Tilgangskontroll (også kjent som tilgangsstyring eller aksesskontroll) er et sett med retningslinjer og regler for å styre hvem som skal ha tilgang til hvilke data, systemer eller tjenester i virksomheten.
Riktig tilgangskontroll sikrer at tilganger til virksomhetskritiske data, tjenester og funksjoner kun gis til de som oppfyller et sett med forhåndsdefinerte krav.
Bedriften din har viktige data og informasjon som må passes på, og ikke alle skal eller bør ha tilgang til alt. Tilganger skal være basert på roller og rettigheter, og følge tjenstlig behov.
Med andre ord: Dine ansatte skal ha tilgang til det de trenger for å gjøre jobben sin, men heller ikke mer enn det.
Skaff dere oversikt over hvilke tjenester dere bruker, og hvilke data dere sitter på (samt hvor disse er lagret). Kartlegg deretter hvilke brukergrupper, brukere og tilgangsbehov som finnes i bedriften, og fastsett retningslinjer og regler for tilgangskontroll ved å etablere en prosess for tilgangsstyring.
En slik kartlegging er ikke minst viktig av hensyn til informasjonssikkerheten i bedriften. Hvis en angriper får tilgang til et av deres IKT-systemer, vil vedkommende ofte forsøke å øke tilgangen – som regel ved å ta over ulike kontoer for å eskalere rettigheter.
Dersom alle brukere har tilgang til all informasjon, vil kompromittering av én bruker kunne kompromittere hele IKT-systemet.
Tilgangen til de ulike delene av IKT-systemet bør derfor deles opp, noe som vil redusere skadevirkningene av en kompromittering eller utro ansatt.
Bedriften din må følgelig ha kontroll på de ulike brukerne av IKT-systemene, kontoene de disponerer, og hvilke rettigheter en gitt konto har.
Manglende kontroll på brukerkategorier, brukere og tilgangsbehov vil gjøre det vanskelig å kontrollere og forvalte tilgang til kritiske tjenester og data. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter og privilegier enn de trenger for å gjøre jobben sin.
Dette kan føre til brudd på integritet, tilgjengelighet eller konfidensialitet til data og tjenester.
1. Etabler en prosess for vedlikehold av brukere, roller og tilganger, slik at dette ivaretas gjennom hele livssyklusen til brukerne, fra opprettelse til avslutning av kontoer.
2. Kartlegg og fastsett retningslinjer og regler for aksesskontroll basert på minste privilegiums prinsipp. Alle brukere bør ha minst mulig privilegier, men som fortsatt lar dem gjennomføre jobben sin. Brukere bør heller ikke ha tilganger de ikke trenger. Dette for å minske risikoen for tap hvis en bruker blir kompromittert.
3. Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll. Eksempler på brukerkategorier kan være:
4. Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for tilgang til. Tilgangsbehov bør revideres jevnlig.
5. Kartlegg roller og ansvar knyttet til IKT-sikkerhet for hele organisasjonen samt tredjeparts interessenter (f.eks. leverandører, kunder, partnere), og etabler dette der det mangler.
Kilde: Nasjonal sikkerhetsmyndighet, NSMs grunnprinsipper for IKT-sikkerhet (2017)