Jag har i min artikelserie berört ett antal aspekter av it-systemutveckling, förvaltning och drift. Min utgångspunkt för dessa är det arbete Basalt gör mot våra kunder och den långa erfarenhet Basalt har ackumulerat genom åren, vilken vi har paketerat i det koncept vi benämner Craton.
I slutändan handlar det om att skaffa sig kontroll. Kontroll över personal, lokaler, nät, infrastruktur, applikationer och gränssnitt. I denna artikelseries format så har vi bara skrapat på ytan gällande aspekter som automatisering, orkestrering, automation, utvecklingsmiljöer, testmiljöer, assurans, säkerhetsfunktioner, krav och granskning samt informationssäkerhet. Men artiklarna ger ändå en fingervisning om hur dessa områden behöver adresseras.
Som omvärlden ser ut krävs det att man som ansvarig för it med tillhörande säkerhet behöver fördjupa sin kunskap och säkerhet genom att utreda och planera sin verksamhet. Detta för att på sikt kunna arbeta strukturerat och målmedvetet med målet att uppnå kontroll, assurans och därmed en förutsägbar nivå av säkerhet.
Till syvende och sist sitter alltid djävulen i detaljerna. För att bygga säkra it-system måste man ha medarbetare som delar en vision för säker informationshantering och känner ansvar för dess genomförande så att det inte stannar vid en pappersprodukt. Det är inte bara enskilda applikationer som behöver testas, utan även hela system inklusive nätverk, operativsystem, applikationer samt samverkan mellan dessa.
Loggning och övervakning måste testas så att de är effektiva och fungerar även när det uppstår problem. Om du väljer att outsourca tjänster till andra, se till att testa och öva tillsammans för att säkerställa att ni kan hålla vad ni lovar. När fläkten är träffad är det för sent att rätta till det som borde identifierats under test och övning.
Trygghet handlar om förtroende och om att testa. I det arbete som Basalt gör med att ta fram kompletta it-lösningar åt våra kunder läggs stora resurser på tester. Test sker kontinuerligt under utveckling, av teknik, på komponent-, funktions- och systemnivå genom rigorösa och omfattande automatiska tester. Säkerhetstester och penetrationstester, såväl manuella som automatiska, dokumenteras för att hela tiden för att kunna återanvändas. Manuella penetrationstester, som kan vara komplicerade, följs noga upp och alla aspekter av dessa automatiseras, så långt det är möjligt, för att uppnå evolutionär penetrationstestning.
Trots att vi lägger tusentals timmar på test med målet att nå fram till vår vision om ”the golden disk”, där alla fel är rättade och alla parametrar är rätt, så kommer vi aldrig att gå i mål med detta då det är för många parametrar som ingår i ett modernt it-system. Men om alla it-system, oavsett användningsområde och säkerhetskrav, kontinuerligt testas, utmanas och alla ingående komponenter utvärderas och jämföras mot andra alternativ så kommer vi ändå att nå betydligt längre än om vi inte hade denna ambition. Vilket ofta kan vara gott nog, framför allt om det ställs i relation till att inte ta arbetet med dessa frågor på allvar.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund
Del 9: Data in och data ut, det är där det händer
Del 10: Förvaltningsstrategi och evolutionär IT-säkerhet
Del 11: Försvarbara IT-system
Del 12: Drift
