Dagelijks worden nieuwe kwetsbaarheden ontdekt. Cybercriminaliteit ontwikkelt zich snel en de vraag is wanneer je slachtoffer wordt. Je kunt je deels ertegen wapenen met behulp van beveiligingssoftware en systemen maar is dit afdoende of heb je anno nu meer nodig?
In het verleden lag de aandacht van systeembeheer vooral op het tijdig installeren van updates, en het goed inregelen van de firewall, zeg maar het werk als systeembeheerder goed doen!
Tegenwoordig is er een ontwikkeling gaande, waarbij je meer kijkt naar het resultaat van het systeembeheer. Dus eigenlijk kijk je naar wat het oplevert.
Dat wil niet zeggen dat het installeren van updates en het correct inregelen van de firewall minder belangrijk is geworden, zeker niet. Maar je wilt niet alleen maar aannemen dat het goed is, je wilt vooral zeker weten dat het goed is!
En als blijkt dat er toch zaken niet in orde zijn, dan wil je dat deze zaken snel worden gevonden, voordat er misbruik van wordt gemaakt.
Dat maakt dat je aan de achterkant gaat controleren of het werk aan de voorkant goed is gedaan. Hierbij moet je denken aan het continu scannen van je eigen omgeving op kwetsbaarheden. Maar het analyseren van de logs en/of events in de firewall is ook belangrijk.
Bovenstaande werkzaamheden worden vooral door een Security Operations Center (SOC) gedaan.
Een SOC is de beveiligingsvariant van een Network Operations Center (NOC). Het NOC bewaakt het fungeren van een netwerk. Denk aan een grote Internet Service Provider (ISP). Bij een ISP is het van belang dat je zeker weet dat alles werkt en dat je 24x7 kunt schakelen als dingen niet gaan zoals ze moeten.
Een SOC doet hetzelfde maar dan voor informatiebeveiliging. Een SOC bestaat uit een team security specialisten die toezicht houden op beveiligingsactiviteiten. De primaire activiteiten van deze specialisten zijn het opsporen van cyber security incidenten, de analyse van deze incidenten en de reactie erop.
Als je een SOC gaat inregelen is het zaak goed na te denken over de taken die het SOC heeft.
Is het onder andere bedoeld om te controleren of de IT beheersorganisatie het werk goed doet, dan vraagt dat een positie in de organisatie die gescheiden is van de IT afdeling.
Soms vraagt de wetgever van een organisatie (denk hierbij aan de zorgbranche) dat je op het gebied van informatiebeveiliging, de techniek moet laten aansluiten op wat de wetgeving voorschrijft. Je moet het kunnen aantonen.
Het aantoonbaar beheersen van informatiebeveiliging door het uitvoeren van interne controles en het bewaken van security incidenten kan mede door een SOC worden geborgd.
De kennis over informatiebeveiliging is vaak versnipperd aanwezig in je organisatie. Een SOC kan een centrale plaats vormen waar de informatie bij elkaar wordt gebracht en onderhouden. In dit geval zou het SOC ook onderhoudswerkzaamheden aan het netwerk kunnen uitvoeren, de kennis is immers aanwezig.
Een ander deel van de mogelijke taken van het SOC is de monitoring functie. Het internet is 24x7 verbonden met het netwerk van je organisatie. Je kan een monitoring functie onderdeel laten maken van de activiteiten van het SOC. Dat betekent dan meteen dat het SOC 24x7 actief moet zijn.
Belangrijk is dat je je moet realiseren dat voor SOC activiteiten andere expertises nodig zijn dan voor systeembeheerders activiteiten. De taken van een systeembeheerder zijn behoorlijk gestructureerd.
Bij een SOC is het omgekeerd, je weet niet wat er gaat komen.
Uit bovenstaande wordt wel duidelijk dat, als je als organisatie zelfstandig een SOC wilt hebben, je rekening dient te houden met een forse kostenpost. Om voor 24x7 dekking te hebben zijn toch per etmaal minimaal 4 fulltime medewerkers nodig, dit is nog afgezien van vrije dagen, ziekte en dergelijke.
Toch krijgen ook bedrijven die niet in staat zijn een eigen SOC te realiseren behoefte aan deze dienst.
Dat maakt dat de SOC as a Service in opkomst is. Deze SOC as a Service dienst levert jou rust, gemak en biedt jouw organisatie de veiligheid die je zoekt.
Een andere ontwikkeling is het gebruik van kunstmatige intelligentie in SOC omgevingen. Het SOC is op zoek naar de speld in de hooiberg, naar die ene hacker die er toch in slaagt om binnen te komen. Om deze hacker makkelijker te kunnen detecteren zal een SOC tegenwoordig een nullijn bepalen van de activiteiten die op het netwerk plaatsvinden.
Met behulp van deze nullijn en kunstmatige intelligentie zijn bijzonderheden sneller en makkelijker op te sporen. Dat maakt dat een SOC minder arbeidsintensief wordt en dat ook een externe SOC een goede bijdrage kan leveren aan de Informatiebeveiliging in jouw organisatie.
Wil je meer over dit onderwerp weten of even vrijblijvend overleggen? Neem dan contact met ons op. We kijken uit naar je bericht.
Neem contact op