Identitets- og tilgangsstyring

Riktig tilgang til riktig tid av riktig grunn for de rette folka, hvorfor er det så viktig?

Identitets- og tilgangsstyring (Identity and Access Management, IAM) står seg frem som et stadig viktigere fokusområde. Konseptet handler om å ha kontroll og oversikt over tilganger til elektroniske ressurser samt gode, standardiserte prosesser og rutiner for hvordan identiteter opprettes og tilganger tilordnes. Dette for å ivareta sikkerheten, besørge effektivisering og automatisering. God kontroll på identitets- og tilgangsstyring er et viktig steg på veien mot god cybersikkerhet og produktiv drift. Vi skal i dette blogginnlegget se nærmere på hvorfor identitets- og tilgangsstyring er så viktig og hvilken rolle det spiller for virksomheter.

Typisk problem

Du skal starte i ny jobb, gleder deg og møter opp første dag ivrig etter å ta fatt på nye utfordringer. Moroa lar derimot vente på seg fordi din nye leder har hatt en ekstremt travel periode den siste tiden og glemt å melde inn bestilling til IT-avdelingen for å opprette en brukerkonto til deg, samt bestille datamaskin. Du blir dermed stående og vente på at din nye leder, IT-avdelingen, og kanskje enda flere funksjoner må forsøke å finne ledig rom i timeplanen for å bruke tid på å oppdrive en datamaskin, opprette bruker og gi deg de riktige tilgangene. 

Du er leder, har ansatt en ny person som skal bidra i det viktige arbeidet som gjøres i bedriften. Du har gitt beskjed og kommunisert med HR som har registrert informasjon om den nyansatte gjennom rekrutteringsprosessen, men når den ansatte stiller på jobb første arbeidsdag er ingen brukerkonto opprettet. Den nyansatte har dermed verken en brukerkonto eller de nødvendige tilgangene for å kunne utføre sitt arbeid. Du som leder må dermed sette av ekstra tid til å nøste opp i hvorfor brukerkonto ikke har blitt opprettet, samt få fortgang på prosessen for å få opprettet en brukerkonto omgående. 

De skisserte problemstillingene kan fremstå som banale, og du tenker trolig “ja, men det er jo bare å spasere innom IT-avdelingen, så fikser de det”. Dessverre er det mange som tenker slik, og selv om problemet i mange tilfeller kan løses relativt raskt med slik brannslukking, så er det langt ifra en god og bærekraftig løsning av flere årsaker. Synkronisering mellom enkelte systemer kan ta lang tid, og i mange tilfeller skjer synkronisering kun på noen få tidspunkter i løpet av døgnet. Det er heller ingen selvfølge at IT-avdelingen har ledig kapasitet til å kunne håndtere slike henvendelser på stående fot, da de har mange andre viktige oppgaver som må prioriteres. Det er heller ingen selvfølge at de har ekstra datamaskiner liggende. Et annet aspekt er at oppretting av brukerkonto hos IT-avdelingen i mange tilfeller kun gir et sett med basistilganger som videre må utvides med tilganger til eksempelvis fagapplikasjoner, produksjonssystemer og lignende. Slike tilganger fordrer ofte godkjenning fra personer med godkjenningsmyndighet, typisk systemeiere. Desto flere ulike personer som må involveres i tilordning av brukertilganger, desto lengre tid vil det ta før brukeren er tilstrekkelig operativ. Resultatet av dette er dermed at du som nyansatt blir sittende en periode uten mulighet til å starte med de viktige arbeidsoppgavene du var tiltenkt. I tillegg må personer i ulike funksjoner potensielt slippe det de har i hendene og endre arbeidsdagen sin for å bistå med brannslukkingen. Dette koster bedriften ekstra penger og kan oppleves som en unødvendig byrde for de ansatte som er involvert. 

Tidkrevende, omfattende og manuelle prosesser for identitets- og tilgangsstyring (Identity- and access management, IAM) kan som skissert medføre mye ekstra bry for en virksomhet. Kan det gjøres mer smidig og effektivt sett fra et forretningsperspektiv? Er det fra et informasjonssikkerhetsperspektiv mulig å gjøre det sikrere, samtidig som oversikt og kontroll ivaretas? Og vil det være mulig å få til alt dette, samtidig som det blir mer brukervennlig og forståelig for brukerne, både ansatte og ledere? Svaret på dette er JA og løsningen er å forbedre identitets- og tilgangsstyringen i virksomheten. 

Systematisk tilnærming

Rammene rundt identitets- og tilgangsstyring må forankres gjennom tilstrekkelig internkontroll med tydelige policyer, retningslinjer, regler og rutinebeskrivelser for hvem som skal ha tilgang til hva i en bedrift. I tillegg må ansvar for data og tilganger være klargjort, så ikke IT-ansatte får ansvaret for å gi tilganger til personer de ikke har et forhold til. 

Gjennom systemstøtte, enten gjennom bedriftens egne systemer eller et tredjeparts-, dedikert IAM-system, kan prosessene for å sikre opprettelse av brukerkonto og tilordning av tilganger automatiseres og effektiviseres. Integrasjoner mot fagsystemer og applikasjoner kan sikre oversikt og kontroll i IAM-systemet over hvem som har tilgang til hva.

I eksempelet over ville den nyansatte, med et dedikert IAM-system, vært sikret både brukerkonto ved oppstart, og nødvendige tilganger. I tillegg ville mye tid vært spart, både for den nyansatte, for leder, og for alle andre involverte funksjoner. Brukeropplevelsen deres ville også vært bedre, og sikkerhetsansvarlig ville vært sikker på at personen kun har fått tilgang til det som er nødvendig.  

Hva kan identitets- og tilgangsstyring (IAM) bidra med?

Identitets- og tilgangsstyring (IAM) kan bidra med å:

Mer konkret betyr dette:

La de riktige personene få tilgangene de trenger for å kunne utføre de oppgavene de skal gjøre:

• De riktige personene får tilgang til systemene og dataene de trenger tilgang til for å utføre sitt arbeid, hverken mer eller mindre. Dette  inkluderer også rollespesifikke tilganger til spesialprogrammer og -informasjon samt basistilganger som er nødvendig. 

… på en automatisert, brukervennlig og sikker måte med fokus på etterlevelse, oversikt og kontroll:

• Tilganger tilordnes, endres og fjernes automatisk til personene det gjelder ved oppstart, tildeling av ny rolle, eller terminering av arbeidsforhold basert på datoer som legges inn i HR-systemet (kildedata/autoritativ kilde). Ved å automatisere prosessene og fjerne manuelle ledd reduseres mulighetene for menneskelige feil samtidig som det går raskere. Dette gir økt brukervennlighet og bedre kvalitet. Tilganger gis ikke med utgangspunkt i en annen ansatt sine tilganger, men basert på faktisk behov. Provisjonering av brukere til katalogtjenester og nødvendige systemer reduserer behovet for manuelle handlinger og besørger at de nødvendige systemene og tilgangene er tilgjengelige for de aktuelle brukerne. 

• Lettere å etterleve lover, policyer, retningslinjer, osv. da tilganger som tildeles er forhåndsdefinert med utgangspunkt i eksempelvis rolle. En annen fordel er at det gir bedre oversikt og kontroll over hvem som har tilgang til hva. Oversikt kan være som følge av klart definerte retningslinjer for hvilke roller som skal ha tilganger, slik at en enkel sjekk av roller vil gi et komplett bilde. Det er da også mulig å si noe om hvorfor noen har en konkret tilgang, et spørsmål som stadig blir viktigere å kunne svare på. Et dedikert system for IAM kan også enkelt rapportere hvem som har tilgang til hva og svare på hvorfor vedkommende har tilgang.

…og hindrer samtidig at uvedkommende får tilgang, for å redusere risiko og hindre uautorisert tilgang:

• Tilganger blir ikke gitt til andre enn de som trenger det, noe som gjør at data og systemer ikke vil være tilgjengelig for andre enn de som faktisk har behov.
  
  

Hvordan rolle spiller IAM for din virksomhet?

Datamaskiner, systemer og applikasjoner er en vital del av arbeidshverdagen i de aller fleste virksomheter, og data digitaliseres i en forrykende fart. Dette har gjort at den tradisjonelle perimetersikkerheten med gjerder, vakter, adgangskontroll, adgangskort og nøkler til arkivrom ikke lengre er tilstrekkelig. Data, ofte omtalt som den nye oljen, har stor verdi og burde beskyttes deretter. 

Med økt digitalisering har vi fått utvidede muligheter hva gjelder tilgjengelighet, men også medfølgende krav til tilgjengelighet. Covid-19 har lært oss at døren på kontoret i mange tilfeller ikke er en fysisk begrensning for hvor arbeid kan utføres og stadig flere ønsker fleksibilitet når det gjelder for eksempel arbeidssted og -tid, og det forventes at alt skal være tilgjengelig fra mobilen i tillegg. IAM kan bistå som et viktig moment for å kunne besørge at ansatte har tilgang til de systemene og dataene de trenger på en sikker måte, fra hvor og når de måtte ønske, samtidig som uautoriserte personer holdes unna. Gode policyer, rutiner og prosesser for identitets- og tilgangsstyring gir virksomheter en trygghet og kontroll, slik at de vet hvem som har tilgang til hva. 

IAM medfører også effektivisert drift og kostnadsbesparelser. Prosesser som tidligere har bestått av flere ledd med mye manuelt arbeid og flere personer involvert kan i mange tilfeller reduseres til en automatisert prosess som ikke krever annet enn inntasting av initielle data. IAM håndterer med andre ord nødvendige operasjonelle funksjoner på en presis og automatisert måte som gjør at de ansatte i virksomheten kan fokusere i større grad på kjernevirksomheten og oppgaver tilhørende denne. 

Nyansettelser, endring av stillinger og oppsigelser kan gå fra å være en slitsom, lang og omstendig prosess for HR- og IT-avdelingen, til å være en enkel affære hvor noen få tastetrykk er alt som trengs for at prosessen skal gjennomføres korrekt og uten behov for unødvendig opprydding og etterarbeid.

Oppsummert gir IAM forbedret brukeropplevelse både for de ansatte som utfører oppgaver knyttet til identitets- og tilgangsstyring og alle ytterligere ansatte i virksomheten. Økt informasjonssikkerhet og etterlevelse. Standardisering, automatisering og effektivisering av driften.