Når en IT-bestiller kan lære av en tømmermester
Vi i IT-sikkerhetsbransjen trenger at det stilles tydelige krav til leveransene våre. For bestillere kan det være et komplekst felt å sette seg inn i, men kanskje finnes det hjelp nærmere enn du tror.
Denne saken har tidligere vært publisert på Computerworld.
Jeg har alltid vært stolt av fatter’n, tømmermester Tømmernes, som kan transformere en haug med planker inntil hva som helst. Sist for et par år siden, da jeg hadde invitert en gjeng til middag på terrassen, men sto fortvilet uten terrassemøbler samme morgenen som festen skulle avholdes.
Møblene var selvfølgelig bestilt flere uker i forveien, med løfte om levering uken før middagen. Men jeg, som er i overkant opptatt av struktur, planer og ryddige linjer, nærmet meg hjerteinfarkt da jeg for tredje gang ringte møbelleverandøren og nok en gang fikk beskjed om at varene enda ikke var kommet til lageret.
Som en mann som pusher 50 burde jeg kanskje klart meg selv, men i den situasjonen var det et enkelt valg å slå på tråden til selveste Tømmermester Tømmernes. Og fatter’ns reaksjon, den var akkurat slik jeg kunne forvente: «Slapp av, vi bare lager møblene selv!»
Tømmerfagets MacGyver
Jeg må likevel tilstå at jeg var lettere skeptisk. Festen skulle starte åtte timer senere. I tillegg måtte jeg handle mat, gå på polet og ikke minst lage maten før gjestene kom. Men fatter’n spurte bare hvilke mål jeg ville ha på møblene, dro frem tommestokk og notisblokk og var tilbake fra Maxbo før jeg rakk å blunke.
Og som en tømmerfagets MacGyver forvandlet han plankehaugen til et hagebord på anabole steroider, med gode krakker med ryggstøtte på alle sider av bordet. Vips så hadde vi et hagesett til 20 personer, som sannsynligvis også vil overleve russetiden til begge tenåringskidsa mine.
Så hva har dette med min bransje, IT-bransjen, å gjøre?
Unngå snarveier
Jo, for det å ha ekspertise som både skjønner behovet, hvilke innkjøp som må gjøres og ikke minst kan sette dette sammen innenfor en angitt tidsramme, og uten avvik, har mange likhetstrekk med det man både kan og bør forvente fra et IT-selskap, eller en hvilken som helst annen prosjektbasert leveranse, for den saks skyld.
I en IT-leveranse er det et bredt spekter av ressurser som involveres. Det er kundeansvarlig (AM) som skal ivareta kundeopplevelsen, fagselgere som har spisskompetanse innenfor forskjellige grener av løsningsbehovet og løsningsarkitekter som designer løsningene. Det er også rådgivere som både utfører analyser og bistår kundene med å oppnå ønsket resultat, konsulenter som sørger for å sette opp de forskjellige løsningene, og sist men ikke minst, prosjektledere, som på lik linje med en byggmester kan samkjøre prosjektet, sørge for de rette bestillingene og kvalitetssikre at alle normer og byggekrav er ivaretatt.
På IT-sikkerhetsfeltet, som er mitt fagfelt, er det de samme ressursene som trengs for å kunne levere komplette IT-sikkerhetsløsninger som det som må til for at et håndverker-team kan sette opp et hus. Erfaringen viser dessverre at alle former for snarveier eller forsøk på å forbigå prosesser og struktur både resulterer i dårligere resultater og usikre løsninger, som gjerne resulterer i større økonomiske utfordringer.
Må trenes
Jeg mener at bestillere må trenes i hva de kan kreve av leverandørene sine, for å sørge for at de mest elementære grepene er tatt fra leverandørens side. Noen eksempler kan være å be leverandøren om å levere på NSMs grunnprinsipper eller myndighetenes 10 sikkerhetsanbefalinger.
I Atea har vi en egen forkortelse, TABBE, som står for minstekravene i en sikkerhetsleveranse hos enhver sikkerhetskunde – med huskeregel «unngå TABBEn»:
- To-faktor-autentisering
- Antivirus
- Brannmur
- Beredskapsplan
- E-læring.
Så hvorfor tar jeg til orde for at virksomheter skal stille større krav til de leverandørene de benytter seg av? Jo, for hvem som helst kan selge kilo og meter, akkurat som at jeg sikkert selv kunne handlet inn materialene som fatter’n brukte til å bygge med. Men den breddekompetansen som må ligge til grunn hos leverandøren for å få utformet ønsket løsning, og ikke minst å kunne få en garanti om en ende til ende kvalitetsleveranse, kan man bare glemme om man ikke benytter erfarne aktører.
Pass på vedlikeholdet
Så er det viktig å huske på å stille krav til leverandøren også etter at den løsningen man ønsker er på plass, for jobben er ikke ferdig med det. Akkurat som en ferdigstilt enebolig trenger vedlikehold for å unngå forfall og skader på huset, så trenger også en IT-sikkerhetsløsning det samme. Huset må blant annet males med jevne mellomrom, akkurat som sikkerhetsløsningene må oppdateres og oppgraderes.
De ytre påkjenningene på huset, som vær, vind, slitasje og i verste fall naturkatastrofer, har likhetstrekk med det dynamiske og raskt skiftende trusselbildet som virksomheters IT-løsninger til enhver tid står overfor.
Videre vil eksempelvis et standard vindu tåle normal bruk og slitasje, men vil sannsynligvis gå i stykker dersom en orkan treffer det. Det samme kan man si om en brannmur – denne gjør normalt jobben, men om noen utsetter den for en mengde angrep eller et massivt Ddos-angrep, vil også brannmuren «knuses». Det er derfor viktig å ha synligheten, så man klarer å oppdage at man blir angrepet, for så å kunne håndtere angrepene.
IT-vektere
Som huseier er det også fornuftig å være tilknyttet et vaktselskap som rykker ut ved skader, innbrudd eller brann. For de fleste gir denne ordningen langt bedre nattesøvn, også når man ikke er hjemme. De samme fordelene har man som bedriftseier dersom man er tilknyttet det vi i Atea kaller et Incident Response team (IRT).
De har en alarmsentral de følger med på og rykker ut om en virksomhet blir utsatt for datainnbrudd og virtuelle angrep, og løser utfordringene på lik linje som et vekterselskap. Da er prioriteringen som følger:
- Stoppe eventuell kriminell aktivitet på åstedet
- Begrense skadene
- Sikre verdiene
- Kontakte politiet og bistå med å skrive skademelding
Videre så betaler du som boligeier tv-abonnement, internettabonnement og faste avgifter for vann, renhold og kloakk, som gjerne kan sammenlignes med at bedriftseiere betaler for vedlikehold på både maskinvare (som maskiner, servere og printere) og programvare (programmer og apper).
Behov og forventninger
Det er med andre ord all grunn til å pleie og ta vare på IT-sikkerhetsløsningene man har i en virksomhet like godt som man gjør med sitt eget private hjem, og stille like store krav til leverandøren fra det øyeblikket man ser seg om etter noe nytt. Både kompetanse, metodikk og gjennomføringsevne er helt avgjørende.
Start alltid med et enkelt forprosjekt der virksomheten benytter en rådgiver som utfordrer både leverandøren og virksomheten, og som gjør både behovsavklaringer og analyser. Har man gjort et godt forarbeid og avdekket både behov og forventninger, har man kommet langt på vei.
Jeg for min del føler meg skikkelig privilegert som har pappa MacGyver som hjelper meg ut av enhver håndverkerknipe jeg måtte komme opp i. Og i tillegg til at jeg kjenner ham godt, så vet jeg at han har papirer på kompetansen sin også, for de henger fortsatt på veggen hjemme i gangen hans.
Inntil skrivelysten tar meg igjen, følg meg gjerne på Twitter @TTmmernes.
//Thomas