Som vi skriver om i forrige innlegg, er det en ressurskrevende operasjon for bedrifter å bygge egen sikkerhetskompetanse i form av et Security Operations Center (SOC).
Å stå for sikkerhetsovervåking og hendelseshåndtering selv innebærer blant annet at man må ansette personell med den rette IT-sikkerhetsfaglige og taktiske/tekniske kompetansen, og man må gå til anskaffelse av hardware/software. I tillegg kommer løpende drifts- og opplæringskostnader. Ikke minst er en SOC krevende å drifte.
Bedrifter må veie kostnaden ved å bygge sin egen form for sikkerhetsovervåking opp mot å kjøpe dette som en tjeneste.
La oss se på to kostnadskalkyler – én for egen SOC med tre fulltidsansatte, én for en mindre bedrift som investerer i software og én ansatt.
Kalkyle 1:
Kalkyle 2:
Som det fremgår av oversikten er det betydelige kostnader forbundet med å bygge opp et internt kompetansesenter for sikkerhetsovervåking. Jo større selskap / større infrastruktur, desto høyere kostnader. På toppen av dette kommer prosjektkostnader.
Svært få selskaper gjør dette selv, Og til og med da er de ofte tilknyttet en leverandør som de støtter seg på.
I et kost/nytte-perspektiv kan man gjerne veie kostnadene ved sikkerhetsovervåking og hendelseshåndtering opp mot reduserte kostnader forbundet med å rydde opp etter et angrep.
Sikkerhetsovervåking som en tjeneste prises som oftest ut ifra hvilke komponenter som skal overvåkes, hvor mye loggdata og nettverkstrafikk som skal analyseres, og hvor mange såkalte events per second alle disse dataene genererer.
Prismodellene er med andre ord en kombinasjon av hardware/software og menneskekraft. Det er viktig å merke seg at menneskekraft gjerne står for 75 prosent av verdien i en slik leveranse (kilde: Cisco), og at teknologi alene sjelden gir den verdien som kunden forventer.
Mange går i den fellen å kjøpe inn avansert logganalyse-verktøy, IDS-teknologi og lignende uten å ta høyde for at dette skal analyseres av kompetente ressurser.
Kostnadene forbundet med å bygge egen SOC innad i virksomheten er ofte vanskelige å forsvare. Det kan ligge compliance-krav til grunn, eller bedriften kan ha vært utsatt for hendelser som nærmest tvinger dem til å etablere en slik tjeneste for å viser sine kunder at de tar grep og tar en proaktiv rolle.
Sikkerhetsovervåking som tjeneste er en pålitelig og kostnadseffektiv løsning som er lettere å forankre i og forsvare overfor ledelse og styre.