5 Tipps für Einsparungen im Krisenfall

Plötzliche Budgetkürzungen, wie sie diese Unternehmen aufgrund der COVID-Krise hinnehmen müssen, können langfristige negative Auswirkungen auf die Sicherheit haben. Hier erfahren Sie, wie Sie die Kosten senken und weiterhin positive Zukunftsaussichten sichern können. [...]

Die Pandemie zwingt IT-Führungskräfte dazu, schwere Entscheidungen zu treffen. Wenn es um Budget-Kürzungen geht, haben wir ein paar Tipps (c) pixabay.com

Die Informationssicherheit hatte lange Zeit den Ruf, personell und finanziell unterbesetzt zu sein, und das war vor COVID-19. Unter dem gegenwärtigen wirtschaftlichen Abschwung ist der Druck noch größer geworden. Das Forschungsunternehmen Pulse berichtete am 4. Juni, dass 23% der Sicherheitsbudgets gegenwärtig eingefroren und 49% gekürzt worden sind.

Wenn der CEO Sie also bittet, dieses bereits unterfinanzierte Budget zu kürzen, wo sollte ein CISO dann beginnen? Genauer gesagt, gibt es einen Weg, diese Kürzungen vorzunehmen, der verhindern kann, dass sie dauerhaft werden, wenn der wirtschaftliche Abschwung vorbei ist? CSO hat sich mit Consultants, Anbietern und CISOs zusammengetan, um ihnen die folgenden Top-Tips zu geben:

1. Identifizieren Sie Überschneidungen in der Technik

Beginnen Sie im goldenen Dreieck von Mensch, Prozess und Technologie mit der Technik, d.h. mit der Software, die das Unternehmen bereits hat. Leo Taddeo, ehemaliger FBI-Spezialagent, der für die Cyber-Abteilung des New Yorker Büros verantwortlich ist, erklärt: „Suchen Sie nach Bereichen, in denen Innovation zu Effizienzsteigerungen geführt hat“. Da viele Technologieanbieter ständig neue Funktionen ergänzen, kann es möglicherweise zu Überschneidungen kommen, die es beim Onboarding noch nicht gab. Nehmen Sie zum Beispiel Ihre aktuelle Endpoint-Protection-Suite; Taddeo zufolge kann sie auch einen bedeutenden Virenschutz bieten, und fügt hinzu: „Wenn ein CSO für beides Kosten aufwendet, dann ist dies ein Bereich für Kosteneinsparungen.“

Arbeiten Sie mit anderen Abteilungen zusammen, um herauszufinden, welche Technologien sie verwenden. Die Identifikation von Schatten-IT war schon immer ein Problem. Beginnen Sie also mit bekannten Systemen, insbesondere mit solchen, die weiter verbreitet sind. Taddeo rät: „Möglicherweise gibt es auch in einer bestehenden Plattform wie Windows 10 Funktionen, die es einem CISO ermöglichen, Risiken durch das einfache Einschalten einer Sicherheitsfunktion zu mindern.“

Wo auch immer Sie sie finden, die Beseitigung von Tool-Redundanz ist eine Maßnahme zur Kosteneinsparung, die Sie wahrscheinlich auch dann beibehalten wollen, wenn die Budgets wieder zur Normalität zurückkehren. Wie Greg Touhill, Präsident des Zero-Trust Beratungsunternehmens AppGate Federal, betont: „CSOs sollten immer nach Möglichkeiten suchen, effektiver, effizienter und sicherer zu werden – ob mit oder ohne Pandemie.“

2. Neuverhandlung von Lieferantenverträgen

Für die Tools, die Ihre Abteilung behält, sollten Sie versuchen, Kosten zu sparen, indem Sie „sich erneut mit Ihren Lieferanten in Verbindung setzen, um sicherzustellen, dass Sie den bestmöglichen Preis erhalten“, so George Gerchow, CSO von Sumo Logic, einer Analyseplattform. „Im Moment versucht jeder Anbieter verzweifelt, seinen Kundenstamm zu schützen, so dass Punktlösungen ihren Preis senken müssen, um mit Suite-Lösungen konkurrieren zu können“, meint er, was bedeutet, dass bei Suite-Lösungen wahrscheinlich ein Lizenzrabatt gewährt wird.

Jeff Hausman, General Manager of Security Operations für den Anbieter ServiceNow, empfiehlt den Teams, von der unbefristeten Lizenzierung auf ein Abonnementmodell umzusteigen, wenn dies möglich ist, um die Budgets flexibel zu gestalten.

„Plattformen, die für die Datennutzung Gebühren erheben, müssen kreativ werden, wenn sie nach Datentyp und Häufigkeit der Suchvorgänge abrechnen“, bemerkt Gerchow.

CEO Mark Orlando vom Dienstleister Bionic gibt ähnliche Ratschläge: „Reduzieren Sie jede Technologielizenz, die auf Datenvolumen oder [einer] anderen variablen Metrik basiert. Suchen Sie nach Möglichkeiten, diese Lizenzkosten zu senken, indem Sie Daten-Feeds, die nicht verwertbar oder abgestanden sind, reduzieren – oder zumindest diese Support-Verträge konsolidieren und gleichzeitig kündigen, um Überschneidungen zu finden und vorübergehende Zahlungserleichterungen zu erhalten.“

Wenn die Anbieter nicht verhandeln wollen, empfehlen sowohl Hausman als auch Gerchow den Übergang zu Open-Source-Alternativen.

3. Einsatz von Technologie zur Senkung der personenbezogenen Kosten

Unter den vielen Schwierigkeiten, die damit verbunden sind, in der heutigen Zeit einen Budgetplan kürzen zu müssen, gibt es vielleicht einen positiven Aspekt. Hausman bemerkt: „Dies ist ein guter Zeitpunkt, um die Plackerei im Bereich der Sicherheitsoperationen zu automatisieren“. All die manuelle Arbeit, die Ihr Team zu sehr in Anspruch nimmt? Nun, wenn Ihr CEO bereit ist, ein wenig Geld auszugeben, um einiges einzusparen, könnte dies Ihre Chance sein, sich für den Kauf des Automatisierungstools zu entscheiden, das Sie sich schon immer gewünscht haben. „Die Automatisierung von Aufgaben und die Orchestrierung von Prozessen trägt schon bald viele Früchte“, so Hausman.

Hausman empfiehlt CISOs die Anwendung der 80/20-Regel, einer Unternehmenstheorie, die auch als Pareto-Prinzip bekannt ist und besagt, dass 80 % der Ergebnisse aus nur 20 % der Bemühungen hervorgehen. Laut Hausman soll man sich fragen: „Welches sind die fünf besten Arten, wie Ihr Team seine Zeit verbringt?“ Stimmen diese Aktivitäten mit den Unternehmens- und Abteilungszielen überein? „Mit Standard-Workflows lassen sich bestimmte Bereiche wie Datenerfassung, Priorisierung, Konsolidierung von Vorfällen und die Zuweisung von Abhilfemaßnahmen sicher angehen“, erklärt er.

Dieser Tipp kann besonders bei der Implementierung von Zero Trust hilfreich sein, wo laut Touhill neue Innovationen bei softwaredefinierten Perimetern beispielsweise die Strategie vorantreiben, „während sie gleichzeitig helfen, die Betriebskosten zu senken, da sie es ermöglichen, ältere, personalintensive Technologien wie Virtual Private Network (VPN) und Network Access Control (NAC)-Systeme in den Ruhestand zu versetzen“ – eine interessante Idee zu einer Zeit, in der die Daten von Pulse zeigen, dass VPNs für 36% der Cybersicherheitsteams im Mai dieses Jahres der häufigste „neue Budgetposten“ sind.

Ausgaben jedweder Art sind vielleicht nicht das, was die C-Suite im Moment sehen möchte, aber wenn der Chef offen für kreatives Denken ist, versuchen Sie, die Personalfinanzierung für alle offenen Sicherheitspositionen zu nutzen, indem Sie für Software plädieren, die die Arbeit der Abteilung reduziert. Einige Tools können teuer sein, aber sind die Gesamtkosten für das Unternehmen höher oder niedriger als das Gehalt plus Leistungen bei einer Neueinstellung? Außerdem kann Ihnen dieser Tipp auch dabei helfen, einen Präzedenzfall für den Kauf anderer auf der Wunschliste stehender Technologien zu schaffen, wenn die Budgets zurückkommen.

4. Vorsicht bei Entlassungen

Wenn Sie das Budget kürzen wollen, dann leider nur durch Entlassungen, denn die Daten über den Arbeitsplatzverlust im Juni zeigen, dass mehr als 30 Millionen Amerikaner während der Pandemie arbeitslos geworden sind. Im Bereich der Cybersicherheit zeigt die Umfrage von Pulse im Juni, dass 48% der Datensicherheitsteams im April oder Mai „wegen COVID-19 den Personalbestand reduziert haben“ und dass 40% planen, noch vor November Mitarbeiter zu entlassen.

Orlando von Bionic sagt: „Der Verlust qualifizierter Teammitglieder wird dauerhafte Auswirkungen auf die Moral des Teams haben und künftige Rekrutierungsbemühungen behindern, so dass Personalabbau für Sicherheitsleiter, die nach der Krise eine Art von Kompetenz aufrechterhalten wollen, eine weit entfernte letzte Option sein sollte“.

Irgendwann wird die Wirtschaftskrise, die mit COVID-19 einherging, vorbei sein. Mitarbeiter Überstunden machen zu lassen, während sie sich mit Gesundheits- und Kinderbetreuungsfragen und der Sorge, dass sie als nächstes entlassen werden könnten, befassen müssen, fördert nicht die Loyalität. Wie Touhill betont, machen Personal-, Schulungs- und Lizenzkosten den Großteil der meisten Sicherheitsbudgets aus. Mitarbeiter, die Sie jetzt zu hassen beginnen, könnten sehr wohl nach COVID-19 kündigen, wodurch sich die Personal- und Schulungskosten für ihre Ersatzeinstellungen erhöhen würden. Denken Sie daran, dass das Ziel darin besteht, Wege zu finden, das Budget jetzt zu kürzen, ohne die Sicherheitslage in Zukunft zu beeinträchtigen.

5. Egal was passiert, denken Sie an Ihre Ziele

Um auf Hausmans Bemerkungen zurückzukommen, ist es wichtig, dass die Sicherheitsführer ihre Ziele stets im Blick behalten. Bei der Festlegung der heutigen oder irgendwelcher Kürzungen, so Orlando, sei die allgemeine Strategie die gleiche: „Brechen Sie die Charta des Sicherheitsteams auf eine molekulare Ebene herunter und entscheiden Sie, was Sie sich leisten können, zu verlieren, und dennoch Ihre Arbeit erledigen.“ Am Ende des Tages wird das Festhalten an dieser einen Leitstrategie Ihnen sagen, was gekürzt werden sollte – und was nicht.

*Terena Bell ist freiberufliche Journalistin und berichtet über Chatbots, natürliche Sprachverarbeitung und andere KI.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*