.png)
Visste du att multifaktorautentisering kan blockera över 99,9 % av alla kontokompromissattacker? Eftersom denna statistik helt enkelt inte bör ignoreras, kan vi sätta detta ämne i dagens fokus och läsa mer om multifaktorautentisering (MFA) och hur det förhåller sig till åtkomstkontroll.
Sammantaget kan vikten av att implementera robusta åtgärder för åtkomstkontroll i enlighet med ISO 27001 och NIS2 inte överskattas. Det hjälper inte bara till att skydda känslig information från obehörig åtkomst, åtkomstkontrollåtgärder säkerställer också att endast auktoriserade personer kan komma åt specifika resurser, vilket minskar risken för dataintrång. I det här blogginlägget kommer vi att fördjupa oss i just dessa frågor och utforska grunderna för åtkomstkontroll och MFA.
I följande avsnitt tittar vi på de exakta kontrollerna i både NIS2-direktivet och ISO 27001-standarden, som täcker kraven för åtkomstkontroll och MFA.
Del 21.2.i och 21.2.j i direktivet avser specifikt tillträdeskontroll och multifaktorautentisering (MFA) och dess nödvändighet att implementera lämpliga åtgärder.
Del 21.2.i i NIS2-direktivet betonar behovet av att enheter genomför åtgärder för att förhindra obehörig åtkomst till nätverks- och informationssystem. Detta inkluderar användning av säkra och robusta mekanismer för åtkomstkontroll. Direktivet uppmuntrar enheter att anta en "least privilege"-strategi, där användare beviljas de miniminivåer av åtkomst som krävs för att utföra sina roller.
Del 21.2.j i NIS2-direktivet fokuserar på användningen av multifaktorautentisering (MFA) som ett sätt att verifiera användarnas identitet. MFA är en autentiseringsmetod som kräver att användare tillhandahåller två eller flera verifieringsfaktorer för att få tillgång till en resurs som en applikation, ett onlinekonto eller ett VPN.
Sammanfattningsvis framhäver delarna 21.2.i och 21.2.j i NIS2-direktivet vikten av robust åtkomstkontroll och användning av multifaktorautentisering för att skydda nätverks- och informationssystem. Dessa åtgärder anses vara avgörande för att förhindra obehörig åtkomst och säkerställa säkerheten för känslig information. Vägledningen i NIS2-direktivet är dock ganska svag i jämförelse med kraven i andra ramverk, t.ex. ISO 27001. Därför kan bästa praxis enligt ISO 27001 användas för att uppfylla kraven i NIS2-direktivet.
Följande kontroller från kapitlen 5 (Organisatoriska kontroller) och 8 (Tekniska kontroller) är relaterade till åtkomsthantering:
I huvudsak handlar ISO 27001-kontrollen "5.15 Åtkomstkontroll" om att genomföra effektiva åtgärder för att hantera och begränsa åtkomst till information och därigenom minska risken för obehörig åtkomst och potentiella dataintrång. Den är indelad i två huvudavsnitt: "Hantering av användaråtkomst" och "Användaransvar". "User Access Management" innebär att man beviljar eller återkallar åtkomsträttigheter för användare baserat på deras roller och ansvarsområden inom organisationen. Detta omfattar hantering av privilegierade åtkomsträttigheter, granskning av användares åtkomsträttigheter samt borttagning eller justering av åtkomsträttigheter.
"Användaransvar" under "5.15 Åtkomstkontroll" innebär att göra användarna medvetna om deras ansvar när de får åtkomst till organisationens informationssystem. Detta innefattar att säkerställa att användarna följer organisationens policy för åtkomstkontroll och att de förstår konsekvenserna av bristande efterlevnad.
I "5.15 Access control" betonas också vikten av att använda säkra inloggningsprocedurer, hantera lösenord på ett effektivt sätt och begränsa användningen av hjälpprogram som kan kringgå system- och applikationskontroller. Denna kontroll är avgörande för att upprätthålla integriteten, konfidentialiteten och tillgängligheten hos en organisations information.
Kontrollen "5.16 Identitetshantering" ålägger organisationer att skapa ett grundligt system för identitetshantering, som innefattar en formell metod för registrering och avregistrering av användare. Målet är att hjälpa till att tilldela åtkomsträttigheter noggrant och kontrollera åtkomst till olika information och system inom företaget. Det är nödvändigt att genomföra regelbundna uppdateringar och granskningar av användarnas åtkomsträttigheter för att garantera att de fortsätter att vara relevanta, särskilt i situationer som rollförändringar eller när anställda slutar.
Det är också viktigt att hantera särskilda åtkomsträttigheter, t.ex. för systemadministratörer, med tonvikt på begränsad användning och konsekvent övervakning. Allt detta för att undvika obehörig åtkomst och potentiellt missbruk. Detta kontrollelement belyser dessutom användarnas viktiga roll när det gäller att upprätthålla informationssäkerheten för deras autentisering, genom att betona vikten av att lösenord hålls hemliga och att alla misstänkta överträdelser rapporteras omgående.
I kontrollen betonas i huvudsak vikten av en uppmärksam hantering av autentiseringsinformation. Den ålägger användarna att vara medvetna om sina roller när det gäller att upprätthålla sekretessen och säkerheten för sina respektive autentiseringsuppgifter. Automatiserade processer bör effektivt hantera tilldelningen av lösenord, och dessa lösenord bör genomgå verifiering av att de är korrekta innan de används för att minska risken för obehörig åtkomst.
Kontrollen kräver också att det införs fasta säkerhetsåtgärder som robusta lösenord och tvåfaktorsautentisering, tillsammans med säkra inloggningsförfaranden, vilket höjer säkerhetskvoten. Det krävs vidare att autentiseringsinformationen ändras i god tid vid tecken på potentiell kompromettering, vilket säkerställer att obehörig åtkomst förhindras även om autentiseringsinformationen är i fara.
ISO 27001-kontrollen "5.1.8 Åtkomsträttigheter" beskriver viktiga aspekter av hanteringen av åtkomsträttigheter. Den beskriver nödvändigheten av en policy för åtkomstkontroll; beskriver processer för användarregistrering, avregistrering och tillhandahållande av åtkomst; och betonar hantering av privilegierade åtkomsträttigheter och hemlig autentiseringsinformation.
Regelbundna revisioner av användarnas åtkomsträttigheter och snabb borttagning eller justering av rättigheter vid rollförändringar eller anställningens upphörande förespråkas också. Effektiv implementering av "5.1.8 Åtkomsträttigheter" främjar informationens konfidentialitet, integritet och efterlevnad av informationssäkerhetsmandat.
I följande skärmdump kan du se ett exempel på hur ett verktyg kan användas för att t.ex. säkerställa aspekten regelbunden granskning av åtkomsträttigheter till datasystem. I verktyget är åtkomstrollerna tydligt dokumenterade och en processbeskrivning beskriver hur åtkomstrollerna granskas regelbundet. I det här fallet gör verktyget det också möjligt för användaren att ange ett granskningsdatum/cykel för att säkerställa att granskningarna faktiskt genomförs.
När man fastställer åtkomstkontroller är det viktigt att fokusera på privilegierad åtkomst. Genom att begränsa och hantera den på ett effektivt sätt kan en organisation säkerställa att endast behöriga användare, program och processer får tillgång till privilegierad information. Metoden för att tilldela privilegierade åtkomsträttigheter hänger på ett väl strategiskt auktoriseringssystem som är anpassat till motsvarande policy för åtkomstkontroll.
Denna kontroll föreskriver att tilldelningen och användningen av åtkomsträttigheter ska begränsas och kontrolleras. Detta innebär att endast ett begränsat antal betrodda personer ska beviljas dessa rättigheter och att deras användning ska övervakas och loggas. Vidare ska tilldelningen av privilegierade åtkomsträttigheter vara föremål för en formell auktoriseringsprocess.
Användare med privilegierade åtkomsträttigheter bör få lämplig utbildning, vilket innebär att de bör göras medvetna om de risker som är förknippade med deras rättigheter och det ansvar de har. De bör också utbildas i hur de ska använda sina rättigheter på ett säkert och effektivt sätt. Slutligen bör dessa rättigheter ses över med jämna mellanrum. Detta för att säkerställa att rättigheterna fortfarande är nödvändiga och att de används på rätt sätt.
Kontrollen "8.3 Begränsning av informationsåtkomst" beskriver reglerna för att bevilja och återkalla åtkomsträttigheter och föreskriver skydd av nätverkstjänster och införande av säkra inloggningsförfaranden.
I huvudsak är det utformat för att säkerställa att tillgången till information är begränsad till endast behöriga användare och att dessa åtkomsträttigheter hanteras, granskas och uppdateras regelbundet för att upprätthålla informationens integritet och konfidentialitet.
Det primära syftet med denna kontroll är att säkerställa att endast behörig personal har tillgång till källkoden. Detta för att förhindra obehöriga ändringar som kan leda till sårbarheter i systemet eller illvilliga aktiviteter. Det syftar också till att skydda organisationens immateriella rättigheter.
Vidare kräver kontrollen att åtkomsträttigheterna till källkoden ska granskas regelbundet och uppdateras vid behov. Detta för att säkerställa att endast de som behöver åtkomst för att utföra sina arbetsuppgifter har det, och att tidigare anställda eller de som har bytt roll inom organisationen inte behåller onödig åtkomst.
Säker autentisering, i samband med ISO 27001, innebär att man verifierar identiteten hos en användare, ett system eller en applikation innan man ger tillgång till information eller resurser. Detta uppnås vanligtvis genom användning av lösenord, biometri eller andra former av referenser.
Kontrollen kräver att organisationer implementerar en säker autentiseringsprocess som är lämplig för systemets eller applikationens karaktär. Detta kan innebära multifaktorautentisering (MFA), som använder två eller flera olika typer av referenser för ökad säkerhet.
Vidare föreskriver kontrollen att autentiseringsinformationen ska skyddas för att förhindra att den lämnas ut till obehöriga parter. Detta kan innebära kryptering av data, regelbunden uppdatering av lösenord eller användning av säkra kanaler för överföring av autentiseringsinformation.
Som redan nämnts ovan föreskriver ISO 27001 kontroll av åtkomst till nätverkstjänster. Detta innebär användning av MFA för att säkerställa att endast auktoriserade användare kan få åtkomst till nätverket. Detta är särskilt viktigt för fjärråtkomst, där riskerna för obehörig åtkomst är högre.
Multi-Factor Authentication (MFA) är ett viktigt säkerhetsprotokoll som kräver att användare verifierar sin identitet via två eller flera former av autentisering innan de får tillgång till känsliga data. Metoderna för MFA inkluderar följande:
Biometrisk autentisering, engångslösenord (OTP), push-meddelanden och hårdvaru- eller mjukvarutokens är vanliga MFA-tekniker idag.
Det primära målet med MFA är att skapa ett flerskiktat försvar, vilket gör det svårare för obehöriga att få åtkomst även om en autentiseringsfaktor äventyras.
Numera kan du hitta verktyg som gör ditt arbete mer effektivtför bokstavligen vad som helst. Det kan göra ditt arbetsliv mycket enklare när det gäller att uppfylla kraven på åtkomsträttigheter och MFA. Låt oss till exempel titta på hur du kan hålla reda på åtkomsträttigheterna för viktiga datasystem. I följande skärmdump kan du se en uppgift i ett verktyg som fokuserar på "Regelbunden granskning av åtkomsträttigheter till datasystem". För det ändamålet är alla viktiga datasystem länkade som dokumentation.
I det här verktyget kan du sedan helt enkelt hoppa till de dokumenterade datasystemen och du kommer att hitta en lista över alla datasystem, som kan se ut på följande sätt:
Med en sådan här översikt kan du inte bara hålla reda på alla datasystem som du vill ha koll på åtkomsträtten till, du kan också länka till mer information. Med hjälp av det här verktyget har till exempel varje listat dokumentationsobjekt ett separat informationskort med all viktig information om varje dataset. I följande skärmdump kan du se ett exempel på hur insamlingen av systembehörigheten (med hjälp av MFA) används.
En av de vanligaste utmaningarna när man använder multifaktorautentisering (MFA) eller åtkomstkontroll i samband med ISO 27001-efterlevnad är komplexiteten i implementeringen. MFA- och åtkomstkontrollsystem kan vara komplicerade att installera och hantera, särskilt för organisationer med ett stort antal användare eller komplex IT-infrastruktur. Detta kan leda till fel eller sårbarheter om de inte hanteras på rätt sätt.
En annan utmaning är användarmotstånd. MFA lägger till ett extra steg i inloggningsprocessen, vilket vissa användare kan tycka är obekvämt. Detta kan leda till motstånd mot införandet, särskilt om fördelarna med MFA inte kommuniceras tydligt till användarna.
Kostnaden är också en betydande utmaning. Att implementera MFA och robusta system för åtkomstkontroll kan vara dyrt, särskilt för små och medelstora företag. Kostnaden omfattar inte bara den initiala installationen utan även löpande underhåll och förvaltning.
Dessutom finns det en utmaning i att upprätthålla efterlevnaden av standarder som utvecklas. ISO 27001 och andra cybersäkerhetsstandarder uppdateras regelbundet för att återspegla nya hot och bästa praxis. Organisationer måste hålla sig uppdaterade med dessa förändringar och se till att deras åtkomstkontroll och MFA-system förblir kompatibla. Vissa verktyg kan hjälpa dig att hålla dig uppdaterad och på ett effektivt sätt berätta vad som har ändrats i en uppdatering av ett ramverk och vilket ytterligare arbete du eventuellt måste investera.
Slutligen finns det en utmaning i att balansera säkerhet med användbarhet. Även om MFA och robusta åtkomstkontroller kan förbättra säkerheten avsevärt kan de också göra systemen svårare att använda. Organisationer måste hitta en balans som ger stark säkerhet utan att påverka användarupplevelsen negativt.
Sammanfattningsvis kan vikten av robust åtkomstkontroll och multifaktorautentisering (MFA) inte överskattas när man strävar efter att uppfylla ISO 27001 (eller NIS2). Dessa säkerhetsåtgärder är avgörande för att skydda känslig information och förhindra obehörig åtkomst till system och data. De utgör ryggraden i varje effektiv strategi för cybersäkerhet.
ISO 27001- och NIS2-standarderna ger riktlinjer för hur dessa åtgärder ska genomföras och betonar ytterligare behovet av en väldefinierad policy för åtkomstkontroll, effektiv hantering av användaråtkomst, tydliga användaransvar och starka autentiseringsmekanismer. Att följa dessa standarder förbättrar inte bara en organisations säkerhet utan visar också dess engagemang för att upprätthålla höga nivåer av dataskydd.
I slutändan är det en kontinuerlig resa att bemästra åtkomstkontroll och MFA. Det krävs ständiga ansträngningar för att ligga steget före nya hot och anpassa säkerhetsåtgärderna därefter. Men belöningen - förbättrad säkerhet, efterlevnad av internationella standarder och sinnesfrid - gör ansträngningarna mödan värd. Kolla in våra andra blogginlägg från Akademin om du är intresserad av att lära dig mer om bästa praxis när det gäller att bygga upp ditt ISMS.
