brugerprofiler i systemet, hvordan profiler autoriseres og tildeles rettigheder, hvordan rettighederne evalueres, og hvordan de slettes igen, når det bliver nødvendigt.

Læs også > Det mener vi, når vi siger brugerstyring

Den gennemsnitlige virksomhed har dog virkelig mange forretningsapplikationer implementeret, og når adgangsstyringspolitikken skal håndhæves i dem alle sammen, bliver det en næsten umulig opgave, hvis det skal foregå manuelt.

Den letteste genvej til at systematisere arbejdet med adgangsstyring er at implementere en identitets- og adgangsstyringsplatform. Også kendt som en Identity and Access Management-platform. Det vil gøre det langt lettere at implementere og håndhæve politikken for adgangsstyring i praksis.

Med en sådan platform bliver det muligt f.eks. at implementere rollebaseret adgangskontrol, så it-brugerne får adgang til netop de systemer og data, der matcher deres rolle i organisationen. Adgangstildelingen til systemerne automatiseres og så snart en it-bruger ikke længere har behov for en specifik adgang, nedlægges den automatisk af platformen. Via en identitets- og adgangsstyringsløsning vil it-brugerne have en samlet identitet, som gør det muligt at spore deres handlinger på tværs af samtlige systemer og applikationer.

Er du nysgerrig på, hvordan identitets- og adgangsstyring kan fungere i praksis? Så klik på banneret nedenfor for at se demovideoen af 2ndC Compliance Suite.

Seneste blogindlæg

Se, hvordan 2ndC Compliance Suite konkret kan hjælpe din organisation i forhold til onboarding og offboarding. Lær også hvordan du let kan administrere adgangen til jeres it-ressourcer.

Se demovideo
Klar til en snak?

Ring til os på +45 3164 3434

Du kan også udfylde felterne herunder, så kontakter vi dig hurtigst muligt: