Tänk tillit tidigt – effektivisera din IT-säkerhet

2014-06-13 Artikelbanken Kravhantering Läst 6710 gånger

År efter år rapporterar bolag som Verizon, IBM med flera om att relativt enkla medel behövs för att hindra majoriteten av rapporterade datorintrång. Att IT-säkerhet behöver bli en del av produktutveckling och tjänsteleverans är de flesta överens om, men hur ska vi göra detta? I denna artikel föreslår Konsultbolag1 hur krav- och testspecialister kan addera IT-säkerhet i sitt fokus och på så sätt bidra till en ökad kvalitet i applikationer och system. Att integrera IT-säkerhet med konventionell kravhantering och test är ett sätt för att möta de ökade kraven på säkrare applikationer och IT-system.

Prolog

På övervakningsskärmen börjar det blinka ett gult sken på ikonen för Svanvägen 13, – Familjen har lämnat huset nu, det är tomt och Konsult-002 kan gå in. Från larmcentralen på Skumgränd 666 styrs Syndikatets inbrottskonsulter till rätt villor; med hjälp av hackade hemmalarm och dörrlås kan Syndikatet enkelt se till att alla inbrott enkelt utförs utan att tjuvarna blir störda. Såklart bryter de sig in på riktigt när huset är tömt, så att ingen ska förstå hur inbrottet egentligen gått till. – Ajdå, Familjen Jansson är på väg hem, Konsult-007 hinner aldrig bli klar. Se till att skicka ett mail från kylen att mjölken är slut, då kanske familjen stannar på ICA Stop så att Konsult-007 hinner därifrån.

Nya möjligheter, nya utmaningar

Är beskrivningen ovan en dystopi eller är det en beskrivning av en snar framtid? Det återstår att se, men helt klart är att uppkopplingen av vår omvärld går med rasande fart och att utmaningar med att upprätthålla informationens sekretess, riktighet och tillgänglighet kommer att öka. De senaste månaderna har vi kunnat läsa om kylskåp som skickat SPAM-mail och TV-apparater som kan hackas. Nu senast kunde vi läsa om att smarta mobiler används för att läsa av RFID-information från kredit- och bankkort, en ny form av skimming. Fokus på mer funktionalitet och nya möjligheter tack vare teknikutveckling medför att gamla hotbilder flyttar över i nya miljöer; vi kommer att få se nygamla intrång som ingen kunde förutsäga. Internet-of-things-havet är fullt med svarta svanar.

Komplex utmaning

Vi berör här frågeställningar som spänner över hela verksamheten i termer av till exempel organisation, ansvar, kompetens och processmognad. Många olika specialistkompetenser behövs för att adressera hela problemrymden, men vi väljer i det följande att fokusera på hanteringen av säkerhetskrav och testplanering.

Att hantera säkerhetskrav måste hänga ihop med behovsanalyser och konventionell kravhantering. Likaså behöver vi integrera säkerhetstestning med konventionell testning. Att inte hantera säkerhetskrav med övriga krav kan skapa situationer där komplexa samverkanseffekter uppstår mellan olika typer av krav, till exempel mellan användbarhet och säkerhet. Att uppfylla ett krav kan innebära att vi har sämre möjligheter att leva upp till ett annat, se Figur 1. Ett exempel på en sådan motstridighet är höga krav på mobilitet av en tjänst (nåbar från många kanaler och situationer) samtidigt som vi har höga krav på identifiering av användarna, inte ovanligt inom finansiella sektorn.



Figur 1: Att söka jämvikt mellan olika kravområden är en utmaning

Icke-funktionellt och funktionellt

Eftersom IT-säkerhet är en kvalitet bland andra kvaliteter behöver vi hantera säkerhetsfrågor tillsammans med frågor som kostnad, användbarhet och verksamhetsbehov. (Vissa säkerhetskrav är tvingande och dessa kanske måste hanteras på andra sätt, till exempel lagar.) Om vi väljer att använda detta förhållningssätt för att arbeta med säkerhetskrav, kommer vi att kunna koppla säkerhetsparametrar direkt på kraven och på så sätt också tvinga in testning och testbarheten av säkerhetsparametrarna.

Låt oss ta ett användningsfall som exempel, men kom ihåg att principen kan appliceras på kraven oavsett i vilken form de dokumenteras. I detta fall har vi en patient som skall kunna se sin egen journal och boka besök på en läkarmottagning. Men enligt patientskyddslagen skall ingen obehörig kunna se patientens journal, eller kunna se vart denne bokat nästa läkarbesök. Här får vi direkt en rad säkerhetskrav som måste beaktas i samband med att användningsfallet dokumenteras och beskrivs.



Figur 2: Användningsfall följs åt av Missbruksfall

När vi sedan fortsätter dokumentationen kan dessa säkerhetskrav ligga till grund för en testplan där säkerhetsrelaterade tester kan avläsas direkt från användningsfallen.

Effektivare säkerhetstester

Säkerhetstester genomförs ofta sent i utvecklingsprocessen, man vill helt enkelt testa ett så produktionslikt system som möjligt. Inte sällan utför tekniskt orienterade säkerhetsspecialister dessa säkerhetstester. Men tyvärr får dessa specialister ofta använda mycket av sin tid åt att hitta uppenbara säkerhetsbrister som uppstår då vi inte har arbetat tillräckligt metodiskt och noggrant med säkerhetsfrågor i de tidigare utvecklingsfaserna. Om vi åskådliggör alla möjliga testfall i en figur, kan säkerhetstestaren alltså hitta säkerhetsbrister i hela mängden möjliga testutfall, se Figur 3.




Figur 3: Konventionell säkerhetstestning hittar alltid något

Om vi nu tänker oss att vi arbetar med säkerhetskrav tillsammans med konventionell kravhantering kommer vi att kunna planera för säkerhetsrelaterade tester i samband med komponenttester, integrationstester och regressionstester. Detta innebär att vi har testat en del av hela testrymden när de konventionella säkerhetstesterna skall utföras. Detta resulterar i att de säkerhetstester som skall utföras nära produktionssättning kan fokusera på kvalitativa och komplexa säkerhetsproblem.




Figur 4: Kombinerade säkerhetstestning i utvecklingsprocessen och konventionella säkerhetstester ökar kvaliteten


Resultat - ökad tillit!

För att komma tillrätta med utmaningar kring IT-säkerhet kopplat till den snabba utvecklingen idag behöver vi arbeta strukturerat med säkerhetskrav i samband med att vi arbetar med konventionell kravhantering och testplanering. Slutresultatet blir ett system vars säkerhetskrav gjorts testbara och utsatts för tester i hela utvecklingsprocessen. Detta medför en känd säkerhetsnivå på systemet och sålunda en grund för ökad tillit.

Vill du veta mer?

Konsultbolag1 levererar specialisttjänster inom kravhantering och test; sedan mars 2014 erbjuder vi också informations- och IT-säkerhetskompetens kopplat till våra specialistområden. Vid sidan av specialistkonsulter erbjuder också Konsultbolag1 utbildning inom sina kompetensområden.

Nästa steg

Dela artikeln