Men i dagens moderna utvecklingssamhälle där all information i alla företag samlas i dess IT-system är det långt ifrån bara militär hemlig information som dagens "spioner" vill komma åt

Idag är det produkt- och företags-information i alla branscher som är "målet" för industrispionage

Och efter hand som företag blir bättre på att skydda sina miljöer från intrångsförsök utifrån ökar istället riskerna med insiders och andra interna hot

Flera exempel på hur sådana attacker kan gå till skrevs nyligen i en artikel på E24.se "Svenska spionjägare" 2010-07-19

Särskilt intressant i den artikeln är att de "spionerande" konkurrenterna idag upplever det svårt att "hacka" sig in hos den de vill komma åt information hos och skaffar sig istället hellre "en man på insidan"

En viktig målgrupp för detta är personal på IT-avdelningen

Fortfarande har många tekniker och service-personer på IT-avdelningen mycket höga rättigheter till de flesta system och känslig företagsinformation som varken övrig personal eller höga chefer kan komma åt normalt.

Därför är det idag mycket viktigt att ta tag i detta problem med behörigheter hos er egen IT-personal

Dessa behörigheter skall följa två mycket viktiga principer:
- Segregation of Duties, SoD
- Least privileged principle (inte mer rättigheter än vad som behövs för att sköta sitt uppdrag)

Grundprincipen för en bra säkerhet är att normalt skall ytterst få personer ha permanenta priviligierade behörigheter till hela eller delar av produktionsmiljön där känslig information finns.

Naturligtvis skall personer få de behörigheter de behöver, när de behöver dem, men inte ha dem hela tiden

Hur bör man då hantera detta:

- Process och verktyg för att ta beslut om ändringar i produktionsmiljön som bygger på SoD och ser till att ingen enskild person kan ta beslut om ändringar i produktionsmiljön. Detta kan vara olika typer av system för "Change Management" eller "Ärendehantering" som bygger på ITIL-principer

- Process och verktyg för "Privileged Access Management", PAM. som baseras på beslut från Change-processen och som tilldelar IT-personal och utvecklare tillfälliga priviligierade rättigheter till de berörda systemen för att genomföra den beslutade ändringen. Dessa behörigheter stängs sedan när ändringen är genomförd eller efter en förutbestämd tid.

- Process och verktyg för säkerhets-loggning. De beslut som tas om ändringar, de rättigheter som delas ut och de ändringar som genomförs i produktionsmiljön skall alla loggas så att man får en spårbarhet på ändringar i produktionsmiljön och kan se när felaktigheter uppstår i processen och man kan spåra när något har gått fel. Detta är inte enbart för att "hänga någon" utan kanske mest för att en mycket stor del av problem på IT-sidan orsakas av fel som görs oavsiktligt vid uppdateringar och ändringar.
Genom spårbarheten kan man snabbt hitta orsaken till problemet och fixa till den och därigenom kraftigt minska påverkan på drift av systemen och verksamheten

Ett typiskt exempel på en tekniker med för höga rättigheter gör att han kan kopiera eller ändra data i en databas eller byta ut ett program/installera ett malware-program och sedan radera information om att detta gjorts i loggfiler eftersom hans "admin-rättigheter" inte är begränsade i omfattning eller tid.

Det grundläggande problemet har varit att applikationerna i molnet ofta har krävt sin egen autentisering och hantering av användaridentiteter, eller möjligen olika komplexa "trust-lösningar".  Detta medför att man är tvungen att provisionera och de-provisionera användare både internt och externt. Det blir ytterligare ett ställe att komma ihåg att ta bort en användare när denne slutar. Det är ju extra känsligt också eftersom tjänsten finns tillgänglig på Internet och inte innanför brandväggen. En annan aspekt är att man flyttar ut känslig information (användaridentiteter och deras lösenord) till en extern part som man inte har samma kontroll på.

Cloud Security Alliance (CSA)  http://www.cloudsecurityalliance.org/ är en organisation som har som mål att promota användandet av "best practices" för att uppnå hör säkerhet vid användandet av tjänster i molnet. CSA har tagit fram CSA guide http://www.cloudsecurityalliance.org/guidance/csaguide.pdf  som beskriver 15 säkerhetsområden man bör ta i beaktande innan man beslutar sig för att använda moln-tjänster. Område 13 handlar om Identitetshantering.

CSA tycker att det bästa sättet att hantera identiteter för tjänster in molnet är en federationslösning. En beskrivning över hur en federationslösning fungerar finns på http://en.wikipedia.org/wiki/Federated_identity.

Ett exempel på en lyckad användning är det starter-kit för att använda SUN's OpenSSO som verktyg för att skapa en federationslösning till Sales Force.  En artikel som beskriver detta finns på
https://www.sun.com/offers/details/open_source_starter_kit.xml (kräver inloggning). Artikeln diskuterar problemen med behörighetshantering i ett  SaaS scenario och en steg för steg beskrivning hur man kan sätta upp en federationslösning mot SaleForce med hjälp av Open SSO.

Läs mer om detta på http://blogs.kuppingercole.com/kuppinger/

En länksamling i ämnet GRC finns på http://www.thegrcdirectory.com/

Mer info om GRC kan läsas på Wikipedia