Periodisk kontrol af adgangsrettigheders aktualitet

Rettighedsstyring er en proces, der normalt involverer flere mennesker, og der kan ske fejl. Der kan også mangle fokus på at lukke unødvendige adgange/adgangsrettigheder. En kontrol af adgangsrettigheder kan opdage sådanne fejl, der ellers kan eksistere i årevis. Der er altså tale om en korrigerende foranstaltning, som kan mindske sandsynligheden for misbrug af unødvendige adgangsrettigheder.

En kontrol kan omfatte én eller flere af følgende undersøgelser:

1. Om de faktisk etablerede adgangsrettigheder er omfattet af en gældende, dokumenteret autorisation.
2. Om adgange skulle være lukket tidligere grundet en tidsbegrænset/udløbet autorisation, fratrædelse, orlov eller andet.
3. Om autorisationerne er aktuelle – altså om alle godkendelser af adgangsrettigheder er nødvendige og bunder i et arbejdsbetinget behov.
4. Om der er brugerkonti, som ikke længere benyttes af den retmæssige bruger ("ghost accounts"), og som derfor burde være lukket.

Mulighederne og hvad der er nemmest, afhænger af de it-systemer, der anvendes. Adgangsrettighederne holdes op imod en troværdig, opdateret kilde. Typisk er der et HR-system, som viser, hvem der aktuelt er ansat, og hvilken stilling de har. Benytter organisationen rollebaserede adgangsrettigheder, kan registreringen i HR-systemet meget præcist angive, hvem der skal have adgang til hvad, og hvilke adgange der burde være lukket.

"Kontrollanter" med forskellige roller (daglig leder, it-sikkerhedsansvarlig, systemejer, osv.) har forskellige interesser, og man skal være opmærksom på dette, når kontrolopgaven placeres og forklares for kontrollanten. Hvis lederen skal kontrollere adgangsrettigheder for egne medarbejdere, kan denne leder have mere fokus på, om de nødvendige rettigheder er etableret, end om nogle brugere har for mange rettigheder.

Fokus ved en kontrol kan også være på at spare penge på brugerlicenser, hvilket kan fjerne unødvendige adgangsrettigheder, men det er stadig ikke et fokus på, om rettighederne er nødvendige for at opfylde et arbejdsbetinget behov.

Hyppigheden af de ovenfor nævnte kontroller justeres alt efter, hvilke problemer kontrollen afslører. Hvis kontrollen viser, at der sjældent er fejl, kan færre kontroller fremadrettet være tilstrækkeligt. Hvis kontrollen derimod viser mange fejl, skal hyppigheden eller omfanget måske øges. Mange fejl kan også antyde, at andre foranstaltninger/processer ikke fungerer optimalt. I så fald kan det være mere relevant at forsøge at rette op på den daglige styring af adgangsrettigheder frem for at øge hyppigheden af kontrollerne.

Datatilsynet har udtalt, at det er tilsynets opfattelse, at kravet om passende sikkerhed i databeskyttelsesforordningens artikel 32, stk. 1 normalt vil indebære, at den dataansvarlige løbende kontrollerer, om adgangsrettigheder til it-systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende brugers arbejdsbetingede behov.

Det skyldes, at uanset hvor stringent adgangsrettigheder styres, kan det gå galt mange steder i en sådan proces, der ofte involverer mange mennesker. Der vil derfor med al sandsynlighed være fejl, som kun opdages ved periodiske kontroller.