Der nächste Monat markiert eine Art Unabhängigkeitstag für den IT-Infrastrukturanbieter Kyndryl Inc.
Im Jahr 2021 wurde die damalige IBM Global Technology Services ausgegliedert und mit einer Laufzeit bis November 2023 ausgestattet, um als unabhängiger Anbieter von IT-Dienstleistungen für Unternehmen auf der ganzen Welt wirklich von Big Blue getrennt zu sein.
Mission erfüllt. Bei der MapleSEC-Präsentationsreihe letzte Woche sprach Denis Villeneuve, Leiter der Sicherheits- und Belastbarkeitspraxis von Kyndryl Canada, mit Jason Maynard, dem Field CTO von Cisco Systems, und Jim Love. IT World Canada CIO, über die Sicherheitsherausforderungen, mit denen Kyndryl während seiner Transformation konfrontiert war.
Einerseits begann Kyndryl laut CIO.com im Rahmen einer Übergangsvereinbarung mit Tausenden von Mitarbeitern und über 4.000 Kunden, die IBM Global Technology Services betreut hatte und nun in der Verantwortung von Kyndryl lag. Andererseits musste sich Kyndryl von der IBM-Infrastruktur lösen oder mit finanziellen Strafen rechnen.
„Die meisten der von uns geerbten Technologieinfrastrukturen und Mitarbeiterarbeitsumgebungen waren für unseren Zweck nicht geeignet“, erinnert sich Villeneuve. „Es wurde über Jahre hinweg entwickelt und speziell an die Bedürfnisse von IBM angepasst. Die alten Systeme und Tools waren nicht in der Lage, unsere langfristige Vision einer schlanken, modernen und sicheren Betriebsumgebung zu unterstützen.“
Was Kyndryl brauchte, sagte er, sei „Handlungsfreiheit“. Eine Infrastruktur, die „es uns ermöglicht, schneller und intelligenter zu arbeiten, kollaborativer zu sein, unser Engagement zu steigern und gleichzeitig unseren Kunden einen großen Mehrwert zu bieten.“
Zunächst ein kleiner Hintergrund: Vor fünf Jahren entschied IBM im Rahmen seines Strategiewechsels, dass es kein Infrastrukturanbieter für andere Unternehmen sein musste. Der Geschäftsbereich Global Technology Services befand sich laut CIO.com in einem langsamen Niedergang, wobei der Jahresumsatz zurückging.
Sich als Kyndryl neu erfinden zu müssen, sei eine Herausforderung – und eine Chance, sagte Villeneuve. Die meisten Unternehmen, die vor einer Transformation stehen, müssen in der Regel die bestehende Infrastruktur umgehen. Kyndryl hatte die Gelegenheit, mit einem fast leeren Blatt zu beginnen.
Innerhalb von zwei Jahren wuchs das Angebot von 1.800 Geschäftsanwendungen auf weniger als 360. Viele davon wurden neu aufgebaut oder hinzugefügt und für Kunden auf eine Workday- oder SAP-Plattform verlagert. Die Zahl der Rechenzentren sank von 54 auf vier Hyperscale-Zentren.
Dadurch habe Kyndryl fast 300 Millionen US-Dollar an Vertriebs-, allgemeinen und Verwaltungskosten eingespart, sagte Villeneuve.
Heute verfügt Kyndryl über sechs Managed-Services-Bereiche: Anwendungen, Daten und KI; Wolke; Core Enterprise und zCloud (IBMs Mainframe-as-a-Service-Angebot); digitaler Arbeitsplatz; Netzwerk und Edge; sowie Sicherheit und Ausfallsicherheit.
Ein wichtiges Ziel war die Stabilität der neuen Infrastruktur von Kyndryl.
„Der Erfolg unserer Cyber-Resilienz-Strategie hing wirklich von unserer Fähigkeit ab, Veränderungen bei unseren Mitarbeitern und unseren Prozessen voranzutreiben“, sagte Villeneuve. „Als wir unser Cybersicherheits-Framework und unsere Denkweise änderten, identifizierten wir mehrere Elemente, die für unseren Erfolg entscheidend waren: Die Mitarbeiter als Verteidigung waren sehr wichtig. Qualifizierte und gut ausgebildete Arbeitskräfte sind die beste Verteidigungslinie gegen Cyber-Bedrohungen. Die Möglichkeit, Mitarbeiter darin zu schulen, Angriffe zu erkennen, versetzt alle Teammitglieder von Kyndryl in die Lage, Cyber-Risiken während dieser riesigen Transformation proaktiv zu verwalten und zu reduzieren.
„Die zweite Sache ist Secure-by-Design. Wir haben Cyber-Resilienz, einschließlich einer Zero-Trust-Architektur, in alle Technologiesysteme und Betriebsstrategien integriert, die es uns ermöglichten, uns vor unerwünschten Cyber-Ereignissen zu schützen und uns davon zu erholen. Wir automatisieren viel, wenn es um die Sicherheitsorchestrierung geht, um Aufgaben auf niedriger Ebene zu automatisieren. Es hilft freien Analysten, mehr Zeit für höherwertige Aufgaben wie die Bedrohungssuche oder die Cyber-Kill-Chain zu verwenden.
„Zuletzt war das Identitätsmanagementprogramm von Kyndryl ein großer Teil, denn Identität ist der neue Rahmen – weil die Mitarbeiter so verstreut sind. Unsere beiden Hauptziele bestanden darin, die Anzahl der IDs zu begrenzen, die für den Zugriff auf unsere Systeme und Anwendungen erforderlich sind, und, was noch wichtiger ist, minimale Zugriffsrechte für jeden Benutzer und jede Identität festzulegen.“
„Sicherheit ist ein Faktor für Unternehmen und Veränderungen“, sagte Maynard. Was macht ein Auto schnell, fragte er und antwortete: Die Bremsen – denn man kann nicht schnell fahren, ohne anzuhalten. „Wenn Sie aus geschäftlicher Sicht agil und schnell am Markt sein wollen, brauchen Sie Sicherheit – nicht um Sie zurückzuhalten, sondern um schnell voranzukommen. Und wenn Sie langsamer werden müssen, sind die Bremsen da.“
Die Umgestaltung Ihres Unternehmens – insbesondere seine radikale Vereinfachung und Modernisierung – ist ein fortlaufender Prozess, sagte Villeneuve. „Vielleicht nähern wir uns dem November 2023, aber es steht so viel auf dem Spiel. Der Ruf nach kontinuierlicher Transformation sollte ein Geschäftsgebot sein, das von jeder Führungsebene ausgeht.“
Bei der Transformation „geht es darum, realistische Meilensteine auf dem Weg zu setzen“, fügte Maynard hinzu. „Man kann nicht mehr abbeißen, als man kauen kann.“ So wie ein Zero-Trust-Programm nicht nur die Anwendungssuite eines Anbieters übernimmt, muss die Transformation erreichbare Meilensteine haben, sonst wird sie sich über Jahre hinziehen.
„Das Gleiche gilt für die Cyber-Resilienz. Es gibt kein anderes Programm, das die Widerstandsfähigkeit steigern kann, ohne dass die Widerstandsfähigkeit gegen Cybersicherheit ein Teil davon ist. „Es ist ein grundlegendes Element“ für alles andere in der Organisation.
„Sie möchten sicherstellen, dass die Sicherheit im Vordergrund steht“ bei jedem Änderungsmanagementplan.
