Hvorfor investerer virksomheder i avanceret og dyr IT sikkerhed uden at kende deres egne behov eller kapaciteter.
Gennem min mere end 30 årige karriere indenfor IT sikkerhed, har jeg set utallige virksomheder indkøbe avancerede IT sikkerheds løsninger, hvor man efterfølgende konstaterer, at man kun benytter et minimuml af løsningens muligheder. Når jeg spørger hvorfor man ikke udnytter mere, er svaret ofte: “Vi har ikke ressourcerne”.
Når man indkøber IT sikkerheds løsninger, handler det ikke kun om at se på ens risiko og løsninger. Det handler også om at vurdere, om man har ressourcer og viden til at konfigurere, drifte og ikke mindst håndtere det i dagligdagen.
Jeg ser ofte virksomheder indkøbe Endpoint Detection og Response (EDR), Security Incident Event Management (SIEM) eller det aller nyeste i Kunstig Intelligens drevne løsninger. Mange større virksomheder har EDR løsninger, men meget få udfører Detection & Response. De opsamler blot alarmer i EDR systemet og får aldrig udført trussels analysen, så de optimere og hurtigt kan reagere på hændelser.
Når man præsenteres for nye teknologier, der kan opdage, analysere og reagere på hændelser, bliver man ofte let imponeret. Selv professionelle IT sikkerhedsfolk imponeres over mulighederne. Men når det kommer til implementeringen og den daglige brug og udnyttelse af løsningen, rammer hverdagen en. Løsningen giver meget sjældent de udbytter, man blev præsenteret for, da man valgte indkøbet.
Hvis ikke du har ressourcer og viden til drift af denne type løsninger, er der igen grund til at købe dem. Det vil blot ende som en tabt investering.
Du skal have en plan og se på helheden.
Firmaer der bliver ofre for denne type indkøb, har typisk ikke vurderet deres behov eller hvordan løsningen vil passe ind i virksomhedens samlede IT sikkerheds system. Det er jo slet ikke sikkert, at det er noget der løses teknisk. Nogle gange er det brugerens adfærd, eller måske en sikkerheds setting på PC’en, der giver løsningen. Så inden du kontakter en sælger for præsentation af den “perfekte løsning”, bør du vurdere det reelle behov.
Jeg ser ofte en teknisk person i IT afdelingen blive “forelsket” i en løsning, og med stor entusiasme “sælge” den internt til IT chefen. Desværre begynder udfordringerne allerede under installation og setup. Når man overvældes af et stort antal alarmer og hændelser korrekte som falske, der alle sammen dagligt skal fortolkes og håndteres, og systemet optimeres, så falder entusiasmen. Måske var de nødvendige tekniske kompetencer heller ikke til stede, men kun entusiasmen og interessen i at kigge på nye ting hele tiden.
Synlighed og overblik kommer ikke kun af at indkøbe et system eller en service. Det kræver interne ressourcer og prioriteringer.
Mine bedste 5 råd er:
- Kend din risiko, og hvor store risici er du parate til at tage.
- Definer hvad det er du vil sikre, og vær skarp på hvad du vil have som udbytte.
- Kend dine ressourcer. Har du dem internt eller skal du ud og købe dem som en Managed service.
- Inddrag en uvildig sikkerheds ekspert, der både kan udfordre virksomheden og leverandøren. Du skal sikre dig, at virksomhedens udfordring og ressourcer passer med den løsning der vælges. Måske er en Managed Service det bedste?
- Overvej at bruge den uvildige resurse til at sikre en succesfuld implementering, ikke hands-on, men drive projektet fremad til succes.