Bygga säkra IT-system på riktigt! Del 1: Kontroll

För att uppnå hög IT-säkerhet, hög informationssäkerhet eller just den nivå av säkerhet som just din organisation anser sig behöva, krävs kontroll. Genom att man som IT-, säkerhets- eller annan verksamhetschef skaffar sig kontroll kan man styra vilka nivåer det ska vara på skydd och säkerhetsfunktioner, och göra det med trygghet.

Ju mer kontroll, desto mer granulär förmåga till att anpassa sina IT-stöd till den kravställda nivån av säkerhet. Dock som med det mesta, kostar kontroll också resurser i form av människor, tid eller minskad mängd funktioner.

IT administrerat av en egen IT-avdelning eller outsourcat till annan, datorerna i egna lokaler eller via molnet, det spelar ingen roll. Varje organisation i dagens digitaliserade samhälle har en mer eller mindre välformulerad kravbild avseende vilken säkerhet och trygghet ett IT-stöd ska erbjuda. För att kunna mäta vilken nivå man har, eller kanske oftast INTE har, krävs kontroll.

De mest omtalade metoderna för att öka kontrollen och därmed förmågan att styra, är loggning av säkerhetshändelser och monitorering av telemetri och nätverk. Ett Security Operation Center, SOC, är en viktig funktion som blir allt mer efterfrågad. Men att titta på loggar i efterhand och övervaka telemetri i realtid är bara en del av lösningen. Utöver dessa funktioner måste man som IT-säkerhetsansvarig säkerställa bl.a. följande för att kunna påstå att man har kontroll:

• System och systemdokumentation behöver vara synkade och stämma överens över tid
• Hur ser miljön ut som systemet utvecklas/integreras i?
• Vilka applikationer och funktioner används, och vart kommer de ifrån?
• Vilka personer är inblandade i konstruktion av systemet?
• Tillträdesskydd till lokaler?
• Process för kravställning, arkitektur och design i kombination med metodik för Peer review under framtagning av systemet, loggning av alla åtgärder och konfigurationer för att uppnå spårbarhet
• Hotbildsanalys och en systematik i att hantera och bygga bort hot och risker, ta fram en restrisklista som beslutsunderlag för beslutsfattare.
• Korrekt uppsatta och kontrollerade säkerhetsfunktioner
• Dokumenterade och verifierade katastrofrutiner
• Metodik för Förvaltning och vidmakthållande ska bevara och öka säkerhet och trygghet, inte obönhörligt tappa och försämra säkerheten över tid vilket ofta är fallet.
• Driften måste kunna bedrivas utan eskalerade behörigheter som root eller admin. De flesta driftavbrott sker i samband med åtgärder utförda av IT-personal med root-behörigheter.
• Aktiv omvärldsbevakning för att upptäcka kända sårbarheter och tillgängliga säkerhetsuppdateringar i kombination med korta ledtider för att installera dessa i driftsatta system
• Testa, säkerhetsgranska och kvalitetssäkra ALLA uppdateringar, uppgraderingar och all funktionstillväxt i ett annat system är det som körs i produktion.
• Utbildningsnivå och säkerhetsmedvetande bland användare och driftpersonal

Listan kan nog fortsätta ett tag till, men poängen är att kontroll är nödvändig för att kunna förutsäga och styra graden av säkerhet. För att uppnå kontroll behöver IT-avdelningar och dess kravställare, verksamheten, hitta nya metoder och arbetssätt som säkerställer spårbarhet, trygghet och får bort beroenden till enskilda individer. Man måste kunna kontrollera de man litar på mest.

Basalt har utvecklat en metod benämnd BEANS som adresserar frågan runt kontroll. Med ordning och reda under utveckling och införande når IT-lösningar byggda enligt BEANS-konceptet väldigt långt avseende trygghet och förutsägbarhet. Basalt har idag levererat och implementerat ett flertal system åt kunder som har en hög OCH kontrollerbar nivå av IT-säkerhet.