Juurdepääsude haldamisel on hea järgida vähimate õiguste printsiipi (least privilege principle), kus kasutajale antakse just nii vähe õigusi, kui tal on vaja oma tööülesande täitmiseks. Kuigi nimi võib olla eksitav, rääkides vähimatest õigustest, siis mõte selle taga on anda täpselt vajalikud õigused – ei rohkem ega vähem, kui on vaja tööülesande täitmiseks. Õigusi on võimalik piirata mitmest aspektist:
- aeg – piirata õiguste kehtivust ajas, nt 1.04.2019 – 30.06.2019; kehtiv kuni 2020 vms
- funktsioon – lugemine, kirjutamine, kustutamine; raamatupidamine, turundus vms
- andmed – arhiiv, Balti regioon, ärikliendid vms
- loogika, arhitektuur jms piirangud – testkeskkond eraldatud toodangust; administraatoril õigus häälestada süsteemi toimimist, kuid mitte muuta andmeid andmebaasis vms
Näiteks kui müügiassistent ei koosta müügiaruandeid iga päev, siis peaks olema tema õigused piiratud konkreetselt nendele päevadele, mil ta neid vajab. Näiteks võiks arvutitöökoha administraatoril olla õigus muuta ainult nende seadmete konfiguratsiooni, millega seoses on talle laekunud tööülesanne ja sedagi ainult ajal, mil ta reaalselt sellega tegeleb.
Täiendavat tähelepanu vajavad eelispääsuga (privileged access) kasutajad ja kontod, millel on suur mõju süsteemi toimimisele või kogu organisatsiooni tegevusele ja seetõttu ka kõrgendatud oht tegevustega kaasnevatele kahjulikele tagajärgedele. Mis võiksid olla sellised kasutajad ja kontod, mis tunduvad pahalastele väga ahvatlevad, kui nad otsivad võimalusi kurja teha?
Nendeks võiks IT vaatest olla esmalt administraatorid, peakasutajad (power user) ja ka süsteemides vaikimisi defineeritud kontod, näiteks root, admin vms, mis tihtipeale on ühiskasutuses mitme füüsilise inimese poolt erinevatel ajahetkedel ja puudub võimalus tagantjärele üheselt tuvastada, kes täpselt mida, kus ja miks korda saatis.
Teiseks grupiks ulatusliku mõjuga kontodest on ärilises vaates olulisi otsuseid vastu võtvad isikud, nagu tegevjuht, pearaamatupidaja, ostujuht jms, kelle otsustega kaasnevad lisaks rahalisele aspektile ka organisatsiooni suurimaid riske mõjutavad detailid.
Kolmandaks grupiks võiks olla füüsilist juurdepääsu omavad osapooled – töötajad, koristaja, remondimees jms, ehk kõik inimesed, sest inimene on nõrgim lüli ja temalt on võimalik väga kergesti kätte saada turvalisust puudutavaid detaile füüsilise turbe kohta (mõni turvauks on sageli rikkis või mõne koridori signalisatsioon annab tihti alarmi) või esinedes telefonitsi IT-mehena või turu-uuringu küsitlejana tundmas huvi arvuti kasutuskogemuse vastu.
Kui tööle tuleb uus inimene, siis õiguste määramisel tuleks alustada vähimate õiguste tasemelt ja anda juurde õigusi vastavalt sellele, mida tingivad tema tööülesanded. See sunnib dokumenteerima ja lahti mõtestama olemasolevate ja vajaminevate rollide kasutamist ning teeb tervikuna läbipaistvamaks, kellel on millised õigused.
Kui rollide ja õiguste pilt on selgem, saab juurutada tegevused nende korras hoidmiseks (inventuurid, rollide lahusus, huvide konfliktid ja toksilised kombinatsioonid, elukaare haldus jms) ja lisaks sisemisele veendumusele süsteemi sihipärasest ning korrektsest kasutamisest, on võimalik seda tõendada ka välisele auditeerivale osapoolele.
