Adgang – Smidig og nem tilladelse til information

Vi har alle brug for at få adgang til systemer for at dele eller få adgang til information, som andre leverer. I disse behov er der flere udfordringer. Delvist for at gøre informationen tilgængelig overhovedet, men frem for alt for at gøre den tilgængelig kun for dem, der har ret til at få adgang til den.

Har du tilstrækkelig beskyttelse?

Information bliver typisk gjort tilgængelig gennem systemer eller tjenester, og udbydere har ofte gode og formålstjenlige funktioner til at præsentere og behandle information. Dog varierer behovet for beskyttelse afhængigt af forskellige typer af information. Nogle gange har systemer og tjenester indbygget beskyttelse, der er tilstrækkelig, mens det andre gange kan være utilstrækkeligt.

Beskyttelse og sikkerhed for forskellige typer af information

Afhængigt af typen af information varierer behovet for beskyttelse. I nogle tilfælde kan informationen være offentlig, og alle bør have adgang til den. Betyder det, at informationen ikke behøver beskyttelse? Selvfølgelig ikke. Vi ønsker, at alle kan læse vores virksomheds hjemmeside, men helt sikkert ikke ændre den. Anden information kan være meget følsom og bør kun være tilgængelig for autoriseret personale.

Valg af systemer og tjenester til sikker deling af information

Nogle systemer og tjenester har indbygget support for at sikre, at kun de rette personer kan få adgang til informationen. Disse tjenester understøtter ofte kun en bestemt metode, og der opstår yderligere omkostninger ved køb af ting som f.eks. SITHS-kort eller lignende. Til tider mangler tjenesten tilstrækkelig stærk autentificering til at kunne bruges lovligt til følsom information.

Føderation: En effektiv sikkerhedsmodel til deling af information

Ofte er systemet eller tjenesten afhængig af, at brugerstyring sker gennem en anden metode, typisk under kontrol af informationsejeren (kunden). I praksis betyder dette ofte, at tjenesteudbyderen er afhængig af kundens autentificeringstjeneste, kendt som føderation. Der er flere fordele ved dette. Kunden kan bruge de samme login-metoder til flere systemer. Kunden kan opsætte adgang til flere systemer via en enkelt login, kendt som single sign-on. Administrationen af konti og login-metoder er i kundens hænder frem for udbyderens.

Klassificering af informationssikkerhed

Hvad er nødvendigt?

De love, der vedrører din virksomhed og den pågældende information

De specifikke brancheregler, hvis de eksisterer

De krav, dine kunder stiller til dig

Dine egne principper vedrørende informationen

Information er ofte underlagt lovmæssige krav som GDPR og NIS/NIS2 samt andre branchespecifikke reguleringer. Selvom der ikke er specifikke juridiske krav, er der ofte kommercielle eller andre behov for at beskytte ens information.
ID North

Hvorfor 'One Size Fits All' ikke virker

Det er vigtigt at tilpasse tillidsniveauet til specifikke behov. Afhængigt af brug og formelle krav skal tillidsniveauet variere. Informationssikkerhedsklassifikation bør også overvejes, og der bør fastlægges interne krav for at imødekomme behovene. Kort sagt handler det om at balancere sikkerhed, brugeroplevelse og tilgængelige ressourcer for at verificere brugeridentitet med tilstrækkelig sikkerhed.

Digitaliseringsmyndigheden har defineret

Tre tillidsniveauer

Nogle tillidsniveauer, såsom EduID fra Sunet.

Høj tillid, såsom BankID og Freja.

Meget høj tillid, såsom EFOS og Svensk Pas.

Mere information er tilgængelig på 'Tillidsniveauer for e-autentificering | Digg'.

Hvis der ikke er specifikke juridiske eller branchekrav til tillidsniveauer, kan du selv bestemme, hvilken type autentificering der skal anvendes. Dette kan variere fra adgangskoder til multifaktorløsninger såsom servicekort, mobilapps, forskellige hardware-nøgler som YubiKey og mere.
ID North

Valg af identitetsudsteder og dets krav

Du har brug for en IdP (identitetsudsteder), som kan købes som en service eller oprettes internt. Den skal understøtte de nødvendige login-metoder og kan være nødt til at deltage i føderationer som Skolfederation, SAMBI og andre. Dens tekniske support bør omfatte SAML, OpenID Connect, VPN og proxy for at håndtere forskellige systemer og krav.

Logintjeneste / identitetsudsteder (IdP)

Hvordan fortsætter du?

1. Klassificer information

2. Køb en IdP baseret på dine behov

3. Konfigurér IdP'en til at håndtere logins per informationskategori i overensstemmelse med klassifikationen

Vi har omfattende erfaring både inden for offentlige og private sektorer. Et af de områder, vi opererer inden for, er at sikre, at information kan tilgås, men kun af dem, der bør have adgang til den.
ID North
Kontakt os

Vi assisterer i alle trin fra planlægning til installation, konfiguration, drift og support af logintjenesten.

Our offices

Stockholm
Vasagatan 23
111 20 Stockholm

Helsinki
Workery West, Tripla
Firdonkatu 2 T 63
00520 Helsinki, Finland

Borås
Nils Jakobsonsgatan 5
501 15 Borås

Gothenburg
Kobbegårdsvägen 7
436 34 Askim

Post address

ID North AB
Vasagatan 23
111 20 Stockholm

E-mail

Say 👋🏼
info@id-north.dk

Call us

Sweden
+468-54520044

Finland
+358 50 517 5778



Social media

Læs denne måneds Gartner-rapport

Discover Gartner®: “Predicts 2024: The Changing Role of the Identity and Access Management Leader” om, hvordan IAM-lederens ansvar og krav vil udvikle sig i 2024 og derefter.

Læs nu