Was in aller Welt haben sie sich dabei gedacht? Das haben wir - und andere Sicherheitsexperten - uns gefragt, als der Content-Gigant Patreon vor kurzem sein gesamtes internes Cybersicherheitsteam entließ und stattdessen externe Dienstleistungen in Anspruch nahm.
Natürlich kennen wir die wahren Beweggründe für diesen Schritt nicht. Aber als Außenstehende können wir erahnen, dass die Auswirkungen dieser Entscheidung auf die Cybersicherheit für jedes Unternehmen unausweichlich sein werden.
Wenn Sie das interne Team entlassen, gehen Sie ein großes Risiko ein.
Patreon ist eine Website für die Erstellung von Inhalten, die Milliarden von Dollar an Einnahmen generiert. Aus uns unbekannten Gründen hat Patreon nicht nur ein paar Mitarbeiter oder jemanden aus dem mittleren Management entlassen. Nein: Das Unternehmen hat sein gesamtes Sicherheitsteam entlassen.
Es handelt sich um eine wichtige Entscheidung mit erheblichen Konsequenzen, denn sie führt zu einem unkalkulierbaren Verlust an organisatorischem Wissen. Auf der technischen Ebene ist es ein Verlust an weichem Wissen über tiefe Systemabhängigkeiten, die interne Sicherheitsexperten einfach "wissen" und im Laufe der Zeit ansammeln. Wissen, das nur selten aufgeschrieben wird.
Feuern Sie das Team, und all das Wissen ist weg. Kann es wieder aufgebaut werden? Möglicherweise, aber wie lange wird ein externes Team mitten in einer Krise brauchen, um eine Lösung zu finden? Das kann man nur vermuten, aber es wird nicht einfach sein.
Das "Buy-in" und das "Right now"
Es gibt noch zwei weitere Dinge, über die man sich Gedanken machen sollte, wenn man zwischen internen und ausgelagerten Teams abwägt und sein internes Team entlässt. Das ist das Engagement und die Reaktionsfähigkeit.
Unabhängig davon, wie sachkundig ein Auftragnehmer ist, wird ein Auftragnehmer nie die gleiche Akzeptanz haben wie ein interner Mitarbeiter, der die Systeme in Ihrem Unternehmen verwaltet. Schließlich sehen sich die Auftragnehmer ein System an, weil sie einen Auftrag haben, und werden sich nie vollständig in die Unternehmenskultur integrieren.
Das wirkt sich auf das Engagement und die Geschwindigkeit aus, mit der Probleme gelöst werden, und darauf, wie sehr sich ein Team für die Lösung eines Problems einsetzt. Ja, SLAs können Leistungsstandards vorgeben, aber wenn es darauf ankommt, also in einer Krise, wird ein SLA niemals das dringende Gefühl des "Sofort" vermitteln, das Sie mit einem engagierten, internen Team haben.
Natürlich können interne Teams ein Problem nicht immer sofort lösen. Dennoch ist das Letzte, was Sie in einer Sicherheitskrise wollen, eine Gruppe von Auftragnehmern, die auf die Uhr schauen und ihre Aufmerksamkeit auf mehrere Kunden aufteilen.
Vergessen Sie den Ersatz von verlorenen Talenten
Bei einer wichtigen Entscheidung wie dieser ist ein weiterer Punkt zu bedenken: Können wir die Entscheidung rückgängig machen, wenn wir sie bereuen? Ja, mit genügend Zeit könnte Patreon die verlorenen Fähigkeiten und Kenntnisse wieder aufbauen. Aber kann das Unternehmen die Talente finden, die das tun?
Die Gewinnung von Talenten ist ein großes Problem auf dem Technologiemarkt - es ist schwierig, Talente zu halten, und die Einstellung neuer Talente ist noch schwieriger. So oder so wird es Monate dauern, bis wieder ein einigermaßen gutes Niveau erreicht ist.
Dies ist auch mit großen Kosten verbunden, da die neuen Mitarbeiter Zeit brauchen, um ihr neues Umfeld zu verstehen und zu begreifen, inwiefern es sich von anderen Umgebungen unterscheidet, in denen sie bereits gearbeitet haben. Vieles davon lernt man durch Erfahrung - kein "Best-Practice"-Handbuch kann dies vollständig abdecken.
Ist das Nettoergebnis wie beabsichtigt?
Wir wissen nicht, warum Patreon diese Entscheidung getroffen hat, aber es könnte eine Kosteneinsparungsmaßnahme sein, die übliche Motivation für Outsourcing. Aber die Sache ist die: Die Investition in ein internes Cybersicherheitsteam, das die Dinge wirklich im Griff hat, soll Ihnen Kosten sparen, wenn es darauf ankommt.
Wenn die Systeme eines Unternehmens angegriffen werden, hat ein tief verwurzeltes, gut ausgebildetes internes Team daran gearbeitet, einen erfolgreichen Einbruch zu verhindern. All diese harte Arbeit, das Engagement und das Wissen tragen zu hochsicheren Systemen bei.
Das ist eine Herausforderung für die Cybersicherheit: Wenn ein gut finanziertes und motiviertes Team seine Arbeit gut macht, gibt es außer dem Ausbleiben von Zwischenfällen nichts zu berichten. Auf der anderen Seite können Vorfälle, die auf unzureichende Sicherheit durch einen (billigeren?) externen Auftragnehmer zurückzuführen sind, unglaublich kostspielig sein.
Schlecht für die Presse, schlecht für die Finanzen, schlecht für die Sicherheit
Gab es außer Kosteneinsparungen einen triftigen Grund für die Entlassung eines ganzen internen Cybersicherheitsteams? Mangelnde Kompetenz, Insider-Risiko, zwischenmenschliche Probleme, mangelnde Kommunikation oder Nichterreichen der Geschäftsziele? Dies wären alles triftige Gründe.
Doch selbst wenn es einen triftigen Grund gibt, wird das Ergebnis nicht gut sein. Es gibt eine schlechte Berichterstattung in der Presse, da massive, plötzliche Änderungen in den Cybersicherheitssystemen ein falsches Signal senden. Dies wiederum kann zu einem Vertrauensverlust bei den Urhebern führen, die den Gewinn von Patreon ausmachen.
Das größte Risiko ist ein Versagen der Cybersicherheit. Das größte Risiko ist ein Versagen der Cybersicherheit, wenn ein ganzes internes Sicherheitsteam entlassen wird. War das interne Team inkompetent? Vielleicht wäre es besser gewesen, internes Wissen mit externem Fachwissen zu kombinieren.
Da nun niemand mehr am Ruder ist, denken wir, dass der Schritt von Patreon nicht gut für die Sicherheitsbemühungen des Unternehmens ist und dass das Risiko besteht, dass es nicht gut für die Urheber ist, die Patreon weiterhin ihre Inhalte anvertrauen.
Die Cybersicherheit wird nicht einfacher, und die Suche nach seriöse und zuverlässige externe Hilfe ist auch nicht einfacher geworden. Wenn Sie Ihre Optionen abwägen, sollten Sie Ihre Situation genau prüfen, bevor Sie sich zu einem solchen Schritt entschließen. Selbst wenn es die beste Entscheidung wäre, ließe sich der Makel des Rufes nur schwer entfernen.
https://thehackernews.com/2022/09/firing-your-entire-cybersecurity-team.html
