Verksamheter, affärer och teknik utvecklas kontinuerligt. Digitalisering har varit en stark trend de senaste tjugo åren och känslan är att det fortfarande accelererar. Det ger vid handen att i stort sett all verksamhets- och affärsutveckling kräver eller stöds av digitala lösningar. Och det i en allt större omfattning. Denna förändring har varit stark i Sverige där näringsliv, stat, kommun och regioner har anammat denna trend fullt ut. Det är också sant att säkerhet kanske inte har varit i fokus under den inledande digitaliseringsfasen… ”Ge en it-människa en miljon, så kommer hon definitivt inte köpa säkerhet för pengarna”
Det finns en problematik inbyggd med att system som är gamla behöver integreras med nya system och kanske interagera med Internet. Det innebär att det skapas integrationer mellan gammalt och nytt, nya exponeringsytor som har dålig eller till och med mycket dålig säkerhet. Säkerhet kostar pengar och har egenskapen att om den fungerar som det är tänkt, händer just ingenting. Det har historiskt varit svårt att motivera i investeringsdiskussioner.
Basalts koncept Craton adresserar detta genom att bygga säkerhet från grunden i alla våra leveranser. Med en hög grad av kontroll kommer säkerhet med på köpet. Levererad it-infrastruktur och it-system som baseras på Craton ger våra kunder en stabil och säker grund att stå på. Vidare omfattar Craton ett fördefinierat och effektivt driftförfarande och en tydlig metod och arkitektur för att integrera nya applikationer och funktioner ovanpå/i plattformen. Dessa egenskaper ger förutsättningar att integrera nya funktioner relativt snabbt och med hög assurans (trygghet avseende säkerhet).
Säkerheten ärvs i stora stycken från den underliggande plattformen och med en automatiserad logganalys med tillhörande övervakning kommer brister och fel i integrerade applikationer snabbt att visa sig. Genom uppbyggnaden av Craton kan Basalts kunder ställa hårdare och tydligare krav på sina leverantörer av verksamhetsapplikationer. En säker grund ger även möjlighet till snabbare och tryggare affärsutveckling, med bibehållen säkerhet.
Inom samhällsviktig verksamhet, ett område som ofta innehåller säkerhetsskyddsklassificerade uppgifter, blir verksamhetsutveckling med it-lösningar än mer känslig. Vikten av att säkerställa vilka applikationer och funktioner som implementeras i en plattform ökar. I sådan verksamhet ökar mängden arbete som ska ske innan ett beslut att införa förändringar i fungerande system. Säkerhetsgranskning av applikationer, kontroller av leverantörer och liknande uppgifter behöver beaktas för att man ska följa regelverket runt assurans.
Craton adresserar många av dessa frågor via en robust metod och en arkitektur som skapats för att effektivisera integrationer ovanpå. En viktig del av arkitekturen (och metoden) är en s.k. ”zero trust”-mentalitet. Det innebär att en applikation eller it-funktion ska ha noll eller väldigt få andra funktioner som den litar på. Inga stora kedjor av tillit mellan tekniska komponenter ska få förekomma, utan ett isolationstänk där varje ingående funktion är sin egen herde och vakthund. I manuellt installerade system är detta oerhört svårt att göra, och därigenom resurskrävande. I en automatiserad och väl fördefinierad installation fungerar detta på ett kostnadseffektivt sätt.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?