NSIS: Skulle det nu være en god nyhed?
Hvad er NSIS?
NSIS er en forkortelse for National Standard for Identiteters Sikringsniveauer; en meget omfattende omlægning af it-sikkerheden, som alle offentlige organisationer og private virksomheder kan implementere for at tilgå fællesoffentlige it-løsninger.
En nøglefaktor i NSIS er identitetssikring, nærmere bestemt validering af medarbejderes digitale identiteter, når de skal have adgang til fortrolige data. Intuitivt logisk – det er åbenlyst ikke nogen god idé at give folk, man ikke ved, hvem er, adgang til fortrolige og potentielt personfølsomme data. Alligevel er der skræmmende mange eksempler på, at det er præcis, hvad der sker. I praksis. Både i offentlige institutioner og private virksomheder. For der kan være langt imellem selv det mest indlysende og så den praktiske håndtering.
Baggrunden er fordelen
Netop praksis er her værd at dvæle ved. For når det kommer til den praktiske omsætning af alle de gode hensigter, ved vi nu af smertelig erfaring, at hvis man ikke sørger for, at det høje ambitionsniveau bliver kombineret med, hvad englænderne kalder convenience, så ender det med at mislykkes. Vi ved godt, at password + mail som adgangsgivende identifikation er forbundet med stor risiko for sikkerhedsbrist. Alligevel er det stadig en udbredt praksis. Vi ved også, at hvis vi alligevel benytter denne praksis, så skal vi i det mindste have flere forskellige passwords og skifte dem ofte. Hvem kan ærligt sige, at de gør det?
Det kan måske virke banalt at fremhæve dette. Burde vi ikke anlægge et højere abstraktionsniveau? Jo, men når hovedparten af de sikkerhedsbrist, vi har oplevet i både det private og offentlige, med alvorlige konsekvenser for både borgere og virksomheder, kan spores tilbage til denne praksis, så bliver vi nødt til at fremhæve det igen.
Det bringer os frem til den første gode nyhed. For NSIS kan faktisk levere løsningen på dette problem, og på den måde – som man bør – tage fat i en af de grundlæggende udfordringer – problemets rod – nemlig at vi aldrig kommer i mål med vores ambitioner for cybersecurity, hvis ikke vi håndterer udfordringerne med valid digital identifikation.
Når NSIS kan komme til at levere løsningen, skyldes det baggrunden for NSIS.
Behovet for at implementere en ny sikkerhedsstandard er drevet af overgangen fra det gamle NemID til Erhverv (NemID Medarbejdersignatur) til det nye Nemlog-In3-system. Og nu bliver det spændende, for Nemlog-In3 er faktisk flere systemer. Dels systemer, som er opgraderet fra det tidligere NemID-system, dels rettighedssystemet fra virk.dk, dels single sign-on løsningen fra Nemlog-In2 samt en række helt nye integrationskomponenter til sammenkædning af lokal bruger- og rettighedsstyring. Med andre ord er der en større samling systemer under fællesbetegnelsen ”Nemlog-In3”.
Konsekvensen af dette er, at en række tidligere manuelle opgaver automatiseres, og man dermed kan bruge de menneskelige ressourcer mere effektivt.
Oveni kommer, at it-sikkerheden generelt også bliver bedre!
For de organisationer, som varetager mange CVR-numre, er der også flere gode nyheder, idet man nu kan tildeles adgang til mange CVR-numre, men fortsætte med kun at anvende samme identifikationsmiddel.
At benytte NemLog-In3 betyder med andre ord, at livet for mange organisationer bliver væsentligt nemmere end i dag.
3 gode nyheder mere og de 3 faser til implementering
Men det har altså en pris, og prisen er overholdelse af NSIS, der er forudsætning for at kunne benytte NemLog-In3.
Her er der imidlertid også gode nyheder: For det første behøver det ikke være så indviklet. For det andet vil mange opdage, at de allerede lever op til mange af kravene, hvis de fx allerede har implementeret ISO27001. Og for det tredje kan det være en anledning til at gøre op med nedarvede dårligdomme som silotænkning.
Hvis vi begynder med det første: Det behøver ikke være så indviklet.
At implementere NSIS kan faktisk gennemføres via 3 faser, der – hvis de gribes systematisk an med en struktureret og overskuelig drejebog – hverken behøver at lægge beslag på store ressourcer eller belaste organisationen unødigt. De tre faser forløber igennem:
- Den tekniske fase: De grundlæggende tekniske processer og brugerudrulning
- Compliance-fasen
- Den endelige indhentning af revisionserklæring
Opgør med silotænkning
Hver fase kan som sagt håndteres systematisk efter en overskuelig drejebog. Som noget helt essentielt skal man dog igennem hele processen være opmærksom på ikke at have en silo-tænkegang, eller – som det blev realitet hos mange i forbindelse med GDPR, at man betragter det som et isoleret projekt: Etableringen af NSIS-compliance bør således ikke alene fokuserer på NSIS, men betragtes som en proces, der har hovedformålet at indarbejde NSIS-compliance i de eksisterende compliance-rammer.
Ideelt set burde sikkerhed og compliance altid tænkes på tværs og i alle dele af organisationen. Det ved vi, ikke altid er tilfældet, men dette kunne være en oplagt lejlighed til at gøre op det og dermed opnå både robuste og langtidsholdbare løsninger.
I dette indlæg har vi gennemgået baggrunden, fordelene og mulighederne i forbindelse med implementeringen af NSIS. Vi har også i punktform gennemgået de tre faser, der kan få organisationen sikkert igennem processen. For en mere detaljeret gennemgang og ikke mindst en systematisk trin-for-trin guide til udrulningen har vi udarbejdet et whitepaper, der samler det hele.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
