”Lessons learned” är en term som ofta dyker upp i samband med att olika projekt och aktiviteter avslutats. I synnerhet de aktiviteter som inte gick så bra. Men du behöver inte söka dig till projekt för att hitta lärdomar värda att begrunda.
Jag spenderar just nu mycket tid åt att sitta på vardagsrumsgolvet och bygga torn åt min son (tio månader). För varje kloss jag lägger får jag direkt feedback.
I början är allt enkelt.
Ett antal klossar in börjar jag ångra att jag inte var lite mer petig med hur jag staplade de första tre. Mot slutet ger det svajiga tornet mig direkt feedback. Hela min kropp är på spänn när mina ögon och fingrar läser av att hela konstruktionen viker av åt höger. Jag kompenserar klossens placering men vet, instinktivt, att nästa kommer innebära en ännu svårare utmaning.
Eftersom hela övningen är att bygga ett torn som min son med ett stort leende kommer att riva på mindre än två sekunder så kan jag sluta där. Jag behöver inte tvinga konstruktionen vidare när den så tydligt bågnar under sin egen orimlighet.
Tyvärr så finns denna omedelbara återmatning inte där när man konstruerar komplexa system i verkligheten. Samma brist finns när det gäller att designa en systemarkitektur som klarar av att skydda information, det vill säga att bygga något säkert.
Om världen hade varit skapad så att alla i ett mötesrum kände ”tornet svaja” när den arkitektur man håller på att designa inte längre håller för det den är tänkt för så skulle färre osäkra system finnas.
Håller det som vi bygger?
Det finns de som hävdar att problem löser vi sen, alltså en ”ship first, then patch” mentalitet. Nog är det så att vi lever i en tid då ”patchning i efterhand” verkar oundviklig men att låta det vara en aktiv taktik är vanskligt. Dels så har vi i Internet of Things kölvatten situationer och system där ingen möjlighet till patchning finns. Dels så finns det ingen garanti att den en allvarlig svaghet hittas av någon som har välviljan att rapportera in problemet så att det kan rättas till. Istället kanske den samlas på hög av någon underrättelsetjänst eller nyttjas som inkörsport för en ”Wanna Cry Next Generation Plus” ransomware.
Vägen framåt är istället att när du till exempel designar ditt nätverk, eller säkrar upp dina system, få på plats något som kan varna för när saker och ting börjar gå snett. Kanske innebär det att regelbundet ställa sig själv frågan ”Håller det vi bygger?” till exempel genom upprepade säkerhetsanalyser eller att fråga den leverantör man har ”Hur vet ni att det ni bygger inte svajar?”.
Upprepade analyser är en del i att bygga lösningar som håller när kraven på säkerhet är höga. Läs mer i vårt White Paper om assurans.
Håkan Ahrefors, PhD, CISA, Security and Compliance Specialist, Advenica AB
