Säkerhetssnack: Orkaner, IT-skandaler och krishantering

I det nya avsnittet av Säkerhetssnack lyfter Christoffer och Olle blicken och funderar – utifrån väderkatastroferna i Karibien och USA – på det här med krisberedskap och hur man bäst hanterar en katastrof.

Författare: F-Secure Business Security Insider
Datum: 13.09.2017
Lästid: 3 Minuter

Oavsett vad det är som orsakar ett tillfälligt avbrott så är det något som i idealfallet hanteras skyndsamt och på ett sätt som gör att det inte ens märks. Då har allt fungerat – en del av systemet har gått ner och det finns ett backup-system som går igång när huvudsystemet fallerade.

Det är detta som ofta kallas redundans. Och under lång tid har det varit ledstjärnan för alla som bygger högtillgängliga system – man sätter helt enkelt upp två (eller flera) exemplar av varje exponerad del så att det alltid finns något att falla tillbaka på.

Men i och med den snabba utvecklingen i molnet har vi sett något av ett paradigmskifte mot distribuerade plattformar. När man bygger lösningar som snabbt kan skala upp och ner med molnleverantörer så får man, så att säga, redundansen på köpet.

Båda synsätten kan fungera alldeles utmärkt som skydd mot långvariga strömavbrott, lokalbränder och liknande – men de förutsätter att alla inblandade parter spelar enligt regelboken. Om en användare tillexempel ser till att föra in felaktig data i en databas, men gör det på rätt sätt så spelar det ingen roll. Data synkroniseras och den felaktiga informationen sprids.

Beroende på hur systemet är uppbyggt kan det vara allt från relativt enkelt till enormt komplicerat och tidskrävande att sortera bort den korrupta datan.

Här behövs andra lösningar och ett annat synsätt för att skydda sig, men så är det också en helt annan typ av risk.

Olle och Christoffer konstaterar att det är den kanske största utmaningen i det här – att göra en korrekt riskanalys och sedan prioritera rätt gällande vilka risker man kan skaffa ett proaktivt skydd emot. För de allra flesta företag och organisationer är det inte ekonomiskt möjligt att skydda sig mot allt. En del saker behöver man helt enkelt räkna med att – om det inträffar – kommer det att göra det omöjligt att fortsätta arbetet som vanligt.

Då gäller det istället att ha en plan för hur man bäst hanterar den typen av situationer när de uppkommer – en så kallad ”business continuity plan”. Det gäller inte bara it-system och informationsbearbetning, det gäller även sådant som hur ska vi kunna fortsätta arbeta om en naturkatastrof inträffar – och i förlängningen även, hur ska vi agera om något inträffar som gör att vi inte kan fortsätta verksamheten. Allt från kommunikation till anställda och till kunder, till reservplaner för att komma tillbaka så snabbt som möjligt.

Några saker kan man göra för att underlätta om ett läge av den här typen skulle inträffa – se till att bygga så tålig infrastruktur som möjligt är en bra början. Och att öva på olika typer av incidenter och katastrofscenarion är en bra fortsättning – ungefär som de allra flesta har brandövningar idag.

”Det är kanske ett tecken på att vi kommit längre när det gäller brandskydd än informationssäkerhetsskydd.”, säger Olle Segerdahl i poddavsnittet.

I avsnittet hinner Olle och Christoffer även dyka ner på djupet i vad som egentligen orsakat stormen runt Polisen och GD:n Dan Eliassons beslut kring krypteringslösningar. Kanske är det så att vi ställer fel frågor och funderar över fel problem här?

Lyssna på avsnittet ”Orkaner och IT-skandaler” här, på Itunes eller där du vanligtvis får ditt poddbehov tillgodosett.

Och följ gärna @sakerhetssnack på Twitter!


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s