Strukturerat it-säkerhetsarbete – vad kan vi lära oss från andra branscher?

IT-säkerhetsarbetet beskriv ofta som ett konstant släckande av bränder. En arbetssätt ingen är nöjd med men de flesta känner igen. Att ständigt vara utsatt för och hantera incidenter är inte unikt för it-säkerhetsbranchen. Andra brancher hanterar likande situationer dagligen. Frågan är om vi som arbetar inom IT-säkerhet ka ta lärdom från andra branscher?

Att hantera kritiska situationer är vardag för företag som arbetar med personskydd och utredning av kidnappningar. På Sig Securitys fokuskväll i slutet av augusti, berättade Scandinavian Risk Solution om vikten av ett strukturerat säkerhetsarbete. Vid en händelse där livet ställs på sin spets för den drabbade och dess omgivning står det strukturerade säkerhetsarbetet som en trygg livlina att hålla fast vid.

• Strukturerat arbetssätt kan användas för att förbereda för oväntade situationer.  Att arbeta med oväntade händelser beskrivs ibland inom it-säkerhet, som ett argument för att inte genomföra en grundligt förberedelse; det är ingen mening med att förbereda när man inte vet vad man ska förbereda sig på. Inom personskydd/kidnappningar resonerar man på ett rakt motsatt sätt och här är förberedelser en nyckelfaktor. Förberedelser för oväntade händelser måste utföras enligt en strukturerad metodik. Nogrannt genomarbetade hot och riskanalyser ger möjlighet att identifiera tänkbara scenrios. Utifrån dess resultat görs en handlingsplan för hur incidenten ska hanteras. Arbetet sker på ett generiskt plan vilket lämnar utrymme för den variation som det oväntade innebär. Genom att arbeta sig igenom kontrollpunkter kan den generiska handlingsplanen leda till en specifik hantering av den oväntade händelsen. Det oväntade blir med en strukturerade arbetsmetodik, bara en helt vanlig händelse att hantera.  
• Strukturerat arbetssätt kan användas för att förbereda inför svåra beslut. En viktig del av krishantering är att våga ta svåra beslut. För att ta rätt beslut måste roller och mandat vara klara och en konsekvensanalys genomförd. Vem beslutar om hurvida lösensummor ska betalas ut till en kidnappare? Vem beslutar om ett nätverk stängas ned? Genom att arbeta efter en strukturerad riskbaserad metod, kan processer och beslut kopplas till varandra. Genom att idetifiera och förbereda för beslutet ges de inblandade en chans att mogna i beslutet, udden av det svåra i beslutet kan då kapas.

I kontrast till kidnappshanteringens turbulenta värld står flygbranschens inrutade vardag. Säkerhet inom flygbranschen presenterades av Norwegians Morte Ydalus på samma fokuskväll. Flygbranschens säkerhetsarbete kan beskrivas som ett nogrannt monitorerande av stora mängder data.

• Strukturerat arbetssätt kan användas för att upptäcka avvikelser. Att identifiera en avvikelse, kräver kunskap om det normala bruset. Inom flygbranschen är monitorering en självklar företeelse. Alla moment noteras och förs in i statistiken. Att upptäcka en avvikelse kan vara svårt. En avvikelse kan vara små förändringar på flera ställen, som identfieras genom att kombinera de små variationerna ur bruset. Flygbranschen ser monitorering och avvikelsehantering som ryggraden i sitt säkerhetsarbete. Inom it-säkerhet är detta långt ifrån ett naturligt vardagsinslag. Moganden är i många fall låg och ambitionsnivån måste taktas med kapacitet. Alla organisationer har/kommer inte ha kapaciteten att koppla på en SIEM lösning på sin loggning. Men ett strukturerat arbetssätt kan uppnås genom att vidhålla konsekvent uppföljning. Fråga samma fråga, göra det med givna intervaller och dokumentera svaren!
• Strukturerat arbetssätt kan användas för att utvärdera säkerhetsarbetet. Målbilden för it-säkerhet är ofta lite luddiga, vi önskar att bli bättre och hantera färre incidenter. Sällan diskuterar vi hårt definerade gränser. Vilka organisationer vet på dagen när de nått gränsen för acceptabel risk? Inom flygbranschen defineras acceptabel risk enligt givna kriterier. En överträdelse ger upphov till ett larm som skickas till objektägaren. Genom att definera våra mål med mätetal kan vi följa upp våra prestationer. Detta skapar en konkret och tydlig bild av vår förmåga. Att våga definiera våra mål skapar en insyn i vårt säkerhetsarbete som inte alltid är så smickrande, men helt nödvändig.

De förutsättningar och händelser som vi hanterar inom IT-säkerhet är inte unika. Efter en snabb insyn i andra branscher kan vi konstatera att det finns konceptuella likheter. Genom att studera dessa branschers arbete kan vi lugnt säga att IT-säkerhet har mycket att lära. Det är inte nödvändigt för oss att uppfinna hjulet igen, vi kan dra mycket nytta av det arbete som finns etablerat. Att branscher som ligger  i framkant inom sitt säkerhetsarbete, betonar vikten av ett strukturerat arbetssätt, är något vi alla måste lyssna till. Det finns inga genvägar! Vi rekommenderar alla att hålla hårt i det strukturerade säkerhetsarbetet.