Digitaliseringen ökar sårbarheten och ställer högre krav på god IT-säkerhet. Till att börja med behövs kontroll av vem som har åtkomst till vilka IT-resurser och data. För att lyckas krävs identitetshantering.

Lotta von Schantz, Sverigechef på Intragen.

De flesta förstår vikten av att kontrollera åtkomst till applikationer, data, nätverk och andra IT-resurser. Det största säkerhetshotet är att inkräktare kan stjäla och ändra data. Lägg till det att en säkerhetsincident kan vara katastrofal för ett företags rykte. Samt att ett misslyckande att följa lagar och regler, som till exempel GDPR, kan medföra dryga böter.

För att gå rakt på sak: det är en absolut nödvändighet att kunna begränsa åtkomsten till IT-resurser och att kunna kontrollera hur IT-resurser har använts i efterhand. Det senare brukar kallas för spårbarhet.

– Det handlar om att veta vilka som har behörighet till olika system och hur de har fått det. En stor utmaning är att individer börjar anställningar, byter roller och avslutar anställningar, säger Lotta von Schantz, Sverigechef på konsultföretaget Intragen.

Molnet krånglar till det

Att jobba med identitetshantering är inget engångsprojekt, utan kräver kontinuerlig uppdatering för att leva upp till krav som ofta förändras. Ett exempel på det är Coronaepidemin som innebär att många användare behöver jobba hemifrån, med allt vad det innebär säkerhetsmässigt.

Problemen i samband med identitetshantering har förvärrats i takt med att IT-miljöer har blivit allt mer diversifierade och distribuerade. Det blir allt svårare att få in alla delar av en IT-miljö i en struktur, även vad gäller identitetshantering. Den största boven i dramat är, förstås, molnet.

Tänk dig ett företag som har kvar äldre system i egen drift, köper in molntjänster centralt för vissa uppgifter, plus att användarna är kreativa med att själva använda olika molntjänster. Kort sagt, enhetlig identitetshantering blir en utmaning och ibland omöjlig.

En annan säkerhetsrisk, som är allt för vanlig på många företag idag, är att en anställds rättigheter inte ändras när denne byter jobb inom eller slutar på företaget. Den bästa lösningen på detta problem är system som i så stor utsträckning som möjligt sköter detta automatiskt, utan mänsklig inblandning.

Vi börjar ofta med grundläggande identitetshantering, vilket gör att kunderna får ett affärsvärde snabbt.

Lotta von Schantz, Sverigechef på Intragen.

Det är precis vad Intragen, specialister på identitetshantering med mer än 100 utförda implementationer och som även jobbar med IT-säkerhet i ett bredare perspektiv, förespråkar. Intragen har verksamhet i England, Nederländerna och samt Finland och är i full färd med att etablera sig i Sverige. Sverigechefen Lotta von Schantz är väl förtrogen med de problem som brukar uppstå i samband med implementering av identitetshantering.

– Sådana här projekt har tidigare ofta haft ett dåligt rykte, för att de tar lång tid, går över budget och ger dåliga slutresultat. Grundproblemet är att området är komplext och att olika företag har olika processer. Det finns inga nyckelfärdiga lösningar att lyfta in, säger Lotta von Schantz.

Med sin erfarenhet av implementation av identitetshantering kan Intragen lättare få grepp om vad som behöver göras.

– Ett vanligt sätt att jobba är att börja med grundläggande identitetshantering och sedan bygga på med funktionalitet i korta faser. Vi jobbar ofta på det sättet, vilket gör att kunderna får ett affärsvärde snabbt, säger Lotta von Schantz.

Snabbtesta er IAM här, och se hur Intragen kan hjälpa er spara tid och pengar

Flera nivåer av identitet

Elisabeth Ström Gullberg, nordisk försäljningchef på One Identity.

Intragen jobbar mycket med produkter för identitetshantering från One Identity som man är en platinumpartner till, samt även med kompletterande lösningar från till exempel Ping. För One Identity, som är en del av Quest Software-koncernen, är Intragens Sverigeetablering positiv eftersom de får en bättre närvaro på den svenska marknaden.

Vad ska man tänka på när man väljer produkter?

– De ska vara enkla för alla att använda, kunna hantera alla typer av användare, fungera med både traditionella system och molnsystem, och det ska finnas färdiga kopplingar till målsystemen, säger Elisabeth Ström Gullberg, nordisk försäljningchef på One Identity.

One Identitys lösningar kan delas in i tre kategorier:

  • Identity Governance. För att se till att individer har rätt åtkomst till de system de ska ha tillgång till. Det innebär även att regelefterlevnad kontrolleras och att regler fastställs för hur identitetshantering ska skötas.
  • Privileged Access Management. Innebär att hantera och övervaka administrativa och därmed mycket mer kraftfulla rättigheter och åtkomster. Genom att integrera Identity Governance och Privileged Access Management fås total kontroll över vilka identiteter som har åtkomst till vad och varför.
  • Active Directory Account Lifecycle Management. Ett verktyg som förenklar handhavandet av Microsofts Active Directory, både i det egna datacentret och i molnet.

I botten finns tre hörnpelare: automatisering, självservice och integration. Så mycket som möjligt sköts utan mänsklig inblandning. I stället för att Pelle eller Lisa på IT-avdelningen gör noteringar i ett Excelark lagras informationen automatiskt. Självservice innebär till exempel att användare själva ansöker om rättigheter till applikationer och andra resurser. Integration innebär att det finns ett stort antal färdiga kopplingar till de resurser som åtkomst ska kontrolleras för, och att det är enkelt att skapa kopplingar till flera.

Begrepp som förvirrar

Som så ofta med IT, så lider också identitetshantering av en uppsjö av begrepp som har mer eller mindre att göra med varandra: åtkomst, access, identitet, autentisering, behörighet, policies, governance, konton, accounts, roller, och så vidare. Det är lätt att gå bort sig i begreppsfloran.

I den här texten har vi utgått från begreppet identitetshantering. En identitet är i det här sammanhanget en digital representation av en person eller en sak. Identiteter baseras på till exempel organisatoriska tillhörigheter och verksamhetsroller, och styr hur åtkomster och rättigheter tilldelas. På engelska heter det identity management och identity administration, ibland även identity access management (IAM).

 

Brist på identitetshantering ger stora problem

Det finns många konsekvenser av dålig identitetshantering. Här är de viktigaste:

  • Obehöriga kan stjäla och förvanska data. Det gäller både externa personer och anställda.
  • Spårbarhet saknas. Det går inte att se vem som har eller har haft tillgång till data.
  • Olika typer av revisioner (audits) blir till mardrömsliknande upplevelser, eftersom spårbarhet saknas.
  • Den interna effektiviteten blir lidande, för att de som behöver åtkomst till data och andra IT-resurser för att sköta för sina arbetsuppgifter inte har det.
  • Det krävs onödigt mycket arbete för att säkerställa identiteter, behörighet och åtkomst.
  • Man bryter mot lagar och regler, till exempel vad gäller personlig integritet, med böter och andra negativa konsekvenser som följd.
  • Negativ publicitet i samband med dataintrång kan göra stor skada för ett företags varumärke.