Foranstaltning:

Centraliseret rettighedsstyring


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Decentral (eller "autonom") rettighedsstyring kan indebære, at den, der udfører rettighedsstyring, ikke har det som sin hovedopgave. Det kan øge muligheden for fejl, grundet manglende erfaring, viden eller manglende fokus på sikkerhed ved administrering af adgangsrettigheder.

Hvis der sker ændringer i et it-miljø, uden at rettighedsstyring videreføres og testes, kan det bl.a. medføre, at relevant adgangsbegrænsning forsvinder, så der straks opstår uautoriseret adgang. Decentral rettighedsstyring kan indebære større sandsynlighed for, at specifikke forhold af betydning for rettighedsstyringen overses ved ændringer i it-miljøer, fordi det kun er én eller få personer, der kender til de pågældende forhold.

Hvis rettighedsstyring i stedet udføres af en central enhed, der har det som sin hovedopgave, er det nemmere at sikre den nødvendige viden og fokus på sikkerhed. Herved forebygges fejl. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at der etableres eller bibeholdes unødvendige brugeradgange.

Centraliseret rettighedsstyring vil normalt også gøre det nemmere at føre kontrol, og dermed at implementere foranstaltningen Periodisk kontrol af adgangsrettigheders aktualitet.

Hvilke tiltag kan overvejes?

Der sikres et overblik over alle brugeradgange og en ensartet styring af disse. Opgaven samles organisatorisk hos personer, som får den nødvendige uddannelse til at håndtere netop denne opgave.

Via retningslinjer og/eller tekniske foranstaltninger forbydes/forhindres decentral brugeradministrering. Eksempelvis ved at beslutte, at det udelukkende er medarbejdere i den centrale brugeradministrationsenhed, der kan styre adgangsrettigheder. En teknisk foranstaltning kan fx være en teknisk forhindring af, at medarbejdere kan oprette mapper med adgangsbegrænsning på netværksdrev eller webbaserede fildelingsplatforme som fx SharePoint.

Centraliseringen kan inkludere en teknisk centralisering via anvendelse af Single Sign-On eller en Directory Service så som Active Directory i Windows. Hvis muligt er der en kobling til autoritative systemer, fx et HR-system, der altid viser, hvem der aktuelt er ansat og i hvilken stilling/afdeling. Hvis muligt er der en kobling til en centraliseret rettighedstildeling via fx et IdM-system.

Hvor centraliseret rettighedsstyring ikke er mulig eller hensigtsmæssig, etableres i stedet faste procedurer for udførelsen, så der følges ensartede principper, svarende til det, som sker i den centraliserede rettighedsstyring. Der sikres også opmærksomhed på den decentrale rettighedsstyring ved fremtidige ændringer i den del af it-miljøet, hvorfor det også er en del af foranstaltningen Ændringsstyring (Change Management).

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante, idet risici og muligheder er meget afhængige af den konkrete organisation, og af hvilke typer it-systemer der anvendes.

Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. Hvis it-systemer udvælges/designes efter, at de skal indgå i en central rettighedsstyring og evt. Single Sign-On, kan man undgå en decentral rettighedsstyring med de førnævnte risici.