Adgangsstyring nederst på listen?

I mange organisationer bliver det først rigtig tydeligt, hvor lidt overblik der er over brugere og adgangsrettigheder, når et nyt system skal i spil.

Det oplevede en forsyningsvirksomhed med 600 medarbejdere og kritisk infrastruktur, da de skulle implementere et nyt ERP-system.

De opdagede, at:

- Adgangsstyring var spredt ud på flere systemer
- Ingen kunne svare på, hvem der havde adgang til hvad
- Nye medarbejdere fik adgang for sent og gamle mistede den for sent

Det klassiske svar ville være et it-projekt.

Langt forløb, konsulenter, kravspecifikationer.

Men her valgte man noget andet.

I stedet for at designe en ny struktur fra bunden, startede man med én ting:

Hvordan burde det fungere i hverdagen?

- Ansatte skulle oprettes automatisk, baseret på data i HR-systemet

- Adgange skulle følge roller og afdelinger, ikke enkeltpersoner

- Ledere skulle kunne se og styre det, de har ansvar for

- Rettigheder skulle kunne dokumenteres for både drift og compliance af NIS2 og ISO27001.

Det blev sat op i løbet af få uger, uden udviklingsprojekt og brug af eksterne konsulenter.