Trustwave: deutscher Leitfaden zu SIEM
Leitfaden für Führungskräfte zur Budgeplanung für Sicherheitsinformations- und Ereignismanagement (SIEM)
Lösungen für Sicherheitsinformations- und Ereignismanagement (Security Information and Event Management, SIEM) gibt es seit mehr als zehn Jahren. Dennoch herrschen in der Branche längst nicht die Zufriedenheit und allgemeine Begeisterung für SIEM wie für andere Sicherheitstechnologien im gleichen Stadium. Aber SIEM muss einen wichtigen Platz in der Sicherheitsstrategie und im Sicherheitsinstrumentarium einer Organisation einnehmen. Warum? Die ursächlichen Probleme bestehen weiter und nehmen zu – wie kann man eine Panne in der IT-Infrastruktur entdecken, analysieren und reparieren? SIEM geht diese Probleme immer noch besser an als andere Lösungen. Der Frust entsteht häufig dadurch, dass die Kosten und Komplexität von Einrichtung und Betrieb eines SIEM unterschätzt werden. Um diese Herausforderungen zu meistern, wurden verwaltete SIEM-Dienste eingeführt, die die besonderen Bedürfnisse und Strategien von Organisationen jeder Größenordnung aufgreifen. Aber wie soll eine Organisation zwischen selbstverwaltetem und verwaltetem SIEM entscheiden?
Dieses White Paper will letzten Endes den Einkäufern von IT-Sicherheit ein aufschlussreiches Instrument an die Hand geben, damit sie die Kosten, Optionen und Kompromisse zwischen den beiden wichtigsten Einsatzmodellen von SIEM verstehen: selbstverwaltete (Do-it-yourself) und verwaltete Sicherheitsdienste (Managed Security Services). Es vergleicht die Kosten von SIEM unter zwei Bereitstellungsmodellen – selbstverwaltetes und verwaltetes SIEM – in drei Szenarien für unterschiedlich große Betriebe. Die Kostenvergleiche erfassen sowohl Investitionskosten (Anschaffungskosten) und Betriebsaufwendungen (laufende Betriebskosten).
Die drei vorgestellten Kundenszenarien gliedern sich in:
- Großunternehmen
- Mittelständischer Betrieb
- Kleinbetrieb
Der Wert dieser Szenarien ergibt sich aus der Anwendung und Anpassung des entsprechenden Szenarios an eine Organisation auf der Grundlage der Beschreibungen und Profile, die in dieser Analyse angegeben werden.
Wir sind uns bewusst, dass es neben den finanziellen auch strategische Überlegungen gibt. Das White Paper erörtert kurz drei strategische Problemstellungen sowie ihren direkten Einfluss auf die Kosten, die in diesen Gesprächen häufig erwähnt werden.
KOSTENMETHODIK
Die dargestellten Kostenmodelle wenden die Gesamtkostenmethodik an und integrieren die meisten indirekten Kosten beim Kauf eines SIEM über die gewöhnliche Laufzeit von drei Jahren. Wir berücksichtigen zum Beispiel Lohnkosten im Zusammenhang mit dem Betrieb des SIEM, wie:
- Schulungen
- Support für Einrichtung und Implementierung
- Fluktuation und Anwerbung von Mitarbeitern
- Komplette Lohnkosten (d. h. Gehalt und Gemeinkostenaufschlag)
Wir lassen absichtlich bestimmte indirekte Kosten unberücksichtigt, wie Raumbedarf im Rechenzentrum, Strom und Kühlung, die in den Anschaffungs- und Betriebskostenmodellen vieler Dienstanbieter enthalten sind. Für die verwaltete SIEM-Architektur von Trustwave muss ein SIEM-Gerät auf dem Firmengelände des Kunden stehen. Deshalb sind diese indirekten Kosten für beide Bereitstellungsmethoden gleich.
Eine indirekte Ausgabe, die die meisten Firmen bei der Budgetplanung für ihr SIEM nicht erfassen, sind die Personalkosten im Zusammenhang mit Anwerbung, Fluktuation und fortlaufenden Schulungen und Zertifizierungen der Mitarbeiter. Diese Kosten können erheblich sein. Dieses White Paper nutzt allgemein veröffentlichte Standards zur Erfassung dieser Kosten.