Een Security Operations Center inrichten en 24/7 bemensen: hoe noodzakelijk (en moeilijk) is dat?
Dat je preventieve en reactieve maatregelen moet treffen op cybersecuritygebied, is vandaag de dag voor iedereen duidelijk. Sommige organisaties beleggen dit voor een groot deel bij hun eigen IT-team. Dit heeft immers verstand van technologie en kent de ins en outs van het bedrijf als geen ander. Idealer kán bijna niet, denken zij. Maar is dat eigenlijk wel zo?
Cybersecurity: 24/7 een ‘serious business’
In werkelijkheid ligt het een stuk gecompliceerder. Security en IT zijn twee verschillende vakken. Ze hebben weliswaar sterk met elkaar te maken, maar cybersecurity is niet alleen een IT-gerelateerd onderwerp. Het is een onderdeel dat betrekking heeft op de hele organisatie. Als IT’er kun je cybersecurity er niet ‘even naast doen’. Deze ‘business’ gaat namelijk altijd door — 24 uur per dag, 7 dagen in de week. Dit betekent dat je eigen IT-medewerkers ook in de nachtelijke uren, weekenden en vakanties zouden moeten doorwerken. Zelfs áls je dit mogelijk weet te maken, is het de vraag hoe het dan moet met hun dagelijkse (reguliere) én ad-hoc-IT-werkzaamheden.
Misschien denk je: 24/7? Is dat echt nodig? Bij ons gebeurt tóch nooit wat. Dat is helaas een misvatting. In veel gevallen is de ogenschijnlijke rust een stilte voor de storm. In 2021 is het aantal cyberaanvallen wereldwijd met 50% gestegen ten opzichte van het jaar ervoor. Een Security Operations Center (SOC) dat 24/7 monitort en direct kan handelen in geval van (mogelijke) security-incidenten, is daarom een absolute noodzaak geworden.
Zelf een SOC-team samenstellen: een haalbaar doel?
Om 24/7 monitoring en opvolging van security-incidenten te waarborgen, zijn gekwalificeerde medewerkers nodig. Deze brengen hoge kosten met zich mee: je moet toptalent werven én behouden. Daarnaast dien je te zorgen dat de kennis van je experts up-to-date blijft — niet alleen op het gebied van cybersecurity, maar ook op het vlak van IT-operations. Trainingen en relevante certificeringen zijn vaak prijzig en vragen best wat tijd van de medewerkers.
Bovendien is het maar de vraag óf je die felbegeerde gekwalificeerde mensen weet binnen te halen. Dit talent is namelijk schaars en kiest vaak voor organisaties die zich volledig toeleggen op cybersecurity. Dat werk biedt vaak meer uitdaging én zo omzeilen ze het risico van een tunnelvisie. Bij een securityprovider werken ze immers voor veel verschillende organisaties, waar ze leren van diverse best practices en use cases.
Koudwatervrees? Niet nodig: cybersecurity doe je samen
Uitbesteden is voordeliger, werkbaarder en vaak ook veiliger. Maar soms roept het koudwatervrees op. Elke organisatie heeft immers haar kroonjuwelen — en deze leg je niet zomaar in handen van een externe securityprovider, toch?
Een zeer begrijpelijke vraag. Maak je je hier zorgen over, ga dan zowel met de eigen organisatie als met een securityprovider in gesprek. Vaak kom je dan samen tot de mate van uitbesteding die voor jou geschikt is. Organisaties behouden zelf ook een grote verantwoordelijkheid. Bijvoorbeeld omtrent het treffen van basale securitymaatregelen en het hebben van een incident response plan, maar ook wanneer het gaat om het management van de securityprovider. Als organisatie houd je dus zeker een vinger in de pap. (Een goede securityprovider kan je overigens helpen bij het invullen van dergelijke verantwoordelijkheden.)
Benieuwd welke onderwerpen je tijdens een dergelijk gesprek zoal ter sprake kunt brengen? We geven je wat inspiratie! Stel de securityprovider in ieder geval de volgende vragen:
• Hoe zien jullie eigen informatiebeveiliging en bedrijfscontinuïteitsplan eruit?
• Welke certificeringen hebben jullie?
• Wat voor soort organisaties en instellingen behoren tot jullie huidige klantenbestand?
• Hoe lang duurt het gemiddeld voordat jullie op een security-incident reageren?
• Hoe meten en rapporteren jullie de service levels?
• Welke maatregelen nemen jullie om de ondersteunende technologie (SIEM) beschikbaar te houden?
• Hoe schaalbaar is jullie dienst?
• Mogen wij eens een kijkje nemen in jullie SOC en een security-analist naar zijn of haar ervaringen te vragen?
Stel deze vragen gerust ook eens aan Wortell. Wij leggen je graag uit hoe wij te werk gaan.