Medarbetare kommer och går i organisationer. Det är vanligt att man byter arbetsplats eller roll efter några år. Under den tid medarbetaren hade en roll eller arbetsuppgift så hade även medarbetaren de behörigheter den behövde för att utföra sina arbetsuppgifter. Men vad händer efter medarbetaren bytt roll, avdelning eller kanske helt lämnat bolaget.
Vi tror att medarbetare ska ha de verktyg och tillgång till den information de behöver för sitt arbete. Att ge tillgång till information möjliggör väl underbyggda beslut och effektivare arbete. Problemet är att ju mer tillgång en person har till information och ju mer behörigheter denne har, desto mer skada kan ske om användaren blir utsatt för en Human Interface device attack (HID-attack), en phising-attack eller annan typ av attack som ger angriparen tillgång till användarens konto.
Det finns även ytterligare ett problem vi sällan pratar om, tänk om det är den anställde som är angriparen. Det är inte ovanligt att medarbetare som slutar har ett ont öga till sin forna arbetsgivare och försöker hämnas på olika sätt. Medarbetare kan även tagit med sig information från arbetsplatsen när den slutat som då är utanför er kontroll. Det är inte heller ovanligt med spionage mot organisationer.
Vi behöver därför ha regelbunden genomgång av vilka behörigheter varje medarbetare har i organisationen. Minst en gång per år men gärna oftare bör varje medarbetares chef gå igenom de behörighet medarbetarna i gruppen har. Om en medarbetare inte längre behöver behörigheten till ett visst system, mapp eller databas så bör den tas bort.
Varje mottagande och lämnande chef bör även ha en rutin att gå igenom alla behörigheter en person som byter roll, påbörjar eller avslutar en anställning ska ha.
För att förenkla hanteringen av behörigheter är det bra att jobba med användargrupper. En användargrupp har en viss behörighet för en mapp, system eller applikation. Genom att bara användargrupper har tillgång mappar, system, etcetera. Så behöver man sedan bara hantera vilka medarbetare som finns i respektive grupp.