Det finns inga gratiskrav
av Stefan Pettersson
Det här är en post-it som sitter strax till höger om min skärm vid skrivbordet. Den är till för att påminna mig om att påminna personer i min närhet om att ”Det finns inga gratiskrav”.
I mina ögon är säkerhetskravställning lite av en konst. Inte för att det är svårt, på sätt och vis är det ganska enkelt att ställa säkerhetskrav: det finns en hel industri kring it-säkerhet som har tagit fram saker från säkerhetsövervakningsavdelningar till MAC och allt där i mellan.
När du sitter med ett system under utveckling och ska formulera säkerhetskrav har du hur många krav som helst att välja på. Häri ligger konsten, du kan inte ställa hur många som helst för förr eller senare ska kraven uppfyllas; någon ska implementera MAC-kontrollen eller organisera säkerhetsövervakningsavdelningen och det kostar resurser i tid och pengar.
Att välja säkerhetskrav
Varje säkerhetskrav kostar resurser och sådana är alltid begränsade. Konsten är att ställa de säkerhetskrav som ger mest bang for the buck. Säkerhetskrav kostar olika mycket resurser och bidrar med olika mycket säkerhet så i grunden handlar det om en cost/benefit-analys för varje krav.
Är den säkerhet som kravet bidrar med värd besväret?
För att kunna svara på denna fråga måste man har koll på tre saker:
- Vad kostar kravet?
- Hur mycket säkerhet ger kravet?
- Vilket behov av säkerhet finns?
Tyvärr finns inga exakta svar på någon av frågorna, det finns inte ens ganska exakta svar, så vi kan sällan räkna på det med siffror. (Jag refererar till två äldre inlägg: Att mäta säkerhet på Internetdagarna och Att mäta säkerhet igen.)
Jag sprang på ett fantastiskt citat igår kväll på tal om det här, ett av ekonomilegenden Keynes (nu såg jag att det inte alls var han utan tydligen Carveth Read):
It is better to be vaguely right than exactly wrong.
Det kommer att handla om olika bra uppskattningar till svaren. Man ska göra avvägningen i alla fall; men man måste acceptera att det inte är en exakt vetenskap och handla därefter. Det här leder ofta till något som det är modernt att hata inom säkerhet; något som slarvigt kallas magkänsla. Jag gnäller en del över det i Att mäta säkerhet igen-inlägget om du är på humör för sånt, annars lägger vi det åt sidan.
Av de tre frågorna följer att alla säkerhetskrav inte är lika mycket värda. Vissa saker ger mycket säkerhet för lite resurser medan andra ger förhållandevis lite säkerhet i utbyte mot stora resurser. De förstnämnda är no-brainers, de sistnämnda kräver analys; kanske är just den lilla säkerhetsdetalj som erbjuds ett måste som inte går att uppnå på något annat sätt? Kanske kan vi inte avgöra riktigt utan blir tvungna att köra för att vara på säkra sidan?
Rabatt på säkerhetskrav
När vi ändå har börjat tala i ekonomiska termer kan vi lika gärna fortsätta, men det får bli nästa gång. Trevlig tredje advent!
It-säkerhet enligt HPS 
Så sant! Dessvärre är det inte bara inom säkerhetområdet. Vi (jag) lider av detta inom vårt företag också. Häftiga och coola funktioner skall läggas in, helst strax innan leverans, och det kostar! Mer oöversiktlig och snårig kod, svår att underhålla, felbenägen och precis; osäker!
Precis och det gäller även säkerhetsfunktioner. Det är inte nödvändigtvis en engångskostnad, krav kan kosta genom sin livstid och komplicerad kod är en väl dold kostnad.
Man kan summera att allt kostar. Även kod av dålig kvalite kommer kosta om inte i administrativa personalkostnader så när informationen/guldäggen du försöker skydda har fått fötter.