Kurumlarda genellikle bazı tartışmalara yol açan güvenlik politikalarının önemli bir alanı da erişim kontrolüdür. Kullanıcıların ağdaki herhangi bir veri veya kaynağa sınırsız erişim arzusu ile güvenlik yöneticisinin bu veri ve kaynakları koruma tedbirleri arasında birçok tartışma görülür.
Kullanıcıların bu kaynaklara erişimini engellemek ve her kaynağı tamamen kilitleyebilmek mümkün değildir. Tam aksine, gerekli olan yetkilerin verilmesi ve minimum ihtiyaçlara erişmesine izin verilmelidir.
Aslında siber güvenlikte amacınız verilerin doğru, gizli ve yalnızca yetkili kişiler / çalışanlar tarafların kullanımına açık olmasını sağlamaktır.
İşte bu noktada en az ayrıcalık kavramı devreye girmektedir. Fikir çok basit ve uygulanabilirdir. BT personeli de dahil olmak üzere her kullanıcı, işini etkili bir şekilde yapmak için gereken en az erişimi almalıdır. “Bu kişiye neden X’e erişim izni vermiyorsunuz?” Sorusunu sormak yerine. “Bu kişiye neden X erişimi vermeli?” sorusunu sormalısınız. Çok iyi bir nedeniniz yoksa, erişimi vermemek en doğru adımdır. Bu bilgisayar güvenliğinin temellerinden biridir. Herhangi bir kaynağa ne kadar çok kişi erişirse, bazı güvenlik ihlallerinin meydana gelme olasılığı o kadar yüksektir.
Yaygın bir örnek, satış iletişim bilgilerini içerir. Normal şartlar altında, bir şirketin pazarlama departmanının bu verilere erişmesi gerekir. Ancak, rakipler şirketinizin tüm iletişim bilgilerini ele geçirirse ne olabilir? Bu bilgiler, mevcut müşteri listenizi hedeflemeye başlamasına izin vermek ve müşteri kaybetmek manasına gelir. Bu noktada güvenlik ve erişim arasında bir denge kurmak gerekir. Bu durumda, satış elemanlarına yalnızca kendi bölgelerindeki / yetkilerindeki / potansiyelindeki kişilere erişme izni vererek adım atılır. Satış yöneticisi dışında hiç bir kişinin tüm müşteri potansiyeline erişimi olmamalıdır. Satış yöneticisi gerekli gördüğü kişilere ilgili müşterilerin bilgilerini sunar veya yetki verebilir. Satış ekibinden bir kişinin veri ihlali / veri ifşası / hacklenmesi gibi durumlarında minimum zararla siber olay atlatılmış olacaktır.