Upphandling av logganalys med SIEM-system • Secorum
Vad ska en myndighet tänka på när det gäller upphandling av ett SIEM-system för logghantering?
Logghantering, upphandling, SIEM, SIEM-system, SIM, SIM-system
21794
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21794,page-child,parent-pageid-21752,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Upphandling av SIEM-system

Möjligheten till hjälp från upphandlingsavdelningen när ett logghanteringssystem ska upphandlas varierar. Man skulle kunna tro att hjälpen är större än vad den är. Faktum är att det som regel är projektet som tar fram hela upphandlingsunderlaget, inte bara kraven, utan även dokumenten där kraven är formaliserade.

 

Secorum har tagit fram egna mallar som vi gärna delar med oss av under uppdragen som sparar mycket tid hos kund. Givetvis anpassar vi oss efter de förhållanden som råder, men att upphandla ett logghanteringssystem skiljer sig åt från mycket annat. Ett logghanteringssystem går tvärs över alla stuprör och påverkar mycket stora delar av existerande förvaltningar, infrastruktur och arkitektur. Därutöver är det som regel vi konsulter som sitter inne på majoriteten av den kunskap som upphandlingen bygger på.

 

Som ett steg på vägen att överföra Secorums kunskap till kunden kan man nyttja rätten till att genomföra en RFI. Detta steg i kedjan bör göras ganska sent då majoriteten av kraven identifierats. Det är i detta läge relevant att se om det finns några produkter på marknaden som klarar av vissa av de mer specifika kraven som identifierats. Det är bättre att ta några veckors förlängning i projektet i denna fas än att genomföra en upphandling som ingen i realiteten klarar av.

 

Innan upphandlingen genomförs gör vi upp med uppdragsgivaren om hur en eventuell fortsättning ska se ut. Det finns i detta läge många val att göra. Vi kan i det här läget väldigt mycket om uppdragsgivarens organisation och systemvärld, inte minst dess existerande loggning. Att säga hej då till detta är att säga hej då till mycket kunskap som nästa aktör måste sätta sig in i, något som vanligtvis är konsulter som ska införa det nyinköpta logghanteringssystemet.

 

Oavsett vilka beslut som fattas i detta läge så finns det som regel ett antal stora frågor som är kvar att hantera. Frågor som inte har något med produkten att göra. Den största av dessa är frågan om vad som ska loggas. Denna fråga lever vidare under resten av uppdragsgivarens tid som ansvarig för organisationens logguppföljning. Här har Secorum mycket stor erfarenhet att dela med sig av. Vi har i tidigare projekt och hos andra uppdragsgivare tagit fram protokoll och dokumentation som i detalj styr vad som ska loggas för att olika syften och mål ska uppnås. Dessa frågor har inget med upphandlingen att göra varför vår tid hos uppdragsgivarna blir ganska lång när fokus ligger på en väl fungerande logganalys. Denna kravförmåga gäller speciellt IT-systemen som loggar organisationens användare och når sin maximala nytta vid egenutvecklade IT-system.