Studienerkenntnissen zufolge sind in einem durchschnittlichen (Groß-)Unternehmen zwischen 40 und 80 separate Sicherheits-Instruments im Einsatz. Wildwuchs dieser Artwork führt regelmäßig zu:

• Safety-Datensilos,
• Integrationsproblemen,
• fortlaufendem Wartungs- und Konfigurationsaufwand, oder
• Alert-Müdigkeit.

Angesichts dieser Herausforderungen (und dem Marktpotenzial für entsprechende Lösungen) haben various Safety-Anbieter Technologieplattformen aufgebaut – etwa Cisco, Crowdstrike, Fortinet, Microsoft, Palo Alto Networks und Pattern Micro. Diese integrierten Produkt-Bundles aggregieren unterschiedliche Bereiche, unter anderem Cloud-, E-Mail-, Endpunkt- und Netzwerk-Sicherheit, SIEM und Risk Intelligence.

Von punktuellen Lösungen auf eine integrierte Architektur umzusteigen, mit einer zentralisierten Datenbank als Single Supply of Fact – das dürfte vor allem CIOs ziemlich bekannt vorkommen. Schließlich mussten sie sich jahrelang mit dem Umstieg auf Enterprise-Useful resource-Planning (ERP) -Systeme herumquälen. Die Pannen, die den IT-Entscheidern dabei unterlaufen sind, respektive die Finest Practices, die diesen teilweise verheerenden Erfahrungen entsprungen sind, können CISOs nutzen, um ihre eigene Platformization-Herausforderung (besser) zu stemmen.

ERP-Migrationslektionen

Leser, die sich schon länger mit Technologie beschäftigen, erinnern sich wahrscheinlich noch intestine an die großen ERP-Migrationsinitiativen der 1990er-Jahre. Damals battle es in großen Organisationen üblich, unabhängige Anwendungen für sämtliche Abteilungen zu betreiben – Finanzwesen, Lieferkettenmanagement, HR, Fertigung, und so weiter. Das führte zu uneinheitlichen Prozessen, isolierten Groups und dazu, dass keine zentrale Sicht auf das Enterprise möglich battle.

ERP-Systeme versprachen ein “zentrales Nervensystem” für das Unternehmen, das die Daten der einzelnen Abteilungen in einer einzigen, gemeinsamen Datenbank zusammenführen und einen Echtzeit-Überblick über die Unternehmensprozesse liefern sollte. Getrieben vor allem vom Y2K-Drawback, setzte in der Folge das große ERP-Migrationsrennen ein.

In der Praxis auf eine ERP-Lösung umzusteigen, gestaltete sich allerdings weit weniger simpel. Eine zentrale Herausforderung waren dabei etwa inkompatible Datenformate, die umfassende ETL- und Datentransformations-Maßnahmen erforderten. Um das ERP an ihre jeweilige Branche und ihre organisatorischen Bedürfnisse anzupassen, mussten viele Unternehmen einen langwierigen, mühsamen Weg beschreiten. In einigen Fällen explodierten dabei sowohl die Kosten als auch der Zeitrahmen für die Implementierung. Weil der Fokus in der Folge vor allem auf dem Technologiewechsel selbst lag, vergaßen viele Unternehmen darüber, sich um die notwendigen organisatorischen Veränderungen zu kümmern. Beispielsweise die Mitarbeiter einzubinden, Prozesse anzupassen, oder diejenigen zu schulen, die das System bedienen sollen. Das zog vielerorts politische Konflikte und weiteres, damit verbundenes zwischenmenschliches Unheil nach sich.

Zwar hängt über den Köpfen von CISOs kein Damoklesschwert wie das Y2K-Drawback. Aber auch viele Sicherheitsentscheider erwägen, im Zuge des Platformization-Developments auf eine integrierte Safety-Plattform umzusteigen. In erster Linie, um die Sicherheit und die betriebliche Effizienz zu optimieren – oder, um Kosten zu senken. Mit Blick auf den letztgenannten Faktor ist anzumerken, dass manchmal auch ein Assembly mit dem CFO dafür sorgt, dass CISOs sich mit dem Thema Safety Platformization auseinandersetzen (müssen).

Safety Platformization meistern – 5 Tipps

In vielen Unternehmen ist eine Migration auf eine solche integrierte Sicherheitsplattform kurz- oder langfristig unvermeidlich. Angesichts dessen sollten CISOs die Fehler, die in Sachen ERP begangen wurden, sorgfältig analysieren und mit bewährten Finest Practices planen. Hier einige Tipps, um das in der Praxis umzusetzen:

• Administration-Assist sichern und klare Führungsrolle einnehmen. Erfolgreiche ERP-Migrationen zeichnen sich durch klar definierte Geschäftsziele und engagierte Führungsteams aus. Ähnlich sollte es auch bei einer Safety-Platformization-Initative nicht nur um begrenzte Sicherheits-Advantages oder monetäre Vorteile gehen. Auch CISOs ist zu empfehlen, einen Enterprise Case zu erstellen, der aufzeigt, wie eine Sicherheitsplattform den Schutz geschäftskritischer Systeme verbessert und der Organisation mehr Resilienz verleiht. Sobald Vorstand und Führungskräfte an Bord sind, sind sie es, die die Umsetzung der Projektziele überwachen sowie Anreize für die Organisation und die Mitarbeiter schaffen sollten. CISOs sollten ihrerseits kontinuierlich über den Projektfortschritt kommunizieren – nicht nur aus technischer, sondern auch aus Enterprise-Perspektive.
• Safety-Group priorisieren – statt Technologie. ERP-Migrationen sind oft durch skeptische IT-Mitarbeiter erlahmt, die sich kurzsichtig auf ihre Lieblings-Technologien oder begrenzte Aufgabenbereiche fokussierten. Ähnlich zögerlich könnten einige Sicherheitsprofis reagieren, wenn es darum geht, sich von ihren bevorzugten Instruments und gewohnten Duties zu verabschieden. Diese Skeptiker müssen CISOs für sich gewinnen, indem sie sie wieder auf die übergeordnete Mission der Unternehmenssicherheit ausrichten – und ihnen sorgfältig vermitteln, wie eine Safety-Plattform auf dieses Ziel einzahlt. Unterstützen Sie das Group mit den Companies und Schulungen, die es für eine erfolgreiche Umstellung benötigt. Dafür empfehlen sich auch individuelle, beziehungsweise Group-Incentives. So können CISOs auch Karriereentwicklungsmöglichkeiten in ihre Platformization-Planungen einbeziehen.
• Mit Projektphasen planen und Large-Bang-Implementierungen meiden. Die Herausforderungen bei der ERP-Implementierung waren oft mit überambitionierten Projektzeitplänen verbunden. Die Folge: Verzögerungen, Kostenüberschreitungen und negativer Impression auf das Enterprise. So konnte etwa der US-Süßwarengigant Hershey wegen einer ERP-Panne im Jahr 1999 seine Vertriebspartner nicht mehr mit Produkten beliefern – pünktlich zur Halloween-Saison. Verlorene Marktanteile, entgangene Umsätze und ein Absturz des Aktienkurses waren die Folge. Um so etwas zu verhindern und Mehrwert mit einem schrittweisen Ansatz zu realisieren, sollten Unternehmen eine Abhängigkeits-Map erstellen, um sämtliche Besonderheiten und Verbindungen der bestehenden (Safety-)Architektur zu durchdringen. Definieren Sie den zukünftigen Zustand, einschließlich Daten und Workflows, und bestimmen Sie anhand dieser Informationen, wie und wo damit begonnen werden soll, Instruments auszutauschen. Wichtig sind diesbezüglich zudem: ein Check- und Rollback-Plan, technische und geschäftliche Metriken sowie Reportings für das Administration – für jede Part des Projekts.
• Mit einer modernen Daten-Pipeline starten. Im Zuge ihrer ERP-Migrationen hatten viele IT-Groups mit inkonsistenten Daten zu kämpfen – etwa, in jedem System unterschiedliche Kundennummern und Rechnungsadressen. Das zog langwierige ETL-Prozesse nach sich, um die Zuverlässigkeit der Daten zu gewährleisten. CISOs vermeiden ähnliche Probleme, indem sie sich auf Daten-Pipelines fokussieren, um Datenqualität, -konsistenz und -Accessibility zu gewährleisten. Das kann dazu beitragen, Datensilos aufzubrechen und eine “Single Supply of Cybersecurity Fact” zu schaffen. Eine skalierbare Daten-Pipeline kann zudem die Bereitstellung vertrauenswürdiger Daten für Analysen und Entscheidungsfindungsprozesse beschleunigen.
• Übergangszeit für Prozessänderungen nutzen. Allzu oft haben Unternehmen versucht, bestehende Geschäfts- und Technologieprozesse in neue ERP-Systeme zu zwängen, was zu komplexen Anpassungsorgien und politischen Scharmützeln führte. Um ein ähnliches Schicksal zu vermeiden, sollten CISOs die Plattformisierung als Gelegenheit nutzen, um ineffiziente und/oder manuelle Prozesse zu modernisieren, beziehungsweise zu automatisieren. Etwa mit Hilfe von SOAR oder KI-Funktionen. Suchen Sie nach Möglichkeiten, Sicherheitsengpässe in Geschäftsprozessen zu beseitigen. Prozesse neu zu gestalten, sollte einen essenziellen Half in der Planung, Prüfung und Umsetzung eines Platformization-Projekts einnehmen.

(fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.