IT odjeli ili vanjski partneri koji održavaju sustave u tvrtkama često se nalaze u nezahvalnim pozicijama – zahtjevima menadžmenta za potpunim pristupom svim sustavima i podatcima poslovnih sustava. No je li potrebno da vlasnik ili menadžment tvrtke imaju potpuni pristup? Bez razmišljanja, odgovor je NE! Težnja svakog IT odjela je da se jasno definiraju pravila arhitekture, ali i pristupa informacijama. Isto mišljenje dijele i vlasnik i menadžment, ali najčešće su oni ti koji traže izuzetke i potpuni pristup. Sigurnosno gledano ovo je jedan od najznačajnijih sigurnosnih propusta. Općenito, najbolja praksa je slijediti načelo najmanje privilegija. Ukratko, svaki korisnik mora imati točnu količinu dopuštenja koja mu je potrebna. To se odnosi na apsolutno sve: administraciju, menadžere, zaposlenike, službe za pomoć, rukovoditelje. Bez izuzetaka!
Rizici
Svaki zaposlenik koji zatraži potpuna prava pristupa od IT-a i dobije ih, nameće ozbiljne rizike svojoj organizaciji. Kako neki kažu – uz veliku moć dolazi i velika odgovornost.
Meta za napade
Korisnički računi menadžmenta često su na meti napada. Takvi se računi češće napadaju nego, recimo, administrativni korisnici. Jedan razlog leži u činjenici da su prikupljeni podaci menadžmenta tvrtke skuplji na tržištu. Drugi razlog leži u činjenici da će se s korisničkog računa menadžmenta lakše doći do osjetljivih i potpunih podataka.
Kompetencije
Znate li kako stvarno funkcionira vaš poslovni sustav? Znate li doista koja točno dopuštenja dobivate dajući sebi puni pristup? Jeste li sigurni da ste nepogrešivi!? Samo budite iskreni prema sebi. Nema ništa loše ili sramotno u tome da niste u potpunosti kompetentni za sve IT sustave koje koristite. Vi imate svoj posao, administratori imaju svoj. Ali priznanje da ne biste trebali imati privilegije kojima ne znate vladati, ozbiljan je korak koji morate napraviti.
Privatnost
Također, imajte na umu da možda postoje pravni razlozi zašto ne biste trebali dobiti administratorska prava. To će uvelike ovisiti o vašoj zemlji i industriji u kojoj radite, ali općenito mogu postojati ozbiljni rizici. Činjenica je da ako samo dobijete potpuni administratorski pristup svom sustavu, automatski dobivate pristup osobnim podacima svojih zaposlenika. Vaš IT odjel najvjerojatnije nema diplomu prava, pa neće moći reći je li nezakonito dati pristup nekim osobnim podacima korisnika pohranjenih u vašem sustavu.
Rješenje ipak postoji
Ako nakon razmatranja svih rizika i dalje trebate administratorska dopuštenja, postoji način da to učinite. Samo stvorite zaseban račun sa svim relevantnim dopuštenjima i koristite ga samo kada je to potrebno. Nikada nemojte dodjeljivati administratorske povlastice računu koji koristite svaki dan. Također, trebali biste koristiti zasebnu složeniju lozinku i na nju primijeniti sva stroga pravila.
