Release Management för en säker IT-miljö

I takt med att vi blir mer och mer uppkopplade och kräver snabba lösningar ökar pressen indirekt på företag att kunna leverera snabba releaser. Samtidigt ökar exponeringen för potentiella säkerhetsrisker för företags IT-miljö och även slutprodukt. Ett sätt att mitigera säkerhetsriskerna från start anser jag vara att ha en bra Release Management process. Därför delar jag med mig av mina erfarenheter och tips gällande Release Management för att göra IT-miljön säkrare.

Release Management för en säker IT-miljö

Release Management för en säker IT-miljö 1500 1000 C.A.G

Vad är Release Management?

Release Management, också kallat releasehantering på svenska, är som navet i utvecklingshjulet. Det är en process som erbjuder ett strukturerat tillvägagångssätt för att koordinera utvecklingen och lansering av en produkt, samtidigt som man säkerställer att produktmiljön inte äventyras.

Det är vanligt att verksamheten har flera utvecklingsprojekt igång samtidigt. Då kan Release Management möjliggöra att produkter ändras för att stödja föränderliga behov samtidigt som målet är att skydda driftmiljön och se till att rätt komponenter släpps vid release.

 

Release Management för en säker IT-miljö

Att ha en säker IT-miljö innebär inte enbart att uppdatera mjukvara, spara loggar, uppgradera brandväggar och vara rustad mot exempelvis externa hot såsom virus och dataintrång. Det kan även underlättas genom att ha en bra Release Management process. Hur kan det generera en säker IT-miljö, kanske du tänker? Release Management är så mycket mer än att koordinera releasearbetet.

Det kan innebära ett skydd mot IT-miljön genom att å ena sidan göra kontinuerliga riskbedömningar för att inte äventyra IT-miljön, å andra sidan genom att planera in penetrationstester i respektive release för att se om det finns några svagheter. En produkt med låg kvalitet tenderar ha större risk att ha sårbarheter som kan utnyttjas av en angripare. Därför är det bra att bedöma vilken nivå av komplexitet och risk som en release medför redan när scopet för releasen är satt. Det är i riskbedömningarna ni planlägger vilka kritiska moment som finns för releaserna, hur ni ska skydda ert data, var det finns hot gentemot verksamheten etc.

Se även till att ta fram en incidenthanteringsplan för att veta vem som gör vad, när och hur, om något går fel. Dessa planer ska ses över kontinuerligt för att möta eventuella nya risker och hot innan de uppstår. Ett så kallat releaseschema, med en övergripande plan kring vad för aktiviteter som ska göras fram till och med produktionssättning, skräddarsys inför varje release för bästa resultat.

Versionshantering för releaser är ytterst viktigt. Att spara äldre versioner möjliggör att enkelt kunna rulla tillbaka en release vid behov, jämföra med tidigare releaser eller ha flera team som utvecklar samtidigt utan att äventyra kvaliteten på produkten. På så sätt äventyrar ni inte miljöns tillgänglighet. Se även till att utvecklingen som sker ligger i linje med företagets compliance och audit processer så de riktlinjer som är uppsatta följs. IT-säkerhetsbedömningar bör även göras inför varje stor release eller om det är ett större utvecklingsprojekt som ska lanseras, och ta med det i den skräddarsydda releaseplanen.

Ramverk, såsom ITIL, används med fördel för att få hjälp med sin release management där ni på ett strukturerat och effektivt sätt kan hantera planering och implementering genom hela livscykeln. Välj att använda hela ramverket eller plocka ut de delar ni tycker passar bäst i ert dagliga arbete, men sålla inte bort säkerhetsdelarna även om det tar dyrbar tid – det vinner ni på i långa loppet.

Som ni märker förespråkar jag vikten att ha ett säkerhetstänk genom hela releasearbetet, från start till mål. Det tjänar ni på genom att utveckla en produkt av hög kvalitet, ha en tydlig plan och ge de bästa förutsättningarna som mynnar ut till en säkrare IT-miljö. Så sätt er ner och diskutera vad just ni kan göra för att höja säkerheten för er IT-miljö, kanske finns det något i denna text att ta in i er Release Management process. Lycka till!

Vid pennan/ Alexandra Dandenell, Senior informationssäkerhetskonsult C.A.G Engvall Security

 

X
X