Så här jobbar vi med informationssäkerhet

Mikael EngströmTechnical Directormikael.engstrom@frojd.se

Informationssäkerhet är en frågeställning som med all rätt kommit högt upp på agendan de senaste åren. Det är viktigt att hantera och skydda personuppgifter på rätt sätt, men också att säkerställa att man har en lösning som kan stå emot angrepp. Nedan har vi sammanfattat hur vi på Fröjd arbetar med informationssäkerhet – från att vi inleder ett samarbete eller projekt – till att vi underhåller och vidareutvecklar en applikation. Vi hoppas att detta kan vara goda råd på vägen!

Kartlägg applikationen och identifiera risker

Det första steget för att etablera effektiva säkerhetsåtgärder är att identifiera applikationens krav på konfidentialitet, integritet och tillgänglighet. Vi inleder våra projekt med att genomföra en informationsklassificering och en riskanalys. På så sätt kartlägger vi vilken typ av information en applikation ska hantera, vilka lagrum vi behöver förhålla oss till samt vilka åtgärder vi behöver vidta.

Utveckla på rätt sätt

När man utvecklar en lösning behöver man göra det på ett sätt som gör den robust och motståndskraftig. Det finns ett par aspekter att ta hänsyn till och inkorporera i sitt arbetssätt.

På Fröjd arbetar vi med följande komponenter:

  • Som utgångspunkt ser vi till att följa principerna i Twelve Factor App, vilket är tolv etablerade best practices för att utveckla moderna och resilienta applikationer.
  • Vi har definierat rutiner för hur vi hanterar vanligt förekommande risker såsom hur vi hanterar och motverkar säkerhetsbrister i externa paket, SQL Injections, XSS (Cross Site Scripting), Brute Force attacker, MITM (Man In The Middle)-attacker. DDoS (Denial of service) och CSRF (Cross-Site Request Forgery).
  • Genom att automatisera våra releaseflöden och undvika manuella arbetsuppgifter i samband med en produktionssättning minimerar vi också den mänskliga faktorn.
  • Vi ser inte bara till att det finns backuper på mer än en fysisk plats, utan säkerställer också att de fungerar minst årligen.
  • För att minimera attackytorna IP-låser vi administrationsgränssnitt och andra administrativa åtkomstytor. Om de av praktiska skäl behöver vara öppna mot internet säkerställer vi att det finns adekvata bruteforce-skydd och/eller 2FA-krav för lösningen.

Testa och utsätt applikationen

Det kan också vara värt att utsätta sin applikation för penetrationstester. Vi jobbar med en kombination av automatiserade och manuella verktyg, exempelvis Detectify och Githubs Dependabot. Vi lasttestar också våra lösningar innan driftsättning vilket förutom att säkerställa att applikationen klarar den legitima trafiken också gör den svårare att överbelasta. Hanterar applikationen känslig information kan det vara bra att låta en oberoende part genomföra penetrationstester, exempelvis Truesec.


Upprätthåll säkerheten efter lansering

Uppdatera applikationen regelbundet

Bland det viktigaste man kan göra för att undvika intrång i en applikation är att se till att den hålls uppdaterad. Därför arbetar vi med en gemensam rutin över hela byrån så att alla de lösningar vi ansvarar för uppdateras kontinuerligt. Detta ger en bra och stabil grund men man bör också ha en rutin för att hantera akuta säkerhetshål och vara beredd att genomföra uppdateringar så fort en sårbarhet upptäcks.

Håll koll på vem som har åtkomst

Utöver att undvika intrång från utsidan är det också bra att ha koll på vilka som har tillgång till applikationen från insidan. Ett förhållningssätt är att utgå från principen “Minsta möjliga behörighet” och se till att man ger så låga granulära privilegier respektive användare av en applikation behöver. Det är också klokt att ha en återkommande rutin att se över och återkalla åtkomst kontinuerligt.

Hålla sig informerad

Plattformar och tjänster är ständigt utsatta för olika typer av hot. Därför är det viktigt att hålla sig uppdaterad och informerad. Ett sätt är att följa OWASP Top Ten som är en lista över de tio mest kritiska sårbarheterna inom webbapplikationssäkerhet men också att prenumerera på olika kanaler som löpande rapporterar om brister i den tech-stack man använder sig av.

Funderar du på hur era lösningar kan bli säkrare?

Mikael Engström, Technical Director på Fröjd, diskuterar gärna era utmaningar. Kontakta honom på mikael.engstrom@frojd.se.