Felles

Hvordan jobber ProsessPilotene med informasjonssikkerhet?

I løpet av de siste årene har hybride arbeidssteder blitt normen for mange. I takt med dette skiftet har både de IT-funksjonelle og sikkerhetsmessige behovene endret seg. Her er noen gode råd fra vår IT- og sikkerhetsleder om hvordan organisasjoner bør gå frem for å oppnå sikker IT i en hybrid verden. 

Ved å holde fast i de tradisjonelle IT- og sikkerhetsmodellene risikerer man å bli utdatert eller kompromittert. Så hvordan kan du oppnå moderne IT-systemer som møter dagens krav og samtidig beskytte de på en effektiv og god måte?

Skift fokus til sikre tjenester, identiteter, tilgangskontroller og endepunkter

Tradisjonelt fokuserte man gjerne på å sikre kontorene sine fra farene på internett, litt som de gammeldagse festningene med høyre murer og vollgrav. Dette fungerte i en tid hvor alle IT-systemer og endepunktene var permanent innenfor kontorveggene. Men nå som de fleste skal kunne jobbe fra hvor som helst, og imot mange forskjellige skytjenester, er ikke denne tankegangen lengre effektiv eller passende.

Ved å fokusere på å beskytte tjenestene, identitetene, tilgangskontrollene og endepunktene dine vil du kunne oppnå et moderne og sikkert IT-miljø som møter behovene dine. Men hva betyr det i praksis? 

I denne og den neste artikkelen skal vi se på hvordan du kan sikre identitetene dine, og i kommende artikler skal vi dekke tjenester, tilgangskontroller og endepunkter. Disse områdene henger ofte sammen med hverandre, men vi skal forsøke å ha et fokusområde per artikkel. Områdene er også ganske omfattende, så vi vil ikke rekke å dekke alle aspekter i disse artiklene. Tanken er heller at artiklene skal kunne være til inspirasjon og et utgangspunkt til å starte prosessen med å forbedre IT-systemene og prosessene dine og sikkerheten rundt disse.

Man sitter da ofte igjen med identiteter med for mange rettigheter, som i sin tur øker risikoen for at skade skjer ved menneskelig feil eller misbruk.

Sikre identiteter

Når vi her snakker om identiteter handler det hovedsakelig om personlige brukerkontoer, som innlogging til PCer, e-postkontoer eller andre IT-systemer.

Vi begynner med å se på identiteter, da de ligger til grunn for sikkerheten i de fleste IT-systemene dine. Hvis du ikke kan stole på hvem som bruker de forskjellige identitetene, mister du kontrollen over hvem som har tilgang til hva, og hvem som har gjort hva. I verste fall kan en angriper få tilgang til, og misbruke, en av dine ansattes brukerkontoer for å skade dine interne systemer, kunderelasjoner, økonomi eller omdømme, uten at du vet hvem som egentlig sto bak. Og om identitetene dine har for mange rettigheter kan en hacker gjøre større skade enn om alle identiteter kun hadde rettigheter til å gjøre det skal.

Samarbeid mellom HR og IT

Identitetene har ofte et livsløp som begynner med at noen skal ansettes, og avsluttes med at arbeidsforholdet tar slutt. Et godt livsløp for en identitet begynner faktisk allerede før en ansatt begynner i jobben gjennom gode ansettelses- og onboardingsprosesser, ved å sikre at den du skal ansatte er den du tror de er. Disse prosessene danner også ofte noen av de første inntrykkene en potensielt nyansatt får av organisasjonen din, så det er mange fordeler med å se til at disse prosessene er gjennomtenkte og gode.

Strømlinjeforming av prosesser

Vi i ProsessPilotene har erfaring med å automatisere ansettelsesprosesser, som har ført til at den som skal ansettes får en opplevelse av at organisasjonen er moderne og profesjonell, samtidig som arbeidsbyrden og muligheten for menneskelig feil hos HR- og IT-avdelingene reduseres betraktelig. Vi benytter også BankID i prosessene for å bekrefte identiteten til den nyansatte og for å signere ansettelseskontraktene. Vi strømlinjeformer også valgene av PC og mobil, og oppsett av disse.

Videre i livsløpet skal en identitet gjerne ha rettigheter til å gjøre en eller flere oppgaver. Alt fra å logge på PCen, jobbe i CRM eller sende en epost. Disse rettighetene bør hovedsakelig delegeres via gruppemedlemskaper, istedenfor å gi de direkte til hver enkelt bruker. Hvorfor det, tenker du kanskje? En identitet får ofte justerte eller nye oppgaver gjennom livsløpet sitt, og det er en vanlig problemstilling at man da ender opp med identiteter som samler opp nye rettigheter uten av de gamle tas bort. Man sitter da ofte igjen med identiteter med for mange rettigheter, som i sin tur øker risikoen for at skade skjer ved menneskelig feil eller misbruk.

Opprett grupper med rettigheter

Om man heller lager grupper for forskjellige arbeidsroller, for eksempel «Selgere», «Kunderådgivere» og «Utviklere», og gir nødvendige rettigheter til disse gruppene vil man ha bedre oversikt og kontroll. Identitetene kan da gis medlemskap til noen få grupper ettersom hvilke arbeidsroller de har, og det er mye lettere å ha oversikt over hva hver enkelt har tilgang til, samt å rydde bort tilganger de ikke lengre trenger.

Ha rutiner for gjennomgang av gruppene

Disse gruppene kan holdes ved like ved å sette opp automatiserte og regelmessige medlems-gjennomganger. I disse gjennomgangene kan for eksempel lederen for salgsavdelingen bli bedt om å se på gruppen «Selgere» og ta stilling til om alle som er medlemmer i dag fortsatt trenger å være det.

Til nå har vi sett på noen områder hvor vi kan styrke sikkerheten rundt identiteter. I neste artikkel i denne serien skal vi se videre på sikre identiteter, og ha et fokus på administratorene – identitetene med de privilegerte tilgangene. Disse identitetene er det hackere ofte prøver å få tak i, så det er viktig å beskytte disse!


Artikkelen er skrevet av:
Jonas Sponås, IT- og sikkerhetsleder i ProsessPilotene 


Trenger du hjelp til å få bedre oversikt og kontroll rundt identitetene i din organisasjon, eller få effektivisert og modernisert ansettelses- og onboardingsprosessene dine? Ta kontakt med oss i ProsessPilotene!