Alle snakker om det, men få får det til – hvorfor strever virksomheter med tilgangsarbeidet?
Virksomheter har all grunn til å ta tilgangsstyringsarbeidet på alvor. Svikt kan føre til driftsstans, tap av data og betydelige økonomiske konsekvenser. Samtidig kan for strenge tiltak kvele innovasjon og verdiskaping. Erfaringen til Jaguar, der myndighetene har gått inn med garantier på £1.5 milliarder etter at produksjonen stoppet i mer enn en måned, illustrerer hvor galt det kan gå.
Til tross for betydningen av tilgangsstyring er det få virksomheter som får dette til. Ikke nødvendigvis fordi viljen mangler, men fordi den helt grunnleggende kompetansen som trengs for å angripe tilgangsarbeidet riktig ikke finnes – på alle nivåer av organisasjonen og på tvers av fagdisipliner. Resultatet blir at tilgangsarbeidet preges av misforståelser og fagmiljøer som snakker forbi hverandre. Løsningen er å heve basisforståelsen for hva arbeid med tilganger egentlig handler om og å etablere et rammeverk som gjør det enklere å snakke samme språk i møte med de kompliserende faktorer som arbeid med tilganger er forbundet med.
«Tilgang» er i liten grad binært – det handler til syvende og sist om risiko
«Har saksbehandlerne tilgang til X?», «Hvem har tilgang til systemene våre?». I tilgangsstyringsarbeidet stiller mange involverte seg slike spørsmål. Spørsmålene reflekterer manglende forståelse for et sentralt premiss.
Sikkerhetsarbeid handler snarere dypest sett om å begrense risikoen for at uønskede hendelser inntreffer. På samme måte som sannsynligheten for at en butikk utsettes for tyveri aldri kan bli lik null, kan man heller aldri si at en butikkgjest definitivt ikke har tilgang til å ta med seg en vare fra butikken uten å betale. Reguleringene som gjøres for å begrense tilgangen til å stjele, i form av f.eks lovverk, overvåkningskameraer og alarmering er kun midler for å oppnå et mål som aldri kan oppnås med full sikkerhet. I prinsippet vil nemlig en butikk med ambisjon om å unngå tyveri med full sikkerhet ende opp med å innføre alle tenkelige tilgangsstyringstiltak - uten å oppnå sin ambisjon.
Tilgang til hva, gjennom hvilken vei..?
Diskusjoner om tilganger gjøres ofte unødvendig kompliserte. For å gjøre tilgangsdiskusjoner enklere foreslås et enkelt rammeverk for å konkretisere hva man faktisk mener med «tilgang» (se figur 1). Modellen tydeliggjør at tilgangsspørsmål kan vurderes langs flere dimensjoner: Hvilken type verdi som beskyttes (konfidensialitet, integritet og tilgjengelighet), hvilke veier til adgang til disse verdiene som må beskyttes og hvor store hindringer som faktisk må overvinnes for å påføre skade (Hvilken grad av «paranoia» må legges til grunn for å komme til at tilgang til verdiene er på avveie?).
Modellen er ment å hjelpe virksomheter til å jobbe systematisk med tilganger. Uten en felles forståelse av dimensjonene i rammeverket blir mulighetene for misforståelser mange og veien til en omforent prioritering av de tiltakene som faktisk har effekt tilsvarende lang.
Sikkerhet og forretning kolliderer når tilgangsarbeidet blir preget av misforståelser
Stabil drift, beskyttelse av de viktigste verdiene og effektiv ressursbruk til glede for både sikkerhetsmiljøene, eierne og kundene er utfallet når tilgangsarbeidet gjøres riktig. Sikkerhetsarbeidet går med andre ord hånd i hånd med forretningssidens behov.
Det er samtidig ikke til å stikke under en stol at det i praksis altfor ofte blir en konflikt mellom hensyn til sikkerhet og forretning når virksomheter setter tilgangene sine i fokus. Manglende felles begrepsapparat og høy kompleksitet gjør det vanskelig å enes om riktige tiltak. Konsekvensen er at for mange virksomheter ender opp med tunge, manuelle og byråkratiske prosesser som fremstår trygge, men som over tid gir både dårligere sikkerhet og lavere verdiskaping.
Hva bør gjøres?
Å etablere en effektiv tilgangsstyring trenger heldigvis ikke å være så krevende. Artikkelen avsluttes derfor med fire tips på veien til mer effektiv tilgangshåndtering.
- Felles begrepsapparat. Å oppnå effektiv tilgangshåndtering er en tverrfaglig øvelse. Et omforent og riktig begrepsapparat er nødvendig for å forstå risikobildet riktig (Se figur 1 over).
- Unngå tillitsbaserte kontrollmekanismer. En trusselaktør vil lyve, og en ansatt med de beste intensjoner slurver iblant. Velg derfor tilgangsstyringstiltak som i liten grad bygger på tillit - skjemaer, intervjuer og erklæringer er ressurskrevende å opprettholde og gir falsk trygghet.
- La alternativrisikoen bestemme. Alle tiltak bør vurderes ut fra hvilken risikoendring som oppnås i forhold til det heller-ikke-risikofrie alternativet
- Beslutningsmyndighet må speile helheten. Ansvaret for tilgangstiltakene må ligge hos roller med ansvar for både forretning og sikkerhet.
