Information tillgängliggörs oftast via system eller tjänster och leverantörer har ofta bra och ändamålsenliga funktioner för att presentera och behandla informationen. Men med olika typer av information varierar också behovet av skydd. Ibland har system och tjänster inbyggt skydd som är tillräckligt, ibland är det otillräckligt.
Beroende på vad för slags information det handlar om varierar behovet av skydd. I en del fall kan informationen vara publik och vem som helst skall få ta del av den. Saknar informationen då behov av skydd? Självklart inte. Vi vill att alla skall kunna läsa vårt företags hemsida, men absolut inte förändra den. Annan information kan vara mycket känslig och får enbart göras tillgänglig berättigad personal.
Det finns system och tjänster som har inbyggt stöd för att säkerställa att endast rätt personer kan ta del av informationen. Ofta har dessa tjänster enbart stöd för någon specifik metod och merkostnader uppstår för inköp av t.ex Mobilt BankID, SITHS-kort eller liknande. Ibland saknar tjänsten tillräckligt stark inloggning för att den skall vara laglig att använda för känslig information.
Mer vanligt är att systemet eller tjänsten förlitar sig på att kontrollen av användaren sker på annat sätt, oftast i informationsägarens (kundens) regi. I praktiken innebär detta oftast att tjänsteleverantören förlitar sig på kundens inloggningstjänst, så kallad federation. Det finns flera fördelar med detta. Kunden kan använda samma inloggningsmetoder till flera system. Kunden kan sätta upp åtkomst till flera system via samma inloggning så kallad Single-Sign-On (SSO). Hantering av konton och inloggningsmetoder ligger hos kunden i stället för hos leverantören.
Det är viktigt att anpassa tillitsnivån efter specifika behov. Beroende på användning och formella krav måste tillitsnivån variera. Informationssäkerhetsklassificering bör också beaktas, och interna krav bör fastställas för att uppfylla behoven. Sammanfattningsvis handlar det om att balansera säkerhet, användarupplevelse och tillgängliga resurser för att verifiera användaridentitet med tillräcklig säkerhet.
Ni behöver en IdP (identitetsintygsutfärdare), som kan köpas som tjänst eller sättas upp internt. Den måste stödja de nödvändiga inloggningsmetoderna och kan behöva delta i federationer som Skolfederation, SAMBI, och andra. Dess tekniska stöd behöver omfatta SAML, OpenID Connect, VPN, och proxning för att hantera olika system och behov.
Stockholm
Vasagatan 23
111 20 Stockholm
Helsinki
Ilmalantori 4,
00240 Helsinki, Finland
Borås
Nils Jakobsonsgatan 5D
504 30 Borås
Gothenburg
Kobbegårdsvägen 7
436 34 Askim
ID North AB
Vasagatan 23
111 20 Stockholm