Leverantören:
Säger: ”Här är leveransen av systemets totala dokumentation. Som du ser finns krav, testrapport, systembeskrivning, drifthandledning, användarhandledning etcetera. Totalt 978 sidor. Det är skrivet som en bok i Word-format och upplagt på ett sätt så att det ska vara lätt att läsa och kommentera.”
Tänker: ”Jäklar vad vi är vassa”
Granskare/säkerhetsansvarig:
Säger: ”Jaha ja. Har ni fått med allt?
Tänker: ”Herregud, det här kommer ta 6 månader att granska, och vid det laget är säkert mycket redan inaktuellt och behöver skrivas om.”
Hur många it-administratörer eller it-ansvariga med insyn kan med handen på hjärtat säga att den aktuella systemdokumentationen, av ett it-system med lite storlek och komplexitet, stämmer och är uppdaterad?
Svarar: ”Såklart, det är en del av mitt ansvar”.
Tänker: ”Det finns inte en chans, kompis”.
För att uppnå säkerhet i it-system krävs kontroll. För att uppnå kontroll måste man veta sanningen och hur verkligheten ser ut. Därför är systemdokumentation en viktig del av ett it-system. På samma gång är det svårt att få tekniker att dokumentera, varför dokumentationen skrivs i efterhand och redan från dag ett är i dålig synk med verkligheten. Under ett it-systems livscykel, säg efter fem år i drift, hur väl har dokumentationen underhållits under dessa år? Hur underhåller man system- och administratörsbeskrivningar på hundratals sidor genom att uppdatera, versionshantera, granska och testa? Det är svårt! Och därför görs det inte.
För att råda bot på detta måste dokumentation kopplat till it-system och dess komponenter i så stor utsträckning som möjligt vara automatiskt genererad. Dokumentationen ska sparas och versionshanteras tillsammans med det system den beskriver. Det måste vara tvingande för den tekniker som exempelvis uppdaterar en funktion att också uppdatera dokumentationen. Likaså måste ändringar granskas innan förändringar implementeras i systemet. Den sammanfogade dokumentmassan ska, så långt det är möjligt, byggas per automatik och vara mer faktabaserad än skönlitterär men samtidigt lättläst. Då kan systemdokumentationen fås att stämma med verkligheten i varje given stund samt även vara granskningsbar.
Självklart kan inte all dokumentation automatiseras på sättet som beskrivs ovan. Men den absoluta majoriteten, och i synnerhet dokumentation som handlar om att beskriva systemet på en mer granulär nivå, kan med fördel produceras genom automatisering och byggas maskinellt.
Övergripande systembeskrivningar och exekutiva summeringar som är riktade till dom som snabbt vill bilda sig en uppfattning om systemet utan att behöva gå ned på detaljnivå kommer fortfarande göras för hand.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?