A titkos adatok biztosítása, illetve a megfelelőségi követelések teljesítése elsődleges feladat minden olyan szervezet számára, amely bizalmas adatokkal dolgozik, legyen szó akár saját információról vagy az ügyfelek érzékeny adatairól. Az esetleges problémák megelőzésére vagy elhárítására nagyszerű eszköz a biztonsági információ- és eseménykezelő (SIEM) rendszer, ám nem mindegy, melyik gyártó termékét választjuk erre a kényes feladatra, és hogyan látunk neki a bevezetésnek

A Novell, Dr. Anton Chuvakin, biztonsági szakértő tanácsaival hívja fel a figyelmet a leggyakoribb hibákra és félreértésekre, amelyek miatt a vállalatoknak annak ellenére veszélyekkel és nehézségekkel kell számolniuk, hogy már eldöntötték: bevezetnek egy SIEM megoldást.

1. Ne ugorjuk át az igényfelmérési fázist! Ez az egyik legrosszabb és egyben legáltalánosabb hiba, amit a vállalatok elkövethetnek egy ilyen folyamat során. Ez a legtöbb esetben ahhoz vezet, hogy meghiúsul a SIEM projekt, az ügyfél igényei továbbra sincsenek kiszolgálva, és problémákért a technológia szolgáltatóját hibáztatják - természetesen igazságtalanul.
2. Ne halogassuk a környezet méretezését a beszerzésig! Még ha tervezzük is, hogy majd összegyűjtjük rendszerünk minden szükséges adatát, a bevezetés kezdeti szakasza biztosan csak kisebb mennyiségű adatra fog vonatkozni. Ezért rendkívül fontos, hogy már a kezdeti szakaszban, akár az első két hétben úgy kalibráljuk rendszerünket, hogy a teljes mérettel kapcsolatos igényeket is szem előtt tartjuk.
3. Ne csupán az ár alapján válasszunk! A különböző SIEM rendszerek árai széles skálán mozognak, és ennek megfelelően jelentős eltérések lehetnek mind a képességek, mind a méretezhetőség terén. Ne feledjük: lehet egy megoldás harminc százalékkal olcsóbb, de ugyanakkor harmincszor rosszabb is!
4. Ne akarjunk időt spórolni azzal, hogy mellőzzük a referenciák ellenőrzését! Még abban az esetben is érdemes tanulmányozni a referenciákat, ha a saját szervezetünk informatikai környezete egyedülálló. Csak a referenciákon keresztül bizonyosodhatunk meg ugyanis arról, hogy másoknál már megfelelően működnek azok az eszközök, amelyek bevezetését éppen tervezzük.
5. Ne a gyártótól akarjuk megtudni, mit és hogyan naplózzunk! Csak egyvalaki tudhatja, mik a naplózási, naplókezelési és naplóellenőrzési előírások és igények a szervezeten belül: a megrendelő, nem pedig a szoftver forgalmazója. Ha mi nem vagyunk tisztában a szükségletekkel, más sem lesz.
6. Ne döntsünk egyedül! A SIEM megoldás szinte minden informatikai eszközt érint az infrastruktúrában: a rendszerektől kezdve a hálózati eszközökön és hozzáférés-kezelő megoldásokon át egészen az alkalmazásokig és adatbázisokig, amelyekkel sok esetben különböző szakemberek foglalkoznak. Érdemes ezeket a szakértőket és csapatokat bevonni a SIEM megoldás kiválasztásába és bevezetésébe, hiszen csak úgy biztosítható, hogy minden naplóforrás-rendszer összehangolt idővel dolgozzon, ha az infrastruktúrát előzetesen előkészítették a telepítésre.
7. Vonjuk be a jogi osztályt is! A jogi szempontok különösen fontosak, ha a működés során több országból származó naplóadatokkal is dolgozunk. A naplóadatokra olyan, gyakran egymásnak ellentmondó törvények és szabályozások vonatkoznak, amelyekkel kapcsolatban csak a szervezet jogi képviselője tud megbízhatóan állást foglalni.
8. Ne telepítsünk mindent egyszerre! Ez ugyanis ahhoz vezethet, hogy kifutunk a költségkeretből és az erőforrásokból, illetve a szervezet vezetősége is türelmetlenné válhat. Érdemes fázisokra bontani a folyamatokat, mind a naplózás hatókörét, mind a SIEM funkciókat illetően.
9. Ne mellőzzük az oktatást! Sok esetben azt gondolják a döntéshozók, hogy nem szükséges oktatást tartani az új megoldással kapcsolatban, hiszen elég intuitív a felhasználói felület. Ezzel azonban nem lehet pénzt megtakarítani a SIEM eszközök esetében. Ezek a megoldások az infrastruktúra és az alkalmazások számos elemével kapcsolatban állnak. A riportok és korrelációs szabályok létrehozásához még annak a szakembernek is átfogó tudásra van szüksége az adott szoftverforgalmazó rendszereivel és rendszertanával kapcsolatban, aki egyébként már feketeövesnek számít a biztonsági információ- és eseménykezelő megoldások terén. A forgalmazó képviselői és tanácsadói bemutathatják, hogyan tudjuk az adott eszközzel orvosolni a különböző problémákat, és más ügyfelek tapasztalataira alapozva megmutathatják, hogyan tehetjük hatékonyabbá munkánkat.
10. Tartsuk szem előtt a változó igényeket! Noha a frissen bevezetett SIEM eszköz megfelelően teszi a dolgát, ez nem azt jelenti, hogy minden, a jövőben előforduló problémát meg fog tudni oldani. Egyes szervezetek csupán a naplókezelő bevezetésével kezdik, ám később teljes SIEM csomagot kell igénybe venniük az átalakuló igények miatt.
11. Ne várjunk azonnali megtakarítást a bevezetés után! Nagy valószínűséggel nem fogunk jelentős megtakarítást tapasztalni az erőforrások terén, amíg nem történt meg a rendszer telepítése, testre szabása és finomhangolása. A SIEM alapvetően nem az a varázseszköz, amely megmutatja, mi a rossz, inkább arra világít rá, hogyan juthatunk további értékekhez a használatával.