
Nyheder
3 tips til at lave en politik for adgangsstyring
Databeskyttelse er afgørende for organisationens sikkerhed og succes. Den beskyttelse begynder med adgangskontrol. Vi giver dig 3 områder, som du ikke må overse, når du definerer din politik for adgangsstyring.
Hackerangreb, datalæk, phishing, malware og ransomware. Der er nok at bekymre sig om i det nuværende cybertrusselslandskab. For offentlige såvel som private organisationer – og for organisationer af alle størrelser.
Læs også > De 9 mest bemærkelsesværdige datalæk i 2018
Netop derfor er databeskyttelse så afgørende – og det kræver en officiel databeskyttelsesstrategi. Men en god databeskyttelsesstrategi handler ikke blot om at kryptere information og håbe på det bedste. Den står og falder med en separat politik for adgangsstyring.
Men hvad er en adgangsstyringspolitik?
En politik for adgangsstyring – eller en adgangspolitik – definerer kriterierne for at få adgang til en it-service. I mange organisationer er den en del af informationssikkerhedspolitikken, som er det dokument, der udstikker overordnede krav og målsætninger for organisationens håndtering af informationssikkerhed. Den består af retningslinjer, forretningsgange, instrukser og beskrivelser af sikkerhedsforanstaltningerne.
Adgangspolitikken beskriver betingelserne for at udføre en eller flere funktioner i organisationens it-systemer og for at få adgang til en afgrænset mængde informationer i en tjeneste.
Derfor er det afgørende at have en politik for adgangsstyring
Ingen medarbejdere har behov for adgang til samtlige data, der opbevares i en organisation. Derfor skal adgangsstyring og adgangskontrol i forbindelse med data og ressourcer være en del af enhver databeskyttelsespolitik.
Kernen i god politik for adgangsstyring er, at kun de it-brugere, der har behov for adgang til dataene i forbindelse med deres arbejdsopgaver, skal tildeles de adgange. Dermed reducerer man markant risikoen for, at de potentielt sensitive data misbruges af andre brugere.
Læs også > 5 tegn på, at du har lukket øjne og ører for insidertruslen
At opretholde datasikkerheden er dog en tilbagevendende opgave. Det betyder, at organisationen løbende skal genevaluere tildelte adgange for at være sikker på, at der stadig er behov for dem. Især hvis der er tale om (person)følsomme data. For eksempel kan det være relevant at evaluere privilegerede brugeres adgange flere gange årligt, da der typisk er tale om, at de har adgang til særlig forretningskritisk data.
3 områder du ikke må overse, når du definerer en politik for adgangsstyring
Hvor starter man, når man vil definere sin adgangspolitik? Et godt bud er at reflektere over og inkludere de tre områder nedenfor i politikken.
- Definer principperne, som organisationen skal tildele adgange ud fra
Overvej ud fra hvilke principper organisationen skal tildele adgange til it-ressourcerne. Her kan en god rettesnor være at tildele adgange ud fra et stærkt need-to-have-princip, der giver brugerne så få adgange som overhovedet muligt. Dermed får brugerne adgang til de data og ressourcer, de skal bruge for at leve op til deres ansvarsopgaver – og ikke flere end dem. - Definer så vidt muligt udløbsdatoer for adgangene
Overvej hvor længe adgange skal være aktive. Der skal være klare processer for deaktivering af f.eks. midlertidige gæsteadgange, når de ikke længere er relevante. Det samme gælder for vikariater og andre midlertidige ansættelser. - Definer processerne for adgangsevaluering
Overvej hvor ofte, organisationen skal evaluere adgangene. Evalueringen forhindrer, at der opstår unødig adgangsophobning, at de forkerte har privilegeret adgang eller administratorrettigheder, og at ingen brugere, der burde være deaktiverede, stadig er aktive.
En løsning til identitets- og adgangsstyring kan være genvejen til at systematisere arbejdet med adgangsstyring og gøre det langt lettere at implementere og håndhæve adgangspolitikken i praksis.