Bygga säkra IT-system på riktigt! Del 13: Djävulen sitter i detaljerna

Jag har i en relativt stor mängd artiklar berört ett antal aspekter av IT-systemutveckling, förvaltning och drift. Jag tar min utgångspunkt i det arbete Basalt gör mot våra kunder och den långa erfarenhet Basalt har ackumulerat genom åren, vilket vi har paketerat i det koncept vi benämner BEANS.

Det handlar om att skaffa sig kontroll. Kontroll över personal, lokaler, nät, infrastruktur, applikationer och gränssnitt. Vi har gått igenom, om än ytligt, aspekter som automatisering, orkestrering, automation, utvecklingsmiljöer, testmiljöer, assurans, säkerhetsfunktioner, krav och granskning, informationssäkerhet m.m. De artiklar jag har skrivit i detta ämne är inte uttömmande men ska ge en fingervisning om hur man som ansvarig för IT eller säkerhet ska börja resonera och planera för att börja arbeta strukturerat och målmedvetet med målet att uppnå kontroll, assurans och därmed en förutsägbar nivå av säkerhet.

Dock är det så, att till syvende och sist sitter djävulen i detaljerna. För att bygga säkra IT-system måste man ha medarbetare som delar visionen och känner ansvar. Skit in, skit ut, är lika sant inom IT som i andra verksamheter. Det är inte bara enskilda applikationer som behöver testas, utan också hela system med nätverk, operativsystem, applikationer och hur allt samverkar i en helhet. Loggning och övervakning måste testas så att de är effektiva och fungerar när det skorpar till sig. Om du väljer att outsourca tjänster till andra, se till att öva och säkerställ att de håller vad de lovar. När fläkten är träffad är det för sent att konstatera att du köpt tjänster av någon som lovar brett och håller tunt.

Trygghet handlar om förtroende och om att testa. I det arbete som Basalt gör med att ta fram kompletta IT-lösningar åt våra kunder läggs tre fjärdedelar av resurserna på att testa. Test sker kontinuerligt under utveckling, av teknikern själv, på komponent-, funktions- och systemnivå genom rigorösa och mycket omfattande automatiska tester. Säkerhetstester och penetrationstester dokumenteras ner som automatiska test för att hela tiden återanvändas. Manuella penetrationstester, som ibland kan vara ganska komplicerade, följs noga upp och alla aspekter av dessa automatiseras i möjligaste mån för att uppnå evolutionär penetrationstestning.

Trots att vi lägger 1000-tals timmar på test med målet att nå fram till min personliga lite banala vision om ”the golden disk”, där alla fel är rättade och alla parametrar är rätt, så är det aldrig nog. Därför måste alla IT-system, oavsett användningsområde och säkerhetskrav, kontinuerligt testas, utmanas och alla ingående komponenter utvärderas och jämföras mot andra alternativ. Test, test, test. Effektivt…

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund
Del 9: Data in och data ut, det är där det händer
Del 10: Förvaltningsstrategi och evolutionär IT-säkerhet
Del 11: Försvarbara IT-system
Del 12: Drift

Basalts koncept BEANS skapar en legolåda av komponenter och IT-funktioner som kan återbrukas och kombineras för att skapa IT-system för en rad olika användningsområden, stort eller litet, geografiskt isolerat eller distribuerat, för användning i civil verksamhet, inom militär eller myndighet. Visionen är att åstadkomma en arkitektur, metodik och teknisk lösning som genom att vi är många som använder samma komponenter och funktioner, kombinerade i helt olika system och för olika syften, kan får stordriftsfördelar avseende kostnader, men kompromisslöshet gällande kontroll, kvalitet och säkerhet.