Ni vet vilka system ni har. Ni vet vilken information ni lagrar. Men vet ni exakt vem som har tillgång till den och när de fick den?
För många organisationer är svaret varierande. Inte för att man är slarvig med säkerheten, utan för att behörighetshantering sällan är en process. Det är ett tillstånd.
Skillnaden mellan ett tillstånd och en process
Ett tillstånd är att behörigheter finns. En person har tillgång till ett system. Det hände någon gång. Kanske när de anställdes, kanske när de bytte roll, kanske för att de frågade den rätta personen vid rätt tillfälle.
En process är att ni vet varför tillgången finns, vem som godkände den, och vad som händer när behovet upphör.
De flesta organisationer lever i ett tillstånd. Det fungerar, tills det inte gör det. Tills en revisor frågar. Tills någon vill se er åtkomstkontroll. Tills en avslutad medarbetares inloggning fortfarande är aktiv sex månader senare.
Informationsklassning som grund
Innan ni kan hantera vem som når vad behöver ni veta vad ni har och hur känsligt det är.
Informationsklassning handlar om att kategorisera organisationens information utifrån konsekvens vid obehörig åtkomst. En enkel modell har tre nivåer: öppen information, intern information och konfidentiell information. Klassningen styr sedan behörighetsstrukturen, vem behöver tillgång, i vilken form och under vilka förutsättningar.
Det är inte ett tekniskt arbete. Det är ett verksamhetsarbete. IT kan stötta med infrastruktur, men beslutet om vad som är konfidentiellt fattas av verksamheten, av de som äger informationen.
I Easit GO kan klassningen dokumenteras som en del av ett ärende. Varje tillgång kan kopplas till en klassningsnivå, och behörighetsprocessen kan byggas runt den.
Behörighetshantering som strukturerad process
En strukturerad behörighetsprocess i Easit GO ser ut ungefär så här:
Någon i organisationen behöver tillgång till ett system eller en datamängd. De skapar ett ärende i självserviceportalen. Ärendet innehåller vad de vill ha tillgång till, varför och för hur länge.
Ärendet går till rätt godkännare – systemägaren, dataskyddsansvarig eller chef beroende på klassningsnivå. Godkännandet dokumenteras. Tillgången ges. Ärendet stängs med en tidsstämpel.
Det här kräver inga tekniska integrationer med det aktuella systemet för att vara värdefullt. Värdet ligger i dokumentationen: ni kan visa vem som har tillgång till vad, vem som godkände det och när. Det är vad en revisor frågar efter. Det är vad GDPR kräver.
Kopplingen till onboarding, offboarding och behandlingsregistret
Behörighetshantering är inte en isolerad process. Den hänger ihop med tre andra processer ni sannolikt redan hanterar – eller borde hantera – i Easit GO.
Onboarding. När en ny medarbetare börjar definierar onboardingprocessen vilka behörigheter de behöver. Med en strukturerad process är den första behörighetstilldelningen dokumenterad från dag ett.
Offboarding. När en anställning avslutas är behörighetsåterkallelse en av de viktigaste uppgifterna. Vi har skrivit om varför offboarding är en säkerhetsfråga – och det är i behörighetshanteringen risken är som störst. En strukturerad process i Easit GO kan automatiskt generera återkallelseuppgifter när ett offboardingärende öppnas.
Behandlingsregistret. Ert register över personuppgiftsbehandling är statiskt – det beskriver vad ni gör. Behörighetsprocessen är dynamisk – den visar vem som faktiskt når informationen. De två kompletterar varandra. Tillsammans ger de er den dokumentation som krävs vid tillsyn.
Relationsmodeller – få en omedelbar bild av vem som når vad
En strukturerad process ger er dokumentation. Men ibland behöver ni inte gräva i ärenden – ni behöver en snabb överblick.
I Easit GO kan ni bygga relationsmodeller som visualiserar kopplingarna mellan objekt: vilka system som finns, vilka informationsnivåer de innehåller och vilka roller eller personer som har tillgång till dem. Allt i en vy.
Det är särskilt användbart vid periodiska genomgångar – den kvartalsgenomgång av behörigheter som de flesta organisationer egentligen borde göra men sällan gör för att det är för tidskrävande. Med en relationsmodell ser ni direkt om något ser fel ut: en person som har tillgång till ett system de lämnade för sex månader sedan, en roll som fått vidare åtkomst än vad klassningen motiverar, en koppling som ingen längre kan förklara.
Och när ni hittar en felaktighet korrigerar ni den direkt. Easit GO:s snabbfunktioner låter er uppdatera behörigheter, trigga ett korrigeringsärende eller flagga för uppföljning utan att behöva navigera till ett separat system. Överblick och åtgärd i samma vy.
Det gör behörighetsöversynen från ett projekt till en rutin.
Vanliga frågor
Vad är informationsklassning? Att kategorisera organisationens information utifrån känslighet – vad är öppet, vad är internt, vad är konfidentiellt. Klassningen styr vilka behörigheter som krävs för att nå informationen.
Hur hänger behörighetshantering ihop med GDPR? GDPR kräver att tillgång till personuppgifter är begränsad till de som behöver dem. En dokumenterad behörighetsprocess – vem fick tillgång, när och av vem – är ett direkt krav vid tillsyn.
Kan man hantera det här i Easit GO? Ja. Ansökan, godkännandeflöde, tilldelning och dokumentation – allt i ett spårbart ärende. Konfigureras av er designer, utan kod.
Vad är relationsmodeller i Easit GO? Relationsmodeller är visuella vyer som visar kopplingarna mellan objekt i systemet – till exempel vilka system som finns, vilken informationsnivå de innehåller och vilka som har tillgång. Det ger en omedelbar överblick och möjlighet att korrigera felaktigheter direkt via snabbfunktioner, utan att navigera till separata vyer.
Vet ni vem som har tillgång till er känsliga information? Kan ni visa det för en revisor?
Behörighetshantering och informationsklassning är inte frågor för IT ensamt. Det är organisationsfrågor och de kräver en process, inte ett tillstånd.
Vill du se hur det kan byggas i Easit GO? Boka en demo
Läs också:
Henrik Resare
Commercial Product Manager
henrik.resare@easit.com
070-249 36 06