Access – Säker och smidig åtkomst till information

Vi har alla behov av att komma in i system för att dela eller ta del av information som någon annan fogar över. I dessa behov finns flera utmaningar. Dels att göra informationen tillgänglig över huvud taget men framför allt att göra den tillgänglig enbart för de som är berättigade att ta del av den.

Har ni ett tillräckligt skydd?

Information tillgängliggörs oftast via system eller tjänster och leverantörer har ofta bra och ändamålsenliga funktioner för att presentera och behandla informationen. Men med olika typer av information varierar också behovet av skydd. Ibland har system och tjänster inbyggt skydd som är tillräckligt, ibland är det otillräckligt.

Skydd och säkerhet för olika typer av information

Beroende på vad för slags information det handlar om varierar behovet av skydd. I en del fall kan informationen vara publik och vem som helst skall få ta del av den. Saknar informationen då behov av skydd? Självklart inte. Vi vill att alla skall kunna läsa vårt företags hemsida, men absolut inte förändra den. Annan information kan vara mycket känslig och får enbart göras tillgänglig berättigad personal.

Val av system och tjänster för säker delning av information

Det finns system och tjänster som har inbyggt stöd för att säkerställa att endast rätt personer kan ta del av informationen. Ofta har dessa tjänster enbart stöd för någon specifik metod och merkostnader uppstår för inköp av t.ex Mobilt BankID, SITHS-kort eller liknande. Ibland saknar tjänsten tillräckligt stark inloggning för att den skall vara laglig att använda för känslig information.

Federation: effektiv säkerhetsmodell för delning av information

Mer vanligt är att systemet eller tjänsten förlitar sig på att kontrollen av användaren sker på annat sätt, oftast i informationsägarens (kundens) regi. I praktiken innebär detta oftast att tjänsteleverantören förlitar sig på kundens inloggningstjänst, så kallad federation. Det finns flera fördelar med detta. Kunden kan använda samma inloggningsmetoder till flera system. Kunden kan sätta upp åtkomst till flera system via samma inloggning så kallad Single-Sign-On (SSO). Hantering av konton och inloggningsmetoder ligger hos kunden i stället för hos leverantören.

Informationssäkerhetsklassning

Vad behövs?

De lagar som berör er verksamhet och informationen i fråga

Specifika branschregler om sådana finns

Krav som era kunder ställer på er

Era egna principer kring informationen

Informationen berörs ofta av lagkrav som GDPR och NIS/NIS2 samt andra lagar som är mer branschspecifika. Även om specifika lagkrav skulle saknas finns i många fall ändå, affärsmässiga eller andra, behov av att skydda sin information.
ID North

Varför 'One Size Fits All' inte fungerar

Det är viktigt att anpassa tillitsnivån efter specifika behov. Beroende på användning och formella krav måste tillitsnivån variera. Informationssäkerhetsklassificering bör också beaktas, och interna krav bör fastställas för att uppfylla behoven. Sammanfattningsvis handlar det om att balansera säkerhet, användarupplevelse och tillgängliga resurser för att verifiera användaridentitet med tillräcklig säkerhet.

Digitaliseringsmyndigheten har definierat

Tre nivåer av tillit:

Viss tillit, tex EduID från Sunet

Hög tillit, tex BankID och Freja

Mycket hög tillit, tex EFOS och Svenska Pass

Mer info finns på "Tillitsnivåer för e-legitimering | Digg"

Finns det inga specifika lag- eller branschkrav på tillitsnivå kan ni själva avgöra vilken typ av autentisering som skall användas. Allt från lösenord till flerfaktorslösningar som tjänstekort, appar på mobil, olika hårda nycklar tex YubiKey, osv.
ID North

Val av identitetsintygsutfärdare och dess krav

Ni behöver en IdP (identitetsintygsutfärdare), som kan köpas som tjänst eller sättas upp internt. Den måste stödja de nödvändiga inloggningsmetoderna och kan behöva delta i federationer som Skolfederation, SAMBI, och andra. Dess tekniska stöd behöver omfatta SAML, OpenID Connect, VPN, och proxning för att hantera olika system och behov.

Inloggningstjänst/intygsutfärdare (IdP)

Hur gör man då?

1. Klassa informationen

2. Köp IdP utifrån behov

3. Konfigurera IdP att hantera inloggningar per informationsmängd i linje med klassningen

Vi har omfattande erfarenhet från både offentlig och privat verksamhet. Ett av de områden vi verkar inom är säkerställande av att information kan nås men bara av de som skall nå den.
ID North
Kontakta oss

Vi hjälper till i alla steg från planering till installation, konfiguration, drift och support av inloggningstjänst.

Våra kontor

Stockholm
Vasagatan 23
111 20 Stockholm

Helsinki
Ilmalantori 4,
00240 Helsinki, Finland

Borås
Nils Jakobsonsgatan 5D
504 30 Borås

Gothenburg
Kobbegårdsvägen 7
436 34 Askim

Postadress

ID North AB
Vasagatan 23
111 20 Stockholm

E-post

Säg 👋🏼
info@id-north.com

Ring oss

Sweden
+468-54520044

Finland
+358 50 517 5778



Social media