Het groot aantal vacatures maakt het lastig capabele securityanalisten voor een security operations center (soc) te vinden. Steeds meer organisaties bewaken hun it-infrastructuur via zo’n beveiligingscentrum. Ze richten hiervoor zelf een ruimte in of besteden dit uit aan een externe partij.
De Cyber Resilience Think Tank waarschuwt daarvoor in een nieuw rapport. Volgens deze groep onafhankelijke securityexperts kan een soc van grote waarde zijn, maar brengt het ook nieuwe uitdagingen met zich mee, bijvoorbeeld op het gebied van personeelsmanagement. Volgens een schatting van het International Information System Security Certification Consortium (ISC2) gaat het wereldwijd om ruim vier miljoen openstaande vacatures. Alleen al in de VS bedraagt het tekort ongeveer een half miljoen mensen. Het gebrek aan capabel securitypersoneel leidt tot druk op de bestaande staf. Overbelasting, uitputting en motivatieproblemen liggen op de loer.
Het automatiseren van repetitieve of eenvoudige taken is geen panacea. Het kan de werkdruk van securityanalisten weliswaar verlichten, maar de denktank raadt toch aan hier voorzichtig mee te zijn. Cybercriminelen zijn namelijk steeds beter in staat om de geautomatiseerde beveiliging te herkennen en omzeilen.
Een efficiënt soc bestaat uit een mix van verschillende typen analisten in combinatie met tools voor automatisering en orkestratie. Dit geldt voor interne soc’s, maar ook als organisaties hun centrum als dienst afnemen.
Het uitbesteden van een soc is niet altijd de beste keuze. Bekende nadelen zijn een overvloed aan onnodige meldingen en onderrapportage van potentiële bedreigingen. De denktank ziet ook een tussenoplossing waarbij bedrijven alleen de analyse van alarmmeldingen uitbesteden en zelf reageren op securityincidenten. De soc-analisten kunnen zich dan grotendeels richten op andere technische taken, zoals het ontwikkelen en implementeren van securityoplossingen.
Tips voor een soc
De Cyber Resilience Think Tank geeft de volgende tips voor een effectieve soc-strategie:
- Maak de zakelijke doelstellingen leidend. Zorg ervoor dat de soc-analisten goed zijn afgestemd op de securitystrategie en de bedrijfsvoering.
- Betrek mensen uit meerdere disciplines bij de besluitvorming over het soc. Zo ontstaat draagvlak onder de belangrijkste stakeholders.
- Voorkom dat security achter de business aanloopt. Door een hechte samenwerking en frequent overleg blijven de soc-processen actueel.
- Operationele problemen mogen niet ten koste gaan van security. Door een scheiding tussen de twee aan te brengen, blijven de efficiëntie en het moreel op peil.
- Maak succes meetbaar. Bepaal doelstellingen voor het soc en meet continu in hoeverre deze worden behaald.
- Stimuleer persoonlijke ontwikkeling. Moedig securityanalisten aan hun vaardigheden uit te breiden, zodat het soc uiteindelijk beter presteert.
- Bij uitbesteding is het belangrijk dat het managed soc over de juiste data beschikt om succesvol te kunnen opereren.
- Werk nauw samen met de soc-dienstverlener. Een extern soc moet volledig in lijn zijn met de zakelijke processen en de bedrijfsvoering.