Trotz der Existenz einer Masse von Mythen ist die Antwort auf diese Frage relativ eindeutig. Mit einigen Ergänzungen läuft es auf die These hinaus: Outsourcing insbesondere in der Cybersicherheit verwaltete Erkennungs- und Antwortdienste, ist für Unternehmen wesentlich effizienter und wirtschaftlicher, als den gesamten Prozess generell durch die Kräfte einer spezialisierten internen Struktur sicherzustellen.
Die Hauptaufgabe besteht darin, die Kosten zu minimieren
Der hartnäckigste Mythos der Cybersicherheit ist mit dem Kostenbegriff verbunden, dem drängendsten und dringendsten Thema für das Top-Management: Outsourcing ist immer teurer als eigene Spezialisten. Diesen Mythos zu zerstreuen ist nicht so schwierig. Lassen Sie uns fortfahren.
Es lohnt sich damit anzufangen, dass Cyber Security möglichst effizient ausschließlich in der Verbindung von Menschen, Technik und Prozessen funktioniert. Nur so und nicht anders ist es möglich, einen lückenlosen Schutzkreislauf des Unternehmens vor externen und internen Cyberspace-Bedrohungen zu gewährleisten.
Bei der Entscheidung, ein Budget für Cyber Security bereitzustellen, orientiert sich die Unternehmensleitung oft an veralteten und grundlegend falschen Konzepten. Es werden nur eindeutige und vorrangige Kapitalinvestitionen in Technologie berücksichtigt. Denn das teuerste Glied in dieser Kette ist, wie es auf den ersten Blick scheint, die Technik. Sie können sie fühlen und zumindest visuell das Ergebnis finanzieller Ausgaben beurteilen. Schon jetzt ist der Begriff eines Cyber-Security-Projekts für viele mit der Anschaffung bestimmter Schutzsysteme verbunden, die grob gesagt gekauft, installiert und in Betrieb genommen werden müssen. Dies ist die erste und wichtigste Täuschung.
Der Kauf von Technologie ist eine einmalige Investition. Mit anderen Worten, eine vernünftige und nachvollziehbare Investition. Etwas unpraktisch, aber konstant, und dadurch werden die Volumenkosten tiefer versteckt.
Die richtigen Leute sind die wesentliche Investition
Menschen sind das teuerste und zugleich wertvollste Unternehmensgut. Um den Prozess sicherzustellen, ist es entscheidend zu verstehen, ob es sinnvoll ist, ein multidisziplinäres, hochspezialisiertes Team innerhalb des Unternehmens zu bilden (was es unter den heutigen Bedingungen einer hochkomplexen Vielfalt von Technologien und Bedrohungen genau sein sollte) oder ob es sinnvoll ist sinnvoll, diesen Prozess ganz oder teilweise einem externen kompetenten Ausführenden anzuvertrauen, der von A bis Z auf die Lösung solcher Probleme aufgebaut und fokussiert ist. Im Klartext, lagern Sie aus, und professionell ausgedrückt, melden Sie sich für Managed Security DR (Detection and Response) Services an.
Deshalb ist es wichtig, bereits bei der Planung von Investitionen in Cyber Security die Kosten umfassend und richtig zu kalkulieren. Zuallererst sollten Sie nicht einmalige Investitionen in Sachanlagen berücksichtigen, sondern zukünftige Betriebskosten für deren Instandhaltung. Dies führt vor allem zu zusätzlichen Investitionen in Personal und deren Ausbildung. Indem das Unternehmen nur Ersteres berücksichtigt, schafft es das Unternehmen nicht, die richtige Balance zu finden, sondern schafft stattdessen eine illusorische Sicherheitseffizienz durch die Anhäufung von Technologien. Gleichzeitig ist der zugrunde liegende Prozess kontraproduktiv und das Ergebnis wertlos.
Viele Unternehmen sind in die gleiche Situation geraten – sie sind mit teuren technologischen Sicherheitskomplexen überwuchert. Sie sind der betrieblichen Arbeitsbelastung ihrer Instandhaltung nicht gewachsen. Es geht nicht nur um Service, aber es geht nicht nur um Service, aber es geht nicht nur um Service. Es geht darum, die Ergebnisse solcher Systeme zu analysieren und anzuwenden, um den Betriebsablauf zu verbessern. Technologien gibt es viele, aber die Effizienz geht gegen null.
Ist es sicher, die Sicherheit in die Hände von jemand anderem zu geben?
Der zweite hartnäckige Mythos, der logisch und vielleicht im Gegenteil unlogisch ist, taucht in der Situation der Informationssicherheit auf und klingt meistens in Form einer rhetorischen Frage: „Wie können wir Sicherheit auslagern, wenn es sich um Sicherheit handelt?“ Aber warten Sie, lagern Sie Ihre Gesundheitsversorgung nicht an die Poliklinik aus? Übertragen Sie die Betreuung Ihrer Kinder nicht an Babysitter? Aus irgendeinem Grund verursachen diese Bereiche keine so heftigen Debatten, Streitigkeiten, Zweifel oder tiefgründigen Gedanken. Es lohnt sich, weil ein Arzt ein Spezialist ist und Sie nicht immer selbst eine Diagnose stellen und eine Blinddarmentzündung nicht entfernen werden. Auf den ersten Blick reicht es zwar, nur ein Skalpell, Watte und einen Verband zu kaufen, aber was dann?
Outsourcing in der Cybersicherheit ist kein ganz klassisches Beispiel für Outsourcing in Form der vollständigen Übertragung von Prozessen an einen externen Auftragnehmer. Es ist immer eine Synergie der Bemühungen des Kunden zusammen mit den Aktionen des Sicherheitsanbieters. Zu allem Überfluss ist der gesamte Prozess streng geregelt und im SLA (Service Level Agreement) festgehalten, dessen Garantien in keiner Weise mit der Verantwortung eines bestimmten Mitarbeiters aus der Belegschaft des Unternehmens vergleichbar sind.
Am häufigsten beobachten wir eine Situation, in der es im Unternehmen „mehrere Bediener“ gibt, die sowohl die Systeme bedienen als auch Berichte über die Effizienz der Prozesse erstellen. Mit anderen Worten, ein Spezialist, der sich Aufgaben stellt, führt sie dann selbst aus. Nicht jede Organisation, selbst eine große, kann es sich leisten, ein großes Team von Spezialisten und Prozessmanagern zu unterhalten. Gleichzeitig ist es einfach unmöglich, die Ergebnisse eines einzigen „Multiprozessors“, auf dem alle Prozesse basieren, objektiv zu bewerten. Schließlich ist das Management in den meisten Fällen weit davon entfernt, in Fragen der Cybersicherheit kompetent zu sein. Niemand schätzt die Risiken ein, die sich in diesem Fall ergeben, und die Folgen können beklagenswert sein.
Ein Unternehmen, an das Sicherheit ausgelagert wird, kann dem Geschäft des Kunden nicht a priori schaden, da dies eine Frage der Reputation ist. Darüber hinaus betreffen Sicherheitsdienste tatsächlich nicht direkt kommerzielle Informationen.
Gleichzeitig erhält das Kundenunternehmen einen umfassenden Schutz vor Bedrohungen rund um die Uhr, die derzeit besten Technologien und ein Team von Fachleuten. Letztere werden genau in dem Verhältnis und in der Menge rekrutiert, die dem Umfang und der Besonderheit der für ein bestimmtes Geschäft erforderlichen Technologien entsprechen.
Die Dringlichkeit der Wahl ist angesichts der jüngsten Ereignisse besonders relevant. Der Zusammenbruch fragiler Schutzsysteme machte ihm bewusst, wie wichtig es ist, mehrstufige und professionelle Sicherheit zu bilden. Selbstgemachte Patches funktionieren nicht. Tausende Unternehmen konnten sich davon überzeugen. Die Frage nach dem Outsourcing verschwand von selbst. Die Antwort ist klar: Es ist notwendig, erfahrene Spezialisten zu gewinnen und hier und jetzt zu handeln.
Hinterlassen Sie eine Nachricht
Haben Sie etwas zu diesem Artikel zu sagen? Fügen Sie Ihren Kommentar hinzu und starten Sie die Diskussion.