Straipsniai

Straipsniai

Straipsniai

Kas įmonėje žino PER DAUG? Praktinis vadovo gidas apie prieigų valdymą ir kibernetinę riziką

Dec 15, 2025

Kalbant apie kibernetinį saugumą, dažnai daugiausia dėmesio skiriama išorinėms atakoms, technologijoms ir įrankiams.
Tačiau praktikoje viena dažniausių ir pavojingiausių rizikų kyla organizacijos viduje - dėl perteklinių, neperžiūrėtų arba pamirštų prieigų.

Tai nėra IT problema.
Tai valdymo ir procesų problema.

Ką reiškia „žinoti per daug“?

Įmonėje „žinoti per daug“ reiškia turėti:

  • prieigą prie sistemų, kurios nebereikalingos pagal dabartinę rolę

  • galimybę matyti, keisti ar eksportuoti duomenis be aiškaus verslo pagrindo

  • istorines prieigas, kurios liko aktyvios po pareigų pasikeitimo ar išėjimo

Svarbu suprasti vieną principą:

Rizika atsiranda ne tada, kai padaromas neteisingas veiksmas, o tada, kai egzistuoja galimybė jį padaryti.

Tipiniai scenarijai, kurie realiai sukuria riziką

Praktikoje organizacijose dažniausiai randami šie atvejai:

  • buvęs darbuotojas vis dar turi el. pašto, CRM, SharePoint ar kitų sistemų prieigą

  • IT, marketingo ar kiti išoriniai partneriai turi platesnes teises nei būtina

  • vadovai turi „admin“ prieigas be aiškaus poreikio

  • darbuotojo pareigos pasikeitė, tačiau prieigos liko tos pačios

  • nėra aiškaus atsakingo asmens už prieigų peržiūrą

Tai nėra pavieniai atvejai.
Tai labai dažna situacija, kuri ilgainiui tampa rimta kibernetine rizika.

Kodėl tai tiesiogiai aktualu vadovams

Incidento atveju vertinami ne techniniai sprendimai, o valdymas:

  • kodėl asmuo turėjo šią prieigą

  • kas buvo atsakingas už jos panaikinimą

  • kada paskutinį kartą buvo atlikta prieigų peržiūra

  • ar tai buvo patvirtinta vadovybės lygmeniu

Jeigu į šiuos klausimus nėra aiškių atsakymų - problema peržengia IT ribas ir tampa vadovybės atsakomybės klausimu.

Praktiniai patarimai vadovams

1️⃣ Aiškiai paskirkite prieigų valdymo savininką

Prieigų valdymas turi turėti konkretų savininką - asmenį arba rolę, atsakingą už:

  • prieigų suteikimą

  • prieigų keitimą

  • prieigų panaikinimą

Be aiškaus savininko nėra realios kontrolės.

2️⃣ Prieigos turi būti siejamos su ROLE, ne su asmeniu

Prieigos turi būti priskiriamos pareigoms, o ne konkretiems žmonėms.

Ne „Jonas turi prieigą“, o „finansų analitiko rolė turi prieigą“.
Pasikeitus rolei - prieigos turi būti peržiūrimos ir pakeičiamos.

Tai vienas efektyviausių būdų sumažinti perteklines teises.

3️⃣ Įveskite periodinę prieigų peržiūrą

Minimalus praktinis standartas:

  • visoms sistemoms - 1-2 kartus per metus

  • kritinėms sistemoms ir duomenims - dažniau

Svarbu, kad peržiūra būtų formali ir dokumentuota, o ne „permetėm akimis“.

4️⃣ Darbuotojo išėjimas turi automatiškai inicijuoti prieigų panaikinimą

Darbuotojo išėjimas neturi būti rankinis procesas ar „užduotis IT“.

Tai turi būti aiškus, automatinis veiksmas, susietas su HR procesu.

5️⃣ Vadovų „admin“ teisės turi būti išimtis

Vadovų plačios prieigos dažnai tampa didžiausia rizika:

  • dėl prieinamų duomenų apimties

  • dėl sprendimų greičio

  • dėl atsakomybės lygio

Administratoriaus teisės turi būti suteikiamos tik esant realiam poreikiui, o ne dėl patogumo.

Greitas savitikros testas vadovui

Jeigu šiandien reikėtų atsakyti:

  • kas turi prieigą prie klientų duomenų?

  • kas gali juos eksportuoti?

  • kas vis dar turi istorines prieigas?

Ar galėtumėte tai pasakyti tiksliai, be spėliojimo?

Jeigu ne - tai aiškus signalas, kad prieigų valdymas nėra kontroliuojamas pakankamai.