Tid til en kort status (midt i regnen) ...
Så er der faktisk gået endnu et år, og jeg tænker jeg har hægtet mig selv fast på en tradition, der hedder at jeg gør lidt status, her under sommerferien ????
Det er der flere grunde til ... Dels har min lille virksomhed "fødselsdag" ifm. sommerferien, og da jeg ikke lige kan slå om mig med de store fødselsdagstilbud, så er det en stille en af slagsen, også fordi mange af dem der ellers kunne have interessen, simpelthen holder ferie.
En anden væsentlig grund, er at sommerferien ofte er et godt tidspunkt til at reflektere over det forgangne år, faktisk mere end juletiden og nytåret, hvor det ellers er kotume, at foretage den slags reflektioner.
Der skal først være "lidt" om Crowd Strike
Egentlig havde jeg tænkt, at jeg skulle lave et separat opslag om hele affæren med Crowd Strike, men jeg syntes faktisk skandalen er lidt tynd, måske fordi den igen grundet ferien, ikke rigtigt gjorde ondt hvor det kunne ramme hårdest. Bevares MANGE fik forstyrret deres ferie, nogle kom måske slet ikke afsted, men virkeligt galt gik det nok ikke!? Her skal vi selvklart kigge på alternativet. En anden årsag til jeg alligevel blev tilbageholdende, var at min mening om affæren, måske ville drukne i alle de opslag der kom fra opportunister, der så en lejlighed til at anprise egne produkter og med skråsikkerhed påstå, at så galt ville det aldrig gå, hvis man havde valgt deres produkt eller helt have holdt sig fra Microsoft.
Sandheden er, at Crowd Strike blev dannet i forlængelse af et andet globalt "hik", hvor det dengang var McAfee der lavede en bommert, og forresten så blev bl.a. Linux også påvirket, af en tilsvarende fejl fra firmaet, blot noget tidligere (men det fik sjovt nok ikke noget opmærksomhed).
Mange har i tiden herefter, haft usigeligt travlt med at revse de IT afdelinger, der kunne lade noget så forfærdeligt ske, de måtte jo have misset deres arbejde med at teste, inden de rullede en opdatering ud til brugerne!! Men ja, det kan der i teorien være en pointe med, men nok mest i teorien! Det er nemlig generelt en kamp mod uret, når der frigives nye antivirus definitioner (det kalder vi det for nemheds skyld), der kan komme flere på en dag, og der er nok ikke rigtigt en tradition for at de kan hive et system ned. Jeg tror faktisk skaden globalt havde været større, hvis alle ventede til efter udførlig test, med at frigive disse definitioner.
Der nåede lige, at være en potentielt tilsvarende sag, hvor Microsoft fik sveden frem ifm. en serviceopdatering, her er det langt mere potent (og relevant), at der testes grundigt og i bølger, inde der idriftsættes opdateringer, men det er en anden sag.
Så er vi vel tilbage med, hvad skulle man så have gjort? Her kommer billedet på opslaget ind i historien, for den vakse læser har nok observeret et håndskrevet boarding pass?
Min tese er, at du kan teste alt, også for meget, og nogen gange så meget at du udelader det mest oplagte, nemlig at have en beredskabsplan, der kan sikre du kan køre butikken videre, hvis der sker en kritisk hændelse. Selskabet IndiGo lod sig ikke påvirke af et nedbrud, de havde en business continuity plan, der gjorde at de vidste præcist hvad der skulle gøres, og havde mulighed for at udfylde boarding pass i hånden - simpelt og alligevel genialt (og næsten gratis)!
Har du selv styr på, hvad der skal til for at drive din forretning videre, hvis adgangen til kritiske systemer fejler, og er det i det hele taget muligt?
Hvad kan jeg så ellers sige om resten af det forgangne år?
Ja, egentlig en masse og ikke ret meget, for året er gået med det der er blevet mit kald, nemlig at hjælpe virksomheder og organisationer videre med et gældfrit liv - her tænker vi teknisk gæld. Selvfølgelig er et liv komplet fritaget for teknisk gæld næppe helt muligt, men en klar plan for afviklingen bør der ligge. Man kan selvfølgelig både købe sig ud af den klemme, teknisk gæld medfører, men man kan ofte også source sig ud af den, ved simpelthen at transformere og migrere. Jeg vil påstå, at jeg ligger ikke bare inde med opskriften, jeg har også færdige koncepter, der "blot" skal sættes sammen til den enkelte, og det være sig fra de indledende overvejelser, hen over mulige leverandørvalg, kravspecifikation konkurrenceudsættelse, kontraktindgåelse og et temmelig stærkt driftskoncept med standard servicebeskrivelser. Skulle jeg nogensinde finde på, at gøre noget andet, så har jeg adskillige erfaringer med anskaffelse, sourcing og drift, som de fleste kun har prøvet måske en eller to gange i deres karriere (eller slet ikke), så mulighederne er formentlig tilstede ????
Hvad tænker man om, at der nu er gået 13 år med dette?
Ja, jeg ville lyve hvis jeg aldrig havde tænkt, om tiden til at skifte job ikke snart var inde? Nogen har sågar bemærket, at jeg af flere gange har søgt efter flere kolleger, hvilket ikke er gået som forventet, og her må jeg erkende at jeg lidt har opgivet. Enten har jeg ikke kunnet rekruttere med de rette kompetencer, ikke kunnet tiltrække ressourcer fra mine "konkulleger" eller også er det bare bekvemt at fortsætte med de partnerskaber jeg har, og have mine "kolleger" hos partnere og kunder. Sandheden er, at det er lidt tungt at lave (næsten) alt selv, men selvklart også lidt tilfredsstillende. Uanset er jeg i sandhed begunstiget med nogle loyale og søde kunder, som jeg for manges vedkommende, har løst opgaver for i flere år end vi kan tælle - og tak til dem.
Sikkerhed er i fokus i verden ...
Jeg hører mange sige, at vi nu skal tænke mere på it-sikkerhed og være beredt, men i mine øjne har det altid været relevant, uagtet at trusselsbillederne har varieret over årene.
Heldigvis har governance, risk og compliance altid været en del af mine leverancer, jeg ville ikke kunne levere på de parametre jeg gør, hvis det ikke er tilfældet, og det cementeres ved at mine leverancer indtil videre har favnet almen it-sikkerhed, regulative krav, og særligt GDPR - som har været en stor del af min forretning. Nu er der så også røre ift. NIS2 og DORA, hvilket naturligvis skal omfavnes. Men mit lille "crush", har det seneste år været D-mærket, som jeg faktisk syntes hjælper med at sætte en rigtig god baseline, og frem for alt hæve både det generelle it-sikkerhedsniveau, men også at skabe et forståeligt sprog, der favner fra den øverste ledelse til "manden på gulvet". Det vil jeg faktisk rigtig gerne snakke med flere om, og der er ofte gode muligheder for både at få støtte til sine indsatser, foruden jeg er godkendt som konsulent både på støtteprogrammerne og D-mærket. Det skulle I tage at kigge lidt på, det meste er faktisk gratis!
Er du med endnu?
Det er så her alle guldkornene kommer ???? Eller blot der hvor jeg tænker, at har du læst det, så giv et pip eller et kald, så jeg ved jeg trygt kan skrive så langt igen ... Jeg trækker lod om tre gode flasker vin, blandt dem der har læst og kommenteret på opslaget ????