Hvad er adgangskontrol til data?
Adgangskontrol til data hjælper med at beskytte data. Samtidig giver det jeres medarbejdere det passende niveau af adgang til de data, de har brug for for at udføre deres arbejde. Selvom I kun har få ansatte, burde alles adgang være forskellig. På denne måde kan I opretholde sikkerheden og beskytte fortrolige oplysninger. Bloggen her omhandler, hvordan man som virksomhed opstiller adgangskontrol til data.
Forskellige metoder til adgangskontrol
Den bedste type adgangskontrol for en virksomhed afhænger naturligvis af flere faktorer. For eksempel, hvilken type data I gemmer, jeres tilgængelige it-ressourcer, og hvor meget databeskyttelse I har brug for. Kort fortalt er her et par forskellige metoder til dataadgangskontrol:
Rollebaseret: Baser adgangen på hver persons rolle i virksomheden.
Periode: Styr adgang i bestemte tidsperioder eller tidsbaserede kriterier.
Hierarkisk: Giv adgang baseret på et organisatorisk hierarki.
Attribut-baseret: Fokus på brugeradfærd, placering, tidspunkt på dagen, enhedstype osv.
Kontekstbaseret: Fokuseret på den bredere kontekst, hvori adgangsanmodninger fremsættes.
Hvilken metode man som virksomhed vælger afhænger af virksomheds behov. Man kan også kombinere elementer fra flere metoder for at skabe en omfattende adgangskontrol.
Generelt vil små virksomheder drage fordel af adgangskontrol-løsninger, der er relativt nemme at implementere og administrere. Vi foreslår, at I starter med rollebaseret adgangskontrol, kombineret med princippet “Least Privilege”.
Følg princippet for "Least Privilege"
Ifølge princippet om “Least Privilege” (PoLP) skal medarbejere kun skal have det minimumsniveau af adgang, der er nødvendigt for at udføre deres job. Kort fortalt indebærer det, at give folk adgang til de ressourcer, de skal bruge for at udføre deres arbejde, og ikke mere end det. Adgangskontrol bruges til at forhindre medarbejdere i at se eller redigere data, der ikke er direkte relevante for dem.
Dette giver en række fordele i forbindelse med databeskyttelse:
- Minimer eksponering af data i tilfælde af hackerangreb. Selvom en hacker formår at stjæle en brugers adgangskoder eller legitimationsoplysninger, er den skade, de kan gøre begrænset, da de stadig ikke vil have adgang til alle jeres data og følsomme oplysninger.
- Reducer fejl. Med begrænsede privilegier vil skødesløse medarbejdere eller ondsindede insidere sandsynligvis ikke være i stand til at skade virksomhed alvorligt.
- Bedre revision. Færre tilladelser gør det nemmere at overvåge følsomme data og revidere brugeraktivitet. Identificer uautoriserede handlinger hurtigere, spor dem tilbage til bestemte personer og ret dem.
Implementering af princippet om “least privilige” involverer planlægning, rollebaseret adgangskontrol (RBAC) og regelmæssig gennemgang af tilladelser, efterhånden som medarbejder-roller udvikler sig.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Opsætning af rollebaseret adgangskontrol (RBAC)
Rollebaseret adgangskontrol (RBAC) er en metode til adgangskontrol baseret på princippet om “least privilege”. Grundlæggende giver det folk adgang baseret på deres rolle og ansvar i en organisation. Man bør starte med at få styr på hvilken adgang hver medarbejder har brug for for at udføre deres arbejde. Overvej derefter de specifikke handlinger, I vil tillade at udføre med filer. For eksempel: Læsning, skrivning, ændring eller sletning af filer. Tildel derefter hver medarbejder en rolle baseret på deres jobbeskrivelse/afdeling og ansvar. Tildel hver rolle de tilladelser, de har brug for til at udføre deres opgaver.
Her er nogle eksempler på roller i et RBAC-system:
Ledere
Tilladelser: Adgang til medarbejderpræstationsrapporter, medarbejderdata, godkendte arbejdsgange.
Regnskab
Tilladelser: Adgang til økonomiske data, regnskabssoftware, budgetrapporter, løn.
Salg
Tilladelser: Adgang til kundedata, salgsværktøjer, ordresystemer.
IT-administrator
Tilladelser: Adgang til servere, netværkskonfigurationer, systemovervågningsværktøjer.
HR-koordinator
Tilladelser: Adgang til medarbejderregistre, rekrutteringssoftware, onboarding-værktøjer.
Markedsføring
Tilladelser: Adgang til kontaktlister, kampagner, logins på sociale medier, analyser.
Kundeservice
Tilladelser: Adgang til kundedata, kundesupportværktøjer, billetsystemer.
Lager
Tilladelser: Adgang til lager-, forsendelses- og modtageposter.
Jura
Tilladelser: Adgang til juridiske dokumenter, kontrakter, NDA’er osv.
Husk at dette kun er eksempler, roller og adgang i jeres virksomhed vil være unik for jeres medarbejdere og jeres forretningsbehov. Først skal I tage dig tid til at tænke over jeres virksomheds behov. Gennemgå og juster derefter tilladelser regelmæssigt, efterhånden som rollerne udvikler sig. Målet er at sikre, at hver medarbejder har det passende niveau af tilladelser til at udføre deres arbejde, og ikke mere.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Før I opstiller adgangskontrol
Jeres adgangskontrol vil naturligvis ikke være effektiv, hvis ikke I ved, hvor I opbevarer fortrolige data. Derfor bør I starte med at finde ud af, hvor I opbevarer følsomme data. Vi anbefaler at bruge DataMapper for at få et hurtigt overblik over, hvor I opbevarer filer, mails og billeder med følsomme oplysninger. Det kan hurtigt sortere jeres data efter kategori, placering og alder. Derudover vil det vise jer overflødige filer, I gemmer mere end ét sted.
Lær mere om DataMapper.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
