Ett IT-system kravställs, konstrueras, levereras och rullas ut. Beroende på kravställning och systemets tänkta användning så hanteras kraven på säkerhet på olika sätt. Handlar det om ett ”vanligt” IT-system finns kanske säkerhetskrav till någon nivå och kvalitet, är det ett system som ska bära säkerhetsskyddsklassade uppgifter så finns det en tredje part som ställer säkerhetskrav och också har ansvar för att granska leveransen utifrån dessa krav. Även om så sällan är fallet, så kan vi för denna text anta att säkerheten för ett visst IT-system får full pott och ett godkännande om att systemet kan tas i bruk fattas. Men, vad händer sen…
I de absolut mest förekommande fallen lever sedan systemet resten av sin livscykel i en stadig utveckling mot mer komplexitet, försämrad synk mellan system och dess dokumentation, sporadiska uppdateringar, funktionstillväxt, ny driftpersonal, ny maskinvara, integration mot andra system etc. Efter ett par år av användning enligt ovan, gäller fortfarande den kravuppfyllnad och den trygghet som fanns när systemet togs i drift? Har ansvariga personer kontroll över systemet? Nej, så klart inte, men ändå är det så här som en oroande majoritet av våra samhällsviktiga och affärskritiska IT-system hanteras idag.
Det är av yttersta vikt att man redan i konstruktionsskedet av ett IT-system också bestämmer hur en strategiskt hållbar förvaltning ska gå till. Ännu viktigare, är att man bestämmer hur säkerheten i systemet ska vidmakthållas för att inte nivån av tilltro till systemet ska sänkas. Vidare gäller det att ta fram mekanismer för att under hela systemets livstid höja dess säkerhet, eller som Basalt benämner det, säkerställa ”evolutionär säkerhet”. Tilltro till systemets förmåga och skydd av era viktiga informationstillgångar är otroligt viktigt, och kommer att vara ett fokus för våra kunder under många år framöver.
Inom förvaltning av IT-system är det viktigt att ha regelverk och policies så att det finns en ledstång för alla inblandade parter att hålla sig i, t.ex. vid funktionstillväxt, förändringar eller andra systemförändringar som kan påverka systemets integritet eller säkerhet. Detta är idag implementerat i någon form i de flesta informationstunga organisationer. Men, i verkligheten då? Finns det förutsättningar för en förvaltningsorganisation att vidmakthålla ett organiskt framvuxet IT-system som varit drift i, säg, fem år? Hur effektivt, eller hur dyrt är det? Nedan följer några exempel på frågor som bör ställas, och vars svar bör kontrolleras noga…
- Hur upptäcks nya sårbarheter och tillgängliga säkerhetsuppdateringar för alla de applikationer som nyttjas?
- Hur säkerställs att systemets ingående funktioner och applikationer är korrekt uppdaterade och i rätt tid?
- Hur testas uppdateringar innan de driftsätts? Eller kör man Microsoft Update-paketen rakt av och håller tummarna?
- Finns det test- och referenssystem som har någon som helst likhet med systemet som körs i drift?
- Hur kan uppdateringar kontinuerligt testas?
- Installeras uppdateringar manuellt? Kan man enkelt backa tillbaka om en uppdatering inte fungerar?
- Sker det omvärldsbevakning för att reda ut vilka uppdateringar som behöver göras?
- Hur många har administrativa behörigheter? Görs uppdateringar med dessa behörigheter?
- Finns det personberoenden? ”Det är bara Lisa som kan det där och hon är mammaledig, så det får vänta.”
För att möta utmaningarna med förvaltning av IT-system krävs nytt tänk och nya metoder. Det handlar om att använda automatisering, att kunna fördefiniera ett IT-system innan det existerar, använda automatiserade tester och en systematik i systembygget som sedan också används i förvaltningsskedet. Målet är att få till en metod som skapar väl testade och kvalitetssäkrade uppdateringspaket som uppdaterar alla ingående applikationer och funktioner och som med hög grad av assurans inte sänker systemet, utan höjer säkerheten och kommer att fungera som tänkt. Varje gång. Uppdateringspaketen ska kunna rullas ut utan att någon loggar in med administrativa behörigheter och bör köras av en fungerande orkestrering där hela installationen genomförs av fördefinierade jobb som är kontrollerade och testade. Det känns kanske som ett stort steg från dagens klassiska ”vi testar inte så ofta, och gör vi det, så gör vi det skarpt”-mentalitet inom systemförvaltning.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund
Del 9: Data in och data ut, det är där det händer
Basalts koncept BEANS handlar till väldigt stor del om automatisering och metodik för att skapa och förvalta system över hela livscykeln. Framtidens IT-miljöer kommer att gå ifrån löst sammansatta konstverk till fungerande helheter med genomtänkta strategier för förvaltning över tid. Det finns väldigt mycket resurser att spara över lång tid med en genomtänkt och strategisk aktiv förvaltning.