Av flera olika anledningar har det blivit väldigt populärt med kontinuitetsplanering, katastrofplanering, BCP eller vilken rubricering som nu känns bäst. Media är inte sen att kroka på, eller är det kanske omvänt. Det vill säga att trenden snarast är ett resultat av medias fokusering på just detta som ett resultat av ett antal större haverier senaste tiden. Oavsett vilket så finns det kanske behov av en viss tillnyktring.
Övning ger färdighet är ett uttryck som lätt kan appliceras på området och är av oerhörd vikt. Ämnet kan ibland bli väl teoretiskt och när det väl inträffar en större incident så kan förarbetet snarare vara ett hinder än en hjälp. Det jag fascineras över är att när det väl skall övas så är fantasirikedomen stor. Det skall gärna vara ett scenario i kolossalformat, gärna ett som är högst osannolikt. För en organisation som redan har dåligt samvete för ett eftersatt informationssäkerhetsarbete så kanske övningsobjekten skall hållas på en mer sansad nivå. Vad sägs om att lära sig att krypa innan det är dags för en triathlonövning där alla grenar ersatts med helt nya?
Struktur är ett annat uttryck som är lätt att applicera. Här finns flera ytterligheter som fascinerar. Mest imponerar den som alltid står i startblocken, oavsett tid på dygnet och alltid i perfekt kondition, redo att ta några vitala servers under armen och flytta dem till en mer levande driftsajt. Grundkriterier som transport av IP-paket och namnuppslagning verkar heller inte vara några hinder för den entusiastiske. Möjligt att det numera finns trollspön som retroaktivt kan påskynda förändringar i en organisations annars så jämförelsevis statiska DNS och att det ger effekt även utanför den egna organisationen.
Det faktum att just den grundläggande infrastrukturen med fördel kan förberedas inför en katastroflik situation är något som inte nog kan poängteras. Hur hanterar du ändringar i en DNSSEC-signerad zon där din hidden master inte längre är tillgänglig? Ett scenario som borde vara självklart för den som nu lägger krut på att bygga en robust infrastruktur.
Förutsättningarna för att lyckas i sitt informationssäkerhetsarbete har aldrig varit bättre. Som tidigare nämnts i tidigare krönikor har Myndigheten för samhällsskydd och beredskap (MSB) tillsammans med myndigheter med särskilda uppgifter inom området informationssäkerhet (SAMFI) gjort en utmärkt insats med avseende på bra grundmaterial. Det finns givetvis ännu mer att önska. Men, det kommer aldrig att finnas så pass mycket mallar, dokument och bra exempel att var och en inte behöver göra sin egen hemläxa.
Börja i rätt ände. Kartlägg vad som är av yttersta vikt för att din organisation skall överleva ett katastroftillstånd. A&O är en fungerande informationsstruktur. Slutligen, lägg en infrastrukturell grund som är robust nog att hantera eventualiteter som täcker merparten av de scenarios som verkar sannolika. Inträffar det osannolika, och du vet vad som är av värde, hur du skall informera och samtidigt har en stabil grund att stå på, då kan du agera utan att drabbas av panik.
Strategier, operativt arbete och teknik måste samverka, inte minst när det som inte får inträffa, inträffar.
Thomas Nilsson
