7 sikkerhetsråd for eiere av komplekse IT-strukturer

19-11-2018

Du trenger ingen gigaprosjekter eller enorme, organisatoriske løft for å heve sikkerheten raskt og mye. Her er 7 sikkerhetsråd og noen knallgode poenger fra Basefarm sikkerhets- og kvalitetspresident for deg med ansvar for skikkelig store og sammensatte IT-strukturer.

Kanskje har du alt på stell og kan gjøre ingenting? Regelmessige medieoppslag viser imidlertid at det ikke er tilfellet hos mange. Siden folk helst vil være tyst om flaue saker som dette, kan vi regne med at bare toppen av isfjellet er synlig i media.

Hold deg oppdatert! Legg igjen din epost og få informasjon om nye blogginnlegg, webinarer og eventer direkte i din innboks!

Råd fra driftseksperter

Basefarm jobber som digitale konsulenter, med devops-plattformer for nyutvikling og med virksomhetskritisk IT-drift, big data-løsninger og hybride skyplattformer levert fra både egne datasentre og offentlige skytjenesteleverandører som Microsoft Azure og Azure Stack.

Basert på sin brede driftskompetanse kan selskapet fortelle mye om hva som faktisk kan skje av sikkerhetsbrudd i en virksomhet. Det handler om praksis, ikke teori. Basefarm går også inn med konsulenter. Da sørger selskapet for brannslukking av fæle sikkerhetsbrudd og langsiktig etablering av et velfungerende sikkerhetsregime både teknisk og organisatorisk.

Basefarm gjør dette også hos virksomheter som drifter IT-systemer selv eller partner, og mener at det er sunt å få et blikk utenfra fra en uavhengig aktør.

btn-top

PEN-test først

– Det første jeg ville gjøre? Kjøre sårbarhetsanalyser og penetrasjonstester! Detectify og andre sårbarhetsanalyseverktøy kan avdekke sikkerhetshull, men det kan likevel være andre mekanismer på plass som gjør tingene vanskelige for hackere. En PEN-test skjer ved en snill hacker som tester sikkerheten på samme måte som skurkene, sier Esten Hoel. Han er Senior Vice President for kvalitet og sikkerhet i Basefarm.

Basefarm ser sikkerhet også fra et forretningsmessig perspektiv.

 – Lønner sikkerhet seg? Selvsagt kan visse sikkerhetsgrep være for kostbare. Går hele arbeidskapitalen til sikkerhetstiltak må du jo legge ned. Samtidig kan sikkerhetshendelser bli enormt kostbare gjennom tapte inntekter og renommé. Det blir en avveining om man vil satse på at ting går bra eller ta kostnadene ved innbrudd.

– Som regel er det bedre og rimeligere å patche servere enn på renomméet hvis noe går galt.

 Hoel forteller at den klassiske måten å drive innovasjon og utvikling på, er å holde drifts- og sikkerhetsfolka på armlengdes avstand så lenge som mulig. – Ja, det er utrolig, men sant, sier han.

Kvelden før tjenesten skal i produksjon vil man kanskje sjekke at sikkerheten er god nok, for sikkerhet er jo viktig, tross alt. Problemet er at man da mest sannsynlig finner sikkerhetsutfordringer, men har allerede skapt forventninger om lansering. Så blir det lansering likevel – med uønsket smell, tilbakespoling, medieomtale og mange ukers utsettelse for å få sikkerheten på plass.

– God sikkerhet og compliance gir færre problemer og mer glede. Gjør sikkerhet til en del av hele bedriftskulturen også utover IT, og vær rundhåndet med ros og belønning til de som går i bresjen, sier Hoel.

btn-top

1. Sikkerhet - del av kultur og utvikling

Sikkerhet er et felles ansvar for alle. I nye utviklingsprosjekter kan du fra begynnelsen av etablere sikkerhet som en integrert del av kulturen. Dette gjelder spesielt devops-prosesser med hvor alle fra utvikling til IT-drift jobber på samme plattform. En bonus er at sikkerhet og compliance relativt enkelt kan bli en del av det samme løpet. Å tenke sikkerhet fra dag én er ingen bremsekloss, men snarere en forsikring for å kunne lansere til riktig tid. Det er ikke mange forunt å starte ut med blanke ark og fargestifter på denne måten. Da må de dypere ned i materien for å få sikkerheten inn som en del av livssyklusen til systemer og applikasjoner. De kommer langt ved å følge de øvrige rådene her.

btn-top

2. Ha oversikt, fordi du bærer risikoen

Start med det helt grunnleggende: Ha fortløpende kontroll på fysiske enheter, programvare og integrasjoner internt og eksternt. Dine objekter og data være plassert internt eller hos ulike leverandører, inkludert i skyen. Grunnmuren du bygger gjennom dette krever i større grad disiplinert arbeid enn stor produktkunnskaper og omfattende investeringer. Hvorfor skal du ha oversikt over noe som er eksternt? Det er fordi du godt kan outsource driften, men ikke ansvaret for forretningsrisikoen. Neida, du trenger ikke å vite alt i minste detalj, men like fullt ha ansvar over vesentligste sikkerhetsaspekter på et nokså detaljert nivå. Lykkeligvis er det løsninger og skript som både kan skanne systemer for å bygge og ajourføre dokumentasjon. Basefarm har for sin del investert millioner i å dokumentere og sette opp enhetlig infrastruktur som lett lar seg duplisere for testformål eller nye leveranser.  

btn-top

3. Sørg for riktig konfigurasjon

Sørg for riktig konfigurasjon av IT-løsningen. Her finnes masse veiledninger til hjelp fra relativt enkle oppgaver som å sette opp en Microsoft Windows-server korrekt til hvordan konfigurere et brannmurnettverk riktig så det slipper inn og ut det som skal, og ikke mer. Utfordre applikasjons- og systemleverandører på det øvrige. Sjekk integrasjonene. 

btn-top

4. Bare admin-tilgang til de som må ha

Følg et minimumsprinsipp for tilgang til å tukle med konfigurasjoner (admin-rettigheter). Bare de som har kompetanse til slikt, og som trenger tilganger for å gjøre sin jobb skal få de tilgangene

btn-top

5. Skann regelmessig

Skann regelmessig - helst automatisk – etter kjente sikkerhetshull med verktøy fra leverandører som for eksempel Basefarms samarbeidspartner for webapplikasjoner: Detectify. Fiks snarest når det oppstår nye sikkerhetshull som verktøyet avdekker. Utviklere skriver i dag 10-20 prosent av koden selv og henter resten fra biblioteker uten garanti for at disse er sikre. Ha testmetodikk på plass før koden integreres i egne produkter. Vær grei og varsle utviklerne om huller du finner så de kan fikse før hele verden får vite det.

btn-top

6. Fem først - deretter de avanserte

De fem første tiltakene vil mange IT-organisasjoner selv være i stand til å gjennomføre, hvis de har tid. Det er tiltak som ikke krever superspesialistkompetanse på sikkerhet i det hele tatt, men et bevisst forhold til sikkerhet og hardt arbeid. Gjennom slike tiltak luker du erfaringsmessig ut mellom 80 og 95 prosent av sikkerhetsutfordringene du møter eller kan møte. Fra kanskje å være i en mer uviss situasjon om hvordan sikkerheten ligger an, får du større visshet og mer på stell. Først etter dette kan du gi deg i kast med å identifisere og stoppe mer avanserte angrep, inkludert de som er målrettet mot egne applikasjoner. Det nytter lite å starte med dette uten at grunnmuren i punktene 1 til 5 først er på plass. Det pågår en enorm mengde rudimentære angrep mer eller mindre blindt på nett, utført av kriminelle personer eller virksomheter som vil tjene penger eller drive sabotasje. Disse forsvarer du deg i stor grad mot med de enkle midlene vi har beskrevet her. 

btn-top

7. Dokumentér!

Bygg dokumentasjon og rutiner underveis i gjennomføringen av disse rådene. Å jobbe med dette konkret og praktisk er en øyeåpner som også IT-ledelsen vil ha glede av å delta i.  

btn-top

Om Esten Hoel, SVP Quality&Security


Esten Hoel er leder for kvalitet og sikkerhet i Basefarm. Han har lang erfaring med IT, Telekom, prosjektledelse, prosessledelse og sikkerhet. Han har erfart begge sider av bordet, både som kunde og som leverandør. Da han begynte i Basefarm fikk han et enkelt mandat: «Sett nerdene i system». I årene siden har han erfart hvordan kravene fra markedet og kunder har endret seg i takt med digitalisering, tjenesteutsetting og nå multi-sourcing i hybride økosystemer av tjenesteytere

btn-top

Ønsker du mer informasjon om IT-sikkerhet?

Fyll ut feltene, en av våre spesialister vil kontakte deg fortløpende:

btn-top