Under Sikkerhetsfestivalen på Lillehammer fikk deltakerne en innføring i sikker tilgangsstyring fra Devoteams cybersikkerhetsrådgiver Cicilie Hennig-Till. Hva er utfordringene og fellene – og hvor starter man?
– Innføring av sikker tilgangsstyring handler vel så mye om endringsledelse som den tekniske innføringen. Det tekniske er det enkleste – det er det å få med seg folka som er utfordringen, mener Devoteams cybersikkerhetsrådgiver Cicilie Hennig-Till.
Store deler av Norges sikkerhetsmiljø samles i disse dager for å dele kunnskap og erfaringer på Sikkerhetsfestivalen på Lillehammer, og Hennig-Till holdt tirsdag foredrag for bransjen om hva som skal til for en vellykket innføring av sikker tilgangsstyring.
Der gikk hun gjennom seks punkter for å lykkes:
- Sett av nok ressurser til endringsledelse
- Involver folkene som jobber i prosessene tidlig
- Ha mandat til å ta beslutninger på vegne av hele organisasjonen
- Fokuser på de store prosessene
- Start i det små med basistilganger
- Start tidlig med DPIA-arbeidet
Lett å miste oversikt
Sikker tilgangsstyring handler kort sagt om å sørge for at riktig person har riktig tilgang til riktig tidspunkt og av rette årsaker, forklarte Hennig-Till under foredraget.
– Det høres kanskje veldig opplagt og enkelt ut, men responsen fra tilhørerne i salen viste at mange kjente seg igjen i problemstillingen, humrer hun.
For det kan være fort gjort å miste oversikten hvis man ikke har et godt system for tilgangsstyring. Fjernet man egentlig tilgangen for den ansatte som sluttet for et halvt år siden? Trengte egentlig den nyansatte akkurat den tilgangen, eller skal hen ikke jobbe i det systemet?
Skattejakt
Ifølge Hennig-Till er noe av det vanskeligste når man skal legge opp et system for tilgangsstyring, å klare å få god oversikt over de faktiske prosessene.
– Spesielt alle de tingene som ikke er dokumentert, da blir det litt skattejakt. Det er greit nok å kartlegge nyansettelser og avslutning av arbeidsforhold, forklarer hun.
– Men hva med endring av stilling eller arbeidsområde? Eller hvis den ansatte har flere deltidsstillinger i samme organisasjon, og endrer bare den ene? Eller slutter og kommer tilbake igjen senere? Fanger systemet opp dem?
Hun trekker frem helsevesenet som eksempel. Ta en sykepleier som først jobber på én helseinstitusjon, og så slutter – før hen et halvt år senere begynner å jobbe på en ny institusjon. Da er det fort gjort at hen fortsatt har de gamle tilgangene og innsyn i pasientinformasjon hen ikke skal ha innsyn i.
– Sørg for å involvere de som jobber i prosessene tidlig. Da blir skattejakten enklere.
Snarveier
– Har vi dårlige systemer og prosesser, tar vi snarveier, påpekte Hennig-Till under foredraget sitt. Hun illustrerte poenget med et bilde av en bom som sperrer en vei, med spor som tydet på at mange bare har gått og kjørt rundt bommen og over gressplenen i stedet.
Hvis prosessen for å opprette tilganger er tungvinn og vanskelig, er det lettere å bare sende en melding til en du kjenner for å få det fikset.
– Problemet med snarveiene er at du mister muligheten for å kunne sikre deg at det kun er de som faktisk har behov for tilgang som har dem, sier Hennig-Till.
Funksjonsbasert tilgang
Cybersikkerhetsrådgiveren snakket varmt om funksjonsbasert tilgangsstyring.
– Funksjonsbaserte tilganger er det du får i kraft av jobben du er ansatt for å gjøre. Er du sykepleier, trenger du tilgang til pasientsystemet. Er du leder, trenger du tilgang til lederverktøyene som brukes, forklarer hun.
– Disse tingene kan i stor grad automatiseres. Start med de store prosessene – klarer du å standardisere opp mot 80 % av disse, er det veldig bra. Da er mye gjort, og det som står igjen er i stor grad tilganger som bør bestilles i hvert enkelt tilfelle – som superbrukertilganger, admin-rettigheter og liknende.
For å få til et godt system er det helt nødvendig med god endringsledelse, mener Hennig-Till. Du må ha prosessen forankret på toppnivå, og ha mandat til å ta beslutning på vegne av hele organisasjonen. Samtidig må du ned til hver enkelt avdeling for å få god oversikt over flytene og hva som skal til for å klare å automatisere og standardisere på en vellykket måte.
Begynn enkelt
Så hvor starter man hvis man vil få plass et godt og standardisert system?
– Min erfaring er at det kan være lurt å starte med basistilganger. Begynn med det alle trenger og sørg for å ha riktig forankring i ledelsen, anbefaler Hennig-Till.
Hun peker også på behovet for å starte tidlig med en vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA). Hvor omfattende dette arbeidet blir, vil variere etter størrelsen på organisasjonen og hvor mye sikkerhetsarbeid som er gjort fra før.
– Når du først er i gang og har fått organisasjonen til å forstå hvordan dette gagner dem, er det lettere å fortsette med fagsystemene, oppsummerer hun.
