IT, med AWS för offentlig sektor stödjer ni verksamheten med rätt skyddsåtgärder ”out of the box”

Compliance Molnsäkerhet DevOps
JOAKIM BERG
15.05.2021

Det pågår många spännande utvecklingsprojekt inom det offentliga just nu, där det byggs chattbottar, mobilapplikationer och andra digitala tjänster baserade på publika plattformtjänster i till exempel AWS. Det kikas även på nya arbetssätt som agil applikationsutveckling och devops. Fortsätt så!

Vi på IT behöver dock hänga med i utvecklingen och ett bra nästa steg är att erbjuda AWS som tjänst till verksamheten. Det är hög tid nu. Utvecklingsprojekten ska på ett smidigt sätt kunna beställa en AWS-miljö där vi med hög grad automation hanterar drift, infrastruktur, säkerhet, kostnader samt alla de regulatoriska krav inom informationssäkerhet som ställs på offentliga organisationer. Alternativet är att verksamheten fortsätter bedriva skugg-it, vilket är ett dåligt alternativ för organisationen som helhet och för oss inom IT i synnerhet (vi får ju ofta ”äran” att ta hand om tjänsterna när de går i produktion).

AWS som tjänst bör ta höjd för tre olika perspektiv:

    1. En basplattform med ramverket AWS Clearstart som designlösning

    2. En tunn röd tejp för central kontroll

    3. Drift och support med fokus på ops

 

Perspektiv 1 – AWS för offentliga organisationer i Sverige

AWS har skapat ett ramverk utifrån de rigorösa krav som ställs på offentliga organisationer i Sverige. Ramverket gör att vi relativt enkelt sätter upp en AWS-miljö med rätt tekniska skyddsåtgärder. Exempelvis säkerställer vi att all data stannar i AWS datacenter i Sverige, att nödvändig kryptering är påslagen, att vi har spårbarhet, kontohantering, självläkande infrastruktur, automation, styrande policys, infrastruktur som kod osv. AWS Clearstart ger oss en basplattform att bygga vidare på.

Perspektiv 2 – En tunn röd tejp för att centralt hantera det absolut nödvändiga

Den andra delen i AWS som tjänst handlar om hur vi bygger upp själva tjänsten. Å ena sidan vill vi kunna erbjuda utvecklarna ett smidigt sätt att beställa en AWS-miljö med tillhörande API. Å andra sidan vill vi, bland annat, säkerställa att miljön har rätt tekniska skyddsåtgärder påslagna samt att vi kan övervaka både infrastrukturen och de plattformstjänster som används i AWS. Vi vill även ha koll på kostnaderna genom att kunna distribuera dem på projekten. Vi vill dock inte ha mer röd tejp än vad som är nödvändigt för att inte hindra den agila utvecklingen. Dessutom förändras och utvecklas plattformstjänsterna hos publika molnleverantörer med oerhörd hastighet vilket gör att traditionella processer kring förändringar inte hänger med.

Perspektiv 3 – IT behöver stödja de agila utvecklingsprojekten med drift och support (devops)

Den tredje komponenten är hur vi inom IT stödjer agila utvecklingsteam med drift och support via devops. När målet är att löpande och med hög grad av automation kunna gå i produktion med ny kod, ställs det nya krav på såväl kompetens, processer och arbetssätt för hur vi inom IT arbetar med drift och support. Ett vanligt exempel är att så fort utvecklarna checkar in koden och produktägaren godkänner en release, så går koden i produktion. Om det är varje minut, vecka eller månad beror på behovet. Skillnaden är att det inte går via någon CAB och servicefönster. Vi på IT behöver kompetensutveckla oss och arbeta, om inte i, så i alla fall mycket tätt med utvecklingsteamen.

Ett aktivt arbete med informationssäkerhet är en grundförutsättning

Att använda publika molntjänster kräver såklart att verksamheten har koll på vilken typ av data som tjänsten kommer att hantera. Det är därför viktigt att organisationen aktivt arbetar med bland annat informationsklassning och risk- och sårbarhetsanalyser. Att tidigt få igång dialogen kring dessa frågor, och gärna med tydliga beslut från ledningen, kommer att spara mycket tid som istället kan läggas på att utveckla tjänsterna vidare.

Anslut till vårt Webinar den 9 september kl 08.30-09.15 där vi går igenom detta mer i detalj. Registrera dig här!

 

Vi på Knowit är experter inom både informationssäkerhet, molnplattformar och systemutveckling

Moderna tjänster är en komplex operation där många olika frågor och kompetenser krävs för att lyckas. Vi på Knowit har erfaren expertis inom juridik, IT- och informationssäkerhet, tekniska molnlösningar, devops och modern infrastruktur. Och inte minst systemutveckling. Vi är nära partner med AWS och är en av deras strategiska partners kring AWS Clearstart.

Vill du veta mer?

Signa gärna upp till vårt webinar den 9 september kl 08.30-09.15.
Eller kontakta Christer Olsson, vd på Knowit Cloud, christer.olsson@knowit.se