Bygga säkra it-system på riktigt! Del 1: Kontroll

För att uppnå hög it-säkerhet, hög informationssäkerhet eller just den nivå av säkerhet som din organisation anser sig behöva, krävs kontroll. Genom att man skaffar sig kontroll kan man styra sina nivåer av skydd och säkerhetsfunktioner, och göra det med vissheten om att man ligger på ”rätt” nivå.

Ju bättre kontroll ned på granulär nivå man har, desto mer ökar förmågan att anpassa sina it-stöd till kravställd nivå av säkerhet. Som mycket annat, kostar kontroll också resurser i form av människor, tid eller minskad mängd funktioner.

It administrerat av en egen it-avdelning eller outsourcat till någon annan, servrarna i egna lokaler eller via molnet, det spelar ingen roll. Varje organisation i dagens digitaliserade samhälle har en mer eller mindre välformulerad kravbild avseende vilken säkerhet och trygghet deras it-stöd ska erbjuda. Men för att kunna säkerställa vilken nivå man har, eller kanske oftast inte har, krävs kontroll.

De vanligaste metoderna för att öka kontrollen och därmed förmågan att styra, är loggning av säkerhetshändelser och monitorering av telemetri och nätverk. Men att titta på loggar i efterhand och övervaka telemetri i realtid är bara en del av lösningen. Utöver dessa funktioner måste man som it-säkerhetsansvarig säkerställa följande för att kunna påstå att man har kontroll:

• System och systemdokumentation behöver vara synkade och stämma överens över tid
• Kontroll på utvecklingsmiljön som systemet utvecklas/integreras i
• Kontroll över vilka applikationer och funktioner som används, och vart kommer de ifrån
• Kontroll över vilka personer är inblandade i konstruktion av systemet
• Kontroll över tillträdesskydd till lokaler
• Process för kravställning, arkitektur och design i kombination med metodik för ”Peer review” under framtagning av systemet, loggning av alla åtgärder och konfigurationer för att uppnå spårbarhet
• Hotbildsanalys och en systematik i att hantera och bygga bort hot och risker, ta fram restrisklistor som beslutsunderlag för beslutsfattare.
• Korrekt uppsatta och kontrollerade säkerhetsfunktioner
• Dokumenterade och verifierade katastrofrutiner
• Metodik för att Förvaltning och vidmakthållande ska bevara och öka säkerhet och trygghet över tid
• En drift som kan bedrivas utan eskalerade behörigheter som root eller admin. Många driftavbrott sker i samband med åtgärder utförda av it-personal med root-behörigheter.
• Aktiv omvärldsbevakning för att upptäcka kända sårbarheter och tillgängliga säkerhetsuppdateringar i kombination med korta ledtider för att installera dessa i driftsatta system
• Testa, säkerhetsgranska och kvalitetssäkra ALLA uppdateringar, uppgraderingar och all funktionstillväxt innan det lyfts över i produktionsmiljöer
• Utbildningsnivå och säkerhetsmedvetande bland användare och driftpersonal

Listan kan göras längre, men poängen är att kontroll är nödvändig för att kunna förutsäga och styra graden av säkerhet. För att uppnå kontroll behöver verksamheten hitta nya metoder och arbetssätt som säkerställer spårbarhet, trygghet och får bort beroenden till enskilda individer. Man måste även kunna skydda sig från de man litar på mest på.

Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?

För att möta upp frågor och diskussioner på temat, och bjuda på egna viktiga erfarenheter från området, har vi tagit fram en seminarieserie om säkerhetsskydd i digitala system.

Läs mer om seminariet och anmäl dig här.