Följderna av Heartbleed visar på vikten av riskanalys

När den värsta krutröken lagt sig efter Heartbleed och de svettiga teknikerna har uppdaterat OpenSSL, bytt certifikat, hjälpt tusentals användare att byta lösenord kommer ledningen säkerligen att undra: ”Hur skall vi undvika att detta händer igen?” Vilket svar ger du då?

• OpenSSL behövde uppdateras
• Alla påverkade certifikat behövde bytas
• Alla användare måste notifieras

• Vi måste ha en fungerande patchmanagement för alla system, inte bara Microsoft.
• Vi måste ha en Out-Of-Bands patchhanteringsrutin.
• Vi måste kunna genomföra certifikatsutbyte utan driftsavbrott.
• Vi måste ha en rutin för notifiering av användarna vid incidenter.
• Vi måste snabbt kunna lägga ut informationssida på flera språk som är lättbegriplig för användarna.
• Vi måste ha tillgång till en snabb utökning av personalresurser för att hantera en eventuell anstormning av telefonikontakt med kunderna.
• Vi måste ha fullständig dokumentation över alla våra lösningar.