Den sedvanliga IT-förvaltningsmodellen som går ut på att man har en samverkansmodell som grundar sig i att man har en Strategisk nivå högst upp, en Taktisk nivå i mitten och en Operativ nivå längst ner med en ”vattenfalls metodik” vilar helt och hållet på att man försöker skapa en positiv upplevelse för användarna med inbyggd betänketid.
Men, om man då tänker på cybersäkerhet är det en upplevelse-tjänst eller något helt annat, och har vi betänketid på oss?
”Strategisk, taktisk och operativ vattenfallsförvaltning är skapad för upplevelse, inte för skydd”
För att modellen ska fungera på behöver den se ut som ett kretslopp
Strategisk -> Operativ -> Taktisk -> Operativ/Strategisk -> Taktisk
Say what now?
Såhär – i ett ”down up” perspektiv kommer det se ut som att det är Taktisk -> Strategisk -> Operativ tågordning på förvaltningsmodellen – men det är i själva verket ett kretslopp.
Den Taktiska nivån är alltid den nivå som kommer ”trigga” att det sker något, allt arbete innan är förberedelser inför att den Taktiska nivån ska initieras av ”något”, därför hamnar den då högst upp och initierar ett motmedel. När hotet är ett faktum och händelsen pågår så kommunicerar den taktiska nivån med vilken annan nivå som helst, eller samtidigt, men den Strategiska och Operativa nivån kommunicerar inte med varandra i beslut utan att ha information / indata från den Taktiska nivån.
Jag har förut exemplifierat detta med ”canary in a coal mine” som går ut på att gruvarbetarna tog med sig en kanariefågel ner i gruvan med vetskapen att den lilla kanariefågeln skulle dö på grund av koldioxidförgiftning långt innan den mycket större människan och således ge en möjlighet till tidig varning så att gruvarbetarna hade tid att agera och undkomma gasen. I detta scenario är Taktiken att ta med en fågel ner i gruvan med vetskapen om att en koldioxidförhöjning skulle påvisas i och med fågelns död. Strategin var att skapa en utrymningskarta som delades ut och därför ge den Operativa nivån kunskapen om utgångar markerade beroende på vart i gruvan arbetarna befann sig. Den Operativa aktiviteten var att ta sig till utgången som gav den strategiskt mest säkra utkomsten för överlevnad.
Hade vi i detta scenario nyttjat den sedvanliga modellen för IT-förvaltning så hade vi börjat få problem med gruvarbetarna som upplevde symptom av något. Den Operativa nivån hade tillfrågat den taktiska nivån, som hade tagit beslut på att skicka ner en fågel i gruvan för att bekräfta eller dementera att det var en gas som var problemet, varpå fågelns död hade aktiverat en önskan om kartan från den Strategiska nivån, som hade beslutat att skicka ner kartan i gruvan och därmed möjliggjort den operationella insatsen i att evakuera gruvan.
Det är helt OK att ha fast utsatta mötesfora med givna intervaller för den första delen av förvaltningsmodellen där Strategiska möten exv. sker en gång per kvartal, Operativa möten månatligen och Taktiska möten på veckobasis, men när den Taktiska nivån initierar något så finns det ingen tid för att vänta, och den taktiska nivån föder inte bara den Operativa nivån som ska föda den Strategiska nivån. Taktiska nivån föder samtliga andra nivåer och gör det utan dröjsmål så att dessa kan ta löpande snabba beslut om mål, ramar och orkestrering baserade på fakta.
Så fungerar försvar i praktiken
- Strategisk nivå sätter mål & ramar:
Vad ska försvaras, hur mycket risk accepterar vi, vilka trösklar gäller t.ex. när vi isolerar, polisanmäler, stänger ute en leverantör eller beslutar om resurser och prioriteringar. - Operativ nivå sköter orkestrering:
Översätter målen till kampanjer, beredskapslägen och runbooks ”om X sker -> gör Y inom Z tidsaxel”. Sätter koordineringspunkter mellan avdelningar, kunder och leverantörer. - Taktisk nivå är verkstaden:
Upptäcker, verifierar, isolerar, rensar, återställer. Matar fakta synkront till övriga nivåer så operativ nivå kan justera läget och strategisk nivå kan ta nya beslut.
