Incidentträning

2006-04-02

Den ena rapporten efter den andra visar samma sak – allt färre vågar ta ansvar. Det har till och med gått så långt att man konstaterar att det är bättre att vara passiv än att agera. Framförallt är det våra folkvalda som fått klä skott för dessa iakttagelser och påstående. Faktum är dock att samma beteenden går att finna inom IT-branschen och inte minst inom IT-säkerhetsområdet.

Ett tydligt exempel där frånvaro av ansvar och engagemang kan få ödesdigra konsekvenser är IT-relaterade incidenter. Det kan vara allt från att en incident går obemärkt förbi till att man under hanteringen av en incident väljer att inte agera vilket i båda fallen kan orsaka stora skador. En otydlig ansvarfördelning och rädslan för att göra fel är ofta orsakerna till ett tvivelaktigt agerande i samband med en IT-relaterad incident. Flera hävdar att lösningar som helt eller delvis utkontrakterats lider mer av detta än lösningar som hanteras i egen regi. Detta påstående kan visserligen vara sant, samtidigt har den som utkontrakterat en lösning ofta tvingats gå igenom ansvarfördelning och avgränsningar varför man i flera fall är bättre rustade för hur man agerar vid en incident än andra.

Det är först vid en incident som bristerna brukar uppdagas och då är det ofta för sent att korrigera bristerna och incidenten kommer sannolikt att hanteras helt planlöst. Därför är det av största vikt att återkommande testa och träna de delarna av en organisation som berörs av en IT-relaterad incident. Test bör i möjligaste mån efterlikna en skarp incident och det bör givetvis ske oanmält för att träna under så realistiska förhållanden som möjligt. Detta bör sedan följas upp med någon form av workshop där man tillsammans går igenom händelseförloppet och stämmer av och justerar incidentplanen och andra incidentrelaterade dokument så att dessa stödjer incidentprocessen på bästa sätt. Syftet med en incidentträning får inte vara att leta syndabockar för det kommer sannolikt att prägla incidentprocessen negativt vilket i sin tur visar sig när det är skarp läge. Nej, syftet med övningen är skapa en trygg och intrimmad incidentorganisation.

Incidentövningar i IT-säkerhetssammanhang är inget märkligt. Det borde vara lika självklart som att testa att det verkligen går att återläsa en säkerhetskopia. Trots denna självklarhet är inte incidentträning någon vanligt förekommande företeelse. Den gamla devisen att “övning ger färdighet” gäller givetvis även här. Till denna devis kan adderas det faktum att det är bättre att öva en gång än ingen gång alls, men det lågvattenmärket borde rimligen inte behöva vara en realitet i ett IT-samhälle.

© 2006 Thomas Nilsson, Certezza AB