Mycket arbete under det senaste året har landat i att en säkerhetsarkitektur sjösatts. En arkitektur som ser till att det som är skyddsvärt skyddas och som förenklar vardagen för den hårt arbetande informationssäkerhetsansvarige. Vad är då en säkerhetsarkitektur? Jo, det handlar om att ta fram ritningar och mallar där information passas in utifrån sin karaktäristik för att få tillräckligt skydd i den eller de miljöer den förekommer. I praktiken innebär det att system och processer analyseras i sin helhet och att identifiera de säkerhetsbehov som varje enskild del har. Därefter gäller det att se till att få upp heltäckande säkerhetslösningar och realisera dem enligt tydliga behov.
Så vad betyder detta på ett enklare språk? Jag börjar med att bryta ned beskrivningen: ”analysera system och processer”. Det betyder att man sätter sig ned och antecknar vilka system som används, var de sitter, hur de används, av vilka de används och vad som krävs för att de ska kunna användas. Denna lista, en nulägesanalys om du så vill, blir sedan utgångspunkten för det fortsatta arbetet.
Nästa begrepp: ”identifiera de säkerhetsbehov som varje enskild del har”. Det innebär att man utifrån varje system tittar på vilken informationsklassning systemet får och hur systemet exponeras samt vilka säkerhetskrav som finns, till exempel legala eller regulatoriska. Ett system som hanterar känsliga personuppgifter och som exponeras ut mot Internet har mycket starka legala krav att vara säkert mot intrång och informationsläckage (konfidentialitet). Ett annat system som ska visa öppen information på en publik webb är i sin tur viktigare att skydda mot illvillig manipulation (riktighet).
Sista begreppet: ”heltäckande säkerhetslösningar och realisera dessa enligt dessa behov” betyder att man utifrån systemlistan och säkerhetskraven börjar beta av vilka skyddsmetoder som måste finnas på plats. Eftersom få organisationer är gjorda av pengar så gäller det att investera medlem rätt. Varje system kan sällan hanteras helt enskilt, utan system bör grupperas utifrån likartad karaktäristik. Exempel på detta är att man har en gemensam brandvägg och en typ av antivirussystem. Det gäller att göra det bästa av situationen.
En säkerhetsarkitektur omfattar och beskriver alltså hur säkerhetskontroller (skyddsåtgärder) placeras och hur de relaterar till den övergripande IT-arkitekturen. Syftet med dessa kontroller är att säkerställa just konfidentialitet, riktighet, tillgänglighet och spårbarhet. Ritningen (eller mallarna) visar hur system- och säkerhetslandskapet ser ut och var man ska placera de olika skyddskontrollerna. I min senaste krönika skrev jag om en kontrollkatalog; det är här den kommer till användning.
Men hur kommer det sig att inte alla är här? Enkelt svar är: det finns för lite tid. En ensam informationssäkerhetsansvarig i en organisation har svårt att få tid att genomföra detta då det ofta är mer akuta åtgärder som kräver dennes uppmärksamhet. Likaså ställer en säkerhetsarkitektur krav på att organisationen har en relativt hög mognadsgrad och många andra processer och funktioner på plats. Innan man kommer hit så ska man helst ha en informationssäkerhetsledning och en riskprocess.
Informationssäkerhet är inte bara en persons ansvar, utan hela organisationen och det börjar på ledningsnivå.
Carl Önne
