fbpx
+46-8-6786700
info@changeoflane.com

Fem framgångsnycklar för fungerande identitets- och åtkomsthantering

Fem framgångsnycklar för fungerande identitets- och åtkomsthantering

Identity and access management (IAM) är en kritisk komponent för ditt företags arbete i att förhindra dataförluster och intrång. All statistik pekar på en ökad hotbild för företag avseende informationssäkerhet.

Här får du fem faktorer för att framgångsrikt lyckas med identitets- och åtkomsthantering.

David Hagdahl

David Hagdahl

IT-management konsult

Centraliserad strategi

För ökad synlighet och smidigare användarupplevelse ska ni centralisera både identitetshanteringen och inloggningsförfaranden. Det innebär både att via företagspolicy styra vad som är masterdata och med verktyg tekniskt möjliggöra centraliserad hantering av identiteter och roller. De flesta säkerhetscertifieringar, som ISO 27001, kräver också single-sign-on (SSO) där det är möjligt, framför allt på kritiska system.

IAM

Städa bort användarlösa konton

IAM kan idag underlättas med hjälp av verktyg, men måste kontrolleras med manuella arbetssätt. Till exempel genom revision av hela användardatabasen ett par gånger per år. För priviligierade användare och ledningsroller bör det göras mycket oftare. Detta blir naturligtvis mycket lättare att genomföra med en centraliserad IAM-lösning.

Tillhandahållandet av uppdaterade aktiva användare, och deras roller, från HR måste fungera hundraprocentigt. Ännu viktigare är naturligtvis att ändringar som att användare lämnar företaget eller byter position tillhandahålls sömlöst och centraliserat till alla system.

Fastställ och eliminera högrisksystem

Företag som förlitar sig på eller är beroende av äldre system har ofta stora utmaningar i att integrera och centralisera identitetshanteringen för dessa system. Dessa system är ofta kvar för att de är affärskritiska och innehåller och information som är viktig och innebär därför en risk för företaget att fortsätta använda.

Förutom riskerna med en bristande identitetshantering har äldre system ofta flera riskfaktorer för dataläckage.

Hitta den bästa IAM-plattformen

Kravbilden på IAM för olika företag och organisationer kan skilja sig mycket. Behoven är ofta specialiserade efter bransch, lagstiftning, geografisk spridning och existerande system. Hot, risknivåer och efterlevnadsregler skiljer sig beroende på den unika kombinationen av enheter, krav på användaråtkomst och verktyg som krävs för att integrera applikationer med inkompatibla autentiseringsprotokoll.

Operativ IT kräver en administrativ instrumentpanel med analysverktyg, enkel rapportering och en hög nivå av synlighet för att säkerställa att alla anslutna enheter och användare kan övervakas kontinuerligt. Samtidigt krävs skalbarhet för att möjliggöra införande av nya system, applikationer och klienter med olika operativsystem.

Inför Zero-Trust-arbetssätt

Ingen är pålitlig förrän det bevisats är vad Zero-Trust-metoden bygger på. Den tillämpas genom kontinuerliga autentiseringsmetoder där användarbeteenden övervakas och risknivåerna utvärderas under hela sessionen.

Avsikten är att med rätt verktyg på ett dynamiskt och sofistikerat sätt upptäcka avvikande beteenden som indikerar brott eller dataläckage. Genom att upptäcka intrång tidigare kan skadan vid ett dataintrång minimeras genom proaktiva åtgärder.

En del av att implementera Zero-Trust är att införa flerfaktorautentisering (MFA) vid inloggning och verifiera alla enheter som ansluter till företagets informationssystem. Asset management och MDM är nyckeln till att göra detta framgångsrikt. Tilldela bara användare behörighet till den information de behöver för att utföra det specifika arbetet, det kallas principle of least privilege (PoLP). Övervaka och utvärdera all användaraktivitet och gör det visuellt tillgängligt för de administratörer som ska övervaka det.

Artikelförfattare

David Hagdahl

IT-management konsult

David Hagdahl

David Hagdahl är IT- och affärskonsult med mer än 25 års erfarenhet. 

  • har lång erfarenhet av att arbeta med säkerhet och regelefterlevnad inom bland annat finans och försäkring.
  • har erfarenhet av att ta fram och implementera policys och tekniska kontroller i operativ IT-verksamhet. 
  • har varit projektledare för implementation av ISO 27001 som framgångsrikt lett till certifiering.