Bygga säkra IT-system på riktigt! Del 8: Användartjänster på en säker grund

Basalt erbjuder stöd med att förbättra krisledningsorganisation och ledning av staber

Verksamheter och affärer utvecklas kontinuerligt. Digitalisering har varit en stark trend de senaste 20 åren och känslan är att det fortfarande accelererar. Det ger vid handen att i stort sett all verksamhets- och affärsutveckling kräver eller stöds av digitala lösningar. Och det i en allt högre takt. Denna förändring har varit väldigt stark i Sverige där stat, kommun och regioner har anammat denna trend, likaså företag och övriga samhället. Det är också sant att säkerhet kanske inte har varit i fokus under de inledande decennierna… ”Ge en IT-människa en miljon, så kommer hon definitivt inte köpa säkerhet för pengarna”

Det finns också en problematik med att system som är gamla, men viktiga, måste integreras med nya system och kanske interagera med Internet. Det innebär att det skapas integrationer mellan gammalt och nytt, nya exponeringsytor som ofta har en dålig eller till och med mycket dålig säkerhet. Säkerhet kostar ju pengar och har egenskapen att om den fungerar den som det är tänkt, händer just ingenting. Det har historiskt varit svårt att motivera i investeringsdiskussioner.

Basalt med konceptet BEANS försöker adressera detta genom att bygga säkerhet från grunden i alla våra leveranser. Mycket hög grad av kontroll och säkerhet kommer med på köpet. Levererad IT-infrastruktur och IT-system som baseras på BEANS-konceptet ger våra kunder en stabil och säker grund att stå på. Vidare innebär BEANS ett fördefinierat och effektivt driftförfarande och en tydlig metod och arkitektur för att integrera nya applikationer och funktioner ovanpå/i plattformen. Dessa egenskaper tillsammans ger förutsättningar att integrera nya funktioner relativt snabbt och med hög assurans (trygghet avseende säkerhet). Säkerheten ärvs i stora stycken från den underliggande plattformen och med en fungerande automatiserad logganalys och övervakning kommer brister och fel i integrerade applikationer snabbt att visa sig och Basalts kunder kan i sin tur ställa hårdare men också tydligare krav på sina leverantörer. En säker grund ger snabbare och tryggare affärsutveckling.

Inom samhällsviktig verksamhet, ett område som ofta innehåller säkerhetsskyddsklassificerade uppgifter, blir verksamhetsutveckling med IT-lösningar än med känslig. Vikten av att veta vad det är för applikationer och funktioner som implementeras ovanpå en plattform ökar. I dessa fall ökar mängden arbete som ska ske innan ett beslut att införa förändringar i fungerande system. Säkerhetsgranskning av applikationer, kontroller av leverantörer och liknande uppgifter behöver beaktas för att man ska följa regelverket runt assurans.

 

BEANS-konceptet adresserar många av dessa frågor via en robust metod och en arkitektur som skapats för att göra just integrationer ovanpå. En viktig del av arkitekturen (och metoden) är en s.k. ”zero trust”-mentalitet. Det innebär att en applikation eller IT-funktion ska ha noll eller väldigt få andra funktioner som den litar på. Inga stora svulstiga kedjor av tillit mellan tekniska komponenter, utan ett isolationstänk där varje ingående funktion är sin egen herde och vakthund. I ett manuellt installerat system är detta näst intill omöjligt att göra, och definitivt mycket resurskrävande. I en automatiserad och väl fördefinierad installation fungerar detta på ett kostnadseffektivt sätt.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner

Basalt har under framtagandet av BEANS-konceptet och dess tekniska resultat fokuserat starkt på att bygga de grundläggande, och för somliga tråkiga, processerna: Säkerhet, Driftbarhet och Förvaltingsbarhet. Det ger att funktioner som virtualisering, orkestrering, loggning, övervakning, autentisering och andra säkerhetsfunktioner har gjort först. Integration av verksamhetsfunktioner görs i samråd med våra kunder och ärver hela eller stora delar av den underliggande säkerheten. Det går snabbt, med förutsägbart resultat och blir säkert.

niha_300

Skribent

  • Nicklas är grundare, delägare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, IT-säkerhet, IT-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och IT-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.