Het Security Operations Center (SOC) maakt veilige digitale dienstverlening mogelijk met de juiste inrichting van organisatie, processen, informatie en technologie.
Hoe richt je een effectief Security Operations Center in?
Het Security Operations Center (SOC) maakt veilige digitale dienstverlening mogelijk met de juiste inrichting van organisatie, processen, informatie en technologie.
De overheid communiceert in toenemende mate digitaal met burgers, bedrijven en partners. Dit leidt niet alleen tot een efficiënte en klantgerichte overheid, maar resulteert ook in risico’s op de betrouwbaarheid en continuïteit van de informatievoorziening. De impact is groot als bijvoorbeeld de digitale loketten van de overheid niet beschikbaar zijn of de afhandeling van aanvragen voor een paspoort, niet of foutief worden behandeld. Volgens het Trends in Veiligheid onderzoek 2015 van Capgemini, uitgevoerd door TNS NIPO, vertrouwt slechts vier op de tien Nederlanders dat de overheid veilig met (persoonlijke) gegevens omgaat. Dit betekent dat overheidsorganisaties niet alleen voor de uitdaging staan om de risico’s het hoofd te bieden, maar ook om het imago als veilige gegevensverwerker te verbeteren.
Het is tegenwoordig niet meer voldoende om een ‘groot digitaal hek’ om de organisatie neer te zetten. Het beveiligen van informatie vereist dat digitale bedreigingen vroegtijdig worden gesignaleerd en gemitigeerd. Een centrale rol is hierbij weggelegd voor een zogenaamd Security Operations Center (SOC).
Een SOC is een organisatieonderdeel dat specifiek is gericht op het vroegtijdig signaleren en voorkomen van cybersecurity incidenten. Een SOC combineert de technologie voor het monitoren, voorkomen en detecteren van een digitale inbraak met procedures om incidenten effectief af te handelen en de organisatie ‘in business’ te houden. Daarmee ondersteunt het SOC de (overheids)organisatie bij het voeren van een veilige digitale bedrijfsvoering.
Het SOC richt zich zowel op de beveiliging van digitale communicatie binnen de organisatie, als op de digitale dienstverlening die aan burgers, bedrijven en partners wordt geboden. Om een veilige digitale dienstverlening mogelijk te maken, beschikt het SOC over systemen waarmee het real-time informatie verzamelt vanuit de informatievoorziening van de organisatie en haar ketenpartners. Met geavanceerde technieken wordt deze informatie geanalyseerd en kunnen digitale aanvallen worden herkend voordat zij daadwerkelijk schade kunnen toebrengen.
Het belang van de digitale bedrijfsvoering voor de organisatie en het digitale dreigingsniveau bepalen de noodzaak en meerwaarde van het SOC (zie figuur 1). Zo zal de informatievoorziening van een bank of defensieorganisatie meer extensieve SOC-diensten vereisen dan een retailer of een gemeente. De inrichting van een SOC is dus afhankelijk van de beoogde breedte en kwaliteit van de dienstverlening. De behoefte vanuit de afdelingen in het primaire proces vertaalt zich in een missie van het SOC, wat er in de producten- en dienstencatalogus van het SOC wordt opgenomen en welk niveau van dienstverlening nodig is.
Het is voor het inrichten van een SOC noodzakelijk om na te denken over de essentiële ontwerpprincipes en daarbij de assen van het operating model: mens en organisatie, processen, technologie en informatie in samenhang te beschouwen. Zie ook het artikel “Samen stap voor stap naar digitale dienstverlening bij de rechtspraak” van Maarten van den Berg en Marnix de Graaff.
De hoge investeringskosten die nodig zijn om een SOC op te zetten, zorgen ervoor dat nog maar weinig organisaties zelfstandig een SOC ingericht hebben. Zij kiezen in plaats daarvan voor een hybride model, waarbij delen van het SOC intern worden ingericht en andere delen als dienst worden afgenomen en door een gespecialiseerd bedrijf worden uitgevoerd.
De hoge investeringskosten die nodig zijn om een SOC op te zetten, zorgen ervoor dat nog maar weinig organisaties zelfstandig een SOC ingericht hebben. Zij kiezen in plaats daarvan voor een hybride model, waarbij delen van het SOC intern worden ingericht en andere delen als dienst worden afgenomen en door een gespecialiseerd bedrijf worden uitgevoerd.
Figuur 2 geeft een aantal varianten voor de inrichting van een SOC weer. Een SOC heeft een aantal vaste taakgebieden. De regiefunctie zorgt voor verankering in de organisatie en aansturing van het SOC. De kern van het SOC bestaat uit de operationele processen zoals het (real-time) monitoren van informatiestromen. Opvallend dataverkeer en vreemde transacties worden door medewerkers van het SOC geanalyseerd. Indien zich een daadwerkelijk incident (bijvoorbeeld digitale inbraak of netwerkverstoring) voordoet, zijn zij ook verantwoordelijk voor het afhandelen en oplossen van het incident. Eventueel kan dan forensisch onderzoek helpen om de daders op te sporen.
Een SOC bestaat uit een geïntegreerd geheel van mens & organisatie, processen, informatie en technologie. De benoemde taakgebieden moeten langs de assen van het operating model worden ingericht. Mens en organisatie gaat over de organisatorische inrichting van het SOC en de plaats die het krijgt binnen de organisatie. De taakstelling van het SOC is afhankelijk van de bedrijfsdoelstelling. De administratieve, operationele en technologische processen van het SOC moeten zodanig worden ingericht dat zij hierop aansluiten. Op basis van een risicoanalyse wordt bepaald wat de meest kritische informatiestromen (de ‘kroonjuwelen’) van de organisatie zijn die primair door het SOC gemonitord, geanalyseerd en beschermd moeten worden. Zie voor integraal risicomanagement ten behoeve van informatiebeveiliging ook het artikel ‘Business value van security begint bij gemeenschappelijk framework’ van Laurens van Nes. De keuzes die hierin gemaakt worden, bepalen mede welke technologische ondersteuning is vereist.
Sommige organisaties (met name in de openbare orde en veiligheidssector) kiezen er – gegeven de gevoeligheid en het belang van de informatie – voor om een SOC volledig intern in te richten, terwijl andere organisaties meer gebaat zijn bij uitbesteding zodat zij de juiste kennis en ervaring binnen halen voor een effectief en efficiënt SOC en zich kunnen focussen op hun core business.
In een hybride model van een SOC worden enerzijds bepaalde taken binnenshuis uitgevoerd, bijvoorbeeld omdat daarvoor kennis van de organisatie nodig is of omdat bepaalde informatie vanwege wetgeving de organisatie niet uit mag. Anderzijds worden bepaalde taken uitbesteed omdat de organisatie daar zelf de mensen en/of kennis niet voor in huis heeft.
De tabel hieronder beschrijft de inrichting van het hybride SOC. Langs de assen van het operating model zijn de belangrijkste inrichtingskeuzes benoemd. In de meest rechtse kolom zijn deze vertaald naar het hybride model. Door het SOC langs deze assen in te richten, sluit het optimaal aan op de huidige organisatie terwijl het in staat is mee te groeien met veranderende behoeften. Bovenstaande inrichtingskeuzes helpen bij het inrichten van een volwassen SOC. Een trend die we de komende jaren steeds vaker gaan tegenkomen is het Security Intelligence Center (SIC), waarin geavanceerde post-incidentanalyse en forensisch onderzoek op de grote hoeveelheden data wordt uitgevoerd. Nog een stap verder kan een SIC door de verbeterde analysecapaciteit zich beter wapenen tegen langdurige en doelgerichte cyberaanvallen (zogenoemde advanced persistent threats). Daarnaast zullen we steeds vaker SOC-diensten in de cloud tegenkomen, zoals bijvoorbeeld SIEM-on-top-of-cloud.
In de komende jaren transformeert de overheid naar een moderne, digitale en klantgerichte dienstverlener. Dat vraagt om digitalisering van de kanalen waarmee de overheid communiceert met burgers, bedrijfsleven en partners. Maar het vraagt ook om innovatie van de processen en de ICT naar de digitale manier van werken. Essentiële randvoorwaarde daarbij is dat de betrouwbaarheid, beveiliging en privacy van de digitale dienstverlening van de overheid wordt geborgd. Dat lukt alleen als cybersecurity proactief wordt aangepakt met de inzet van een Security Operations Center.