Sjekklister for alt, men gjer det oss tryggare?

Alle desse listene

Eg går igjennom sjekklista frå burettslaget; virka røykvarslaren? Er manometeret på brannsløykaren på grønt? Er sikringane mine heite? Virka jordfeilbrytaren? Når snudde eg eigentleg brannsløkkings-apparatet sist? Kor gamle er røykvarslarane mine? Hæ – må dei skiftast kvart 10. år? Har eg mange skøyteleidningar? Og kva er forresten «mange skøyteleidningar»?

Som ikkje det er nok så startar eg på fleire lister fram mot jul; kjøpe ribbe (men les testar på ribbe fyrst), same gjeld pinnekjøtet, skaff rett type porter til å dampe pinnekjøtet, hugs juleøl og akevitt (treng kanskje ikkje å lese testar her, halve moroa er å teste dei sjølve), kva var det svigerfar nemnte han ynskte seg att? Kva i alle dagar skal eg finne på til den betre halvdel i år – og kva skal borna gje den betre halvdelen? Har me nok ved i hus og fungerte alle julelysa då eg pakka dei vekk i fjor, eller var det nokre pærer som var gått?

Direktoratet for samfunnstryggleik og beredskap (DSB) har jammen kome med liste og – ting og gjenstandar me alle bør ha i hus, i tilfelle krise. Ikkje reint lite heller, 20 punkt er det på lista. Alt frå jod i tilfelle atomhendingar til mat, vatn, havregryn, ved osv.

Hmm, byrja å verte trangt i kjellarboden kjenner eg…

Kvardagen vår inneheld ei drøss av lister, nokre sesongstyrt og andre kvardagslege – slik som dagens handleliste – og nokre lister hjelp oss med å verta tryggare, slik som DSB og burettslaget si. Og det er desse eg skal fokusere på no.

Eg vil tore å påstå at alle dykk som les dette har ei rekke lister. Ikkje berre privat, men òg på jobb. Gjerne styrt av prioriteringar og tildelingar av oppgåver frå eit «ticketing» system. Alt frå «oppgrader programvare på svitsjer», «hjelp sluttbruker x», «handter feilmelding y» osv.

I tillegg til desse listene, som gjev oss eit snev av oversikt og kontroll over kvardagen, så kjem alle dei hendingane me ikkje planlegg; skadevareangrep, defekt utstyr, leiing som ikkje har inkludert IT når avgjersler vert tekne – som forventar at nytt kontor, overtaking av selskap og endringar kan skje med augneblinks varsel.

Me må ha lister for å ha oversikta, og me bør legge inn noko slingringsmon, jamfør mine poeng over. Det kan og vera lurt å ha ein plan for kva me skal gjere når det ikkje er nok timar i døgnet eller ikkje nok personell til å handtere alt. Kanskje er det oppgåver me kan sette ut, enten permanent eller midlertidig? Kanskje har de ein partner som kan avlaste med konsulent? Det er skrevet mykje om konsulentbruken, spesielt i det offentlege – men faktum er at desse konsulentane ofte vert brukt enten då dei innehar spesialkompetanse som det ikkje løner seg at eins eigne tilsette skal inneha, eller rett og slett då ein ikkje har eige personell ledig.

Hent ut all verdi frå løysningane du har

Det som er sikkert (nei eg har inga krystallkule), er at med dagens krav til gjennomføringsevne, sett mot redusert ressurstilgang og det trusselbilete me står ovanfor, må me prioritera. Kva er viktigast utifrå ditt risikonivå og -vurdering å gjera først? Er det teknologi og funksjonalitet de ikkje har på plass, som gjer dykk blinde i områder de treng kontroll? Er det løysningar som er implementert som kanskje burde vore brukt betre? Og mitt hjartebarn – sørger du for å bruke løysningane du allereie har investert i, til det maksimale? Hentar du ut all verdi løysningane kan gje deg?

Du treng ein oversikt først, gjerne i helikopterperspektiv, for å ha kontroll.

Alle avgjersler som vert gjort innanfor IT, om det er på nettverket, datasentret eller skya, bør kontrollerast og samkøyrast med kva de har som mål innanfor IT-sikkerheit.

Har de valt eit rammeverk (CIS, ISO27001, NIST osv) så bør de sjekke om denne avgjersla kan tilføre noko eller om noko vert endra ved innføringa av det nye. Om de allereie har på plass vegkart («roadmaps»), helst for alle teknologiområder, så som infrastruktur, DC og sikkerheit – bør de sjekke om det er noko i planane som legg føring for kva val de kan gjere no. Eit kjempeeksempel her er ved innkjøp av nye svitsjar. Dersom de ikkje har så høge krav, og pris er særs viktig – så vil de gjerne velga i den nedre delen av modellstigen. Om de då sjekkar vegkartet for sikkerheit, så kan synlegheit og kontroll vera element de har satt inn som fokusområder. Dette vil då vera med på å endre valet av svitsjar til ein noko dyrare modell – som då gjev moglegheit og støtte for å lettare og billigare kunne implementere løysningar for synlegheit og kontroll seinare.

Gjer opp status

Når me byrja å sjå på dei teknologiske detaljane, kan listene verta LANGE. Og desto viktigare er det med prioritering. Du kan gjere opp ein status på fleire måtar, men lat oss sjå på 2:

  • Gjennomføre sikkerheitstestar der de får inn 3.part til å freiste å bryte seg inn. Ikkje berre via brannmuren, men helst på alle moglege måtar. Ein gjennomføringsmodell er å gje 3.part i oppdrag å bryte seg inn, utan å gje dei noko meir informasjon. Dei må då bruke den informasjonen som er tilgjengeleg på det opne nettet, det lukka nettet og gjerne og det mørke nettet. Kanskje har ein ikkje vore så flink til å kurse dei tilsette, så kanskje sosial manipulering er vegen å gå? Ved å gjere slike testar, får de eit augneblinks status på kor godt ditt miljø og dine tilsette kan stå mot eit eventuelt angrep – retta eller indirekte.
  • Ta ein skrivebords gjennomgang av miljøet ditt. Start med ein prat med leiinga for å avdekke kva prosessar som er dei viktigaste i dykkar miljø (ofte har leiinga heilt andre prioriteringar av prosessar enn kva IT har). Set dykk så ned og sjå på kvar einskild prosess og still dykk spørsmåla – kva funksjonalitet (AV, FW, VPN, SIEM, NAC osv.) skal til for å sikre denne prosessen. Vidare kan de fylle inn dei løysningane de allereie har på plass og verifisere at dei faktisk fyller den funksjonen som trengs.

Så langt har de ikkje satt opp noko bestillingsliste, verken til innkjøp eller partner.  De har derimot fått ein oversikt over kvar de står i dag. Er planane, både dei kortsiktige og langsiktige på plass? Sørger dykk for at prosjekt vert gjennomført jamfør desse planane? Kor godt rusta står de med dagens løysning og er alle naudsynte funksjonalitetar på plass på dei viktigaste prosessane?

Herifrå kan ein starte å prioritere – kva vil gje deg størst vinst, kva tiltak er enkle (og gjev stor innverknad) å gjennomføre, og kva bør og kan de eventuelt vente litt med.

Pust med magen

Før du i rein frustasjon set fyr på alle listene; set deg ned, pust litt, gled deg til julefeiringa som ligg føre deg og start planlegginga. Byrja med helikopter, så den tekniske avsjekken og til slutt vegkartet. Med desse 3 på plass, kan eg nesten garantere deg (me garanterar ikkje 100% innanfor sikkerheit, me veit ikkje kva morgondagen bringer av 0-dags sårbarheiter og anna rusk); ein betre oversikt, kontroll og ein lettare kvardag.

Eit siste tips på vegen, ein funksjonalitet som vil hjelpe alle – uavhengig av kvar de er i prosess eller planlegging: sørg for å ha på plass ei løysning som gjev deg full kontroll over kva einingar, kva programvare og kva versjon av programvare som eksistera i ditt miljø! Med dette verktøyet vil du snøgt kunne prioritere kva sårbarheiter du må handtere først, og ikkje minst – når leiinga kjem småsveit og uttaler «den sårbarheten som står skrevet med store bokstaver på alle medier, er den i vårt nettverk?» snøgt kunne sjekke kva status er. 

Inntil skrivekløa og delingslysta kjem snikane på meg som julekvelden på kjerringa – med ynskjer om ei roleg, fredfull jul saman med dine kjære og eit godt nytt år med lister som gjev deg full kontroll.  Treng du hjelp? Ta kontakt med din kontaktperson i Conscia allereie i dag, alternativt kontaktar du underteikna på mbar@conscia.com

Magnar Barsnes, Løysningsarkitekt IT-sikkerheit