Dansk Exabeam MSSP partner
14/03/2021
Guide til SIEM
31/03/2021

Få styr på din onboarding proces

Få styr på din onboarding proces

”Hvad i al verden er der gået galt?” Det var vores første tanke, da vi i begyndelsen af 2020 blev ramt af en chokerende oplevelse, der efterlod os med en følelse af at være overrasket og uforstående: Fire kunder opsagde deres SIEM aftaler med os!
Vi satte os et mål om at vinde kunderne tilbage, og det gjorde vi. Det var en rejse, og den vil vi gerne dele.

En opsagt kunde er ikke en mistet kunde
Vi vidste Q1 2020 blev et hårdt kvartal. Men vi vidste også, at et stort antal nye SIEM kunder var på vej ind i forretningen, så vores håb var intakt. Samtlige af disse kunder var eksisterende kunder blot med et andet SIEM system, som de ville væk fra. Deres fællesnævner var en utilfredshed med deres nuværende leverandør, hvilket også var tilfældet med vores opsigende kunder. Utilfredsheden kom af, at forventningerne til systemet, økonomien og de interne krav ikke var blevet afstemt i tilstrækkelig grad.

 Med det in mente kontaktede jeg en af vores fire opsagte kunder, med intentionerne om at få en times møde med dem, hvor jeg ville afklare deres opsagte SIEM aftale.

Forud for mødet havde mit team og jeg haft en grundig gennemgang af vores eksisterende arbejdsmetoder. Herfra fandt vi en proces for hvordan vi ville on-boarde SIEM- og overvågningskunder i fremtiden. Denne proces er i dag en standardproces.

 Det første møde med kunden: Vi talte formål!
Fokus var at afklare kundens hensigt og behov for en SIEM løsning. Vi havde fundet frem til en række emner, der skulle afklares på mødet: ”Hvorfor ville de have en SIEM løsning? Hvad skulle den bruges til? Hvilke udfordringer ville de gerne løse? Var der nogle lovmæssige krav om rapportering der skulle opfyldes? Hvordan ville de håndtere GDPR følsomme data? Hvordan skulle løsningen driftes, og hvordan ville de foretage rapporteringen til ledelsen?”

Det vigtigste punkt i dette møde handlede om drift. Udfordringen med en SIEM løsning er nemlig, at så snart man starter med at sende data til et SIEM system, skal der løbende foretages oprydning. Hvis dette ikke er tilfældet, bliver data og den indsamlede information ubrugelig.

Det andet møde med kunden: ”Hvordan dimensionerer vi sådan en SIEM løsning?
Vi indkaldte til det første møde, og kunden valgte at indkalde os til et andet møde med agendaen om at få klargjort, hvordan sådan en SIEM løsning skulle dimensioneres.

Med udgangspunkt i kundens behov og med input fra Elastic udviklede vi herefter nogle modeller til beregning af dataforbrug, storage forbrug samt events pr. sekund for at kunne foretage en dimensionering af løsningen og en beskrivelse af, hvor mange licenser og antal servere og logs der skulle bruges.

Kilden til et godt samarbejde? Forventningsafstemning
Efter det andet møde fulgte en lang række møder, hvor vi sørgede for, at vi fik lavet en afstemning af forventninger.

På de efterfølgende møder talte vi om:

  • Sizing og gennemgik processen for selve implementeringen: Formål – proces – afgrænsning – indhold & leverance – estimater – tidsplan – forudsætninger – risici – organisation (hvem deltager og hvilken rolle har de enkelte projektdeltagerne) samt økonomi.
  • Hvor meget tid kunden kunne forvente at skulle bruge og gennemgik den tidsplan der lå foran os.
  • Hvad der var inden for scope, og lige så vigtigt; hvad der var out-of-scope. Denne afstemning af forventninger er utrolig vigtig, da den skal sikre, at der bliver leveret det aftalte.

I den her proces lærte vi, at ved at benytte sig af korte projekter med en projektlængde på maksimalt 3 måneder, kan vi afgrænse opgaven og sikre en succesfuld leverance og forankring af projektet.

Når hvert projekt afsluttes, udarbejdes der en mangelliste samt en projektevaluering, som sikrer, at vi fortsætter med det der gik godt, og retter op på det, der kan forbedres.

Når et projekt er afsluttet, startes et nyt projekt op med nye mål og en ny proces.

Klarhed over retention perioden
Vi var nu nået dertil, hvor vi havde klarhed over arkitekturen, behov, proces, antal log-ins og. EPS-forbrug, Men vi manglede at blive 100 % klar over retention perioden – altså hvor lang tid man ville gemme log data. Nogle ville gemme i fem år, og andre kun i et år.

Vi præsenterede en graf for kunden, der viste antal måneder og hvilken omkostning, det ville medføre med det antal ESP, der var beregnet. Grafen dannede basis for kundens beslutning – det blev 13 måneder som ansås for at være en fornuftig retention periode.

Ligesom på første møde kom vi ind på emnet drift, da vi havde behov for at få et klart billede af, hvordan løsningen skulle driftes. Vi blev enige om en fleksibel løsning, hvor kunden havde fokus på projekterne og implementering af løsningen. Vi stod således for selve den grundlæggende drift af SIEM systemet; en både skalerbar og fleksibel løsning, som kunden kan hoppe ud og ind af efter behov.

Efter en proces med 8 til 10 møder, hvor vi arbejdede on-boarding processen igennem, og hvor alle nu havde et klart billede af løsningens størrelse, omkostninger og drift, manglede vi blot at få afklaret, hvilken rapportering/hvilke dashboards kunden ønskede. Det blev aftalt, at vi skulle komme med nogle forslag, som vi implementerede. Ud fra disse forslag kunne kunden vælge, hvad de kunne tænke sig og hvad de ikke havde behov for.

Det var en god proces omkring on-boarding af en SIEM løsning, som kulminerede i at kunden ringede og fortalte os, at de gerne ville have os til at levere løsningen.

Succesfuld on-boarding proces
Vi gjorde det. Vi vandt kunden tilbage takket være en succesfuld on-boarding proces. Lige så skuffet som jeg var i Q1, lige så glad var jeg i Q4 2020, da vores proces viste sig at være den succes, vi havde håbet på. I det her forløb lærte vi, hvor vigtig on-boarding processen er, og den proces har vi brugt lige siden.

Vi håber, at historien har givet dig stof til eftertanke, og at den er god reminder om, at hvis en kunde vil opsige sin aftale, er det ikke nødvendigvis en mistet kunde. For det er aldrig for sent at etablere en god on-boarding proces, som sikrer en bedre oplevelse hos kunden.

Det var vores historie, og vi håber, at du kan bruge den. Et par dage efter havde jeg et møde med Gartner, som viste mig en slide, hvorpå der stod:

“The best technology never wins. The best story and sales engine always do!” – Rob Addy.

Se citatet nedenfor