Vilka behörigheter har vi egentligen gett våra anställda?
Ja den frågan är för de allra flesta ganska besvärlig att svara på, vilket ofta leder till att många sticker huvudet i sanden och helt enkelt försöker undvika att svara. Hur kommer det då sig att detta alltför ofta är så besvärligt för många företag och organisationer? Svaret på frågan är givetvis inte en sak eller en faktor, utan beror på en mängd saker.
Security Architect, Digital Workplace
Att veta vilka behörigheter en anställd ska ha för att kunna utföra sina arbetsuppgifter är i första hand en verksamhetsfråga, snarare än en it-fråga, och det är här många har problem med att översätta kraven och behoven från verksamheten till de roller och behörigheter som därefter rent tekniskt ska implementeras.
Givetvis är det i många fall it-avdelningen som ansvarar för att tilldela grundläggande behörigheter som ger den anställde möjlighet att överhuvudtaget kunna logga in på en dator eller annan enhet och få tillgång till e-post och annat grundläggande och fundamentalt. Men när det är dags att börja hantera tillgång till, och vilken nivå av behörighet en anställd skall ha i, ett verksamhetssystem som till exempel ett ekonomisystem eller ett patient-system - då blir det väldigt svårt för it att ha kunskap kring vad olika roller i den verksamheten ska ha åtkomst till. Här är det kanske i stället en systemägare eller verksamhetschef på exempelvis ekonomiavdelningen som har dessa kunskaper och kan svara på frågan.
Börja med små steg i taget
Så hur kommer vi då igång med detta på ett bra sätt? Ja som tidigare nämnt så krävs det att verksamhet och it samverkar och tillsammans kartlägger samt tar fram svar på ett antal frågor.
Problemet, eller fällan som många går i, är att ta ett alldeles för stort grepp runt detta och tänker att allt ska lösas på en gång. Detta gör att ni fastnar i långa utredningar och tekniska diskussioner runt integrationer mot system där man vill automatisera hanteringen av detta, vilket snabbt blir väldigt komplext och tidsödande.
Fokusera istället på att förbättra hanteringen med små steg i taget. Genom att arbeta i små iterationer så kan hanteringen förbättras stegvis och påvisa ett värde av det arbete som läggs ner.
Så kommer ni igång
Låt säga att vi vill börja med att få kontroll på access till ekonomisystemet.
Vi börjar då med att ta reda på ett antal saker:
- Vem är systemägare?
- Vem eller vilka är det som har ansvaret att skapa upp användare och tilldela access i systemet idag?
- Hur klassar vi detta system rent säkerhetsmässigt? Innehåller det känslig information som gör att det är olämpligt att automatisera hanteringen av access till systemet? Bör det kanske istället hanteras manuellt med godkännandesteg för att få mer kontroll?
- Vilka i organisationen är det som behöver access till systemet? Är det alla på ekonomiavdelningen eller bara vissa?
- Finns det personer inom andra avdelningar i organisationen som också behöver access till systemet?
- Vilka användare finns i systemet idag och vilka roller/behörigheter har de tilldelats?
Genom att analysera denna info går det troligtvis att identifiera ett antal saker och mönster. Som till exempel vilka som finns aktiva i systemet och som inte borde vara där för att de slutat eller bytt roll i organisationen, samt vilka olika typer av roller som anställda inom organisationen behöver.
Några exempel skulle kunna vara:
Alla som är anställda till ekonomiavdelningen skall ha grundläggande access i detta systemAlla som är handläggare av t.ex. lön skall ha behörighet/roll AAlla chefer på C nivå skall ha behörighet/roll BAlla på HR avdelningen som ansvarar för kostnadsställen i organisationsträdet skall ha behörighet/roll C
Efter detta kan sedan den tekniska mappningen skapas för att hantera detta. Det kan handla om att koppla behörigheten/rollerna A, B och C mot grupper i Active Directory, eller om det finns ett system för Identity Governance (IGA system) definiera upp dessa som behörighetspaket som kan tilldelas.
Kom ihåg: Det behöver inte vara automatiserat från dag 1 (och kanske inte heller någonsin bör automatiseras). Det kan i vissa fall vara bättre med en manuell process som fungerar för att skapa kontroll.
Så nästa gång en chef anställer till exempel en lönehandläggare och beställer behörigheter till hen, så går ett mail till systemägaren och/eller admin av ekonomisystemet där denne får attestera att detta är korrekt samt utföra operationen med att skapa användaren med rätt access i systemet.
Samma sak vid avslut eller byte av roll - detta resulterar i att systemägaren och/eller admin av ekonomisystemet underrättas och kan agera för att plocka bort och spärra access i systemet. På detta sätt skapar man ordning och reda samt kontoll kring hur access tilldelas och plockas bort från ekonomisystemet.
Förenklar hanteringen redan från start
Nästa steg efter detta, när ni fått kontroll på hanteringen av enskilda system, blir att titta på rollbaserad access generellt och kartlägga vilka mönster för behörigheter som finns för anställda gällande en hel avdelning, som till exempel ekonomiavdelningen. Detta för att sedan kunna klumpa ihop olika behörigheter och roller från flera system som den anställde behöver ha åtkomst till i ett och samma behörighetspaket för att ytterligare förenkla hanteringen.
Så visst, det kan vara en utmaning, och det kommer att krävas en del arbete med att få ordning och reda på sina behörigheter, men om vi aldrig börjar så kommer vi att befinna oss på samma ställe när vi får frågan nästa gång också.