Basalts kunder har ofta en ordning som ser ut ungefär såhär:
- En verksamhet har behov, och skriver i bästa fall ner en kravspecifikation på vad verksamheten vill kunna göra med t.ex. ett IT-system.
- Verksamheten omfattas av lagkrav, interna säkerhetskrav och andra ingångsvärden som måste beaktas och hanteras som ingående krav.
- Säkerhet är ett fokusområde för Basalts kunder och ofta finns specifika säkerhetskrav vilka följs upp av någon annan än beställande verksamhet. Det betyder att verksamheten formulerar krav och beställer, en leverantör tillverkar och levererar, verksamheten testar leveransen utifrån sin kravmassa och en säkerhetsorganisation, intern eller extern, testar och granskar utifrån säkerhetskrav och den tänkta användningen av leveransen.
I denna text ska vi fokusera på den ordning som vi tror kommer att öka, nämligen att säkerheten i ett IT-system är ett separat ansvar som inte i första hand hanteras av den beställande verksamheten utan godkänns av tredje part. Denna tredje part kan vara ett företags säkerhetschef, en extern oberoende test- och granskningsleverantör eller en tillsynsmyndighet som bär ansvar för att underställda myndigheter följer säkerhetsskyddslagstiftningen.
När man bygger system och hävdar att de är säkrare än vad som är standard i branschen är det av stor vikt att detta kan bevisas. I många fall ligger bevisbördan på Basalt som leverantör. Hur ska man på ett trovärdigt sätt kunna låta en tredje part granska ALLT med en rimlig resursinsats. Att som säkerhetsansvarig läsa 1000 sidor systemdokumentation i skönlitterär form kommer inte att leda fram till en bra och korrekt granskning. Att bara lita på vad en leverantör eller IT-avdelning säger kan vara en väg, men som man säger, tillit är bra, kontroll är bättre.
Basalt anser att i konstruktionen av säkra IT-system ingår det som en förutsättning att allt ska vara granskningsbart, spårbart och transparent. Genom att strukturerat och metodiskt bygga upp spårbarhet och dokumentation genom ett IT-systems hela livscykel skapar vi förutsättningar för granskning av tredje part. För att uppnå detta innehåller BEANS-konceptet en rad delar som tillsammans bygger upp Assurans. Assurans förklaras bäst som Trygghet avseende säkerhet genom tydlig och enkel bevisföring:
- Mycket grundlig nedbrytning av krav.
- Automatiska tester av allt som går att automatisera
- En förvaltningsstrategi som följer samma mönster som utvecklingen av IT-systemet
- Loggning av alla vidtagna åtgärder
- Systemdokumentation är till mycket stor andel automatiskt genererad, anpassad för just granskningsbarhet.
- Tydligt IT-säkerhetsprogram, där analys av agenter, hotbild, sårbarheter och motåtgärder på ett mycket tydligt sätt lyfts fram
- En restrisklista som kan förstås av en beslutsfattare
Hela syftet med dessa processer och artefakter är att ge alla intressenter maximala förutsättningar att förstå hur säkerheten och den definierade hotbilden hanteras för att kunna fatta korrekta beslut runt risker och systemets användning.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Basalt har under över 10 års tid, många av våra arkitekter och experter under längre tid än så, levererat system till olika kunder där granskning sker av tredje part. De erfarenheter som dragits och de misstag som gjorts under ett till två decennier har raffinerats och implementerats i BEANS-konceptet. Detta leder till att granskande funktion får en betydligt mer hanterbar uppgift när det kommer till att förstå, känna tillit och få en hög assurans kopplat till IT-säkerhet och robusthet.