28. feb. 2018
|
Ekonomi
Behörighetshantering centralt i IT-säkerhet
Journalist: Anders Edström Frejman
En stor del av begreppet IT-säkerhet handlar om kunskap, disciplin och gammal hederlig ordning och reda. En grundbult är att hantera behörigheter.
Identitets- och behörighetshantering, på engelska Identity & Access Management (IAM) är en viktig del av ett företags IT-strategi. Både ur ett säkerhets- och kostnadsperspektiv. Det senare inte minst för att betala rätt summa för programlicenser.
Enkelt förklarat handlar IAM om att rätt personer ska ha rätt behörighet över tiden. Både till strukturerad information i företagets interna system och ostrukturerad information. Till exempel på dedikerade platser för lagring av dokument.
– IAM blir snabbt komplext även för en relativt liten organisation. Personaltillväxt, tillfälliga projektgrupper och tillfällen då personer får nya roller är exempel på situationer som bidrar till att IAM hela tiden är dynamiskt, säger Jens Björkman, VD, för Heimore AB.
Företagsförvärv, sammanslagningar med mera kan även det medföra att en organisation ”ärver” system till vilka personal behöver access.
– Ofta kan det existera flera parallella system för accesskontroll till företagets interna system, men där helheten sett till behörigheter ändå inte fångas in.
Steg ett är att skaffa sig koll över hur behörighetsstrukturer och roller ser ut, menar Jens Björkman. Men det är inte helt lätt.
– Många IT-chefer utgår från att de har koll men tyvärr stämmer inte det alltid.
För att skaffa sig denna överblick och processer för att upprätthålla denna över tid behöver företag ofta extern hjälp. Säkerhetskonsulter som Safeside, Inserve och Heimore är tre spelare på konsultmarknaden. Leverantörer som Sailpoint, Oracle och Dell tillhandahåller även systemlösningar för behörighetskontroll.
– En lyckad IAM behöver täcka ett brett perspektiv. Utan ett holistiskt angreppssätt är det ökad risk för informationsstöld och bedrägerier lyckas. En väl fungerande IAM skyddar även anställda mot omedvetna misstag.
Sociala medier är en viktig källa för de som vill göra intrång på företag för att ta reda på vem som jobbar eller har jobbat var och dennes ansvarsområden.
– Det är ytterst ovanligt att anställda medvetet vill utsätta sitt företag för fara. Men anställdas naivitet kan ställa till det ibland.
Saknas en strategi för att löpande rensa ut oanvända konton kan i värsta fall en obehörig användare ”samla på sig behörigheter” under lång tid.
– Information lagras på många olika ställen så det kan räcka med att en enda behörighet inte städats för att skadan ska bli stor. Dagens stora mängd ostrukturerade data ökar komplexiteten flerfalt. En klassiker är admin-konton på servrar som många har lösenordet till, eftersom de antingen sitter i eller tidigare suttit i projekt.
IAM behöver skötas på två grundläggande plan. Dels att man har ett tekniskt stöd för accesskontroll som helst spänner över ett företags alla system. Dels regelbundna revisioner där till exempel chefer får godkänna vad anställda ska ha access till. Byter anställda avdelning från lön till ekonomi ska de till exempel inte behålla access till lönelistor och så vidare.
– Min erfarenhet att denna typ av revisioner prioriteras ned på grund av andra arbetsuppgifter trots de uppenbara säkerhetsvinsterna. Den stora faran är när intrång pågår under lång tid utan att någon märker det. En fungerande accesskontroll är det elementära skyddet som måste vara på plats.
