Jag går igenom bostadsrättsföreningens checklista: Fungerar brandvarnaren? Fungerar jordfelsbrytaren? När slog jag på brandsläckaren senast? Hur gamla är mina brandvarnare? Hej – måste de bytas ut var tionde år? Myndigheten för samhällsskydd och beredskap har gett mig en annan lista på saker att ha hemma om krisen slår till. Här finns allt från jod till vatten, havregryn och ved. Hmm, börjar bli trångt i källaren… Det råder ingen tvekan om att vår vardag innehåller många listor. Här finns allt från inköpslistor till listor som gör vårt liv tryggare. Här kommer jag att fokusera på checklistor för IT-säkerhet.
IT-världens listor – därför finns de
Jag vågar nästan påstå att alla som läser den här texten har listor. Inte bara privat, utan även på arbetet. Listan styrs ofta av prioriteringar och tilldelade uppgifter utifrån en turordning. Här finn allt från ”uppgradera mjukvara på switchar” till ”hjälpa slutanvändare x”, och ”hantera felmeddelande y” osv. Utöver dessa listor kommer alla oplanerade händelser – defekt utrustning, oväntade affärshändelser och snabba förändringar.
Listorna ger överblick och planeringshorisont när arbetstimmarna inte räcker till. Finns det uppgifter vi kan ta hjälp med, antingen permanent eller tillfälligt? Kan en konsult avlasta? Det har skrivits mycket om användningen av konsulter, framför allt inom offentlig sektor – men faktum är att dessa konsulter ofta har spetskompetens inom områden där det inte lönar sig att utbilda egen personal eller används när det inte finns egen personal tillgänglig.
Få ut maximalt värde av dina lösningar
Det som är säkert (nej, jag har ingen kristallkula) är att vi måste prioritera. Vad är viktigast utifrån er risknivå och er aktuella situation att börja med? Finns teknik och funktionalitet som ger IT full kontroll? Använder ni befintliga lösningar optimalt? Får ni ut det värde som lösningarna kan ge? Här ger helikopterperspektivet kontroll.
Planerna för olika teknikområden, oavsett om det är infrastruktur, DC eller säkerhet, bör ge vägledning för kommande beslut. Ett exempel är vägval när ni köper nya switchar. Om kraven inte är höga men priset är viktigt finns lösningen i nedre delen av modellstegen. Om kontroll är desto viktigare kan valet ändras till en något dyrare modell som gör det möjligt att implementera nya kontrollfunktioner senare. Alla IT-beslut, oavsett om det handlar om nätverk, datacenter eller moln, bör kontrolleras och koordineras utifrån IT-säkerhet.
Bra checklistor för IT-säkerhet
När vi går in på teknikdetaljer blir listorna LÅNGA och prioriteringar ännu viktigare. Här finns flera sätt att avgöra era behov, men låt oss titta på två:
- Det första är säkerhetstester där tredje part försöker bryta sig in på alla möjliga sätt. Det kan ske med hjälp av information på det öppna nätet, det slutna nätet och helst på darknet. Om de anställda saknar utbildning inom området kanske det blir den vägen? Den här typen av tester berättar hur väl din IT-miljö och anställda klarar en attack – direkt eller indirekt.
- Det andra är en skrivbordsgenomgång av din IT-miljö. Börja med ett samtal med ledningen för att ta reda på vilka processer som är viktigast utifrån deras perspektiv (ofta har ledningen andra prioriteringar än IT). Titta på varje enskild process och ta reda på vilken funktionalitet (AV, Brandvägg, VPN, SIEM, NAC, etc.) som behövs för att säkerställa den. Verifiera sedan att lösningarna faktiskt fyller era behov.
Än så länge har du inte skapat någon beställningslista, varken för inköp eller partner. Däremot har du fått överblick över var ni står idag. Härifrån kan ni börja prioritera. Vad ger störst vinst? Vilka åtgärder är enkla (och ger stort genomslag) att genomföra? Vad bör och kan ni eventuellt vänta lite med?
Helikopterperspektiv, teknikcheck – och plan för IT-säkerhet
Innan du i ren frustration sätter eld på alla listor – andas och gör en plan i lugn och ro. Börja med helikopterperspektivet, fortsätt med en teknikcheck och avsluta med en plan. Med dessa tre på plats kan jag nästan garantera (vi garanterar inte 100 % inom säkerhet, ingen vet vad morgondagen bär med sig) bättre överblick, kontroll och en lättare vardag.
Ett sista tips på vägen: oavsett var du befinner sig i processen – se till att du har en lösning som ger kontroll över de enheter, den mjukvara och den version av mjukvara som finns i din miljö! Då kan du avgöra vilka sårbarheter som är viktigast att hantera först och agera omedelbart när det behövs. Ett utmärkt exempel på checklistor för IT-säkerhet är CIS Controls, som vi på Conscia använder – ladda ned vårt whitepaper om denna:
Med önskningar om ett gott nytt 2022 – med listor som ger dig full kontroll. Behöver du hjälp? Välkommen att kontakta din kontaktperson på Conscia idag.
