Kontrollera behörigheter

Har din organisation rutiner för vilka som är behöriga till dina IT-system? Verksamhetens behov avgör vilka behörigheter vilka IT-system som medarbetarna får tillgång till. Det behöver finnas tydliga rutiner för detta.

Behörigheter styr vem som har tillgång till vad och vad som kan göras i systemen. Alla behörigheter ska utgå från organisationens behov och det ska finnas formella rutiner för tilldelning, förändring, upphörande och uppföljning av åtkomst bör finnas. Den enskilda användaren ska inte ha tillgång till mer information än verksamheten kräver.

Användarkonton

Användarkonton med särskilda åtkomstprivilegier (t.ex. systemadministrativa konton) har oftast den högsta och största åtkomstnivån till information, program och datorer. När dessa konton används för attacker kan de orsaka stor skada eftersom kontona vanligtvis tillåter att användaren utför åtgärder som att installera skadlig programvara eller göra omfattande ändringar i system.

Särskild åtkomst inkluderar privilegier utöver den vanliga användarens rättigheter. Det är normalt inte acceptabelt att utföra dagligt arbete i administrativa konton (undantaget systemadministrativt arbete). Då ett administrativt konto ger omfattande åtkomst till system och information ska det inte användas för dagligt arbete då det innebär en ökad exponering för olika typer av hot.

Ett användarkonto ska endast tilldelas en enskild individ och inte en grupp av individer. Använder flera medarbetare samma användarkonto försvåras spårbarheten, dvs. möjligheten att koppla olika systemhändelser till enskilda individer.

Användarkonton ska avslutas då dessa inte längre ska användas som exempelvis då någon slutar eller byter arbetsuppgifter.

Lösenord och inloggning

När man loggar in i organisationens IT-utrustning eller vill ha åtkomst till ett visst program ska man identifiera sig genom att ange sitt användarnamn och lösenord eller med e-legitimation. Inloggning med ett starkt och unikt lösenord utgör minimikrav. En starkare och därmed säkrare metod är flerfaktorsautentisering där autentisering sker med två av flera former av identifiering. Du kan till exempel ha lösenord, smartkort och bio-metrisk autentisering att välja mellan. Av dessa tre måste du vid varje tillfälle använda två. Lösenord ska inte återanvändas av medarbetare eller grupper av medarbetare. Lösenord som använts inom organisationen ska inte användas privat, eller vice versa.

Det är verksamhetens krav som bestämmer om och hur ofta lösenord ska bytas ut.

Är det inte tekniskt möjligt att konfigurera konton för att regelbundet kräva lösenordsändringar krävs manuella rutiner.

Ladda ner vår sammanfattning med definitioner och åtgärder för alla IT-områden.


Alla områden

Hur säkert jobbar du? Testa din IT-säkerhet

Testet består av sex olika områden för att ta temperaturen på ditt informationssäkerhetsarbete.

Starta testet!

Certifiera ditt företag

Visa att du tar din cybersäkerhet på allvar! Certifiera ditt företag eller din organisation! Vad väntar du på?

Läs mer om certifiering