Interview: Virksomhedens netværk har det med at udvikle sig som et edderkoppespind med forgreninger i alle retninger, som ingen helt har kontrol over.
Men du kan hente store gevinster ved at foretage en gennemgribende hovedrengøring.
Der er to områder, du ifølge revisionshuset PwC skal sætte ekstra i fokus i dit netværk for at opnå sikkerhed og automatisering af processer: Adgangsstyring og analyse af log-filer.
"Det lyder måske banalt, at du skal have styr på dine it-programmer og de brugere, der har adgang til dem. Men noget så simpelt som registreringen af et navn og initialer på en medarbejder kan være forskellig fra applikation til applikation. Se selv efter i dit eget netværk," fortæller Mads Nørgaard Madsen, som har ansvaret for security and tehcnology i PwC.
Simpelt og komplekst
Adgangsstyring af brugere er en disciplin, der er lige så gammel som netværket, men det er stadig en af de store udfordringer at få på plads.
Traditionelt har active directory været omdrejningspunktet for
brugerhåndteringen, men man bør ifølge Mads Nørgaard Madsen se mere holistisk på tingene og styre hver enkelt medarbejder i forhold til hver enkelt applikation i netværket.
Begrebet kaldes med et fint ord for identity management (IDM), og kan defineres som et administrativt it-system, der identificerer individer i et netværk og kontrollerer adgang til ressourcer ved at knytte brugeren sammen med adgangspolitikker.
Det lyder måske kompliceret, og det kan da også virke uoverskueligt, fortæller Mads Nørgaard Madsen.
Men egentlig er tilgangen til opgaven ret simpel: Du skal kende dit netværk, og du skal kende dine brugere.
Det giver god sikkerhed og mulighed for automatisering.
"I sin grundform handler det om at tildele rettigheder og ikke mindst fjerne dem igen. Der er en markant tendens til, at rettigheder akkumuleres gennem et ansættelsesforløb. Jo længere du har været i virksomheden, jo flere rettigheder har din profil, fordi de bare følger med. Som projektleder skal du eksempelvis give rettigheder til dit team i tre måneder, mens projektet kører. Herefter skal de automatisk lukkes igen."
Hvem, hvad og hvorlænge
Han peger også på, at rettigheder til eksempelvis konsulenter og vikarer bliver lukket alle steder i netværket, når de forlader
opgaven.
Det er et af de nøgleområder, der skal defineres: Hvem skal have ret til hvad, og hvor længe.
"Der findes software, der kan kortlægge brugerrettigheder i
netværket, men det er en manuel opgave, når der skal defineres roller, og det tager tid, for man skal definere arbejdsgange," fortæller han og fortsætter:
"Det er dog en sund proces, der kan bruges til effektivisering af
virksomheden i samme hug."
Medarbejderrollerne i virksomheden kobles altså sammen med de nødvendige grundrettigheder, der bør være så få som muligt.
"Giv som udgangspunkt få rettigheder, men skab mulighed for at give tidsbegrænsede rettigheder til de forskellige applikationer eller afdelinger i firmaet. På den måde kan folk få adgang til de nødvendige data i den nødvendige tid."
Ligeledes skal dine data og applikationer kategoriseres.
"Kortlægningen handler om alt fra telefonsystemer over intranet til mailservere og cloud-tjenester. Det er igen en stor opgave, og modenheden i mange firmaer har ikke været der. Men fordelene er rigtig store, når man først kommer i gang."
Oprydningen i netværket kan sammenlignes med en oprydning på børneværelset, som mange forældre sikkert kan nikke genkendende til.
Man lægger alt legetøjet ind på hylderne, men en uge efter ligner det igen en slagmark.
"Det er det samme, som sker i netværket, men gennem et identity management-system kan man per automatik holde orden i kaos, når man først har fået gjort rent. Det er systemets eneste opgave."
Langt de fleste applikationer har små agenter, der kan udveksle de nødvendige data mellem programmet og et identity management-værktøj, så teknikken er ikke den store barriere i sammenkoblingen. Det er overblikket, der er nøgleordet.
Det er typisk de store amerikanske firmaer som Oracle, NetIQ, CA, IBM og Dell/Quest, der udvikler identity management-værktøjer, og det er langt fra gratis. Derfor giver løsningerne bedst mening at anvende i større netværk.
"Men principperne gælder for alle," siger Mads Nørgaard Madsen.
For ikke at gå død i en kæmpeopgave lyder hans råd, at man skal have delmål i kortlægningen.
"Tag det bid for bid. Start med det oplagte og få eksempelvis styr på dit mailsystem og intranet. På den måde bliver det nemmere at tage hul på de større opgaver som lønsystemer eller kundedatabaser," lyder rådet.
Baghjul til erhvervslivet
Ser man gennem de tekniske briller, peger han på, at adgangsstyring er en af de mest oversete discipliner i det private erhvervsliv.
"Det offentlige får tit skylden for at være bagud, når det handler om it-systemer. Men i forbindelse med identity management er det meget langt fra sandheden," vurderer han.
Det er den store kommunesammenlægning, der har giver kontrol over styringen af rettigheder og identiteter i netværkene og kommunernes programmer.
Statens krav om digitalisering og sammenlægning af store kommunale it-systemer satte skub i tingene.
"Det var en kombination af nød og tvang, men det satte virkelig tingene i gang. Mange har måske svært ved at overskue forløbet, men kommunesammenlægningen er et bevis på, at det kan lade sig gøre, hvis ledelsen også er med på ideen."
Hvor ligger et projekt af denne type i organisationen?
"Det kan man faktisk ikke sige. Min erfaring er, at de projekter, der kommer længst, er de projekter, der drives af en it-styregruppe, men er bestilt af forretningen."
Og der vil næste altid være interessekonflikter i forløbet.
"HR/lønsystemerne og it-afdelingen kan have forskellige interesser i forbindelse med eksempelvis følsomme data. Derfor er det vigtigt, at ledelsen stiller kravet om løsningen."
Næste trin til en bedre netværk: Log-analyse
Den anden hjørnesten i netværket er analyser af logfiler, fortæller Mads Nørgaard Madsen.
Det naturlige sikkerhedslag, man kan lægge oven på det strukturerede netværk og identitetskontrol, er log-analyser, der kan fortælle hvem, der gør hvad i netværket og derved dokumenterer aktiviteterne.
Denne disciplin kan du læse meget mere om i dette interview med det danske software-hus LogPoint, som har specialiseret sig i big data-analyser af dine log-filer: Dansk software støvsuger dine digitale fodaftryk.
Læs også:
Dansk software støvsuger dine digitale fodaftryk
Microsoft: Vi er svært godt tilfreds med os selv
It-projekterne fejler igen og igen: Forklaringen er ganske pinlig
