Rubriken kommer från T.Bert Lance, chef på Jimmy Carters kontor 1977, som förespråkar att lämna saker som fungerar i fred – men i många fall kan detta vara kontraproduktivt. Inte minst vad gäller IT-säkerhet och risk.
Min farfar hade en mycket tydlig uppfattning om detta. Han drev ett timmertransportföretag från slutet av 1940-talet tills hans familj tyckte att det var dags att lämna in hans körkort 2007. Hans bilar var sällan i garaget – de var på vägarna de tjänade pengar. Hans konkurrenter undrade hur det kunde vara att hans bilar körde hela tiden, medan deras titt som tätt fick stanna på verkstaden. Hans svar var detsamma varje gång – underhåll är mycket billigare än reparation.
Och det ligger något i det. De flesta är överens om att om du målar och tvättar fasaden på huset regelbundet, kommer du inte att behöva byta den på tio år. Av samma anledning besiktigar vi våra bilar. När vi använder bilen (eller annan utrustning) nästan varje dag, märker vi inte gradvis slitage. Att bromsen tar lite och lite längre in, att kopplingen lite längre ut – vi märker det helt enkelt inte. Det är ännu viktigare med resten av kontrollen av bilen, hur är bromsrören, bärande konstruktionerna, är varningstriangeln på plats och så vidare.
Detta är områden som den vanliga föraren varken har kompetens eller det dagliga intresset att kontrollera, och de kommer inte att upptäckas förrän vid besiktning eller i värsta fall när bilen inte stannar vid en nödbromsning.
Humoristiskt kallar vi män det besiktning när vi går till läkarnas årliga kontroll. Därefter kontrolleras både oljetryck och olja, chassi och vikt. Och om du verkligen vill vara säker – ja, den bärande konstruktionen kontrolleras också.
Om vi istället diskuterar IT-säkerhet är det i många fall samma här. En säkerhetslösning som har installerats av utomstående får inte nödvändigtvis samma underhåll varje dag. Varför skulle den det, det fungerar? Detsamma gäller för nästan allt som finns i vårt nätverk idag, inklusive nätverket självt. Det var planerat, väl dokumenterat, har fungerat och verkar fungera lika bra idag. Skulle det mot förmodan inte fungera efter att du har gjort en förändring eller lagt till något nytt, så rullar du tillbaka förändringen för att skapa normal drift.
Aktiv IT-säkerhet krävs för att hantera er risk
Den stora utmaningen här är att saker aktivt MÅSTE hållas desamma. Man måste se till; att den senaste rekommenderade versionen används, att dokumentationen hålls densamma, att de uppsättningar av regler som finns; vare sig det gäller brandväggar, klientsäkerhet, identitetshantering etc., är i enlighet med den aktuella hotbilden och att kapacitet och licensförbrukning fortfarande ligger inom de krav som ställts av företaget. Regelefterlevnad/Compliance av en vettig säkerhetspolicy eller standard såsom PCI-DSS e.d. är väsentlig för att hantera er risk, lika väl som Asset och Configuration Management.
Tyvärr är det här som med bilen, vi märker inte att något är fel förrän en kontroll görs ELLER när något händer. I den här världen är det inte bromseffekten som är viktig, utan hur väl man tål ett eventuellt intrång eller utbrott.
Det faktum att brandväggen fortfarande fungerar betyder inte att den gör jobbet ordentligt. Trafiken kommer antagligen fortfarande att passera genom den, om den inte hade gjort det skulle våra användare troligen ha meddelats omedelbart. Men släpps FÖR MYCKET trafik igenom? Användarna kommer inte att säga till, oavsett om de är medvetna om det eller inte.
Detsamma kan också sägas om all annan utrustning i nätverket:
- Vi ser inte om kapaciteten är på väg att överskridas – inte förrän den faktiskt har det.
- Vi ser inte att uppsättningar av regler för brandväggar och andra säkerhetslösningar är föråldrade – inte innan olyckan är framme.
- Vi upptäcker inte om säkerhetskopian vi kör varje natt är skadad – inte förrän vi behöver använda den.
- Vi får inte alla de nya versionerna som kommer – inte förrän du rapporterar ett fel och det första meddelandet från supporten är ”uppdatera programvaran först”.
När kontrollerade du ditt nätverk sist?
Conscia Sverige erbjuder flera typer av säkerhetskontroller, både en allmän IT-säkerhetsanalys och fördjupad trafikanalys, hotanalys, intrångstester och användarutbildning. Vi erbjuder naturligtvis även en hälsokontroll av Cisco Identity Service Engine, brandväggar med mera.
En hälsokontroll av din IT-säkerhet ger dig full status på hur din utrustning har det och minskar din risk. Detta är mycket bekvämt när det gäller budgetering för nödvändiga uppgraderingar, upptäcka sårbarheter, hålla dokumentationen uppdaterad och avslöja potentiella tekniska brister.
Kanske finns det någon utrustning du redan har i nätverket som du kan utnyttja bättre, kanske en genomgång visar att du är både dubbel- och trippeltäckt med överlappning?
Hör av dig till oss idag för att höra mer och boka en tid