1. Overholdelse av regulatoriske krav
Av hensynet til personvern er alle bedrifter pålagt å ha kontroll på styringen av rettigheter og tilgangen til personsensitive data. GDPR’s artikkel 32 beskriver forordningens krav til tekniske og organisatoriske sikkerhetstiltak. Selv om ingen konkrete tekniske innretninger nevnes, så er gode rutiner for Identity Governance nødvendig for å oppfylle GDPR’s prinsipp om «vern mot uautorisert eller ulovlig behandling.»
Hendelser av typen «uautorisert tilgang» er heller ikke begrenset til utenforstående som skaffer seg tilgang på ulovlig vis, men vil også kunne omfatte tilfeller der egne ansatte har tilganger de egentlig ikke bør ha.
Om kravet for kontroll medfører behov for en Identity Governance-løsning er opp til den enkelte bedriften. I en dynamisk hverdag med hjemmekontor, skytjenester og generelt økt digitalisering er det imidlertid vanskelig å se for seg hvordan regulatoriske krav skal kunne oppfylles uten en egnet løsning.
Oppgavene til en Identity Governance-løsning er å strukturere tildelingen av rettigheter og tilganger, samt synliggjøre den faktiske situasjonen og dokumentere gjennomføringen av organisasjonens kontrollrutiner. Dermed bidrar løsningen til overholdelse av pålagte regulative krav.
2. Risikohåndtering
Vi hører stadig oftere om datainnbrudd og -lekkasjer, også her i Norden. Mørketallene antas å være betydelige. Kostnadene knyttet til tapt omdømme og tapte inntekter overstiger raskt det som hensiktsmessige sikkerhetstiltak ville ha kostet. Noen ganger er også grunnlaget for videre drift truet.
Identity Governance-løsningen tar en proaktiv tilnærming ved å begrense og beskytte tilgangen til sensitive data, og dermed redusere risiko.
Løsningen bygger gjerne på følgende tre prinsipper:
- Tildeling av rettigheter basert på "Least Privilege". Selv om vi stoler på at egne ansatte ikke misbruker tilganger de ikke trenger, så øker dette angrepsflaten som kan utnyttes i forbindelse med identitetstyveri.
- Fjerne "Orphaned accounts". Det vil si tilganger som hørte til tidligere ansatte eller som av andre årsaker ikke lenger er knyttet til en eksisterende bruker.
- Overvåke overholdelse av "Segregation of duties (SOD)". Det viktige risikostyringsprinsippet pålegger at visse handlinger utføres av mer enn én person. Et eksempel for sistnevnte er at en person legger inn en betaling, mens en annen godkjenner transaksjonen.
3. Få oversikt
“What you measure is what you manage.” Identity Governance rutiner innebærer å holde oversikt over tilganger og regelmessig kontrollere behovet for disse. Utøvelse av kontroll forutsetter imidlertid innsikt i den faktiske situasjonen. Utfordringen er gjerne at denne oversikten er spredd utover bedriftens ulike systemer og blir tungvint å sammenstille. Det er vanskelig nok for IT å beholde kontrollen, og for avdelingsledere er det da tilnærmet umulig.
Fordelen med en Identity Governance-løsning er at den sammenstiller og presenterer denne informasjonen på en slik måte at den er forståelig for avdelingsledere og sikkerhetsansvarlige.
Løsningen vil også utføre såkalte sertifiseringskampanjer hvor avdelingsledere eksempelvis en gang i kvartalet bes bekrefte hvilke roller og rettigheter deres ansatte skal fortsette å ha. Dette er en sentral Identity Governance prosess som løsningen fasiliterer og dokumenterer. Slik beviser bedriften at den utfører denne viktige kontrollfunksjonen.
4. Involverer forretningssiden i sikkerhetsarbeidet
Det er en misforståelse å anta at IT-avdelingen alene skal ha, og i det hele tatt kan ha ansvaret for informasjonssikkerheten. Avdelingen har ofte ikke forutsetninger for å vurdere hvem som skal ha hvilke tilganger. Tilgangsstyring er en forretningsprosess, og det er spesielt team- og avdelingsledere som dette viktige ansvaret tilfaller. Det er tross alt de som har oversikt over de ansatte og hvilke arbeidsoppgaver disse er satt til å utføre.
En åpenbar forutsetning for at lederne skal kunne styre og kontrollere tilgangene er at de får oversikt over denne informasjonen. En Identity Governance-løsning presenterer dette på en ikke-teknisk måte, slik at lederne raskt får oversikt over eksisterende roller, tilganger og rettigheter.
Først når lederne kan bestille tilganger på vegne av sine ansatte, godkjenne applikasjonsbestillinger og bekrefte, eventuelt fjerne tilganger, har bedriften klart å involvere lederne i sikkerhetsarbeidet.
5. Kostnadskontroll
Applikasjoner som hverken er hensiktsmessig for den ansatte å ha tilgang til, skal ha tilgang til eller som i det hele tatt blir benyttet, utgjør ofte en betydelig og unødvendig lisenskostnad for bedriften. Kostnaden forbundet med tiden IT-avdelingen bruker på administrasjon av alle tilgangene er også vesentlig.
En Identity Governance-løsning involverer avdelingslederne og minimerer dermed tiden IT bruker på administrasjon, samt lisenskostnader kan synliggjøres som en dimensjon avdelingslederne skal ta stilling til.
6. Identity Management alene er ikke tilstrekkelig
En Identity Management-løsning oppretter brukere og gir tilganger til bedriftens applikasjoner. Det er et viktig skritt i retning av sentralisert kontroll, men helt vanntett er det ikke. Administratorer i disse tilknyttede applikasjonene kan fremdeles opprette brukere og tilganger utenom løsningen. I mange tilfeller vil ikke en Identity Management-løsningen engang oppdage slike endringer.
En Identity Governance-løsning har derimot oversikt over tilganger som faktisk er satt opp til hver tilknyttet applikasjon, og rapporterer eventuelle avvik.
7. Kompletterer Identity Management
Har bedriften allerede en Identity Management-løsning, så er den forhåpentligvis godt vant med tildeling av rettigheter. En slik løsning har sin styrke i synkronisering av brukerattributter mellom systemene, samt automatisk opprettelse og fjerning av tilganger.
I motsetning til en Identity Governance-løsning, er en Identity Management-løsning som regel ikke egnet til å presentere tilgangene på en hensiktsmessig måte for avdelingslederne. Den har heller ingen funksjoner for å gjennomføre periodiske kontroller delegert til dem. Dermed er en Identity Management-løsning ikke like egnet dersom målet er å involvere hele organisasjonen i arbeidet med informasjonssikkerheten.
Heldigvis er det mulig å komplettere en eksisterende Identity Management-løsning med en Identity Governance-løsning for å tilføre kontrollfunksjoner. Da trenger ikke bedriften å kaste over bord alle investeringene som er lagt ned i den eksisterende løsningen, og kan optimalisere sikkerhetsarbeidet med gode Identity Governance rutiner.
