<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Slik sikrer du riktig tilgangskontroll i din bedrift

Erik Vetle Larsen


Tilgangskontroll (også kjent som tilgangsstyring eller aksesskontroll) er et sett med retningslinjer og regler for å styre hvem som skal ha tilgang til hvilke data, systemer eller tjenester i virksomheten.

Riktig tilgangskontroll sikrer at tilganger til virksomhetskritiske data, tjenester og funksjoner kun gis til de som oppfyller et sett med forhåndsdefinerte krav.

Hvem skal ha tilgang på hva, når og hvor?

Bedriften din har viktige data og informasjon som må passes på, og ikke alle skal eller bør ha tilgang til alt. Tilganger skal være basert på roller og rettigheter, og følge tjenstlig behov.

Med andre ord: Dine ansatte skal ha tilgang til det de trenger for å gjøre jobben sin, men heller ikke mer enn det.

 

Riktig tilgangskontroll er et sikkerhetsspørsmål

Skaff dere oversikt over hvilke tjenester dere bruker, og hvilke data dere sitter på (samt hvor disse er lagret). Kartlegg deretter hvilke brukergrupper, brukere og tilgangsbehov som finnes i bedriften, og fastsett retningslinjer og regler for tilgangskontroll ved å etablere en prosess for tilgangsstyring.

En slik kartlegging er ikke minst viktig av hensyn til informasjonssikkerheten i bedriften. Hvis en angriper får tilgang til et av deres IKT-systemer, vil vedkommende ofte forsøke å øke tilgangen – som regel ved å ta over ulike kontoer for å eskalere rettigheter.

Dersom alle brukere har tilgang til all informasjon, vil kompromittering av én bruker kunne kompromittere hele IKT-systemet.

Tilgangen til de ulike delene av IKT-systemet bør derfor deles opp, noe som vil redusere skadevirkningene av en kompromittering eller utro ansatt.

Bedriften din må følgelig ha kontroll på de ulike brukerne av IKT-systemene, kontoene de disponerer, og hvilke rettigheter en gitt konto har.

Manglende kontroll på brukerkategorier, brukere og tilgangsbehov vil gjøre det vanskelig å kontrollere og forvalte tilgang til kritiske tjenester og data. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter og privilegier enn de trenger for å gjøre jobben sin.

Dette kan føre til brudd på integritet, tilgjengelighet eller konfidensialitet til data og tjenester.

 

5 tiltak for å sikre riktig tilgangskontroll

1. Etabler en prosess for vedlikehold av brukere, roller og tilganger, slik at dette ivaretas gjennom hele livssyklusen til brukerne, fra opprettelse til avslutning av kontoer.

2. Kartlegg og fastsett retningslinjer og regler for aksesskontroll basert på minste privilegiums prinsipp. Alle brukere bør ha minst mulig privilegier, men som fortsatt lar dem gjennomføre jobben sin. Brukere bør heller ikke ha tilganger de ikke trenger. Dette for å minske risikoen for tap hvis en bruker blir kompromittert.

3. Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll. Eksempler på brukerkategorier kan være:

  • «Vanlige brukere» med behov for tilgang til kontorstøttesystemer
  • Brukere med behov for utvidede rettigheter eller privilegier
  • Administratorbrukere
  • Systembrukere
  • Leverandører og konsulenter

4. Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for tilgang til. Tilgangsbehov bør revideres jevnlig.

  • Brukere med utvidete rettigheter skal fortløpende være gjenstand for nødvendig kontroll
  • Begrens bruken av administratorer
  • Undersøk hvem som virkelig trenger å ha administratortilgang
  • Undersøk risikoen knyttet til alle administratorer og privilegerte kontoer

5. Kartlegg roller og ansvar knyttet til IKT-sikkerhet for hele organisasjonen samt tredjeparts interessenter (f.eks. leverandører, kunder, partnere), og etabler dette der det mangler.

Flere anbefalte tiltak

  • Ha de tekniske mulighetene til å kunne trekke tilbake tillatelser og roller, slik at de nye tilgangene kan fjernes/tilpasses hvis ansatte slutter, eller flyttes til en annen stilling. Lister over hvem som har tilgang til hva, skal gjennomgås årlig. Det at ansatte fortsatt har tilganger etter at de har sluttet, utgjør en sikkerhetsrisiko.
  • Pass på at privilegier ikke lekkes via grupper eller roller som ikke er tiltenkt. F.eks. hvis en ansatt blir lagt til i en gruppe med flere tilganger enn han/hun trenger. Dette innbefatter at roller ikke kan øke sine egne privilegier.
  • Overvåk bruken av gjestekontoer og midlertidige kontoer, og deres tilganger. Husk også å slette disse etter bruk.
  • Gå gjennom kontoer og grupper for å sikre at alle tilganger fortsatt stemmer overens med bedriftens krav og bruksområder.
  • Godkjenning av brukerrettigheter må kunne spores til en rolle og en ansvarlig person.

 

vanlige utfordringer med skysikkerhet

Kilde: Nasjonal sikkerhetsmyndighet, NSMs grunnprinsipper for IKT-sikkerhet (2017)

 

 

 



NO|EN