I mange organisationer bliver det først rigtig tydeligt, hvor lidt overblik der er over brugere og adgangsrettigheder, når et nyt system skal i spil.
Det oplevede en forsyningsvirksomhed med 600 medarbejdere og kritisk infrastruktur, da de skulle implementere et nyt ERP-system.
De opdagede, at:
- Adgangsstyring var spredt ud på flere systemer
- Ingen kunne svare på, hvem der havde adgang til hvad
- Nye medarbejdere fik adgang for sent og gamle mistede den for sent
Det klassiske svar ville være et it-projekt.
Langt forløb, konsulenter, kravspecifikationer.
Men her valgte man noget andet.
I stedet for at designe en ny struktur fra bunden, startede man med én ting:
Hvordan burde det fungere i hverdagen?
- Ansatte skulle oprettes automatisk, baseret på data i HR-systemet
- Adgange skulle følge roller og afdelinger, ikke enkeltpersoner
- Ledere skulle kunne se og styre det, de har ansvar for
- Rettigheder skulle kunne dokumenteres for både drift og compliance af NIS2 og ISO27001.
Det blev sat op i løbet af få uger, uden udviklingsprojekt og brug af eksterne konsulenter.