Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.

Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.

Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.

Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.

Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:

• järjestelmä pakottaa käyttämään jatkossa yksilöllisiä salasanoja
• järjestelmä varoittaa käyttäjää vaihtamaan vanhat toistuvat salasanat
• järjestelmä pakottaa valitsemaan tarpeeksi monimutkaisia, laadukkaita salasanoja
• järjestelmä pakottaa käyttäjän vaihtamaan tilapäisen salasanan ensimmäisellä kirjautumiskerralla
• järjestelmä pakottaa vaihtamaan mahdollisesti tietovuodossa vaarantuneen salasanan
• järjestelmä estää samojen salasanojen uudelleen käyttämisen
• järjestelmä säilyttää salasanatiedostot erillään muista tiedoista ja vahvasti salattuina

Organisaatio on laatinut kattavan luettelon kaikista todentamis- ja valtuutusjärjestelmistä, mukaan lukien paikan päällä ja etätoimittajien kanssa toimivat järjestelmät, ja se käyttää automaattisia työkaluja ja säännöllisiä tarkistuksia varmistaakseen näiden järjestelmien tarkan ja ajantasaisen seurannan ja hallinnan.

Salasanojen hallintajärjestelmä varmistaa, että jokaisella tilillä on yksilöllinen salasana. Monivaiheistatunnistautumista (MFA) käyttäville tileille on käytäntö asettaa salasanan vähimmäispituudeksi 8 merkkiä. Tilien, joita ei ole suojattu MFA:lla, on sitä vastoin käytettävä monimutkaisia salasanoja, joiden vähimmäispituus on 14 merkkiä turvallisuuden parantamiseksi. Nämä ohjeet ovat osa laajempaa strategiaa, jolla pyritään säilyttämään salasanojen ainutlaatuisuus ja monimutkaisuus ja joka on räätälöity sen mukaan, onko käytössä MFA vai ei.

Organisaatio ottaa käyttöön useita keskeisiä käytäntöjä luodakseen ja ylläpitääkseen yrityksen tililuetteloa. Tähän kuuluu käyttöoikeuksien keskitetyn rekisterin ylläpitäminen, joka kattaa käyttäjä-, järjestelmänvalvoja- ja palvelutilit kattavan inventaarion varmistamiseksi. Inventaario on yksityiskohtainen, ja siinä on tietoja, kuten henkilön nimi, käyttäjänimi, aloitus- ja lopetuspäivämäärät sekä osasto, jotka on mukautettu tietokokonaisuuksien dokumentointikäytännöistä.

Organisaation järjestelmien käyttöoikeudet myönnetään ja hallitaan pienimmän oikeuden periaatteen mukaan. Käyttäjälle ei myönnetä enempää käyttöoikeuksia, kun on tarpeen.

Käyttöoikeuksia tarkistetaan ja myös tarpeen tullaan vähennetään, jos käyttäjällä on oikeuksia joita hän tarvitsi tehtävien suorittamiseen, mutta hän ei tarvitse niitä enään.

Monivaiheinen tunnistautuminen (multi-factor authentication, MFA) auttaa suojaamaan laitteita ja tietoja. Sen soveltamiseksi käyttäjistä on oltava identiteetinhallintajärjestelmässä muutakin tietoa kuin vain sähköpostiosoite - esimerkiksi puhelinnumero tai liitetty Authenticator-sovellus (esim. Microsoft, Google tai LastPass Authenticator).

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän