Disciplin och säkerhet

av Stefan Pettersson

Disciplin (från latinets disciplina – uppfostran, handledning, som i sin tur kommer från discipulus – lärjunge, elev). Uppfattas som synonymt med upprätthållande av ordning och regelföljande. […] En disciplinerad person uppfyller sina åtaganden och handlar i enlighet med sin föreställning om vad som är bäst att göra, även då ett sådant handlande medför ett obehag på kort sikt.

Ovanstående är kopierat från Wikipedia och fångar väl vad disciplin innebär för mig. Vi börjar med lite deduktion (med reservation för osanna premisser):

  1. En disciplinerad person uppfyller sina åtaganden.
  2. En person som uppfyller sina åtaganden kan man lita på.
  3. Man kan lita på en disciplinerad person.

Många associerar disciplin med officerare, gärna i ridstövlar, som skriker åt soldater att fickorna ska vara knäppta. Det är ju förstås inte fel, fickorna ska vara stängda av en anledning. Även om det är jobbigt att behöva öppna och stänga dem varje gång man ska plocka upp eller ner något så måste det göras, annars riskerar man tappa fickans innehåll. Att öppna och stänga fickan är ett ”obehag på kort sikt”.

Journalisters syn på säkerhet
Ofta när säkerhetsexperter blir intervjuade avslutas intervjun med en fråga i stil med ”Kan du nämna ett par enkla steg för ett företag att öka säkerheten?”. Sådana frågor är lite förolämpande och ger mig lust att fråga journalisten efter ett par enkla steg för att bygga upp och driva en framgångsrik tidningsredaktion.

De (få) gånger jag ställts inför frågan har jag svarat att ordning och reda är grunden för att kunna öka säkerhetsnivån. Några ”enkla steg” som fungerar finns inte. Om du har ordning och reda; vet vilka servrar som finns, vilka tjänster som kör på dessa, vad de används till, vilka som använder dem, när de används, varifrån o s v så har du förutsättningarna för att bestämma vad som får och inte får ske.

Disciplin passar bra in i resonemanget. Det krävs disciplin för att hålla säkerhetsnivån:

  • Att byta ut MySQL-root-lösenordet från ”demo1234” till något bättre när testsystemet blir produktionssystem.
  • Att dokumentera vilken nätverkstrafik som är väntad till och från servern så att brandväggen konfigureras korret.
  • Att stänga av och avinstallera den där IMAP-servern som installeras automatiskt med operativsystemet men inte används, trots att den ändå ”är bakom en brandvägg”.
  • Att använda sudo för att genomföra åtgärder som root istället för su så att man får någon form av spårbarhet.
  • Att kontrollera den publika nyckeln första gången man loggar in mot en SSH-server.
  • Att skriva rutiner i backupscriptet så att den säger till när en backup misslyckas.
  • Att inte använda domänadmin-konton för att, slentrianmässigt, logga in på användares datorer.
  • Att testa återställningen av backup med jämna mellanrum.
  • o s v

Allt det här är exempel på ”obehag på kort sikt”. Precis som med soldatens ficka så kan man blankt skita i att knäppa den. Det är bekvämt att låta bli. Det är inte säkert att något förloras. På sikt, however, så ökar risken. Med disciplin kan du lita på vilket tillstånd ditt nätverk befinner sig i. Utan disciplin kommer ditt nätverk att bli en knarkarkvart med tiden.

Intressant nog så är det svårt att upptäcka att nätverket är en knarkarkvart. Hade det gällt för kontorslandskapet skulle det ha upptäcks omedelbart så fort besökare kommer. Förhoppningsvis kan vi återkomma till det här.


Stefan Pettersson

Annonser