Da to kommuner skulle slås sammen, ble behovet for en solid identitetsløsning for alle ansatte tydelig. Innofactor har hjulpet til med å sette opp løsningen, og har også gjennomført en omfattende sikkerhetsvurdering av den nye kommunens IT-løsninger.
Bjørnafjorden kommune så dagens lys i januar 2020, da kommunene Os og Fusa ble slått sammen. Kommunen har i underkant av 25.000 innbyggere og rundt 1800 ansatte.
Espen Harald Haga er leder for IT-avdelingen i Bjørnafjorden, og forteller at både Fusa og Os hadde sine egne datasentre og sin egen infrastruktur – men i forbindelse med sammenslåingen ble alt samlet. IT-avdelingen i den nye kommunen består av 11 personer, inkludert en lærling.
De to kommunene ble tidlig enige om at det var nødvendig å få på plass en skikkelig løsning for identitetshåndtering (Identity and Access Management – IAM).
– Det var ikke god nok kontroll på identiteter, noe vi så for eksempel når nye medarbeidere begynte eller sluttet. I mange tilfeller fikk ikke IT beskjed, og medarbeidere kunne bli liggende i AD etter at de hadde sluttet. Det var et sikkerhetsproblem, sier Haga.
Gratis E-book - Trygge ansatte gir konkurransefortrinn
Kommunene begynte derfor å se på ulike identitetsløsninger, og landet til slutt på One Identity, en løsning basert på Microsoft Identity Manager (MIM).
Konsulenter fra Innofactor har jobbet sammen med Bjørnafjorden for å få satt opp den nye ID-løsningen, i tillegg til en ny e-post-løsning basert på Exchange Online.
– Identitetshåndtering var et kompetanseområde vi på den tiden ikke hadde. Vi har ikke ressurser og kapasitet til å holde på med dette selv, derfor ønsket vi heller å kjøpe dette som en tjeneste fra Innofactor, sier Haga.
MIM-løsningen er koblet opp mot Microsoft Azure AD, slik at tilganger til filområder og andre nettverksressurser kan styres basert på hvilke grupper i AD ansatte er medlem av.
– Nå har vi mye bedre kontroll på onboarding og offboarding, og nyansatte kommer inn i AD via personalmelding.
I en kommune kan det ofte være mange ulike fagsystemer og mange spesialtilpassede løsninger. Bjørnafjorden har som mål at flest mulig av fagsystemene skal omfattes av identitetsløsningen, men det er likevel enkelte spesialsystemer der man er nødt til å manuelt fjerne tilganger fra ansatte som slutter.
– Det har vi løst med automatisk epostvarsling til IT hver gang noen slutter, slik at vi manuelt får fjernet tilganger fra de systemene som ikke styres via AD, sier Haga.
Nasjonal Sikkerhetsmyndighet (NSM) slår i sin rapport Nasjonalt Digitalt Risikobilde 2021 fast at det er svært høy risiko for at norske virksomheter vil utsettes for løsepengevirus i løpet av 2022. Dette er en trussel IT-avdelingen i Bjørnafjorden kommune er høyst oppmerksomme på, ikke minst etter at det nylig har vært eksempler på løsepengeangrep som har fått alvorlige konsekvenser for andre kommuner.
– Vi vil nødig havne i en slik situasjon, og fikk derfor bistand fra Innofactor til å gjøre en sikkerhetsrevisjon. Selv om gjennomgangen viste at mye allerede var bra hos oss, var det veldig nyttig. Vi fikk mange konkrete tips om hva vi kunne forbedre, sier Tom Ruben Bratholmen, IT-konsulent i Bjørnafjorden.
Bratholmen forteller at IT-avdelingen nå har begynt med en fast sikkerhetsdag hver fredag, hvor de blant annet går gjennom kjente sårbarheter, anbefalinger og hvilke konkrete tiltak de kan gjøre for å forbedre IT-sikkerheten.
– Det er viktig å ha fokus på sikkerhet hele tiden, slik at det ikke bare blir skippertak.
IT-leder Espen Harald Haga er veldig fornøyd med samarbeidet med Innofactor og oppfølgingen de har fått både gjennom sikkerhetsrevisjonen og oppsett av identitetsløsningen.
– Vi opplever at Innofactor har veldig god kompetanse og flinke folk. Dette er noe som også var viktig for oss ved valg av leverandør, avslutter Haga.