Foranstaltning:

Minimering af antal autorisationsansvarlige og brugeradministratorer


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Adgangsrettigheder med et større omfang end nødvendigt kan udgøre en unødvendig risiko for tab af fortrolighed, integritet og tilgængelighed gennem fejlhåndtering eller egentligt misbrug. Ved at begrænse antallet af personer, der kan tildele adgangsrettigheder, mindskes sandsynligheden for fejl og misbrug.  Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for fejlagtig eller uensartet tildeling af adgangsrettigheder.

Foranstaltningen kan også mindske risikoen i forbindelse med eksterne cyberangreb, fordi det er mindre sandsynligt, at kompromittering af én tilfældig brugers log-in umiddelbart giver mulighed for at styre adgangsrettigheder til ét eller flere it-systemer. Foranstaltningen er derfor også relevant i forhold til at mindske konsekvensen ved misbrug af autoriserede brugeres adgangsrettigheder.

Hvilke tiltag kan overvejes?

Der udpeges færrest muligt autorisationsansvarlige.

Den organisatoriske funktion, som står for brugeradministrering, begrænses til så få personer som muligt. Dette kan være svært, hvis brugeradministratorer er spredt ud i organisationen, hvorfor samtidig implementering af foranstaltningen Centraliseret rettighedsstyring vil styrke den samlede forebyggende effekt.

Hvornår er foranstaltningen nødvendig?

Databeskyttelsesforordningens artikel 5, stk. 1, litra f, handler om personoplysningers integritet og fortrolighed. Jo mindre den enkelte bruger kan gøre med de data, som brugeren har adgang til, desto mindre er den potentielle konsekvens, hvis nogle af disse brugere kompromitterer datas integritet og fortrolighed via utilsigtede eller ondsindede handlinger. Dette har også en beskyttende effekt ift. cybertrusler, idet en hacker ofte opererer igennem adgangsrettigheder i kompromitterede bruger-konti, og færre rettigheder begrænser dermed hackerens muligheder. Derfor skal adgangsrettigheder begrænses mest muligt – og det skal begrænses, hvem der kan tildele nye adgangsrettigheder.

Den dataansvarliges vurdering af risikoen i henhold til forordningens artikel 32 kan vise, hvilke tiltag der er relevante. Hvis der fx er tale om en tomandsvirksomhed, kan det være en nødvendighed, at begge kan styre adgangsrettigheder, uden at risikoen for misbrug mv. derved øges i væsentlig grad.

Vejledninger, der anvender denne foranstaltning