Varför ska man regelbundet återgodkänna sina användares behörigheter?

Är det inte fantastiskt när personer i en verksamhet gör karriär? Att till exempel den trogne löneadministratören lyfts upp och blir personalchef?

Men, det finns konsekvenser av befordringar som man kanske inte direkt tänker på. En sådan skulle kunna vara att den som tidigare har fungerat som löneadministratör nu plötsligt också kan godkänna löneförändringar i systemet. Det vill säga både ändra och godkänna sin egen nya lön i lönesystemet…

Ovanstående exempel är kanske väldigt slående, även om det inte är otroligt.  Men det finns andra exempel som kanske inte är lika iögonfallande, men vars konsekvenser kan bli förödande för verksamheten.

Personer med många år bakom sig i en verksamhet och som har flyttat runt på olika positioner och haft olika roller har ofta en tendens att samla på sig behörigheter. Om och när personen slutar, brukar den stressade närmsta chefen i alla fall lyckas återfå passerkort, dator och telefon. Det är däremot inte ovanligt att konto och behörigheter ligger kvar och skvalpar i olika system. Helt enkelt för att ingen i organisationen längre vet när de skapades och delades ut, och vem som godkände dem.

Det är tyvärr inte heller alltid så uppenbart vad olika kombinationer av behörigheter kan ge för konsekvenser. Det kan mycket väl vara så att en till synes ofarlig behörighet i kombination med en annan gör att personen i fråga får åtkomst till saker som han eller hon definitivt inte ska ha. I alla fall inte enligt det för verksamheten gällande regelverket.

Det finns två viktiga punkter för att försöka komma tillrätta med ovanstående:

1. För det första ska man ha ett regelverk, med en väl definierad ”Segregation of Duty” (SoD – ibland benämnd Separation of Duty). Det här regelverket ska följa de krav som verksamheten har, dels på sig själv men framförallt på regelefterlevnad mot lagar och andra regelverk som verksamheten står under. 

2. För det andra ska man införa en rutin för att regelbundet återgodkänna användarnas behörigheter. Då kan man nämligen fånga upp ”slamkryparna” i ett tidigt skede.

Återgodkännande av konto och behörigheter görs lämpligen i ”kampanjer” några gånger per år. Det finns verktyg som kan underlätta detta. Det är inte heller något som måste göras med realtidsintegrering mot system. Väldigt många verksamheter klarar sig med att läsa in data i verktygen och sedan få ut rapporter som talar om vilka konton och behörigheter som ska finnas kvar respektive tas bort. Det viktiga är att man skaffar sig överblicken över vad som finns. Då har man också lättare att uppfylla till exempel EU:s General Data Protection Regulation, som nu har blivit gällande lag. Varje kampanj gör helt enkelt att man kommer ett steg närmare kontroll över sina identiteter och behörigheter i verksamheten.

Om man sen vill bli riktigt avancerad, finns det idag verktyg som i realtid kan reagera på när en person söker åtkomst till information och resurser med olovliga kombinationer (Toxic Combination) av behörigheter. Man kommer dock väldigt långt med de två manuella punkterna ovan.

Kontakta mig gärna om du vill höra mer om Identitets- och Behörighetshantering (Identity and Access Management - IAM).