1. Overholdelse af lovkrav
Af hensyn til privatlivet er alle virksomheder pålagt at have kontrol over styringen af rettigheder og adgang til personsensitive data. Artikel 32 i GDPR beskriver de lovmæssige krav til tekniske og organisatoriske sikkerhedsforanstaltninger. Selv om der ikke nævnes specifikke tekniske faciliteter, er gode rutiner for Identity Governance nødvendige for at overholde GDPR's princip om "beskyttelse mod uautoriseret eller ulovlig behandling."
Hændelser af typen "uautoriseret adgang" er heller ikke begrænset til udenforstående, der skaffer sig ulovlig adgang, men kan også omfatte tilfælde, hvor egne medarbejdere har adgang, som de egentlig ikke bør have.
Om kravet om kontrol indebærer behov for en Identity Governance-løsning, er op til den enkelte virksomhed. I en dynamisk hverdag med hjemmekontor, cloudtjenester og generelt øget digitalisering er det imidlertid vanskeligt at forestille sig, hvordan lovkrav kan opfyldes uden en passende løsning.
Opgaverne for en Identity Governance-løsning er at strukturere tildelingen af rettigheder og adgange samt fremhæve den faktiske situation og dokumentere implementeringen af organisationens kontrolrutiner. Løsningen bidrager dermed til at overholde pålagte lovkrav.
2. Risikohåndtering
Vi hører i stigende grad om brud på datasikkerheden og lækager, også her i de nordiske lande. Mørketallene menes at være betydelige. Omkostningerne i forbindelse med mistet omdømme og tabte indtægter overstiger hurtigt, det som hensigtsmæssige sikkerhedsforanstaltninger ville have kostet. Nogle gange er grundlaget for videre drift også truet.
Identity Governance-løsningen tager en proaktiv tilgang ved at begrænse og beskytte adgangen til følsomme data, og derved reducere risikoen.
Løsningen er ofte baseret på følgende tre principper:
- Tildeling af rettigheder baseret på "Least Privilege". Selvom vi stoler på, at vores egne medarbejdere ikke misbruger adgang, de ikke har brug for, forøger dette den angrebsflade, der kan udnyttes i forbindelse med identitetstyveri.
- "Orphaned accounts" fjernes. Det vil sige adgange, der tilhørte tidligere medarbejdere, eller som af andre årsager ikke længere er knyttet til en eksisterende bruger.
- Overvågning af at "Segregation of duties (SOD)" overholdes. Dette vigtige risikostyringsprincip kræver, at visse handlinger udføres af mere end én person. Et eksempel på sidstnævnte er, at én person indtaster en betaling, mens en anden godkender transaktionen.
3. Få et overblik
“What you measure is what you manage.” Identity Governance-rutiner indebærer at have oversigt over adgange og regelmæssigt kontrollere behovet for disse. Udøvelse af kontrol forudsætter imidlertid indsigt i den faktiske situation. Udfordringen er ofte, at dette overblik er spredt ud over virksomhedens forskellige systemer, og bliver besværligt at samle. Det er svært nok for IT at bevare kontrollen, og for afdelingsledere er det næsten umuligt.
Fordelen ved en Identity Governance-løsning er, at den samler og præsenterer disse oplysninger på en sådan måde, at de er forståelige for afdelingsledere og sikkerhedsmedarbejdere.
Løsningen vil også gennemføre såkaldte certificeringskampagner, hvor for eksempel afdelingsledere en gang i kvartalet bliver bedt om at bekræfte, hvilke roller og rettigheder deres medarbejdere fortsat skal have. Dette er en central Identity Governance proces, som løsningen faciliterer og dokumenterer. På den måde beviser virksomheden, at den udfører denne vigtige kontrolfunktion.
4. Involverer den forretningsmæssige side af sikkerhedsarbejdet
Det er en misforståelse at antage, at it-afdelingen alene skal have, og i det hele taget kan have ansvaret informationssikkerheden. Afdelingen har ofte ikke forudsætningerne for at vurdere, hvem der skal have hvilke adgange. Adgangsstyring er en forretningsproces, og det er især team- og afdelingsledere, som dette vigtige ansvar tilfalder. Det er trods alt dem, der har overblik over de ansatte, og hvilke opgaver de er sat til at udføre.
En oplagt forudsætning, for at ledere kan styre og kontrollere adgangen, er, at de får et overblik over disse oplysninger. En Identity Governance-løsning præsenterer dette på en ikke-teknisk måde, så ledere hurtigt kan få et overblik over eksisterende roller, adgange og rettigheder.
Først når ledere kan bestille adgang på vegne af deres medarbejdere, godkende applikationsbestillinger og bekræfte, eventuelt fjerne adgange, har virksomheden formået at involvere lederne i sikkerhedsarbejdet.
5. Omkostningskontrol
Applikationer som hverken er hensigtsmæssige for medarbejderen at have adgang til, skal have adgang til eller som i det hele taget bliver benyttet, udgør ofte en betydelig og unødvendig licensomkostning for virksomheden. Omkostningerne i forbindelse med den tid som it-afdelingen bruger på at styre alle adgange, er også væsentlige.
En Identity Governance-løsning involverer afdelingslederne, og minimerer dermed den tid, IT bruger på administration, og licensomkostninger kan synliggøres som en dimension, afdelingslederne skal tage stilling til.
6. Identity Management alene er ikke tilstrækkelig
En Identity Management-løsning opretter brugere og giver adgang til virksomhedens applikationer. Det er et vigtigt skridt i retning af centraliseret kontrol, men helt vandtæt er det ikke. Administratorer i disse tilknyttede applikationer kan stadig oprette brugere og adgange uden for løsningen. I mange tilfælde vil en Identity Management-løsning ikke engang registrere sådanne ændringer.
En Identity Governance-løsning har på den anden side et overblik over adgange, der faktisk er oprettet for hver tilknyttet applikation, og rapporterer eventuelle afvigelser.
7. Kompletterer Identity Management
Hvis virksomheden allerede har en Identity Management-løsning, så er den forhåbentlig vant til at tildele rettigheder. En sådan løsning har sin styrke i synkronisering af brugerattributter mellem systemerne samt automatisk oprettelse og fjernelse af adgange.
I modsætning til en Identity Governance-løsning er en Identity Management-løsning normalt ikke egnet til at præsentere adgange på en hensigtsmæssig måde for afdelingslederne. Den har heller ingen funktioner til at gennemføre periodiske kontroller uddelegeret til dem. En Identity Management-løsning er således ikke så velegnet, hvis målet er at inddrage hele organisationen i arbejdet med informationssikkerhed.
Heldigvis er det muligt at supplere en eksisterende Identity Management-løsning med en Identity Governance-løsning for at tilføje kontrolfunktioner. Derved behøver virksomheden ikke at skrotte alle de investeringer, der er lagt i den eksisterende løsning, og kan på den måde optimere sikkerhedsarbejdet med god Identity Governance.
