Steeds meer organisaties bewaken hun IT-infrastructuur via een security operations center (SOC). Ze richten hiervoor zelf een beveiligingscentrum in of besteden dit uit aan een externe partij. Een SOC kan van grote waarde zijn, maar brengt ook nieuwe uitdagingen met zich mee, bijvoorbeeld op het gebied van personeelsmanagement. Daarvoor waarschuwt de Cyber Resilience Think Tank in een nieuw rapport
De Cyber Resilience Think Tank is een groep onafhankelijke securityexperts die periodiek samenkomt om de belangrijkste trends op het gebied van IT-beveiliging te duiden. Dit keer bogen ze zich over de vraag: hoe ziet de ideale SOC-strategie eruit? De denktank onderscheidt vier relevante trends voor elke organisatie die gebruikmaakt van een SOC of daar plannen voor heeft:
- De menselijke factor. Er is een enorm tekort aan securityprofessionals. Volgens een schatting van ISC2 gaat het wereldwijd om ruim 4 miljoen openstaande vacatures. Hierdoor is het bijzonder lastig om capabele securityanalisten voor een SOC te vinden. Bovendien vraagt een SOC meer van het bestaande securitypersoneel. Overbelasting, uitputting en motivatieproblemen liggen op de loer.
- Automatisering. Het automatiseren van repetitieve of eenvoudige taken kan de werkdruk van securityanalisten verlichten. Hierdoor houden zij meer tijd over voor interessante werkzaamheden. Toch adviseert de denktank voorzichtig te zijn met automatisering, omdat cybercriminelen steeds beter in staat zijn geautomatiseerde beveiliging te herkennen en omzeilen.
- Processen en efficiëntie. Er is een brede consensus onder de experts dat een efficiënt SOC bestaat uit een mix van verschillende typen analisten in combinatie met tools voor automatisering en orkestratie. Dit geldt voor interne SOC’s, maar ook als organisaties hun SOC als dienst afnemen.
- Uitbesteden of zelf doen. Het uitbesteden van een SOC is niet altijd de beste keuze. Bekende nadelen zijn een overvloed aan onnodige meldingen en onderrapportage van potentiële bedreigingen. De denktank ziet ook een tussenoplossing waarbij bedrijven alleen de analyse van alarmmeldingen uitbesteden en zelf reageren op securityincidenten. De SOC-analisten kunnen zich dan grotendeels richten op andere technische taken, zoals het ontwikkelen en implementeren van securityoplossingen.
De Cyber Resilience Think Tank geeft de volgende tips voor een effectieve SOC-strategie:
- Maak de zakelijke doelstellingen leidend. Zorg ervoor dat de SOC-analisten goed zijn afgestemd op de securitystrategie en de bedrijfsvoering.
- Betrek mensen uit meerdere disciplines bij de besluitvorming over het SOC. Zo creëert u draagvlak onder de belangrijkste stakeholders.
- Voorkom dat security achter de business aanloopt. Door een hechte samenwerking en frequent overleg blijven de SOC-processen actueel.
- Operationele problemen mogen niet ten koste gaan van security. Door een scheiding tussen de twee aan te brengen, houdt u de efficiëntie en het moreel op peil.
- Maak succes meetbaar. Bepaal doelstellingen voor het SOC waar u naartoe kunt werken en meet continu in hoeverre u deze behaalt.
- Stimuleer persoonlijke ontwikkeling. Moedig securityanalisten aan om hun vaardigheden uit te breiden, zodat het SOC uiteindelijk beter presteert.
- Besteedt u het SOC (gedeeltelijk) uit? Zorg er dan voor dat het managed SOC over de juiste data beschikt om succesvol te kunnen opereren.
- Werk nauw samen met de SOC-dienstverlener. Een extern SOC moet volledig in lijn zijn met uw zakelijke processen en de bedrijfsvoering.
De Cyber Resilience Think Tank wordt gesponsord door securityspecialist Mimecast. Benieuwd naar de overige conclusies en inzichten? U kunt het volledige rapport hier downloaden.