<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=498504343650697&amp;ev=PageView&amp;noscript=1">
/ 25.01.2021 IT-sikkerhet

Identitets og tilgangskontroll (IAM): Slik sikrer du brukervennligheten

Abonner på nyhetsbrev

Nøkkelen er å stille de rette kontrollspørsmålene.

Historisk sett har bransjen hatt en kompromisspreget tilnærming til sikkerhet og brukervennlighet. På den ene siden skal en løsning ha sikre prosesser for å tildele og kvalitetssikre IT-tilganger, på den andre siden skal det fungere raskt og brukervennlig.

Nå finnes det etter hvert gode eksempler på hvordan identitet- og autentiseringstjenester har gjort tilgangsstyringsprosessene mer brukervennlige. For mange virksomheter er det likevel en mangehodet utfordring. Du skal på samme tid:

  • ivareta kontroll på brukeridentiteter 
  • ha gode prosesser for on/offboarding av brukerne 
  • sørge for sikker pålogging 
  • skape prosesser som oppleves som raske, effektive og brukervennlige 

 

I en del tilfeller innebærer også brukerperspektivet både samarbeidspartnere, kunder og leverandører, i tillegg til de ansatte i virksomheten. Det er altså behov for å tenke brukervennlighet fra flere sider.

 

Spørsmålene som setter brukeren i sentrum

 De følgende punktene er ting du må ta hensyn til når du utarbeider en IAM-løsning: 

  • Hvordan designe en prosess som gir rask og tillitsfull opplevelse for brukeren av en tjeneste?
  • Hvordan samtidig designe noe som gir umiddelbar, automatisert og sikker tilgang for riktig bruker – nøyaktig når brukeren trenger det?
  • Hvordan skal prosessen også være forståelig, sikker og effektiv for de som skal tildele eller godkjenne en tilgang?
  • Hvordan sikre etterlevelse av definerte prosesser på en mest mulig automatisert måte?

 

Det er viktig at de ulike sidene av tilgangsstyringsprosessene ivaretas, dersom brukervennlighet og sikkerhet skal opprettholdes over tid. Brukeren må oppleve at riktig tilgang er klar til rett tid, for eksempel ved en nyansettelse, samtidig som det er høy grad av automatisering. Det sikrer at prosessen er forutsigbar, sikker og ikke er knyttet til enkeltpersoners tilgjengelighet. 

Her kommer designtilnærming inn som en faktor i kartlegging og utarbeidelse. 

 

Kontrollspørsmålene for sikker brukervennlighet

Tjenestedesign og IAM har en tydelig fellesnevner: brukeren i sentrum. Det er viktig at brukerperspektivet ivaretar både den som får tildelt en tilgang og den eller de som er involvert i prosessen knyttet til å tildele IT-tilgangen.

Når fremtidige tilgangsstyringsprosesser for en virksomhet skal defineres, er det derfor naturlig å benytte designtenking som tilnærming for å støtte oppunder nytenking og brukervennlighet. Tilgangsstyringsprosesser definert riktig skal understøtte og muliggjøre digitalisering av forretningsprosesser, samtidig som sikkerhet og governance er ivaretatt. Det oppnår du blant annet ved å stille følgende kontrollspørsmål: 

  • Tar prosessene utgangspunkt i riktig og sikker tilgang til verifisert identitet til rett tid?
  • Bidrar prosessene for tilgangsstyring til å enklere rulle ut og gjøre tilgjengelig ny teknologi?
  • Har vi kontroll på identiteten til alle brukerne?
  • Har vi prosesser som ivaretar en brukers livssyklus fra onboarding, endringer underveis i et ansettelsesforhold, til offboarding?
  • Har vi kontroll på dokumentasjon av tjenstlig behov for en tilgang?
  • Er det etablert metode for tilstrekkelig sikker pålogging?
  • Gjennomføres det tilstrekkelig revisjon av de til enhver tid tildelte tilganger?
  • Bidrar prosessene for tilgangsstyring til å enklere rulle ut og gjøre tilgjengelig ny teknologi?

Det bør også gjøres en vurdering av om virksomhetens data tilsier at prosesser for tilgang og pålogging bør styres innenfor et høyere tillitsnivå.

 

Hvilket tillitsnivå trenger dere? eIDAS åpner for nytenking

eIDAS-forordningen: Elektronisk identifisering og tillitstjenester for elektroniske transaksjoner i det indre marked.

eIDAS er et europeisk regelverk som skal sikre et velfungerende indre marked og oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land.

Kilde: Nasjonal kommunikasjonsmyndighet (NKOM)

Introduksjon av eIDAS-tillitsnivåer som erstatning for sikkerhetsnivåene 1–4 i Norge, åpner for nytenking når virksomheter skal nyttiggjøre seg av sikker pålogging på høyere tillitsnivåer. De høyeste tillitsnivåene erstattes av eID på Nivå Høyt og Nivå Betydelig, og dette er et område hvor det er muligheter for nye og innovative løsninger fremover i henhold til oppdaterte regulatoriske krav.

Spesielt sikker validering av ID er et område det tradisjonelt har vært knyttet omstendelige prosesser til. Her er det viktig for en virksomhet å forstå hvilke alternative krav og metoder det åpnes for innenfor de ulike tillitsnivåene, og samtidig vurdere hvilket tillitsnivå som er aktuelt og riktig for virksomheten. Dersom virksomhetens egenart og data tilsier at tillitsnivå Betydelig eller Høyt bør innføres, hvilket av de to er da hensiktsmessig å velge? 

Her er det spesielt krav til ID-validering som skiller. Ikke minst vil prosessene virksomheten allerede har rundt kontroll på en brukers livssyklus ha betydning.

Les mer: Kartlegging og behovsanalyse

 

Få hjelp av en erfaren IAM-konsulent

Cloudworks og Habberstad har i et tverrfaglig samarbeid rådgitt en rekke virksomheter innenfor veivalg knyttet til IAM, og vurdert dem opp mot brukervennlige og effektive prosesser som en viktig tilrettelegger for virksomhetens digitaliseringsstrategi. Ønsker du å lære mer om hvordan din virksomhet kan gå frem for å støtte digitalisering, med effektive prosesser for tilgangsstyring og brukeren i sentrum? 

 

Ta kontakt med vår fagansvarlige for Identity and Access Management, Håvard Hattestad:

E-post: havard.hattestad@habberstad.no

Telefon: +47 92 01 69 59

Håvard Hattestad

Håvard Hattestad har bred erfaring innen prosess- og prosjektledelse. Han har hatt spesiell fokus på hvordan riktig bruk av systemstøtte og informasjon kan realisere gevinster gjennom å tilrettelegge for digitalisering og prosessforbedringer. Håvard har spisskompetanse innen områdene Identity Governance and Administration (modeller for tilgangsstyring) og analytics/virksomhetsstyring. Han har gjennomføringsevne og erfaring med å jobbe med alle nivåer i en organisasjon gjennom flere år som leder og rådgiver i det norske og nordiske markedet.

Knapp: Snakk med en fagekspert i Habberstad
}