-
a) Styr kontoer, tilganger og rettigheter til flest mulig av ressurser (ref. 2.6.2.a) i virksomheten med helst ett verktøy for hele virksomheten.
-
b) Bruk verktøyet til å holde oversikt over alle kontoer, tilganger og rettigheter. Verktøyet bør kunne utføre mest mulig av retningslinjene i 2.6.1.
-
c) Ved opprettelse av enkelte kontoer (f.eks. innleide) bør man sette foreløpige utløpsdatoer for deaktivering.
-
d) Detekter og følg opp kontoer som ikke har blitt brukt på lenge dersom de ikke er nødvendige (overvåk unntak som f.eks. en leverandørs vedlikeholdskonto).
-
e) Bruk et sentralt verktøy til å kontrollere passord-kvaliteten opp mot virksomhetens sikkerhetskrav, som et minimum bør man hindre bruk av vanlige ord og navn på norsk og engelsk, samt årstall og årstider. Se også NSM - Råd og anbefalinger om passord
Implementering
a) Styr kontoer, tilganger og rettigheter til flest mulig av ressurser (ref. 2.6.2.a) i virksomheten med helst ett verktøy for hele virksomheten.
Velg et verktøy som kan håndtere alle typer kontoer og tilganger innen virksomheten. Dette verktøyet bør være i stand til å integreres med alle relevante systemer og plattformer for å sikre en omfattende tilgangsstyring. Eksempler på slike verktøy inkluderer Identity and Access Management (IAM) løsninger fra leverandører som Microsoft (Azure Active Directory), Google (Cloud Identity), det finnes mange løsninger der ute, det er viktig å finne en som passer virksomheten deres.
b) Bruk verktøyet til å holde oversikt over alle kontoer, tilganger og rettigheter. Verktøyet bør kunne utføre mest mulig av retningslinjene i 2.6.1.
Verktøyet bær tilby detaljert oversikt over alle kontoer, tilganger og rettigheter. Dette inkluderer hvem som har tilgang til hva, når tilganger ble tildelt, og når de skal revideres. Automatisering av disse prosessene sikrer effektiv etterlevelse av retningslinjer for tilgangskontroll.
c) Ved opprettelse av enkelte kontoer (f.eks. innleide) bør man sette foreløpige utløpsdatoer for deaktivering.
For midlertidig kontoer som opprettes på kort sikt for feks innleide konsulenter skal det være mulig å sette utløps datoer for kontoene slik at de blir deaktivert, dette vil hjelpe å stoppe eldre kontoer som kan bli glemt å bli misbrukt.
d) Detekter og følg opp kontoer som ikke har blitt brukt på lenge dersom de ikke er nødvendige (overvåk unntak som f.eks. en leverandørs vedlikeholdskonto).
Automatiser deteksjon for bruker kontoer som ikke har blitt på logget eller brukt over lengre perioder, det kan også være nødvendig å sette unntak regler for spesifikke kontoer som en leverandørs vedlikeholds konto eller lignende, da disse kan bli brukt sporadisk.
e) Bruk et sentralt verktøy til å kontrollere passord-kvaliteten opp mot virksomhetens sikkerhetskrav, som et minimum bør man hindre bruk av vanlige ord og navn på norsk og engelsk, samt årstall og årstider. Se også NSM - Råd og anbefalinger om passord