IT-Bedrohungen nehmen zu, und Security-Lösungen werden komplexer. Wegen des Fachkräftemangels lagern viele Unternehmen Security-Prozesse aus. Worauf Sie dabei achten sollten, erklärt der Provider indevis.
Einfach mal die besten Security-Produkte kaufen und in Betrieb nehmen – so einfach funktioniert IT-Sicherheit leider nicht. Die Tools und Lösungen müssen richtig zusammenspielen und man muss sie kontinuierlich warten. Das erfordert fundiertes Know-how und personelle Ressourcen. Beides ist in Zeiten des Fachkräftemangels schwer zu finden. In vielen Unternehmen arbeiten die IT-Abteilungen ohnehin schon am Rande ihrer Kapazitäten. Da bleibt kaum Zeit, die zunehmend komplexen Security-Aufgaben zu stemmen. Gleichzeitig werden Cyber-Kriminelle aber immer raffinierter und das Risiko für erfolgreiche Angriffe steigt.
Lösen können Unternehmen dieses Dilemma, indem sie IT-Security-Prozesse an einen Managed Security Services Provider auslagern. So profitieren sie von spezialisiertem Know-how, entlasten die IT-Abteilung und können ihr Sicherheitslevel erhöhen. Ulrich Pfister, Head of Consulting bei indevis, erklärt die dazu nötigen Schritte.
- Den richtigen Security-Provider auswählen
Bei der Wahl des richtigen IT-Security-Dienstleisters sollten sich Unternehmen ausreichend Zeit nehmen und genau hinsehen. Die Kunden sollten abklären, ob der Provider über langjährige Erfahrung, qualifiziertes Personal und fundiertes Know-how verfügt. Nachweisen lässt sich das zum Beispiel anhand von Kundenreferenzen, ISO-Zertifizierungen und Herstellerpartnerschaften. Der Fokus eines fortschrittlichen Dienstleisters liegt auf der Entwicklung eigener Security-Services auf Basis von Herstellerprodukten. So bekommen die Kunden Security-Bausteine, aus denen sie genau die auswählen können, die sie benötigen – ohne sich selbst mit den technischen Details auseinandersetzen zu müssen. Der Dienstleister muss nicht alle Security-Bereiche vollumfänglich selbst abdecken, sollte aber ein gutes Netzwerk an Lösungspartnern haben, sodass er bei allen Themen als zentraler Ansprechpartner für IT Security für den Kunden auftreten kann.
- Gemeinsam Ziele und Lösungen entwickeln
Ist ein vertrauenswürdiger Partner gefunden, geht es nicht nur darum, schnellstmöglich ein Security-Produkt zu installieren und zu betreiben, sondern ein durchdachtes Konzept zu entwickeln, das optimal auf die Bedürfnisse des Unternehmens abgestimmt ist. Dafür ist es zunächst wichtig, die Kronjuwelen zu identifizieren. Zu klären ist die Frage nach den Kerngeschäftsprozessen, die besonders gut geschützt werden sollen. Weitere Fragen betreffen den aktuelle Status und den Verbesserungsbedarf. Der Security-Provider stellt gezielt Fragen, hört aufmerksam zu und entwickelt passgenaue Lösungsvorschläge. Er zeigt auf, welche Ziele realistisch sind, und wie ich das angestrebte Schutzniveau am besten erreichen lässt. Dabei sollte er stets das große Ganze im Auge behalten und darauf achten, dass neue Tools und Services zusammenpassen und sich in die bestehende Infrastruktur und Betriebsabläufe integrieren lassen. Andernfalls entstehen Insellösungen, die das Management erschweren, nicht ausreichend transparent sind und dadurch selbst wieder Sicherheitsprobleme aufwerfen. Hilfreich ist es, wenn der Security-Provider anhand von Praxisbeispielen aufzeigen kann, wie andere Unternehmen ähnliche Herausforderungen gemeistert haben.
- Klare interne Strukturen und Prozesse schaffen
Damit ein Security-Provider an die internen Strukturen andocken kann, müssen Unternehmen ihre Security-Prozesse unter die Lupe nehmen. Zu klären ist dabei, wer sich darum kümmert sich, wenn bei einer Firewall eine Policy geändert werden muss, welche Schritte dabei erfolgen sollen, wer wen benachrichtigt wer wofür verantwortlich zeichnet. Nur wenn es einen klaren internen Prozess gibt, lässt sich dieser ganz oder teilweise auslagern. Andernfalls muss dieser Prozess erst definiert werden. Nötig ist darüber hinaus eine klare Schnittstelle zwischen dem Security-Provider und dem Unternehmen. Auch wenn der Dienstleister der IT-Abteilung viele Aufgaben abnimmt, benötigt er einen Ansprechpartner im Haus. Schließlich ist der Provider stets abhängig von internen Prozessen und Entscheidungen. Umfassende Security entsteht nur durch eine partnerschaftliche Zusammenarbeit zwischen Provider und hausinternen IT-Abteilung. Dabei gilt stets das Prinzip der geteilten Verantwortung.
- Die Rolle der IT-Abteilung neu definieren
Mit der Auslagerung von Security-Prozessen fallen operative Tätigkeiten in der IT-Abteilung weg. Angst um ihre Jobs brauchen Mitarbeiter dabei nicht haben. Vielmehr verändern sich ihre Aufgaben hin zu einer eher steuernden, koordinativen Rolle. Dafür sind Projektmanagement und Soft Skills gefragt. Die IT-Abteilung bildet die Schnittstelle zum Security-Provider und gewinnt dadurch Zeit, sich intensiver um die Geschäftsentwicklung zu kümmern. Sie sollte sich als Business Enabler der Fachabteilungen verstehen und deren Bedürfnisse möglichst schnell und agil adressieren. Tut sie dies nicht, kann sich gefährliche Schatten-IT entwickeln, da Abteilungen dann unter Umständen in Eigenregie Technologien einführen und diese nicht ausreichend in die IT-Security-Architektur einbetten.
- IT-Systeme in den Managed Service überführen
Nach der Konzeptions-Phase und der Anpassung von Rollen und Prozessen erfolgt die Transition-Phase. Jetzt müssen die Systeme des Kunden in den Managed Service überführt werden. Dabei geht der Security-Provider standardisiert vor und stellt mithilfe von Checklisten sicher, dass hohe Qualitätsstandards eingehalten werden. Er kennt mögliche Stolpersteine und setzt Best Practices um. Dabei sollte er trotzdem in der Lage sein, flexibel auf individuelle Bedürfnisse des Kunden einzugehen.
Lagern Unternehmen Security-Prozesse an einen Provider aus, erhöhen sie im Idealfall ihr Schutzniveau erhöhen. Sie sollten sich jedoch bewusst sein, dass es nie eine hundertprozentige Sicherheit geben wird. Vielmehr geht es darum, Risiken zu minimieren und bestmöglich vorbereitet zu sein. Dafür ist es wichtig, kontinuierlich zu überprüfen, ob sich die Sicherheitslage verändert hat, und ob die getroffenen Maßnahmen noch den aktuellen Best Practices entsprechen. Im Zusammenspiel mit einem erfahrenen Security-Provider können Unternehmen ihre Schutzvorkehrungen optimieren und ein dauerhaft hohes Sicherheitslevel aufrechterhalten. Jürgen Frisch
