Skydda er verksamhet: råd och strategier för säkra system

Säkerhet och kvalitet är två hörnstenar i utvecklingsarbetet hos Whitespace. Johan Westin, CTO och säkerhetsexpert, delar här med sig av sina bästa råd för att hantera säkerhetsutmaningar, från att minimera risker till att agera snabbt vid incidenter. Dessutom ger han insikter om hur kontinuerlig kvalitetssäkring bidrar till robusta och pålitliga system.

Vad är det vanligaste orosmomentet kring säkerheten som era kunder uttrycker?

– Den absolut vanligaste frågan vi får från IT-chefer är: "Vad händer om vi blir hackade?" och "Vad gör ni för att förhindra att vi blir hackade?". En av grundstenarna i vårt säkerhetsarbete är att minimera kontaktytan mellan alla system så mycket som möjligt. Det uppnår vi genom att stänga av funktioner som inte behövs och säkerställa att endast de som behöver tillgång till systemen har det, både internt och externt. Regelbundna och om möjligt automatiserade säkerhetsuppdateringar är också ett måste för alla våra projekt.

Vad görs om olyckan trots allt skulle vara framme?

– Om vi misstänker ett intrång eller ett dataläckage, är det något som alltid engagerar hela vår ledningsgrupp på Whitespace. Oavsett vad som har hänt, vill vi utreda exakt varför det inträffade och vilka åtgärder vi kan vidta för att förhindra att det sker igen. Vi förlitar oss på vår krisplan, alltså färdiga rutiner med kontaktvägar och detaljerade steg som ska följas.

Det är svårt att agera rationellt och kontrollerat mitt i en kris, och det är lätt att fatta beslut som kanske inte är så väl genomtänkta. Därför rekommenderar vi alla att upprätta en krisplan innan något händer, då kan man snabbt komma tillbaka på banan och minimera skadorna.

Dessutom skadar det inte att vi gärna har trippla backuper av allt och redundanta system för att hantera situationen om olyckan är framme. En RTO (Recovery Time Objective) på mellan 2 och 4 timmar anser vi vara fullt rimligt.

Hur kan man ligga steget före och täppa till säkerhetsluckor som kan uppstå?

– Vi väljer att arbeta med öppen källkod eftersom vi anser att de säkraste produkterna finns där. Vi har även möjlighet att själva granska källkoden och åtgärda eventuella fel direkt, eftersom den är öppen och tillgänglig för alla. Om vi upptäcker och åtgärdar ett fel är det också enkelt att se till att andra kan ta del av samma fix.

Det gäller också att vara noggrann när man väljer vilka plattformar man arbetar med inom öppen källkod. Just nu ligger vårt fokus på WordPress, Municipio, Drupal, Matomo och Next.js. Det här är etablerade plattformar där det finns många utvecklare och organisationer som hjälper varandra att både identifiera säkerhetsluckor och skapa säkerhetsuppdateringar för dem.

Ett tips är att använda automatiska verktyg för att utföra alla uppdateringar samt för att säkerställa att man får information om det finns en uppdatering till någon av sina plattformar.

Hur ser ett bra kvalitetsarbete ut?

– En viktig del är att man arbetar med kontinuerliga releaser och en tydlig process för hur ny kod ska granskas av flera personer. Då fångar man buggar och fel tidigt i processen. Hos oss har vi även tydliga testperioder där medarbetare från olika roller inom organisationen hjälper till att testa alla våra system.

Hur görs riskbedömningar när det gäller säkerheten?

– Säkerhetsarbete måste alltid sättas i relation till de identifierade riskerna. När vi utvärderar säkerhetsbehoven hos en kund analyserar vi vad som ska skyddas, från vilka hot, och anpassar sedan säkerhetsnivån efter varje specifik situation. Detta innebär att vi noggrant överväger vilka åtgärder som är mest lämpliga baserat på hotbilden och de tillgångar som behöver skyddas.

Tyvärr har den globala situationen under de senaste åren tvingat oss att avsevärt höja grundnivån för säkerhetsåtgärder. Detta är en direkt konsekvens av ökade hot och komplexa risker som vi står inför, vilket kräver mer robusta och omfattande skyddsåtgärder. Vi är dock fullt medvetna om att varje projekt och miljö har sina unika krav och utmaningar, och därför skräddarsyr vi alltid våra lösningar för att möta dessa specifika behov.