Hoe zet je een extern SOC succesvol in?
Security Operations Centers vormen de spil binnen securityomgevingen die moeten beschikken over voldoende en de juiste securitydata. Analyse van die data zorgt er bijvoorbeeld voor dat een aanval op medische apparatuur tijdig kan worden ontdekt. Het beoordelen van die data is echter het werk van securityprofessionals. En die zijn helaas schaars.
Volgens ISACA, een belangengroep voor de IT, heeft ruim de helft van de organisaties wereldwijd openstaande vacatures voor informatiebeveiligingsspecialisten. In veel gevallen duurt het langer dan drie maanden om de geschikte kandidaat te vinden. Volgens Gartner zorgt het tekort aan securityprofessionals dan ook voor stijgende investeringen in ‘security-outsourcingdiensten’. De marktonderzoeker voorziet voor 2018 een stijging van 11 procent ten opzichte van 2017.
Bereid je voor
Bij een succesvolle outsourcing van een SOC komt echter meer kijken dan het sluiten van een contract en het betalen van de rekening. Als organisatie moet je er zelf ook klaar voor zijn. Deze stappen dragen bij aan een succesvolle inzet van een extern SOC:
Stap 1: denk na over processen en procedures
Voorafgaand aan een uitbesteding is het verstandig om eerst de eigen ‘regie- en securityorganisatie’ op orde te brengen. Dit is een belangrijke voorwaarde voor een uitbesteding. De regieorganisatie zorgt er bijvoorbeeld voor dat een extern SOC weet welke systemen en processen bedrijfskritisch zijn.
Ook moet een uitbestedende partij om kunnen gaan met de informatie die terugkomt van het SOC en kunnen acteren als er sprake is van een crisissituatie. Om dit te realiseren moeten er voldoende mensen met de juiste kennis en ervaring beschikbaar zijn met een mandaat om te handelen. Zo moet de eigen IT-organisatie in staat zijn om een patch door te voeren als het SOC melding maakt van een 0-day, of bij een geconstateerde DDoS-aanval mitigerende maatregelen kunnen treffen.
Stap 2: Kies de juiste partner
Een SOC-dienstverlener moet van veel markten thuis zijn. Uiteraard is het cruciaal dat de juiste mensen met kennis van de securityomgeving aan de knoppen zitten. Daarnaast is kennis nodig van de business, zodat bijvoorbeeld duidelijk is wat het voor een ziekenhuis betekent als het MRI-systeem door een aanval niet beschikbaar is.
En natuurlijk moet een SOC ook weten wat er speelt op het gebied van dreigingen. Als het gaat om ‘threat intelligence’ is ervaring erg belangrijk. Een dienstverlener die voor meerdere klanten het dreigingslandschap in de gaten houdt, is eerder op de hoogte van bijvoorbeeld nieuwe typen aanvallen.
Stap 3: Optimaliseer de samenwerking
Zorg ervoor dat de betrokken partijen elkaars taal spreken en elkaar af en toe face-to-face zien zodat ze niet enkel een ‘loket’ voor elkaar zijn. Tactisch securityoverleg is eveneens essentieel, want het externe dreigingslandschap verandert snel en intern zijn er voortdurend IT-wijzigingen. Daarmee zorg je ervoor dat de SOC-dienstverlening aansluit bij de cyberrisico’s die je loopt. Spreek ook een duidelijke verdeling van verantwoordelijkheden af en oefen jaarlijks het incidentresponseproces, onder andere om te kijken of de afspraken duidelijk zijn.
Uitbesteden betekent kortom niet dat je helemaal geen omkijken meer hebt naar security van je IT-landschap. Het is essentieel dat je samen met je dienstverlener de regie voert op je securityorganisatie en samen groeit naar de gewenste volwassenheid. Kies daarom een dienstverlener die eraan gewend is om nauw samen te werken met de klant. Zonder die gezamenlijke inspanning is de inzet van een extern SOC gedoemd te mislukken.