Gå til hovedindhold

Ny model for styring af PC'er

Styrkelse af Aarhus Kommunes it-sikkerhed og smidiggørelse af brugerrejsen på vej mod et sikkert login.

  • Læs op

Indhold

    Fremadrettet skal størstedelen af de computere, som er i brug i Aarhus Kommune, være personlige. Det vil sige, at en computer er bundet til en specifik medarbejder, som er den eneste, der kan logge ind.

    Aarhus Kommunes Azure IdP gør det muligt at tildele rettigheder, som handler om brugeren og ikke om systemet. Rettighederne kommer altså til at ”bo på” personen og ikke på computeren.

    Projektet er omfattende og komplekst, da det betyder nye arbejdsprocesser, ny brugeradfærd og ny infrastruktur i organisationen.

    Vi opnår en række fordele ved den nye tilgang til brugerrettigheder:

    Bedre sikkerhed

    Personlige computere højner sikkerheden, fordi det kun er dig, der kan logge ind på din computer. Det betyder bedre beskyttelse af organisationens – og dermed borgernes – data. Derudover kan den personlige computer benyttes som en del af et to-faktor login - noget vi i en mere sikker infrastruktur vil møde meget mere af.

    Vores IdP er godkendt af digitaliseringsstyrelsen på niveau ”betydelig”, og den giver os mulighed for at implementere en zerotrust-tankegang i administrationen af brugerrettigheder.

    Læse mere om Azure IdP her

    Cloudbaseret løsning

    Vi skaber en visionær og fremtidssikret løsning, som bygger på vores Azure IdP, hvor vi flytter flere og flere løsninger til skyen og bliver mere uafhængige af eksterne leverandører.

    Fremfor at bygge ovenpå gamle (on prem) løsninger bygger vi helt nyt i skyen, fordi vi ser muligheden for at skabe en bedre sammenhæng og udnytte fordelene ved at integrere løsningerne i samme miljø.

    Vi har valgt at anvende Microsoft, fordi det er noget af det mest sikre og med bedst tilgængelighed. Det er vigtigt med stabilitet for driftssikkerheden, og vi opnår en tilgængelighed med en oppetid på 99,999%.

    En tryg computer - og hjælp til selvhjælp

    Den personlige standardcomputer er en computer, hvor brugeren ikke kan gøre noget galt. Du kan ikke installere software, som ikke på forhånd er er godkendt og indeholdt i dine rettigheder.

    Det bliver en arbejdscomputer, hvor kun arbejdsrelateret og godkendt software kan installeres. Dette er i forvejen anbefalingen, men nu bliver det også den eneste mulighed. Noget software kommer automatisk med computeren (fx Office), men andet skal brugeren selv anmode om adgang til vha. et kommende systemregister og acces on demand.

    Al godkendt software katalogiseres og gøres tilgængeligt ét sted (Firmaportalen), hvor det kan findes og downloades. Software bliver målrettet brugerens behov, og vi arbejder med mere Access On Demand.

    I denne løsning befinder software sig på brugerens profil i stedet for på en computer, på den måde kan man også skifte eller reboote sin computer uden at skulle starte helt forfra. Computeren vil også kunne anvendes på tværs af organisationen  - i modsætning til i dag, hvor den bliver tilpasset den enkelte magistratsafdeling. Brugeren bliver altså omdrejningspunktet fremfor computeren.

    Færre ressourcer

    Vi gør en stor indsats for at opretholde it-sikkerheden på kommunes enheder ved at rense for potentielt skadeligt software (malware) - og ved at undersøge hvilke data, der evt. kan være kompromitteret. Den opgave bliver fremover reduceret, fordi skadeligt software ikke kan installeres.

    I dag bruger vi også administrative ressourcer på at servicere mange forskellige programmer, som downloades og anvendes af brugerne. Fremadrettet er software-udbuddet udvalgt og begrænset, og det giver en mere specialiseret support.

    Den usynlig brugerrejse

    Den personlige computer betyder nemmere login, fordi computeren kan anvendes som den ”indehaverbaserede enhed”. Dermed undgår vi at påtvinge en bruger et to-faktor-login (op til flere gange dagligt) i forhold til systemer, som ellers vil afkræve dette.

    Vi anvender compliance på en ny måde, uden at brugeren mærker til, at sikkerheden er forhøjet. Azure IdP slår op i 24 tabeller i købet af 1-2 sekunder for at sikre, at du kun får adgang til det, du har ret til.

    Når som helst og hvor som helst

    Vi skaber nye netværk – du behøver ikke at sidde på Aarhus Kommune netværk, fordi din computer bliver indrullet i Azure-netværk og dermed kun kræver en internetadgang. VPN-klienten udfases på nye personlige computere.

    Ambitionen er, at alle skal kunne arbejde hvor som helst, når som helst, fra et hvilket som helst device.