Artur Praun: kas sinu ettevõttes on juba paigas kõikide õiguste haldamise süsteem?

Igas tänapäevases ettevõttes on paratamatu, et töötajatele tuleb jagada juurdepääsuõiguseid erinevatesse teenustesse, alates meilidest ja failidest, lõpetades koodivaramute ja pilvekeskkondadega. Elisa ärikliendiüksuse juht Artur Praun tõdes, et kuigi digilahendused teevad elu mugavamaks, siis on end võimalik kiirelt leida täbarast olukorrast, kui kõigi nende õiguste haldamisele ei läheneta selge plaani ja strateegiaga.

“Kui paari töötajaga ettevõttes on õiguste haldamine vähemalt esialgu lihtne, siis mida suuremaks kasvab ettevõte ja mida rohkem tuleb juurde erinevaid osakondi ja rolle, seda olulisemaks muutub õigustest reaalse ülevaate omamine ja nende jagamiseks ja äravõtmiseks selgete protokollide loomine,” lausus ta. “Vastasel juhul on peagi tulemuseks olukord, kus neli aastat tagasi lahkunud töötaja saab endiselt ligi raamatupidamisandmetele, koodibaasile või ettevõtte üldmeilile.”

Et seda olukorda vältida, on oluline juba ettevõtte kasvueas panna paika põhimõtted, kuidas õigustega ümber käiakse. Prauni sõnul peaks olema selgelt määratletud, kes on õiguste andmise ja ära võtmise eest vastutav ning eriti see, millele üldse inimestele juurdepääs antakse.

Õiguseid ei tasu laia kaarega laiali jagada

Kui noores ettevõttes on tavaline, et uuele inimesele antakse juurdepääs kõigele, siis jõudes juba kümne või enama inimesi muutub see lähenemine haldamatuks ja hakkab kaasa tooma selgeid riske. Seetõttu tasub õiguste jagamisel pigem läheneda põhimõttest, et töötajatel on õigused vaid lähtuvalt tööst ja juurdepääs peaks igaühel olema ainult sinna, kuhu päriselt vaja.

“Hea põhimõte on see, et juurdepääse tekitatakse nii vähe kui võimalik, aga nii palju kui tarvis. See tähendab, et inimesel ei saa jääda töö tegemata seepärast, et tal pole millelegi juurdepääsu, ent niisama igaks-juhuks pole ka kellelegi mõtet võtmeid jagada,” märkis ta. “Mida rohkematel inimestele on juurdepääs, seda suurem on tõenäosus, et midagi, mis ei peaks kunagi jalutama minema, satub näiteks küberrünnaku või lohakusse tõttu valedesse kätesse.”

Niisamuti tasub selgelt ära määratleda see, kellel üldse on õigus õiguseid välja jagada – tuleks leida tasakaal mugavuse ja vastutustundliku lähenemise vahel. Praun tõi näiteks, et iga õiguse jagamise üle ei saa otsustada tegevjuht, samas ei saa ka iga keskastmejuht omada õigust anda uuele töötajale õigust näha ettevõtte kõige tundlikemaid andmeid.

Selle kõrval on tema sõnul oluline ka meeles pidada, et enamik täna ettevõtete poolt kasutavaid teenuseid arveldab kasutajakohtade järgi. See tähendab, et laia kaarega juurdepääsude jagamine võib lisaks küberohtudele kaasa tuua ka olukorra, kus ettevõte peab maksma litsentsitasude eest lihtsalt seepärast, et kellelegi on mõnesse teenusesse juurdepääs antud – isegi, kui ta seda tegelikult igapäevatöös ei vaja.

Kes õigused ära võtab?

Koos õiguste väljajagamise põhimõttega tuleks panna paika ka see, kuidas õigused lõpuks ära korjatakse.

Praun märkis, et kui kellegi antakse võti, mis avab kindla ukse, siis tuleb ka aasta ja mitme pärast teada, kellele need võtmed kunagi antud on. “Peab teadma, kellel kuhu juurdepääs on, mis põhjusel see juurdepääs talle anti ja kes on see inimene, kes peab selle juurdepääsu ära võtma, kui näiteks töösuhe või mingi kindel projekt lõppeb. Selle kõrval peaks paigas olema ka kord, et millise regulaarsusega “reha” tehakse ehk kontrollitakse, et midagi pole unustatud õigel ajal ära võtta,” lisas ta.

Mõistliku ülevaate omamiseks soovitab Praun leida viisi pidada õiguste registrit. Selle jaoks võib kasutada nutikaid tööriistu või lihtlabast Excelit, ent tähtis on see, et kuskil oleks üles märgitud, kes kuhu ligi pääseb ja kelle vastutusalas see teema on. Sinnasamma tabelisse soovitab Praun kirja panna ka näiteks selle, kui mitu kontorivõtit kellelegi antud on või kas inimesele on antud serveriruumi uksekaart.

“Isegi kui tundub, et ettevõttes töötavad väga hea mäluga inimesed ja kindlasti korjatakse kõik õigused õigel hetkel kokku, tasub luua süsteeme. On tuhandeid juhtumeid töötajatest, kes juba ammu firmast ära läinud, ent omavad ikka kellegi tähelepanematuse tõttu juurdepääsu ettevõtte süsteemidele,” ütles ta. “Arvestades aga tänast olukorda küberruumis, on see olukord, mida peab lihtsalt vältima. Riskid on liiga suured ning mõistliku haldussüsteemi loomiseks kuluv ajakulu liialt väike, et targale talitamisele vilistada.”