Dokumentation
Det är ju alltid bra att det finns dokumentation över den hårdvara och de funktioner som finns i ert nätverk. Teknisk dokumentation ska inte förringas, för den behövs. Lika så policys och ‘how-tos/runbooks’. Värdet som fås ut av dokumentationen är kopplad till kvaliteten av dokumentationen. Det ställs krav på tydlighet, korrekthet och att dokumentationen är uppdaterad.
Att upprätthålla en korrekt dokumentation över alla enheter och funktioner som ert företag har är ett stort jobb. Men också ett viktigt sådant. Verktyg som en Wiki, Confluence eller SharePoint underlättar men en gemensam mapp med Excel- och Word-dokument är en bra början.
Hur kopplas detta till säkerheten för ert företag?
Motsatsen till dokumentation kan ju enkelt ses som en säkerhetsfråga. Icke dokumenterade enheter och funktioner kan glömmas bort vid patchning och uppdatering, överses vid rutinfunktioner och missas vid penetrationstester.
Uttalade policys och förhållningsregler som inte är dokumenterade missas lätt av nyanställda eller temporära resurser som konsulter. Kanske även personal som jobbat länge men som ändå inte gör vissa rutiner då det inte finns någon uppdaterad (kanske ingen skriven alls) dokumentation. Utan det görs på ett “så har vi alltid gjort det” maner, vilket ibland är rätt och andra gånger bryter det mot policy eller förhållningsregler.
Felaktig dokumentation, en början eller gissel?
Gammal och/eller felaktig dokumentation kan vara till viss hjälp. Men också i vissa fall vara skadlig för den övergripande säkerheten. Dokumentation är “levande” och behöver uppdateras i den takt som förändringarna görs för vad dokumentationen täcker. En felaktig och/eller gammal dokumentation kan leda till driftstopp. Till exempel ifall det finns öppningar i brandväggen som är icke-dokumenterade och då de inte ska användas till något stängs ner. Detta med effekt att en eller flera funktioner för företaget slutar att fungera.
Enskild personal som har all kunskap?
Ibland träffar vi på en person, som ofta jobbat länge på företaget, som sitter på informationen om hur allt fungerar. Allt ifrån minsta inställning till den övergripande bilden. Det underlättar ju att fråga den personen MEN vad händer om den personen väljer att lämna företaget? Anställning på annat företag eller går i pension? Sjukdom eller olycka som får personen att vara frånvarande en längre period? Finns det då dokumentation som täcker upp för den kunskapen personen i fråga har? Eller blir det ett stort svart hål av bristande kunskap om hur allt fungerar?
Utspridd dokumentation på flera ställen
Om dokumentationen är utspridd både här och där missas den ofta. Kanske är det till och med så att samma dokumentation finns på flera platser. Då uppdateras den sällan och kan även innehålla flera fel och brister. Risken är då att en gammal inaktuell dokumentation används för att det är den dokumentation som först hittades.
Hur gör man då?
Det finns många sätt och här listar jag några av dem.
Utbildning
Utbilda personalen, men inte bara i ”hur” utan också ”varför”. Motivera de anställda till att dokumentera. Det man vill åstadkomma är att det hela blir en naturlig rutin i vardagen. Detta tar tid men lyckas det får man ut en stor vinst i slutänden. Gör inte detta bara en gång. Kanske en gång per år eller var 6e månad. Det vet ni bäst vad som behövs. Tanken är inte att ”mata sönder” den anställde med information utan uppdatera rutinerna så att de efterlevs.
Nyanställda bör få detta genom ”on-boarding” rutinen.
Centraliserade lösningar
Det måste vara en enkel och bekväm åtkomst till dokumentationen. Den anställde som behöver dokumentationen behöver access på ett säkert och bekvämt sätt. Både för att läsa dokumentationen men även för att uppdatera den. Det kan vara att dokumentationen finns på en utdelad mapp på filservern. Samlad på ett och samma ställe.
Andra alternativ är en Wiki, Sharepoint, Confluence eller liknande system. Gemensam åtkomst för att både läsa och editera.
Automatik
Det går att få viss dokumentation via automatik. Flera system från kända tillverkare låter dig kopiera konfigurationen från nätverksutrustning. Vissa system skapar en översiktskarta över nätverkskopplingarna mellan enheterna i nätverket. Men helt automatiskt är det sällan. Viss handpåläggning behövs för att få det hela att fungera. Och sällan är detta helt kompletta lösningar utan flera olika lösningar behövs för att få de funktioner man vill automatiserade.
Om möjligheten finns så är automatiserade lösningar ett väldigt bra komplement.
Patrik Hermansson
Cuebid Syd AB