Bei der Migration von Security-Lösungen gibt es für Unternehmen einige Fallstricke. Hier ein Best Practices für die Planung und Durchführung von Tim Bandos, Chief Information Security Officer bei Digital Guardian.
Unternehmen, die mit dem Prozess der Migration auf eine neue Sicherheitslösung vertraut sind, wissen, wie schwierig und zeitaufwändig diese Aufgabe ist. Mit den wandelnden Anforderungen an die Cybersicherheit Schritt zu halten, ist jedoch ein Muss, um die wichtigsten Vermögenswerte eines Unternehmens – seine Daten und sein geistiges Eigentum – zu schützen. Die Aufstellung eines Migrationsplans muss korrekt durchgeführt werden, da dies ansonsten zu kostspieligen Ausfallzeiten und Störungen der Geschäftsabläufe führen kann. Im Folgenden deshalb einige Punkte, die Unternehmen beachten sollten, bevor sie eine Migrationsstrategie durchführen.
Katalysatoren für den Wechsel einer Security-Technologie
Die Entscheidung, einen Security-Lösungsanbieter zu wechseln, sollte nicht auf die leichte Schulter genommen werden. Jedoch müssen bestehende Partnerschaften daraufhin überprüft werden, ob die Lösungen des derzeitigen Anbieters noch leistungsfähig genug sind oder er veraltete Technologien einsetzt. Ist das der Fall, stellt dies ein potenzielles Risiko für Kundendaten und andere Vermögenswerte dar. Agilität ist ein weiterer Punkt, den es zu prüfen gilt. Heutige Unternehmen befinden sich in einem ständigen Wandel, sodass Sicherheitslösungen, die nach dem Motto „einrichten und vergessen“ funktionieren, nicht mehr in Frage kommen. Hinzukommen die sich ständig ändernden gesetzlichen Anforderungen, die Unternehmen dazu zwingen, ihre bestehenden Sicherheitslösungen kontinuierlich neu zu bewerten.
Schritt 1: Request for Proposal definieren
Eine schnelle Google-Suche bietet eine Fülle von Sicherheitslösungen, daher kann die Auswahl eines passenden Anbieters schwierig sein. Verantwortliche sollten deshalb Branchenkollegen konsultieren, welche Lösungen sie derzeit verwenden. Zudem sind Analystenempfehlungen eine weitere gute Quelle, um eine detaillierte Einschätzung von Sicherheitsanbietern und Lösungen zu erhalten.
Der beste Ausgangspunkt ist, sich die Zeit zu nehmen, ein strukturiertes Request for Proposal (RFP) zu definieren, in der führende Anbieter aufgefordert werden, formelle Angebotspläne einzureichen. Außerdem sollten Unternehmen ein funktionsübergreifendes Projektteam zusammenstellen, dessen Aufgabe es ist, die breiteren organisatorischen Anforderungen zu verfeinern, potenzielle Anbieter zu bewerten und deren benötigte Fähigkeit zu beurteilen.
RFP-Vorbereitung ist entscheidend
Der Prozess der RFP-Vorbereitung ist entscheidend. Er sollte beinhalten, dass alle Anforderungen in Zusammenarbeit mit den Beteiligten erfasst und mit der Unternehmensstrategie abgestimmt werden. Verantwortliche sollten ein Bewertungs- oder Gewichtungssystem entwickeln, das die Grundlage für die Entscheidungsfindung bildet, einschließlich einer Rangfolge der gewünschten Fähigkeiten. Als Teil der Auswahlmethodik sollte sichergestellt werden, dass umfassendere ganzheitliche Überlegungen in den Prozess einfließen: Ist die Lösung für Anwender intuitiv? Wie wird der Return on Investment (ROI) gemessen? Ist die Lösung agil genug, um mit dem Tempo der Veränderungen im Unternehmen Schritt zu halten?
Im Idealfall erstellen Unternehmen eine Auswahlliste mit nicht mehr als drei Anbietern und nutzen den RFP-Prozess, um deren Fähigkeiten zu prüfen. Im Zuge der Prüfung und Bewertung der Anbieter sollten Verantwortliche ein gezieltes Proof-of-Concept-Programm durchführen, um sicherzustellen, dass die ausgewählte Lösung in ihre Umgebung passt.
Schritt 2: Migrationsplan für die Bereitstellung der neuen Lösung
Nachdem Verantwortliche sich für einen Lösungsanbieter entschieden haben, sollten sie einen Migrationsplan für die Bereitstellung entwickeln. Dies beginnt mit der Bewertung der Datenanforderungen, der Klassifizierung, der Geschäftslogik und internen Abhängigkeiten, der Definition eines Zeitplans mit einem Pilottest sowie dem Entwurf einer Netzwerktopologie als Vorbereitung für die Bereitstellung. Als Teil des
Übergangsprozesses sollten klare Zwischenziele für das Release-Management, die Validierung, die kontrollierte Überführung der IT-Lösung in den operativen Betrieb sowie die Außerbetriebnahme der alten Lösung festgelegt werden.
Strategie für die Zeit nach der Migration entwerfen
Nach erfolgreicher Durchführung der Migration, sollten Verantwortliche noch einen Schritt weiter gehen und eine Strategie für die Zeit nach der Migration entwerfen. Diese beinhaltet häufige Überprüfungen gemeinsam mit dem Sicherheitsanbieter, welche sich auf die Verbesserung des Einsatzes der Lösung und die damit verbundene Nutzensteigerung konzentriert.
Häufige Fallstricke bei der Migration und wie man sie vermeidet
Mehrere Fallstricke können jedes Migrationsprogramm zum Scheitern bringen. Der offensichtlichste Fall ist das Fehlen einer langfristigen Migrations-Roadmap mit nachvollziehbaren Ergebnissen und einem Plan zur Einbindung der Stakeholder. Ein weiterer Fehler ist das Versäumnis, einen Notfallplan zu erstellen, falls Mitglieder des Migrationsteams mitten im Projekt ausscheiden. Zudem sollte eine Lösung keinesfalls bereitgestellt werden, bevor sie nicht getestet und interne Experten einbezogen wurden.
Die wichtigste Maßnahme für ein erfolgreiches Migrationsprojekt ist jedoch, lange und gründlich darüber nachzudenken, welche Assets das Unternehmen wirklich schützen muss. In der Tat macht eine Vielzahl marktführender Tools das Unternehmen nicht sicher, wenn diese nicht angemessen in die Gesamtsicherheitsstrategie integriert sind. Um dies zu erreichen, müssen Verantwortliche genau wissen, welche Unternehmensdaten und Anwendungen für die Wertschöpfung kritisch sind.
Analyse: welche Datenbestände müssen am dringendsten geschützt werden
Ein risikoorientierter Ansatz bei der Einführung einer neuen Sicherheitslösung beginnt also mit einem tiefen Verständnis dafür, welche Datenbestände am dringendsten geschützt werden müssen. Die richtigen Fragen in einer frühen Phase des Migrationsprogramms zu stellen, hilft dabei, Tiefe, Umfang und Niveau des benötigten Service zu bestimmen – und ob der in Frage kommende Sicherheitsanbieter der Herausforderung gewachsen ist.
Mehr bei DigitalGuardian.com
Über Digital Guardian Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.