Bygga säkra IT-system på riktigt! Del 6: Dokumentation

Basalt erbjuder stöd med sakkunskap, rådgivning och mentorskap

Säger: ”Här kommer leveransen av systemets totala dokumentation. Som du ser finns krav, testrapport, systembeskrivning, drifthandledning, användarhandledning etc. Totalt 950 sidor. Det är skrivet som en bok i Word-format och upplagt på ett sätt så att det ska vara lätt att läsa och kommentera.”

Tänker: ”Jäklar vad vi är vassa”

Granskare/säkerhetsansvarig:

Säger: ”Jaha ja. Har ni fått med allt?

Tänker: ”Herregud, det här kommer ta 6 månader att granska, och vid det laget är säkert allt inaktuellt och behöver skrivas om.”


Hur många IT-administratörer eller IT-ansvariga med insyn kan med handen på hjärtat säga den aktuella systemdokumentationen till ett IT-system av lite storlek och komplexitet, stämmer och är uppdaterad? Svarar: ”Såklart, det är en del av mitt ansvar”, tänker: ”Det finns inte en chans, kompis”.

För att uppnå säkerhet i IT-system krävs kontroll. För att uppnå kontroll måste man veta sanningen och hur verkligheten ser ut. Därför är systemdokumentation en otroligt viktig del av ett IT-system. På samma gång är det ofta svårt att få tekniker att dokumentera, kanske att dokumentationen skrivs i efterhand och har redan från dag ett en dålig synk med verkligheten. Under ett IT-systems livscykel, säg efter fem år i drift, hur väl har dokumentationen underhållits? Hur lätt är det att underhålla system- och administratörsbeskrivningen på hundratals, mer eller mindre, skönlitterära sidor genom att uppdatera, versionshantera, granska och testa? Det är svårt! Och därför görs det sällan.

För att råda bot på detta måste dokumentation kopplat till IT-system och dess komponenter i så stor utsträckning som möjligt vara automatiskt genererad. Dokumentationen måste sparas tillsammans med den applikation eller funktion den ska beskriva. Det måste vara tvingande för den tekniker som t.ex. uppdaterar en funktion att också uppdatera dokumentationen. Likaså måste den ändringen granskas INNAN förändringen implementeras i systemet. Den sammanfogade dokumentmassan ska byggas per automatik och ska INTE vara i skönlitterär form. Den systemdokumentationen kan fås att stämma med verkligheten i varje given stund.

Självklart kan inte all dokumentation automatiseras på sättet som beskrivs ovan, men den absoluta majoriteten, och i synnerhet all dokumentation som handlar om att bibehålla kontroll över systemet, kan med fördel produceras genom automatisering och maskinellt bygge. Övergripande systembeskrivningar och executive summaries får göras för hand men är i all väsentlighet oviktiga för att bibehålla kontroll, bygga säkerhet och känna trygghet.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram

I konceptet BEANS har Basalt tagit till sig av många års arbete med och manår av att läsa illa underhållen systemdokumentation. Vi har släppt tanken på att dokumentation kopplat till säkra IT-system i första hand ska vara trevlig att läsas från pärm till pärm av en människa, utan istället fokuserat på att det som står i dokumentationen ska vara aktuellt, synkat med verkligheten och sant.

niha_300

Skribent

  • Nicklas är grundare, delägare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, IT-säkerhet, IT-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och IT-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.