Organisaties die een Security Operations Center (SOC) willen inrichten doen er verstandig aan om klein te beginnen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Een SOC houdt zich voornamelijk bezig met security-monitoring.
Het is een steeds meer gebruikt middel om zicht te krijgen op de beveiliging van applicaties en netwerken binnen organisaties. Aangezien het nog een relatief nieuw fenomeen is, zijn er weinig experts te vinden die bij het opzetten van een SOC kunnen helpen, aldus het NCSC. Daarnaast kost het inrichten van een SOC veel tijd en geld, waardoor het lastig kan zijn om een directie te overtuigen van het nut en de noodzaak. Via een nieuw gepubliceerde factsheet (pdf) wil het NCSC Information Security Officers hiermee helpen.
De factsheet laat weten dat vanuit het niets een volwaardig SOC opzetten een uitdagende opgave is. Daarom is het eenvoudiger klein te beginnen en langzaam en gecontroleerd door te groeien naar een volwaardig SOC. Zo kan er worden begonnen met het monitoren van log-informatie van een paar belangrijke infrastucturele of middelwarecomponenten, bijvoorbeeld de firewall, een webserver of de anti-virusoplossing. Op deze manier kan er ervaring met het monitoren worden opgedaan.
Het NCSC gaat in de factsheet ook in op de vraag of organisaties een SOC zelf moeten opzetten of beter kunnen uitbesteden. In het geval er voor uitbesteden wordt gekozen is het wel belangrijk dat er rekening met de geldende wet- en regelgeving wordt gehouden. Bij het verwerken van informatie voor monitoring bestaat daarnaast de kans dat daar privacygevoelige informatie bij zit. Het NCSC adviseert in alle gevallen waarbij dit het geval kan zijn om een Privacy Impact Assessment (PIA) uit te voeren.
Een ander onderwerp dat in de factsheet wordt behandeld is een Security Information & Event Management (SIEM) systeem. Het betreft software die in staat is om log-informatie vanuit verschillende bronnen te interpreteren en te correleren naar wat zich binnen en rondom het netwerk afspeelt op gebied van cyberaanvallen en andere beveiligingsincidenten. Het is onlosmakelijk met een SOC verbonden, aldus het NCSC. Er wordt dan ook ingegaan op het kiezen en gebruik van een SIEM-systeem. Afsluitend krijgen organisaties het advies dat een SOC een middel is, geen doel. Het moet dan ook aansluiten bij de bedrijfsprocessen en verschillende afdelingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.