Innofactor Blogg

Hur HR-chefen undviker böter orsakade av säkerhetsluckor

Written by Jan Nordström | 29.6.2021

Som HR-chef har du ansvar för att er personaldata är korrekt och säker. Du är också delansvarig i att se till att inte före detta personal har tillgång till företagets system och information. Om kontrollen över användarkonton brister så medför de risker av olika slag. Här är konsekvenserna och vad HR tillsammans med IT kan göra för att undvika dem. 

Många organisationer har väldigt många användarkonton. Det är inte bara medarbetarna som har tillgång till företagets system och information, utan också tillfällig personal, konsulter och samarbetspartners.  

Den stora mängden användarkonton, tillsammans med allt mer komplexa IT-miljöer, gör identitetshanteringen till en utmanande uppgift. Många organisationer har till exempel en stor mängd användarkonton som finns kvar trots att medarbetarna slutat. Eller användarkonton där rättigheterna inte ändrats när medarbetare bytt jobb inom företaget.  

Risker för säkerhet och GDPR 

Det finns flera faror med att inte ha kontroll över användarkonton: 

1. Säkerhetsrisker:  

Konton som inte används är en öppning för hackers att obemärkt ta sig in. Syftet kan vara att stjäla konton, att komma åt adminkonton eller få fatt i information.  

Ransomwareattacker har till exempel ökat på sistone. Hackers krypterar företagets filer och begär en lösensumma för att tillhandahålla en nyckel som låser upp dem. Eller pressar företaget på pengar för att inte läcka ut information som de stulit.

2. Svårare att säkra GDPR-efterlevnad:  

Utan kontroll över användarkonton är det svårt att säkra att lagringen av personaldata inte strider mot GDPR. Om inte användarkonton tas bort riskerar ni att information om personer som inte längre är anställda finns publicerad, till exempel i adressböcker. 

Konsekvenserna från säkerhetsluckor kan bli allvarliga. Om data läcker ut kan det föranleda både böter och PR-skandaler. Antalet domar mot GDPR-överträdelser har ökat kraftigt den senaste tiden. 

 

Hur tar ni kontroll över användarkonton? 

För att lösa utmaningarna behöver IT och HR samverka. IT behöver ta kontroll över identitetshanteringen och inloggningskatalogen. HR behöver hålla HR-systemet uppdaterat. Dessutom behöver HR-systemet och inloggningskatalogen kopplas ihop. 

Utmaningarna med identitetshantering har ökat i takt med att IT-miljöer har blivit allt mer komplexa. Den ökande användningen av molntjänster, ofta i kombination med att man har kvar äldre system i egen drift, komplicerar också identitetshanteringen. 

Den enda egentligt framkomliga vägen, i alla fall för organisationer som har ett par hundra konton, är att IT automatiserar processen fullt ut. Automatisering säkerställer en tillräckligt snabb process, minimerar fel och tar bort personberoende. Det sparar dessutom mycket tid för IT-avdelningen. 

Ett effektivt verktyg för att automatisera identitetshanteringen är Microsoft Identity Manager (MIM). 

 

Så här fungerar automatisk identitetshantering 

 Identitetshantering är processen för att styra att personer i en organisation har rätt behörighet till system och information. Automatisk identitetshantering ger IT möjlighet att konfigurera vad som ska ske utifrån olika triggers så att denna styrning sker automatiskt. 

Automatiken inkluderar till exempel: 

  • Att ett konto öppnas automatiskt samma dag som en ny medarbetare börjar (användarnamn, e-postadress och lösenord generas, användarinformation skickas till närmaste chef och ett konto i inloggningsregistret skapas)  
  • Att ett konto stängs samma dag som en medarbetare slutar (kontot inaktiveras och behörigheter försvinner, e-postadressen arkiveras) 
  • Att ett användarkonto inaktiveras i samband med att en person går på tjänsteledighet eller föräldraledighet för att sedan automatiskt aktiveras igen när medarbetaren kommer tillbaka. 
  • Att behörigheter ändras i samband med att en medarbetare byter roll och organisationsenhet. 

Vad behöver HR göra? 

Den information som behövs för att automatisk identitetshantering ska fungera finns oftast redan i HR-systemet. 

Så HR-avdelningen behöver egentligen bara göra det ni alltid gjort. Hålla koll på anställda som börjar och slutar och hålla HR-systemet uppdaterat. IT plockar information som personuppgifter, organisationstillhörighet, roll, start- och slutdatum, från HR-systemet automatiskt. 

Eventuellt kan HR behöva justera sina processer för uppdatering av HR-systemet. Personalregistren behöver nämligen vara dagsaktuella för att ni ska kunna få bra kontroll på användarkonton och en optimal identitetshantering. 

HR behöver förstå sin roll  

På en kommun där vi införde automatisk identitetshantering uppdaterades HR-systemet en gång per månad i samband med att lönekörningar. Nya anställda samlades i en pappershög och stansades in på en förbestämd dag i månaden.  

HR-avdelningens process var således effektiv och fungerade exemplariskt. Men den gick inte tillräckligt fort för att trygga säkerheten kring användarkonton.  

Även om IT hanterar det mesta av arbetet kring identitetshantering så är det viktigt att HR förstår att de har en viktig roll. Eftersom IT använder HRs data så får HR stor påverkan på hur effektiv identitetshanteringen kan bli. 

Minskad administration för HR 

En stor utmaning med identitetshantering och personaldata har varit att en person ofta finns i flera olika system som hanteras i olika delar av organisationen. 

Med automatisk identitetshantering kan du få information att flöda mellan system, t.ex. HR-system, lönesystem, schemaläggningssystem och identitetssystem. 

Det innebär att HR-avdelningens administration minskar: 

  • Ni behöver bara uppdatera information på ett ställe 
  • Ändringar slår igenom på alla ställen automatisk vilket säkerställer att informationen är samma överallt – och ni slipper dubbelarbete med att verifiera data 
  • Sammantaget kan ni lita på den data som finns 

Ni slipper med andra ord de traditionella utmaningarna kopplade till personaldata och får istället ordning och reda och bra kontroll. 

 

Slutsats 

Automatiserad identitetshantering gynnar organisationen i stort genom att GDPR-säkra identitetskatalogen och minimera säkerhetsriskerna. 

HR-avdelningen är en viktig pusselbit i detta arbete och behöver därför förstå sin roll och påverkan. 

En positiv bieffekt av att automatisera identitetshanteringen är att HR-avdelningens administration med att uppdatera data underlättas. Att säkerhet- och GDPR-riskerna minskar gynnar också dig som är HR-chef eftersom sviterna av eventuella intrång, läckage och ”brott” kopplade till personal annars hamnar på ditt bord. 

Webbinarium: Varför ni måste ta kontroll över identitetshanteringen 

I det här webbinariet får du veta mer om identitetshantering; vanliga utmaningar, hur ett automatiskt identitetsflöde fungerar och framgångsfaktorer för att lyckas. 

Läs mer och anmäl dig här!