UNITEDINTERIM Blog

Hier werden Beiträge von angemeldeten Interim Managern veröffentlicht.

Security Operations Center Outsourcing Projekte - Ein Rückblick und Lessons Learned

Branche: Versicherungs- und Finanzbranche 

Linienfunktion: Projektmanger 

Thema: Security Operations Center (SOC)Outsourcing 

Umsatz: < 60 Mrd. EUR Mitarbeiter: 750 bis 55.000 

Aufgabe:

EBA / EZB bzw. Bafin getrieben, Umsetzung eines 7x24 SOC und eines Security Incident und Event Management Systems (SIEM) als absolute Minimum Requirements.

Lösung:

Vorgabe - Etablierung eines 24x7 SOC und eines SIEM Lösung - Ausschreibung eines Security Operations Centers samt Betrieb eines Security Incident and Event Management Systems (und manchmal auch mehr).

Ergebnis:

Frage 1 - Make or buy?  Pluspunkte "Make" - Wissen bleibt im Haus Gegenfrage aus dem Murder Board - Wo soll das Wissen im Haus herkommen? Das Budget für 7x24 Betrieb (Mitarbeiterkosten!), und selbst wenn dies geklärt wäre, stellt sich die Frage, findet man überhaupt Mitarbeiter mit dem nötigen Wissen? Antwort - Wissen ist im Haus kaum, bzw. nicht in benötigtem Umfang vorhanden. Mitarbeiter am Markt schwer, bis gar nicht, zu bekommen, und wenn überhaupt, nicht bezahlbar. "Following the Sun" Vorhaben sind nicht mit den Regulatorien, und auch nicht mit dem Betriebsrat, vereinbar.

Fazit: Man entscheidet sich für Buy, d.h. man sucht sich einen Outsourcing Provider Hier kommt die nächste regulatorische Vorgabe zum Tragen, die EBA Regulatorien zum Outsourcing (noch in der alten Version) und die BAIT.

Fazit: Wie vorhin bereits festgestellt, "Following the Sun" Vorhaben sind auch beim Provider ausgeschlossen. Da wir uns jetzt im Outsourcing befinden, müssen die Daten aber auch in Ländern verbleiben, die den gleichen Datenschutz haben wie das Ursprungsland, d.h. der DSGVO/GDPR unterliegen. Damit unterliegt das Vorhaben einer Einschränkung der möglichen Bieter auf Solche, die einen SOC in der EU, bzw. dem EWR, oder der Schweiz betreiben. Da die Frage des BREXIT ungeklärt war, und immer noch ist, entschloss man sich auch UK als Standort auszuschliessen (NO DEAL BREXIT). Weitere Punkte die es zu erledigen galt, den Scope definieren, beschränkt man sich nur auf SOC und SIEM, oder erweitert man den Scope um sicherheitsrelevante Dienste, wobei hier Endpoint Detection and Response (EDR) durchaus Sinn macht, als auch ein Vulnerability Scanning Service.

Nächste Frage: Request for Information (RFI) aussenden, oder gleich einen Request for Proposal (RFP)? Wobei man im Bereich einer öffentlichen Ausschreibung limitierter ist, denn bei einer aus der Privatwirtschaft. Aufsichtsrechtliche Frage einer "Retained Organisation" klären, denn zu mindestens der Level 3 SOC muss (teilweise) im Unternehmen verbleiben, und darf nicht ausgelagert werden. Darauf folgte die Ausarbeitung der Ausschreibungsunterlagen. Währenddessen, oder danach sollte man mögliche Bieter identifizieren, und zusammen mit dem Einkauf diese kontaktieren, und bei deren Interesse am Bieterverfahren, ihnen die Ausschreibungsunterlagen zusenden (anders bei einer öffentlichen Ausschreibung).

Nächster nicht unwesentlicher Taks war das Management des Bieterprozesses, "Bieterkonferenzen", Bieterbewertung ausarbeiten, Bieterpräsentationen begleiten, Fragen an Bieter ausarbeiten, und stellen (ggf. auch erst aus dem Kontext heraus). Nach der ersten Bieterbewertung Top 3 identifizieren, mittels Nachverhandlung auf Top 2 reduzieren, und gemeinsam mit dem Einkauf die Verhandlungen (technisch, fachlich, budgetär, jedoch nicht rechtlich, dies obliegt der Rechtsabteilung, sehr wohl aber diese mit einbinden) durchführen. Am Ende den Zuschlag an den besten Bieter vergeben und diesen dahingehend informieren.

Kick-off Meetings mit dem Outsourcing Provider gemeinsam durchführen. Projektinitiierung (nach PMI bereits alles Execution Phase) und Planung mit dem Provider erarbeiten. Hier den Fokus auf partnerschaftliche Zusammenarbeit legen. Die Onboardingphase (im Sinne des SIEM) managen. SOC Integration, d.h. die SOC Prozesse des Providers in die ITIL PRozesse meines Kunden managen. Lessons Learned durchführen und archivieren. Das erste SOC Outsourcing Projekt, in diesem war der SOC und das SIEM zwar nicht Fokus meines Engagements, aber daraus lernte ich, ein SOC benötigt mindestens 2 Jahre um richtig zu funktionieren, nach 3 bis 4 Jahren arbeitet er erst richtig gut (war hier IBM SOC in Wroczlaw).

Die weiteren 3 SOC SIEM Outsourcing Engagements waren als Projektmanager für eben diese Outsourcingvorhaben. Hier stellte ich fest: Weniger ist mehr, d.h. nicht zuviel in die Ausschreibung "packen", schon gar keine SOC fremden (Teil-) Projekte zusammen ausschreiben, das endet darin, dass ein Generalunternehmer anbietet, mit Glück macht er einen kleinen Teil selbst, und der Rest wird zugekauft. Hier kommt es dann zu einem enormen Abstimmungsaufwand, der u.U. noch verschlimmert wird, wenn der Kunde die IT an einen (anderen) Outsourcing Provider ausgelagert hat.

Bzgl. SOC und dessen "Toolstack", hier sollte nicht zuviel in der Ausschreibung vorgegeben werden, der potentielle Provider kennt sich meist besser aus, und bietet dem Kunden u.U. völlig neue Ansätze, an die er gar nicht gedacht hätte, wenn man den Bieter denn lässt. Einen Generalunternehmer mit mehr als einen Subunternehmer besser nicht in Erwägung ziehen, Abstimmungsaufwand ist u.U. (wenn nicht wirklich gut eingespielt) enorm, und bleibt weitestgehend am Projektmanager hängen, wobei dieser keinerlei Zugriffs- Durchgriffsgewalt zum Subunternehmer mehr hat. Branchenerfahrung des SOC Providers ist nicht alles, u.U. macht es Sinn bei einem Dritten (oder selbst) die Storyboards und Use Cases zu zukaufen, welche die EZB/Bafin gerne sehen möchte (implizit sehen möchte, denn es steht nirgendwo), denn ein eingespieltes Team für alle Teilprojekte auf Providerseite macht sehr viel Sinn (war hier Airbus Cyber & Defense, mittlerweile hat auch Airbus viel Bankenerfahrung). Programmieren kann es dann ein Provider, welcher seine Tools sehr gut kennt, auch ohne Bankenerfahrung.

Retained Organisation im eigenen Betrieb nicht vergessen (L3 SOC). Hybiden Ansatz für den SOC andenken, und weiter verfolgen (Voraussetzung der Kunde hat noch eine eigene IT), hier kann sinnvoll Wissen im Hause aufgebaut werden, der Ansatz, es komplett selbst machen zu wollen, klappt meist nicht, jedenfalls nicht in der von der Aufsicht vorgegebenen Zeit. Outsourcing Provider als Partner sehen, und von Ihm profitieren (eigenen Maturitätslevel heben). Vorher klären was das Ziel ist, die Aufsicht zufrieden stellen, oder die Maturität im Sinne der Infomationsssicherheit des Unternehmens zu heben, auch wenn es u.U. schwer fällt Erstes zu nennen.

Man kann aber sagen, die Informationssicherheit wird, so oder so, angehoben. Der Fokus und das benötigte Budget wird aber variieren. Und selbst hier in einem mit SIEM, EDR und Co. scheinbar Tool getriebenen Vorhaben, es ist nicht das Tool ("A fool in front of a tool is still a fool), es ist die Intelligenz der Mitarbeiter im SOC, welches den Erfolg des Projektes sicherstellt. Daher im Bieterprozess, Referenzen prüfen, sollten aus NDA Gründen & Co keine direkt für SOC / SIEM möglich sein, artverwandte Referenzen des Bieters prüfen. Wie gestaltet sich die Zusammenarbeit, wie "tickt" das Unternehmen, etc. Last but not least, wenn möglich SOC vor Ort ansehen. Zu mindestens das anvisierte Projekt- und SOC Team vorher kennen lernen (chemische Kompatibilität), mit kalkulieren, dass die "Alpha" Projektmitarbeiter u.U. zum Zeitpunkt des Zuschlags bereits in anderen Projekten tätig sind, somit nicht mehr zur Verfügung stehen. Daher ist es sehr wichtig im Vorfeld zu evaluieren, wieviel können die SOC Mitarbeiter auch im Projektgeschäft leisten, wieviele Berater stehen dem Provider für welche Tasks zur Verfügung, wer könnte für was als Backup dienen, um nur einige Punkte zu nennen.

Jutta Zilian
Profil bei UNITEDINTERIM

Sillgasse 16
6020 Innsbruck
Österreich

+49 171 383 34 09
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Ein starkes Restrukturierungswerkzeug - "Chapter 1...
Cyberangriffe und ihre Folgen
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Montag, 09. Dezember 2019

Sicherheitscode (Captcha)