Alt for mange virksomheder mangler kontrol med og overblik over, hvilke medarbejdere, der har adgang til hvilke data og systemer - og hvorfor?
Selv medarbejdere, der slet ikke er ansat i virksomheden længere, kan i visse tilfælde stadig have adgang til data af mere eller mindre kritisk karakter, kunne Computerworld fortælle i sidste uge på baggrund af flere internationale undersøgelser.
Selvom man ikke nødvendigvis kan overføre konklusionerne direkte til danske virksomheder, er der også herhjemme mange virksomheder, der har betydelige udfordringer med at holde styr på medarbejdernes adgangsrettigheder.
"Mange steder er man gode til at få tildelt adgange, når folk får nye funktioner, men man glemmer tit at få fjernet de gamle," lyder det fra Janus Friis Bindslev, partner i enterprise risk services hos Deloitte.
"Det er en klassisk problemstilling, at man kan ende med at få utilsigtede superbrugere. Har man medarbejdere, der flytter tilpas mange gange rundt i en virksomhed, kan de over årene ende med at have væsentligt flere adgangsrettigheder, end de har brugt for i deres nuværende job," forklarer han.
Læs også: Du er stoppet i virksomheden - men har stadig adgang til systemer og data
Det må ikke blive for kompliceret
Deloitte-rådgiveren tilføjer, at man i en del år har talt om, at man som virksomhed skal klassificere virksomhedens data og lave rollebaserede adgangsrettigheder. Den type øvelser er imidlertid lettere at tale om end at gennemføre i virkeligheden.
"Man har i mange år snakket om rollebaseret adgangskontrol, hvor du skal have jobbeskrivelser på alle funktioner i virksomheden og vide, hvad hver enkelt jobfunktion skal have adgang til, og det skal så være mappet til systemer. Det ender meget ofte med at blive noget, man aldrig kommer i gang med."
"Man skal også klassificere alle sine data, og det bliver man heller aldrig færdig med."
I stedet lyder anbefalingen fra Janus Friis Bindslev:
"Du er nødt til - ud fra en risikobaseret tilgang - at lave en basis-fællesnævner. Du skal finde ud af, hvad den gennemsnitlige medarbejder på området har brug for, og så skal du prøve at holde antallet af profiler nede på et niveau, der er rimeligt."
"Og begrænsningerne skal fokuseres der, hvor de er risikomæssigt begrundede."
"Samtidig skal du sørge for, at tildelingen af ekstra adgange er smidig, så det er enkelt at anmode om at få de adgange, man har brug for," siger Janus Friis Bindslev.
Janus Friis Bindslev beskriver en klassisk fejl, nogle virksomheder begår: Når en ny medarbejder starter i virksomheden, står der på blanketten til medarbejder-oprettelse, at man skal angive, hvilken medarbejders profil den nye medarbejders profil skal oprettes som en kopi af.
"Hvis man ikke har været meget stringent med at få lukket adgange ned undervejs, kan man få en hale af adgange, der ellers burde være lukket ned, men som flytter med over til den nye medarbejder."
Derfor er den grundlæggende anbefaling, at man finder et fornuftigt og realistisk niveau, hvis man ønsker at rydde op i adgangsrettighederne.
"Du behøver ikke at have rettigheds-beskrivelser for hvert eneste job i virksomheden, for så bliver du aldrig færdig. Du skal have nogle basis-profilgrupper."
Læs også: Trin for trin: Sådan misbruger andre din adgang til kritiske data
Vigtigt at kunne tilbyde midlertidige adgange
Udfordringen med at sikre, at kritiske og fortrolige forretningsdata kun kan tilgås af de relevante personer, bliver ikke mindre i en tid, hvor mange virksomheder arbejder i tværgående projektteams.
Netop derfor er det også vigtigt at man har de nødvendige processer på plads til at kunne tilbyde en midlertidig adgang til specifikke data eller systemer.
"Hvis du sørger for, at din adgangstildelings-proces er smidig, kan du også bedre give midlertidige adgange."
"Hvis du er en it-medarbejder, der nogle gange arbejder på projekter i økonomiafdelingen eller andre steder i virksomheden, kan du have brug for at få særlige adgange i en periode."
"Så handler det om, at man ikke får dem tildelt for tid og evighed, men i stedet kun for den periode, hvor der er brug for det. Når den så er udløbet, må du anmode igen," forklarer Janus Friis Bindslev fra Deloitte.
Han tilføjer, at det også er en fornuftig måde at håndtere adgangsrettigheder for eksterne konsulenter på.
Sådan kan du starte arbejdet
For de virksomheder og organisationer, der har et behov for at fratage medarbejdere nogle af adgangsrettighederne, melder sig et nyt spørgsmål: Hvordan kommunikerer man om det behov, så medarbejderne ikke får et indtryk af, at det er fordi man har fået mindre tillid til dem nu end tidligere?
Janus Friis Bindslev mener, at argumentet, som medarbejderne skal præsenteres for, i virkeligheden er ret simpelt:
"Vi anbefaler, at man starter med en kategori til kronjuvelerne; de kritiske og fortrolige data. Og så har man en anden kategori, der hedder ‘ikke-klassificeret'."
"Det handler hele tiden om, at adgange til kronjuvelerne skal være arbejdsmæssigt betingede. Hvis du ikke har brug for at have adgangen længere, skal du ikke have den. Disse adgange skal være på need-to-know-basis - sådan er det bare."
"Start med at klassificere de ting, der er kritiske - og brug så det i forhold til at få styr på rettighederne. Det er nemmere at kommunikere, at man nu øger sikkerheden omkring de ting, der er super vigtige for virksomheden," lyder anbefalingen fra Janus Friis Bindslev.
Læs også: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data
Det viser undersøgelserne
Amerikanske Ponemon Institute har foretaget en undersøgelse blandt 2.276 medarbejdere fra virksomheder i USA og Europa, og her lød konklusionen, at "medarbejderne er vidne til en mangel på kontrol af filadgangen og brugen af virksomheds-data."
Samtidig har en anden undersøgelse netop konkluderet, at 89 procent af de voksne amerikanere har oplevet at have adgang til mindst en applikation fra en tidligere arbejdsgiver. 49 procent har prøvet at logge ind på en konto, som det ikke var meningen, at de stadig skulle have adgang til.
Samtidig svarer 45 procent af respondenterne i undersøgelsen, at de stadig havde adgang til fortrolige data, selvom de var stoppet i virksomheden.