7 anledningar till varför ditt företag behöver Identity Governance

7 anledningar till varför ditt företag behöver Identity Governance

En lösning för identitetsstyrning gör de anställdas rättigheter och åtkomst till företagets system tydliga och lätta att överskåda. Om ditt företag redan har en lösning för identitetshantering överlappar funktionerna ofta varandra i praktiken. Det finns dock tydliga skillnader, och nedan beskriver vi sju av anledningarna till varför ditt företag behöver just Identity Governance.

Alexander Friedensburg

Alexander Friedensburg
04. september 2020

1.  Överensstämmelse med lagstadgade krav

I dataskyddsintresset är alla företag skyldiga att kontrollera hanteringen av rättigheter och tillgång till känsliga personuppgifter. I artikel 32 i dataskyddsförordningen fastställs förordningens krav på tekniska och organisatoriska säkerhetsåtgärder. Även om inga specifika tekniska anordningar nämns är goda rutiner för identitetsstyrning nödvändiga för att uppfylla GDPR:s princip om "skydd mot obehörig eller olaglig behandling".

Incidenter med "obehörig åtkomst" är inte heller begränsade till att utomstående får olaglig åtkomst, utan kan även omfatta fall där egna anställda har åtkomst de inte bör ha.

Huruvida kravet på kontroll resulterar i behovet av en Identity Governance-lösning är upp till det enskilda företaget. I en dynamisk värld med hemmakontor, molntjänster och allmänt ökad digitalisering är det dock svårt att föreställa sig hur myndighetskraven kan uppfyllas utan en lämplig lösning.

Uppgifterna för en Identity Governance-lösning är att strukturera tilldelningen av rättigheter och åtkomster samt att synliggöra den faktiska situationen och dokumentera genomförandet av organisationens kontrollrutiner. På så sätt bidrar lösningen till att uppfylla de lagstadgade kraven.

2. Riskhantering

Vi hör allt oftare talas om dataintrång och läckor, även här i Norden. Mörkertalet tros vara betydande. Kostnaderna i samband med förlorat rykte och förlorade intäkter överstiger snabbt vad lämpliga säkerhetsåtgärder skulle ha kostat. Ibland hotas också grunden för fortsatt verksamhet.

Identity Governance-lösningen tar ett proaktivt steg genom att begränsa och skydda tillgången till känsliga data och därmed minska riskerna.

Lösningen bygger vanligtvis på följande tre principer:

  1. Beviljande av rättigheter baserat på "Least Privilege". Även om vi litar på att våra anställda inte missbrukar åtkomst som de inte behöver ökar mer åtkomst angreppsytan kan utnyttjas för identitetsstöld.
  2. Borttagning av "Orphaned accounts". Detta är konton som tillhörde tidigare anställda eller som av andra skäl inte längre är kopplade till en befintlig användare.
  3. Övervakning av “Segregation of duties (SOD)”. Denna viktiga riskhanteringsprincip föreskriver att vissa åtgärder ska utföras av mer än en person. Ett exempel på det sistnämnda är att en person lägger in en betalning medan en annan person godkänner transaktionen.

3. Ger en överblick

“What you measure is what you manage.” Identity Governance-rutiner innebär att man håller koll på åtkomster och regelbundet kontrollerar behovet av dessa. För att utöva kontroll krävs dock först en inblick i den faktiska situationen. Utmaningen är ofta att denna inblick är utspridd i företagets olika system och blir besvärlig att sammanställa. Det är svårt nog för IT att upprätthålla kontrollen, men för avdelningscheferna är det praktiskt taget omöjligt.

Fördelen med en Identity Governance-lösning är att den sammanställer och presenterar denna information på ett sätt som är begripligt för avdelningschefer och säkerhetsansvariga.

Lösningen kommer också att utföra så kallade certifieringskampanjer där avdelningscheferna till exempel en gång i kvartalet ombeds att bekräfta vilka roller och rättigheter som deras anställda kommer att fortsätta att ha. Detta är en central Identity Governance-process som lösningen underlättar och dokumenterar. På så sätt bevisar företaget att det utför denna viktiga kontrollfunktion.

4. Involverar affärssidan i säkerhetsarbetet

Det är en missuppfattning att anta att IT-avdelningen ska vara ansvarig för informationssäkerheten. Avdelningen har ofta inte möjlighet att bedöma vem som ska ha vilken åtkomst. Tillgångshantering är en affärsprocess, och det är framför allt team- och avdelningschefer som har detta viktiga ansvar. Det är trots allt de som har en överblick över sina anställda och de uppgifter som de har tilldelats att utföra.

En självklar förutsättning för att cheferna ska kunna hantera och kontrollera åtkomst är att de har en överblick över denna information. En lösning för identitetsstyrning presenterar detta på ett icke-tekniskt sätt, så att cheferna snabbt och enkelt kan få en överblick över befintliga roller, åtkomster och rättigheter.

Det är bara när cheferna kan begära åtkomst för sina anställdas räkning, godkänna ansökningar och bekräfta eller ta bort åtkomst som företaget har lyckats involvera cheferna i säkerheten.

5. Kostnadskontroll

Applikationer som varken är lämpliga för den anställde att få tillgång till eller används överhuvudtaget utgör ofta en betydande och onödig licenskostnad för företaget. Kostnaden för den tid som IT-avdelningen ägnar åt att hantera alla åtkomster är också betydande.

En Identity Governance-lösning involverar avdelningscheferna och minimerar därmed den tid som IT lägger på administration, och licenskostnaderna kan synliggöras som en dimension för avdelningscheferna att ta hänsyn till.

6. Bara identitetshantering är inte tillräckligt

En lösning för identitetshantering skapar användare och ger tillgång till företagsapplikationer. Det är ett viktigt steg mot centraliserad kontroll, men det är inte helt vattentätt. Administratörer i dessa anslutna tillämpningar kan fortfarande skapa användare och åtkomster utanför lösningen. I många fall upptäcker inte ens en Identity Management-lösning sådana förändringar.

En Identity Governance-lösning håller däremot reda på vilka åtkomster som faktiskt har ställts in för varje associerat program och rapporterar eventuella avvikelser.

7. Kompletterar Identity Management

Om företaget redan har en Identity Management-lösning är det förhoppningsvis väl vant vid att tilldela rättigheter. Styrkan i en sådan lösning ligger i synkroniseringen av användarattribut mellan systemen samt i det automatiska skapandet och borttagandet av åtkomsträttigheter.

Till skillnad från en lösning för Identity Governance är en Identity Management-lösning i allmänhet inte lämplig för att presentera åtkomsterna för avdelningscheferna på ett lämpligt sätt. Denna lösning har inte heller några funktioner för att utföra periodiska kontroller som delegeras. En Identity Management-lösning är alltså inte lika lämplig om målet är att involvera hela organisationen i arbetet med informationssäkerhet

Lyckligtvis är det möjligt att komplettera en befintlig Identity Management-lösning med en Identity Governance-lösning för att lägga till kontrollfunktioner. Då behöver företaget inte kasta överbord alla investeringar som gjorts i den befintliga lösningen, utan kan helt enkelt optimera säkerhetsarbetet med bra rutiner för Identity Governance.

 

Fler artiklar

10 trender inom IAM för 2024

10 trender inom IAM för 2024

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

Resebrev från Oktane 2023

Resebrev från Oktane 2023

Hur kan IAM hjälpa till att säkerställa compliance?

Hur kan IAM hjälpa till att säkerställa compliance?

Cloudworks och Saviynt ingår i ett strategiskt partnerskap för Identity Governance

Cloudworks och Saviynt ingår i ett strategiskt partnerskap för Identity Governance

Med BeyondTrust som partner stärks vår IAM-position med PAM-lösningar

Med BeyondTrust som partner stärks vår IAM-position med PAM-lösningar

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 915 106 900

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no