Jørgen Andreassen har ansvarat för IT på Elkonor sedan 2008. Han gillar inte stök, och det märks i hur han jobbar. Inaktiva användare får inte ligga och samla damm hos honom. Han rensar bort dem regelbundet, ungefär en gång i månaden.

Drivkraften är säkerhet.

Kostnader och licenser är inte så viktiga. Det handlar mest om säkerheten.

Tankesättet är enkelt. Ett konto som inte längre används är fortfarande en giltig inloggning. Det är en nyckel in i miljön, och lösenordet bryr sig inte om att personen slutade för ett år sedan. Då behöver en angripare inte bryta sig in, det räcker att logga in med ett konto som aldrig stängdes.

Och siffrorna bekräftar att det här händer. Nästan 70 % av alla säkerhetsincidenter börjar med en identitet, som ett stulet lösenord eller ett brute force-försök. Ett inaktivt konto är just en sådan öppning, och det är den Jørgen stänger varje månad.

Innan Bsure hade han inte den överblick han behövde. Med många användare spridda över flera företag i samma miljö blev det snabbt oklart vem som faktiskt var aktiv. Han sticker inte under stol med hur det var:

Vi löste det nog inte.

En fast rutin

När Bsure visar vilka användare och gäster som är inaktiva går det fort. Jørgen hämtar listan, kör den genom egna PowerShell-skript och inaktiverar. Senast hanterades runt 40 användare i en enda körning.

Han väntar inte på svar från ett tiotal företag.

Jag hanterar det hellre om någon hör av sig i efterhand.

Och det gör de sällan. Felmarginalen ligger under en procent.

Besparingar är en trevlig bonus

Den första rensningen tog runt fyra timmar, för då fanns en hel del som hade samlats på hög. Nu är den månatliga genomgången klar på en halvtimme. På vägen frigörs även några licenser vid förnyelse, och med det några kronor. En trevlig bonus ovanpå en tryggare miljö.

Jørgens råd

Jørgens råd är tydliga.

Det första är att avsätta lite tid i början. Du får överblicken serverad, men du måste lära känna den och bestämma vad som faktiskt ska hända med det du hittar.

Det andra är att våga agera. Jørgen väntar inte på att varje företag ska bekräfta att ett konto kan tas bort. Han rensar, och hanterar de få förfrågningar som dyker upp i efterhand. För honom väger säkerheten tyngre: ett konto som får stå kvar för att ingen sagt till är en större risk än ett enstaka telefonsamtal.

Och så är det ordningen. Många börjar med licenserna, för det är där pengarna finns. Jørgen vänder på det:

Börja med användaren, så följer licensen naturligt. Inte tvärtom.

För Jørgen handlar det om att börja på rätt ställe. Tar du tag i identiteterna, tar du tag i säkerheten där den faktiskt börjar.