Rettighedsstyring skærper persondatasikkerheden
Datatilsynet har udgivet en vejledning om rettighedsstyring med fokus på adgangsrettigheder til it-systemer og lokaler. Formålet er at reducere risikoen for brud på persondatasikkerheden, herunder uberettigede opslag, misbrug fra tidligere medarbejdere og eksterne angreb som ransomware. God styring af brugeres rettigheder kan begrænse skadeomfang ved hændelser og er særlig vigtig ved brug af RPA og robotkonti.
Vejledningen anvender rettighedsstyring som samlet begreb for tildeling, ændring og ophør af adgange samt kontrol af, hvad brugere må foretage sig. Den peger på behovet for faste processer, løbende revurdering og logging og henviser til Datatilsynets katalog med konkrete foranstaltninger.
Som praktiske pejlemærker fremhæves følgende indsatsområder:
- Mindst privilegium og rollebaseret adgang med periodiske gennemgange.
- Stærk autentifikation, kontospærring og skærpet kontrol af administratorrettigheder.
- Særskilt styring af robotbrugere og tjenestekonti, så adgangen ikke er bredere end nødvendigt.
Vejledningen kan læses her: den nye vejledning om adgangsrettigheder. Supplerende materiale findes i kataloget over foranstaltninger og i Center for Cybersikkerheds vejledning om password-sikkerhed.
