Flyselskapet med de røde nesene
Norwegian Air Shuttle ASA, bedre kjent som Norwegian, har vært en sentral aktør innen europeisk luftfart siden etableringen i 1993. Målet er å gjøre flyreiser tilgjengelig for alle. Fra hovedkontoret på Fornebu utenfor Oslo, styrer Norwegian et stort nettverk av ruter som knytter sammen Norden, Europa og resten av verden. Siden 2002 har Norwegian ønsket velkommen over 300 millioner passasjerer ombord på flyene med de karakteristiske røde nesene.
Tilgangsstyring for 5.500 brukere
I takt med Norwegians omfattende omstrukturering av selskapet i 2020 ble det klart at effektiv tilgangsstyring var en viktig utfordring de måtte løse. Hvordan sørger man for at de rette personene får riktig tilgang til de riktige ressursene med minst mulig friksjon? Dette blir raskt komplekst når man har 5.500 interne brukere, slik som flyselskapet.
Tidligere var håndteringen av identiteter og tilganger preget av manuelle og ineffektive prosesser, som ikke kunne imøtekomme fremtidige behov. Som en del av Norwegians overgang til en Zero Trust-sikkerhetsmodell, og med forståelsen av at identitetsstyring måtte være både automatisert og sikker, besluttet Norwegian å oppgradere IT-infrastrukturen sin og startet i samarbeid med Cloudworks implementeringen av en IAM-løsning.
Du kan lese mer om prosessen her!
Siden da har Norwegian og Cloudworks jobbet tett sammen om å videreutvikle IAM-løsningen. For å styrke kontrollen og revisjonen av identiteter og tilganger har flyselskapet i samarbeid med Cloudworks, implementert Okta Identity Governance (OIG), som spiller en sentral rolle i deres sikkerhetsstrategi.
Ulike typer tilganger
En av de nye endringene som Norwegians piloter, kabinpersonale og administrativt ansatte opplever med OIG, er muligheten til å søke om tilgang til ulike applikasjoner og IT-systemer, samt hvilke spesifikke rettigheter som er nødvendige i hvert system. Det kan være grunnleggende rettigheter eller mer avanserte tilgangsnivåer, avhengig av medarbeiderens rolle og oppgaver.
Den målrettede tildelingen av tilganger sikrer at ingen ansatte har flere rettigheter enn de trenger i sitt daglige arbeid. På denne måten forhindres overflødige eller uautoriserte tilganger, noe som styrker sikkerheten i systemet.
Når en ansatt har bedt om tilgang til et system, må forespørselen godkjennes. Dette skjer gjennom automatiserte arbeidsflyter, som ikke bare håndterer godkjenningen, men også sikrer en løpende overvåking og oppdatering av tilgangsrettigheter.
Automatisk godkjenning og revisjon av tilganger
Mange av tilgangene til Norwegians applikasjoner og systemer tildeles automatisk basert på HR-data. Hvis en ansatts rolle endrer seg, justeres tilgangen også automatisk, slik at unødvendige rettigheter fjernes uten manuell inngripen.
For andre typer tilganger kreves en godkjenning fra en systemeier eller avdelingsleder. Når en ansatt ber om disse tilgangsnivåene, sikrer de automatiserte arbeidsflytene at de relevante personene blir varslet og kan gjennomgå og godkjenne forespørselen.
I tillegg sender OIG ut automatiserte kampanjer til bestemte tidspunkter for å minne systemeiere og avdelingsledere på å revidere de ansattes tilganger.
Tiltakene reduserer risikoen for at uautoriserte eller foreldede rettigheter forblir aktive, og bidrar til en mer sikker og kontrollert IT-infrastruktur.
En fremtidssikret løsning 
For å sikre at Norwegian alltid er i forkant med IT-sikkerheten, har flyselskapet inngått et partnerskap om Managed Services med Cloudworks. Dette betyr at Norwegian har tilgang til dedikert support – også utenfor vanlige arbeidstider – og at Cloudworks kontinuerlig jobber med å utvikle og forbedre Okta-løsningen, slik at den alltid er klar for nye utfordringer og tilpasset selskapets behov.
På denne måten forblir Norwegians IT-landskap tilpasningsdyktig og rustet til å kunne håndtere nye trusler.
