Brugerstyring – et skridt på vejen til bedre informationssikkerhed

Kunne dine dokumenter være havnet på WikiLeaks? Hvis du ikke har helt styr på brugerrettigheder, så er svaret JA.

Med blot 500 brugere, 100 systemer og 100 dokumentmapper er der potentielt en kvart million rettigheder at holde styr på.

• Ved du hvilke af disse rettigheder, der giver adgang til kritisk information?
• Ved du hvem, der har autoriseret de enkelte rettigheder?
• Bliver irrelevante rettigheder fjernet, når en medarbejder skifter arbejdsområde?
• Får nye medarbejdere alle relevante rettigheder uden unødig ventetid?

En stor del af WikiLeaks dokumenterne skyldtes en utilfreds medarbejder med adgang til unødvendigt meget kritisk information.

Den hyppigste kilde til brud på informationssikkerheden er medarbejderes (måske ubevidste) misbrug af information og rettigheder og ikke eksterne hackere eller phishing.

Skal der effektivt styr på alle disse rettigheder, er det nødvendigt at gå over til rollebaseret adgangsstyring.

Drømmen er en fuldautomatisk rettighedsstyring, men det har meget lange udsigter i de fleste virksomheder.

Jeg vil blot beskrive de vigtigste skridt i retning af at opfylde drømmen.

Få styr på den aktuelle situation

For at få styr på den aktuelle situation foreslår jeg følgende fremgangsmåde:

1. Få dokumenteret hvem, der har hvilke rettigheder.
2. Find mønstre i rettighederne – nogle rettigheder er måske ikke knyttet til individet, men til en organisatorisk tilknytning, placering i ledelseshierarkiet, fysisk placering, projekttilknytning eller andet.
3. Lad linjeledelsen godkende de grupperede rettigheder, der kom ud af trin 2.

Forbedringer af situationen

Når der er styr på den aktuelle situation, er tiden inde til at forbedre situationen.

Jeg foreslår følgende proces:

1. Find de kritiske rettigheder ud fra sikkerhedspolitikker, regnskabsreglement og andre kilder.
2. Beskriv regler for tildeling af disse rettigheder ud fra elektronisk tilgængelige oplysninger i f.eks. HR-systemet.
3. Find overtrædelser af de beskrevne regler.
4. Eliminer overtrædelserne gennem at fjerne rettigheder eller ændre regler.

Næste skridt

Det vigtigste er, at få gjort trin 3-4 ovenfor til fast regelmæssig procedure således, at der fortsat er styr på rettighederne.

Grundlaget er nu på plads til at overveje en automatisering af de kritiske rettigheder. Det bør overvejes, om de generelle rettigheder alle medarbejdere skal have evt. i kraft af organisatorisk tilknytning også skal automatiseres. Mens alt det ovenstående bør gennemføres under alle omstændigheder, så kræver automatisering en positiv business case.