Mange virksomheter tenker at informasjonssikkerhet først og fremst handler om brannmurer, antivirus og tekniske sikkerhetsløsninger. Men i praksis handler mange av de største risikoene om noe langt mer grunnleggende:
Hvem har egentlig tilgang til informasjonen?
Når tilganger vokser ukontrollert over tid, gamle brukerkontoer blir liggende igjen, eller sensitiv informasjon deles med flere enn nødvendig, øker risikoen for både informasjonslekkasjer, feil beslutninger og alvorlige hendelser.
Samtidig blir kravene til kontroll stadig strengere. GDPR og NIS2 stiller tydeligere krav til at virksomheter skal kunne dokumentere at riktige personer har riktig tilgang – og at sikkerhetstiltakene står i forhold til risikoen.
Problemet er at mange virksomheter fortsatt mangler en tydelig struktur for hvordan tilganger, rettigheter og risikoer faktisk skal håndteres i praksis.
Informasjonssikkerhet handler om å beskytte informasjon slik at den:
Det gjelder både digital informasjon som databaser, dokumenter og e-post – og fysisk informasjon som avtaler og papirdokumenter.
Det betyr også at informasjonssikkerhet ikke bare handler om tekniske sikkerhetstiltak. Det handler like mye om hvordan informasjon håndteres i det daglige, hvem som har tilgang til den, og hvordan virksomheten sikrer at informasjonen brukes på riktig måte.
Det er her tilgangsstyring blir avgjørende.
Et av de viktigste prinsippene innen informasjonssikkerhet er konfidensialitet.
Konfidensialitet betyr at kun autoriserte personer skal ha tilgang til informasjonen. Målet er å hindre at informasjon blir lest, brukt eller delt av uvedkommende.
Hvis feil person får tilgang til informasjon, kan konsekvensene bli store:
Derfor er tilgangsstyring et av de viktigste sikkerhetstiltakene innen informasjonssikkerhet.
I teorien skal kun riktige personer ha tilgang til riktig informasjon. I praksis ser det ofte annerledes ut.
Tilganger bygger seg gradvis opp over tid:
Samtidig er informasjon ofte lagret i flere forskjellige systemer og miljøer.
Et kunderegister kan for eksempel ligge i:
Jo flere steder informasjonen finnes, desto vanskeligere blir det å ha kontroll på hvem som faktisk har tilgang.
En viktig del av informasjonssikkerhetsarbeidet handler om å forstå hvilke informasjonsverdier som er mest kritiske.
En informasjonsverdi er all informasjon som har verdi for virksomheten, og som derfor må beskyttes. Det kan være:
Problemet er at mange virksomheter forsøker å beskytte all informasjon på samme måte.
Men ikke alle informasjonsverdier er like sensitive eller kritiske. Derfor må virksomheten klassifisere informasjonen for å forstå hvilket beskyttelsesnivå som faktisk er nødvendig.
Uten klassifisering risikerer virksomheten å:
Tilgangsstyring må derfor ta utgangspunkt i hvilken informasjon som er mest beskyttelsesverdig.
Når informasjonssikkerheten svikter, påvirker det ikke bare IT-miljøet. Konsekvensene kan bli både økonomiske, juridiske og operative.
Informasjonssikkerhet handler om å redusere risikoen for at informasjon:
Hvis riktige personer ikke får tilgang til informasjon på riktig tidspunkt, kan det skape store problemer – selv om systemene teknisk sett fungerer.
Samtidig kan dårlig utformede sikkerhetstiltak skape nye hindringer. Hvis et system er så låst at informasjonen ikke kan brukes i praksis, blir informasjonen i realiteten utilgjengelig for virksomheten.
Tilgangsstyring handler derfor om balanse:
For å forstå hvilke tilganger som innebærer størst risiko, må virksomheten jobbe strukturert med risikovurderinger.
En risiko oppstår når:
Svake passord, gamle brukerkontoer eller mangelfulle tilgangskontroller er eksempler på sårbarheter som kan få alvorlige konsekvenser.
Derfor trekkes flere sikkerhetstiltak frem som viktige i informasjonssikkerhetsarbeidet:
Målet er å redusere sannsynligheten for at uvedkommende får tilgang til informasjon – og begrense konsekvensene dersom noe likevel skjer.
Med NIS2 og cybersikkerhetsloven blir informasjonssikkerhet i stadig større grad et ledelsesansvar.
Virksomheter må kunne dokumentere at de:
Det holder altså ikke lenger å ha enkelte tekniske løsninger på plass. Virksomheten må kunne vise at informasjonssikkerhetsarbeidet er gjennomtenkt, dokumentert og kontinuerlig.
Leverandørkjeden blir også en viktig del av arbeidet. Hvis eksterne leverandører har tilgang til virksomhetens informasjon, må virksomheten forstå:
Tilgangsstyring er ikke et engangsprosjekt.
Nye systemer, nye brukere, nye leverandører og endrede arbeidsmåter gjør at risikobildet endrer seg hele tiden. Derfor må virksomheter jobbe kontinuerlig med:
Informasjonssikkerhet handler i bunn og grunn om kontroll. For å få den kontrollen må virksomheten forstå hvilken informasjon som er mest beskyttelsesverdig, hvem som har tilgang til den, og hvilke risikoer som oppstår dersom tilgangen havner hos feil personer.
Mange virksomheter vet at tilgangsstyring er viktig, men mangler en tydelig struktur for hvordan arbeidet faktisk skal gjennomføres i praksis.
Det er også derfor informasjonssikkerhet sjelden kan løses med ett enkelt tiltak. For å få reell kontroll kreves det et kontinuerlig arbeid der informasjonsverdier identifiseres, klassifiseres og følges opp over tid.
Å holde oversikt og struktur over tid er krevende for mange virksomheter. Vår helhetsløsning bidrar til bedre struktur, mindre manuelt arbeid og økt kontroll i det daglige arbeidet.
Samtidig fortsetter vi å utvikle plattformen med nye funksjoner innen informasjonssikkerhet. Vi lanserer nå Informasjonsverdier – en funksjon som gir bedre oversikt over hvilken informasjon som er mest kritisk for virksomheten, hvilke systemer den er knyttet til, og hvordan den bør beskyttes. Løsningen gjør det mulig å registrere og klassifisere informasjonsverdier, koble dem til relevante systemer og samle dokumentasjon og vurderinger på ett sted.
Ta gjerne kontakt med oss dersom dere ønsker å vite mer om de nye funksjonene eller hvordan de kan brukes i deres virksomhet.