En praktisk guide med råd, modeller och Excel-mallar du kan applicera direkt för att drifta IT med hög säkerhet.

1. Börja med en IT-inventering


Om du inte redan har en fullständig och uppdaterad lista på alla dina IT-tillgångar, är det klokt att börja med en IT-inventering (IT Asset Inventory).

Utöver ett operativt och kostnadsmässigt perspektiv, hjälper en inventering till med att identifiera risker. T.ex. brister i backup-rutiner, patchhantering, behörigheter, föråldrad utrustning med inbyggda sårbarheter och annat som gör verksamheten sårbar. Därför är det viktigt att du går igenom alla IT-tillgångar, både hårdvara och mjukvara.

Här är en simpel Excel-mall du kan använda för att genomföra din inventering.

Kategorisera din IT-miljö

Alltför ofta följer företag samma processer oavsett om systemet är verksamhetskritiskt eller inte.  Men olika delar av din IT-miljö har olika prioritet & säkerhetskrav. Därför är det viktigt att segmentera och kategorisera workloads i samband med inventeringen.

Identifiera också om det finns gap som behöver fyllas: saknas det system som verksamheten har behov av, baserat på affärsstrategin?

IT-inventeringen utgör grunden för nästa steg mot säker IT-drift – riskanalysen. 

2. Gör en riskanalys


Alla företag ser olika ut. En riskanalys hjälper dig att kartlägga ditt företags unika säkerhetsbrister och hot på bästa sätt. Riskanalysen består av 3 delar: identifiera hot, bedöm risker och avgör hur de ska hanteras.

Identifiera hot

När det kommer till att identifiera hot är det viktigt att du analyserar möjliga hot i alla kategorier: tekniska hot, infrastrukturella hot, finansiella hot, mänskliga hot och naturkatastrofer. Här kommer din IT-inventering till nytta.

Kartlägg extra noga om det finns några sårbarheter i driftsäkerheten för de applikationer som är verksamhets- eller affärskritiska. Om t.ex. ett kassasystem har höga toppar och dalar i belastning krävs en skalbarhetsförmåga, inte bara för att se till så att överbelastning inte leder till avbrott, men även för att uppehålla höga prestandanivåer. Och om ett affärssystem hanterar speciellt känslig information blir det en större måltavla för dataintrång och attacker, och kräver högre säkerhet.

Bedöm risker

Du bedömer riskerna genom att avgöra hur stor sannolikheten är att riskerna faktiskt inträffar. Det är viktigt för att veta vilka åtgärder som ska prioriteras. Du kartlägger detta bäst genom att använda matrisen som illustreras nedan.

Bild: Effso

Hantera risker

När du gjort en sannolikhetsbedömning kan du börja fundera på hur du ska hantera riskerna. Det finns fyra typer av procedurer:

  1. Skyddsåtgärder: åtgärder för att reducera chansen att risker inträffar
  2. Riskreducerande åtgärder: åtgärder för att reducera konsekvenserna efter en incident
  3. Återhämtningsaktiviteter: aktiviteter för att återställa system och infrastruktur efter en incident (Disaster Recovery)
  4. Katastrofplan: en plan för dig att följa när en incident inträffar (DRaaS)

 Tips för att genomföra en riskanalys:

3. Avgör vad som ska uppdateras, konsolideras och avvecklas


Nu bör du ha tillräcklig insikt i din miljö för att identifiera vad som behöver moderniseras:

  • Vilka applikationer behöver uppdateras?
  • Vilka servrar behöver konsolideras?
  • Vilka system, processer eller hårdvara behöver avvecklas?

Gör analysen utifrån flera olika perspektiv där säkerhet, kostnader och affärsnytta är vägledande.

Få en kostnadsfri analys av din IT-drift

4. Utvärdera alternativ för IT-driften


När du kommit så här långt, har du en gedigen kartläggning över din nuvarande miljö, vilka säkerhetsåtgärder som krävs för din framtida IT-drift och vad som behöver moderniseras.

Nu kan du utvärdera IT-driftsalternativ utifrån en tydlig kravställning. Det finns 5 fundamentala sätt att drifta sin IT:

  • Drift i eget datacenter (on-prem)
  • Drift i tredje parts datacenter (co-location)
  • Publikt moln (public cloud)
  • Privat moln (private cloud)
  • Hybridmoln (hybrid cloud)

Det finns för- och nackdelar med alla alternativ, men idag är det bara några enstaka procent av alla företag som har mest nytta av att drifta hela sin IT i sitt eget eller i en tredje parts datacenter. Givet den höga kompetensnivå och stora investering som krävs för att drifta egen infrastruktur, blir det bara ett lönsamt alternativ om man har extremt höga regulatoriska eller lagliga krav.

Detsamma gäller till en lägre grad privata moln. För några år sedan var det ett säkrare alternativ än ett publikt moln, men är idag oftast inte fallet. De stora leverantörerna (AWS, Google och Microsoft) investerar mest i säkerhet och allmän utveckling. Dessutom får man stora skalfördelar som kommer med ett publikt moln.

Baserat på din analys och riskhanteringsstrategi, blir det tydligt hur du bör välja att drifta hela eller delar av din infrastruktur.

Idag driftar de flesta svenska företag majoriteten av sin IT i ett publikt moln. I valet av ett säkert publikt moln, rekommenderar vi att utforska Microsofts Azure-plattform – av ett par anledningar:

  • Azure är ett bra val om du redan använder Microsoft-programvara som Windows Server eller SQL Server, och vill gå över till en moln-/hybridmiljö med Microsoft 365, SharePoint, Azure Active Directory, Azure Virtual Desktop och kanske Windows 365 Cloud PC. Befintliga Microsoft-licenser underlättar integrationen med Microsoft-produkter
  • Azures ansvarsmodell betonar ditt eget ansvar för data och enheter, vilket gör det till ett säkert val för organisationer som vill skydda sin information och sina identiteter
  •  Azure har ett starkt fokus på säkerhet med sin toppmoderna infrastruktursäkerhet, inklusive funktioner som SDL (Security Development Lifecycle), intrångs- och DoS-detektering och nätverksåtkomstkontroll
  • Azure är utmärkt för företag som vill nyttja hybridmoln och möjliggör sömlös integrering av on-prem-databaser
  • Användarvänlighet: Azure är känt för sitt användarvänliga gränssnitt, vilket gör det enklare för nystartade SaaS-företag att bygga API:er och webbtjänster, särskilt jämfört med AWS, som kan vara mer komplext
  • Azure ger ett robust stöd för analys och erbjuder funktioner som Cortana Analytics, Stream Analytics, Machine Learning och SQL-tjänster. Dessa verktyg gör det möjligt för företag att få viktiga insikter från data, förbättra kundservicen och fatta välgrundade beslut, vilket gör Azure till något utöver det vanliga inom dataanalys
  • Azure kombinerar IaaS och PaaS, vilket gör det till ett bra alternativ för företag som vill ha ett moln där de kan integrera sina tjänster på djupet. Azure erbjuder applikationer för AI, maskininlärning, DevOps och integrationer, perfekt för företag som vill skala sin molnplattform när de växer utan extra arbete

5. Driftsätt & underhåll


När du avgjort hur din IT-miljö ska driftas, är det dags att göra eventuella migreringar och skapa en underhållsplan. Här kommer några tips från oss. (ta det från någon som gjort x migreringar och driftat miljöer för x kunder i x år)

IT-drift

  • Flytta gärna en liten del av din IT-miljö som ett första steg och komplettera med resten när du ser hur bra det fungerar
  • Utvärdera om du har möjlighet att övervaka både på server- och applikationsnivå. Det är viktigt för att proaktivt kunna driftsäkra system, och kan hjälpa dig att undvika många eventuella driftstopp. Dessutom är det viktigt att titta på om man har den redundans och disaster recovery som krävs för respektive system

Rutiner & processer

  • Ha väldokumenterade processer för samtliga IT-procedurer. De bör innehålla procedurer för operationer, underhåll och beredskap, såväl som övergripande riktlinjer och metoder. Varje dokument bör definiera processen i fråga och innehålla detaljerad information om hur uppgiften ska utföras. Om du inte redan har en tydlig struktur för dina ITSM-kategori, rekommenderar vi att läsa dessa kloka ord från Troy DuMoulin, en framstående ITSM- & ITIL-expert och författare
  • Kanske viktigast av allt är att införa policys för lösenord – enligt Verizons dataintrångsrapport står lösenordsrelaterade brister för hälften av alla konfirmerade dataintrång. Den bästa lösningen för lösenordsskydd är om du har möjlighet att implementera multifaktorautentisering, annars kan du ge anställda denna guide för att skapa säkra lösenord
  • Sätt även upp regelverk för personalen utanför IT-avdelningen – en vanlig säkerhetsbrist som kan resultera i dataintrång är osäker användning av BYOD-enheter. Ett exempel är att implementera en BYOD-policy för att undvika riskerna med Shadow BYOD

För många IT-avdelningar finns inte den budget som krävs för att investera i ovan nämnda lösningar, och i vissa fall är det bättre att i stället hitta en specialiserad outsourcing-partner. På så sätt kan du se till så att driftsäkerhet uppnås både genom kompetent personal med klara processer och en optimerad infrastruktur.

Kostnadsfri analys och ett konkret business case

Att analysera sin nuvarande IT-miljö, identifiera hot, utvärdera sina alternativ, driftsätta och underhålla med hög säkerhet är ett stort och viktigt jobb.

I de allra flesta fall behöver IT-plattformen moderniseras, och då ökar komplexiteten. Vissa applikationer kanske ersätts av SaaS, vissa servar och dess tjänster blir överflödiga, lagringen omstruktureras med en balans mellan snabb och långsam disk och slutligen kanske spegling till reservsajt införs.

För att hjälpa företag, erbjuder Idenxt en kostnadsfri analys och ett business case som beslutsunderlag för en uppgraderad, säker IT-drift. Resultatet är IT-drift med hög säkerhet som du har total kontroll över, utan att själv behöva managera.

  • Kostnadsfritt framtagande av business case
  • Analys av kundens miljö
  • Presentation av analys
  • Vägval i samråd med kunden

Få en kostnadsfri analys av din IT-drift

Kostnadsfri migrering till Azure

För de företag som, baserat på analysen, väljer att flytta hela eller delar av sin drift till Azure, erbjuder Idenxt kostnadsfri migrering. Vi tar hand om projektet och genomför med minsta möjliga användarpåverkan.

Vårt nära samarbete med Microsoft och vår gedigna erfarenhet gör att flyttprojekt genomförs tryggt och enligt överenskommen tidsplan oavsett om du har få servrar och applikationer eller en större volym som är utspridd i flera datacenter.

Vårt enda krav är att du som kund sedan stannar hos oss under 12 månader.

Vad som ingår i migreringen

  • Förslag på modernisering med klassificering av behov, baserat på analysen
  • Planering av målmiljö
  • Framtagande av projektplan
  • Projektledning
  • Migrering av alla virtuella maskiner och övriga resurser med minimal påverkan för användare
  • Nyinstallation av servrar för DNS och AD vid behov
  • Optimisering i Azure

Vad som inte ingår i migreringen

  • Utredning av applikationer
  • Uppgradering av applikationer görs till självkostnadspris
  • Konsolidering av servrar görs till självkostnadspris

Få en kostnadsfri analys av din IT-drift

Få en kostnadsfri analys av din IT-drift

Idenxt en kostnadsfri analys och ett business case som beslutsunderlag för en uppgraderad, säker IT-drift. Resultatet är IT-drift med hög säkerhet som du har total kontroll över, utan att själv behöva managera.

  • Kostnadsfritt framtagande av business case
  • Analys av kundens miljö
  • Presentation av analys
  • Vägval i samråd med kunden
  • (Valfritt: kostnadfri migrering till Azure)