rvlsoft - Fotolia

Sicherheitsprodukte: Wann sollte man was wechseln?

Lösungen zur IT-Sicherheit sollten regelmäßig auf ihre Wirksamkeit hin überprüft werden. Mit diesen Tipps können Sie Security-Produkte evaluieren.

Es gibt drei Gründe, eine Geschäftsbeziehung zu einem Hersteller zu beenden oder ein Produkt oder einen Dienst auszutauschen: Beschränkungen, Produktqualität und Kostenstruktur.

Manchmal müssen Unternehmen allerdings eine Geschäftsbeziehung beenden, selbst wenn das Produkt seine Aufgabe noch erfüllt. Auch hier gibt es drei Gründe, diese sind allerdings oft außerhalb der Kontrolle des CISO: Stellenabbau wegen Kostenreduktion; eine Fusion, die zusätzliche Produkte einbringt und eine Veränderung in den Sicherheitsanforderungen, etwa nach der Auswertung eines Zwischenfalls.

In diesen Situationen kann es helfen, eine weniger kostenintensive oder ein weniger robustes Produkt zu verwenden, das besser auf die Überwachung spezieller Bereiche zugeschnitten ist. Nachfolgend ein paar Empfehlungen, wie Unternehmen den Wert ihrer Sicherheitstools bewerten können.

Personalveränderungen berücksichtigen

Nicht alle Unternehmen sind profitabel oder wachsen mit der Geschwindigkeit, mit der sie es sollen. Das kann an der allgemeinen Wirtschaftslage, veralteten Produkten oder gestiegenen Betriebskosten liegen. Meist werden Budgets nach unten korrigiert, um mit diesen Herausforderungen klarzukommen. Der CISO muss dann entscheiden, welche Sicherheitslösungen entbehrlich sind. Anschließend muss er mit Herstellern verhandeln oder sie durch eine weniger teure Lösung ersetzen. Und das alles, ohne dass das allgemeine Sicherheitsniveau leidet.

Eine Möglichkeit, dieses Ziel zu erreichen, ist das Beschneiden des Sicherheitsportfolios. Zum Beispiel können Produkte, die nie oder wenig benutzt werden, entfernt werden. Outsourcing kann ebenfalls eine Möglichkeit sein, um Kosten zu senken. Ebenso hilft es, herauszufinden, ob mehrere Produkte die gleichen Funktionen bieten und diese in einer Lösung zusammenzufassen. In diesen Fällen kann der CISO den Wartungsvertrag nicht verlängern oder den Vertrag mit anderen Herstellern aufkündigen.

Überlappende Funktionen nach einer Fusion

Zusammenschlüsse und Übernahmen anderer Firmen sind Realität im Unternehmensalltag. Nach einer Übernahme müssen allerdings harte Entscheidungen getroffen werden. Zwei fusionierende Firmen haben normalerweise unterschiedliche Lösungen und Ansätze, wenn es um den Schutz und die Überwachungen der Systeme geht. Abhängig von den Vorgaben der Fusion kann es sein, dass Organisationen keine Wahl bei der Nutzung der Produkte haben. Es muss eine Entscheidung geben, welche Produkte die Anforderungen aller Abteilungen erfüllen – eine Lösung wird aber wahrscheinlich der Übernahme zum Opfer fallen.

Metriken und Erfahrung aus Zwischenfällen

Unternehmen können Metriken nutzen um herauszufinden, ob ein Sicherheitsprodukt noch immer den aktuellen Ansprüchen genügt. Diese Metriken beinhalten unter anderem eine Kalkulation der anfallenden Gesamtkosten eines Produkts. Diese sind eine Kombination aus den Total Cost of Technology (TCT), den Total Cost of Risk (TCR) und der Total Cost of Maintenance (TCM).

TCT sind die Kosten, die für ein Produkt oder eine Dienstleistung anfallen. Auf diesem Wert liegt währende der Auswahlphase oft ein besonderer Fokus. Unternehmen sollten ihre aktuellen Produkte gegen andere Angebote prüfen – sofern diese mit den aktuellen Anforderungen übereinstimmen – und herausfinden, wo die geringsten TCT anfallen.

TCR wiederum beinhaltet Risiken, die ein einzelnes Sicherheitsprodukt möglicherweise nicht abwehren kann, die aber rechtlich vorgeschrieben sind. Dazu gehören etwa Compliance-Anforderungen wie PCI DSS, HIPPA oder SOX.

TCM beschreibt die Kosten, die beim Betrieb des jeweiligen Tools anfallen. Hier fließen unter anderem die notwendigen Erfahrungslevel der mit dem Betrieb betrauten Angestellten auf, ebenso wie die Komplexität des Produkts an sich oder dessen Verwaltung.

Die meisten Sicherheitsprodukte können über einen längeren Zeitraum beweisen, welche Arten von Angriffen sie abwehren können. Allerdings müssen Unternehmen diesen Attacken auch wirklich ausgesetzt sein. Ein Beispiel: Wenn ein Unternehmen nur wenige Webangriffe verzeichnet, dann kann ein NGFW-UTM-Feature (Next Generation Firewall) vielleicht ausreichende Sicherheit bieten. Das würde eine Web Appliaction Firewall unnötig machen, sie könnte entsprechend aus dem Gerätepool entfernt werden, ohne dass die Sicherheit an sich leidet. Dasselbe kann für Data Loss Prevention (DLP), Multifaktor-Authentifizierung (MFA) oder Wireless-Management-Systeme zutreffen.

Produktbezogene Überlegungen

Die Verantwortung eines CISOs ist es, sicherzustellen, dass die richtige Art von Schutz und Überwachung im Unternehmen platziert ist, damit alle Unternehmensziele im Bereich Sicherheit erreicht werden. Stellenabbau, Übernahmen und neue Metriken können wichtige Faktoren bei der Entscheidung sein, allerdings sollten CISOs zudem diese Punkte überdenken:

  • Die Komplexität einzelner Produkte bei Betrieb und Verwaltung und ob das jeweilige Produkt signifikante Zeit in Anspruch nimmt.
  • Die Anzahl von Falschmeldungen. Falls eine hohe Anzahl von Falschmeldungen ein Produkt in eine nervige Komponente verwandelt, verliert das Produkt seine Schutzfunktion. Zudem nimmt es enorm viel Zeit in Anspruch, diese Falschmeldungen nachzuverfolgen und sie aufzuklären.
  • Die Verwaltung sollte umfassend, flexibel und einfach sein. Falls das nicht zutrifft, kann ein Tool weniger sinnvoll sein und das IT-Personal frustrieren.
  • Die notwendigen Fähigkeiten, die das IT-Team für den Betrieb der Produkte mitbringen muss. Wenn jemand nur einen Hammer kennt, sieht jedes Problem wie ein Nagel aus. Die meisten Angestellten können neue Produkte und Strategien lernen, wenn sie allerdings kein Talent dafür besitzen, werden sie niemals das komplette Potential entwickeln.

Schließlich sollte die Beziehung zu den Herstellern eine Rolle spielen. Ein CISO kann ab und zu verleitet werden, ein Produkt oder einen Dienst weiter zu nutzen, weil der Hersteller oder dessen Verkäufer extrem schnell antwortet und eine gute Geschäftsbeziehung aufgebaut hat. Wenn das Produkt allerdings schlussendlich seine Aufgaben nicht erfüllt, muss der CISO die Entscheidung treffen und ein anderes Produkt wählen. Am Ende müssen die Anforderungen des Unternehmens immer im Vordergrund stehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close