Unternehmen, die mit dem Prozess der Migration auf eine neue Sicherheitslösung vertraut sind, wissen, wie schwierig und zeitaufwändig diese Aufgabe ist. Mit den wandelnden Anforderungen an die Cybersicherheit Schritt zu halten, ist jedoch ein Muss, um die wichtigsten Vermögenswerte eines Unternehmens – seine Daten und sein geistiges Eigentum – zu schützen. Die Aufstellung eines Migrationsplans muss korrekt durchgeführt werden, da dies ansonsten zu kostspieligen Ausfallzeiten und Störungen der Geschäftsabläufe führen kann. Im Folgenden deshalb einige Punkte, die Unternehmen beachten sollten, bevor sie eine Migrationsstrategie durchführen.
Katalysatoren für den Wechsel einer Security-Technologie
Die Entscheidung, einen Security-Lösungsanbieter zu wechseln, sollte nicht auf die leichte Schulter genommen werden. Jedoch müssen bestehende Partnerschaften daraufhin überprüft werden, ob die Lösungen des derzeitigen Anbieters noch leistungsfähig genug sind oder er veraltete Technologien einsetzt. Ist das der Fall, stellt dies ein potenzielles Risiko für Kundendaten und andere Vermögenswerte dar. Agilität ist ein weiterer Punkt, den es zu prüfen gilt. Heutige Unternehmen befinden sich in einem ständigen Wandel, sodass Sicherheitslösungen, die nach dem Motto „einrichten und vergessen“ funktionieren, nicht mehr in Frage kommen. Hinzukommen die sich ständig ändernden gesetzlichen Anforderungen, die Unternehmen dazu zwingen, ihre bestehenden Sicherheitslösungen kontinuierlich neu zu bewerten.
Schritt 1 – Request for Proposal definieren: Eine schnelle Google-Suche bietet eine Fülle von Sicherheitslösungen, daher kann die Auswahl eines passenden Anbieters schwierig sein. Verantwortliche sollten deshalb Branchenkollegen konsultieren, welche Lösungen sie derzeit verwenden. Zudem sind Analystenempfehlungen eine weitere gute Quelle, um eine detaillierte Einschätzung von Sicherheitsanbietern und Lösungen zu erhalten.
Der beste Ausgangspunkt ist, sich die Zeit zu nehmen, ein strukturiertes Request for Proposal (RFP) zu definieren, in der führende Anbieter aufgefordert werden, formelle Angebotspläne einzureichen. Außerdem sollten Unternehmen ein funktionsübergreifendes Projektteam zusammenstellen, dessen Aufgabe es ist, die breiteren organisatorischen Anforderungen zu verfeinern, potenzielle Anbieter zu bewerten und deren benötigte Fähigkeit zu beurteilen.
Der Prozess der RFP-Vorbereitung ist entscheidend. Er sollte beinhalten, dass alle Anforderungen in Zusammenarbeit mit den Beteiligten erfasst und mit der Unternehmensstrategie abgestimmt werden. Verantwortliche sollten ein Bewertungs- oder Gewichtungssystem entwickeln, das die Grundlage für die Entscheidungsfindung bildet, einschließlich einer Rangfolge der gewünschten Fähigkeiten. Als Teil der Auswahlmethodik sollte sichergestellt werden, dass umfassendere ganzheitliche Überlegungen in den Prozess einfließen: Ist die Lösung für Anwender intuitiv? Wie wird der Return on Investment (ROI) gemessen? Ist die Lösung agil genug, um mit dem Tempo der Veränderungen im Unternehmen Schritt zu halten?
Im Idealfall erstellen Unternehmen eine Auswahlliste mit nicht mehr als drei Anbietern und nutzen den RFP-Prozess, um deren Fähigkeiten zu prüfen. Im Zuge der Prüfung und Bewertung der Anbieter sollten Verantwortliche ein gezieltes Proof-of-Concept-Programm durchführen, um sicherzustellen, dass die ausgewählte Lösung in ihre Umgebung passt.
Schritt 2 – Migrationsplan für die Bereitstellung der neuen Lösung entwickeln: Nachdem Verantwortliche sich für einen Lösungsanbieter entschieden haben, sollten sie einen Migrationsplan für die Bereitstellung entwickeln. Dies beginnt mit der Bewertung der Datenanforderungen, der Klassifizierung, der Geschäftslogik und internen Abhängigkeiten, der Definition eines Zeitplans mit einem Pilottest sowie dem Entwurf einer Netzwerktopologie als Vorbereitung für die Bereitstellung. Als Teil des Übergangsprozesses sollten klare Zwischenziele für das Release-Management, die Validierung, die kontrollierte Überführung der IT-Lösung in den operativen Betrieb sowie die Außerbetriebnahme der alten Lösung festgelegt werden.
Nach erfolgreicher Durchführung der Migration, sollten Verantwortliche noch einen Schritt weiter gehen und eine Strategie für die Zeit nach der Migration entwerfen. Diese beinhaltet häufige Überprüfungen gemeinsam mit dem Sicherheitsanbieter, welche sich auf die Verbesserung des Einsatzes der Lösung und die damit verbundene Nutzensteigerung konzentriert.
Häufige Stolpersteine bei der Migration und wie man sie vermeidet
Mehrere Fallstricke können jedes Migrationsprogramm zum Scheitern bringen. Der offensichtlichste Fall ist das Fehlen einer langfristigen Migrations-Roadmap mit nachvollziehbaren Ergebnissen und einem Plan zur Einbindung der Stakeholder. Ein weiterer Fehler ist das Versäumnis, einen Notfallplan zu erstellen, falls Mitglieder des Migrationsteams mitten im Projekt ausscheiden. Zudem sollte eine Lösung keinesfalls bereitgestellt werden, bevor sie nicht getestet und interne Experten einbezogen wurden.
Die wichtigste Maßnahme für ein erfolgreiches Migrationsprojekt ist jedoch, lange und gründlich darüber nachzudenken, welche Assets das Unternehmen wirklich schützen muss. In der Tat macht eine Vielzahl marktführender Tools das Unternehmen nicht sicher, wenn diese nicht angemessen in die Gesamtsicherheitsstrategie integriert sind. Um dies zu erreichen, müssen Verantwortliche genau wissen, welche Unternehmensdaten und Anwendungen für die Wertschöpfung kritisch sind.
Ein risikoorientierter Ansatz bei der Einführung einer neuen Sicherheitslösung beginnt also mit einem tiefen Verständnis dafür, welche Datenbestände am dringendsten geschützt werden müssen. Die richtigen Fragen in einer frühen Phase des Migrationsprogramms zu stellen, hilft dabei, Tiefe, Umfang und Niveau des benötigten Service zu bestimmen – und ob der in Frage kommende Sicherheitsanbieter der Herausforderung gewachsen ist.
Von Tim Bandos, Chief Information Security Officer bei Digital Guardian