Hvad er det, brugerne skal have “adgang til”?

 

Hvem er det egentligt, der har adgang til nærmest al data i virksomheden – ud over chefen, naturligvis? Sys-admin med flere har typisk “adgang til” alt. Den såkaldte root-adgang. Og det er ikke altid tiltænkt

Selvfølgeligt skal IT-medarbejderne have mulighed for at udføre deres arbejde under gode betingelser. De skal nemt kunne komme til i systemet og skal ikke spille tid på unødvendig login og sikkerhed hele tiden.

Men samtidigt kan der sidde op til flere medarbejdere ret langt nede i hierarkiet i en virksomhed med adgang til nærmest alle data i hele virksomheden og det skaber en potentielt sprængfarlig situation.

Så hvad er det, medarbejderne skal have “adgang til”?

Nylige eksempler og problemstillinger

Vi har for nyligt set flere eksempler på, hvad der kan ske i en organisation, når det ikke er strikt defineret, hvad man skal have adgang til – og hvad man ikke skal have adgang til.

Edward Snowden har været på alles læber i et par måneder. En almindelig tekniker ansat hos NSA havde information om og adgang til nærmest al den overvågning, NSA lavede på daglig basis over hele befolkningen. Mange har siden da spurgt sig selv, hvordan en helt almindelig systemtekniker kunne have adgang til så forretningskritiske data uden at nogen stoppede og gjorde noget ved det?

Snowden søger i øjeblikket asyl i alle verdens lande, da han ikke kan vende hjem til USA, hvor en sigtelse for spionage og sandsynligvis en meget lang fængselsdom venter den tidligere tekniker.

Helt så galt behøver det ikke at gå i en almindelig dansk virksomhed – men man bør som minimum vide hvem og hvor mange personer, der faktisk har adgang til al ens forretningskritiske information i virksomheden.

Store foranstaltninger besværer IT-driften

Det at definere adgang til er dog også et tveægget sværd.

Det kan skabe komplikationer for den almindelige IT-drift i virksomheden, hvis hele systemet enten skal deles op i mindre dele, brugerroller defineres meget skarpt, arbejde og journalføring deles op i to, eller hvad man som virksomhed ellers har mulighed for at gøre af hensyn til sikkerheden i virksomheden.

Med andre ord vil det gøre virksomheden mindre effektiv og tungere at danse med at integrere sådanne forslag. Det ville gå ud over den almindelige IT-drift i virksomheden.

Det går imod den trend i dag, at IT-drift, server-drift og generelt IT-systemer kan gøres billigere og hurtigere med outsourcing, konsolidering, rationalisering og andre og lignende ord, der dækker over den sande skurk: Besparelser.

At definere hvem der har adgang til hvad og leve op til disse definitioner og begrænsninger vil hindre IT-driften og altså koste virksomheden penge. Og bliver det først et spørgsmål om økonomi bliver det sværere at få afklaret spørgsmålet.

Ikke engang kryptering af alt data, som også NSA har forsøgt sig med, kan bruges i virksomheder i dag. Det fandt NSA også ud af på den hårde måde.

En sys-admin bør ikke misbruge den magt han har over en given virksomhed ved at have adgang til praktisk taget al adgang. Det mener NSA heller ikke, at Snowden burde have gjort. Men det sker i praksis og det bør virksomhederne være opmærksomme på.