In dit blogartikel leer je 3 KPI’s (Key Performance Indicators) die relevant zijn om de effectiviteit van het SOC te meten.
Het moment dat je security detectie hebt geïmplementeerd in je organisatie komt de volgende vraag: heeft het SOC (Security Operations Center) goed werk geleverd - ja of nee? Want, als er geen veiligheidsrisico’s gedetecteerd zijn, kan het inderdaad zijn dat er geen gevaren zijn geweest om te detecteren. Maar het kan natuurlijk ook zijn dat er wel iets te detecteren was, maar dat het gevaar toch langs het SOC is gekomen.
Maar hoe kun je bepalen of het SOC goed werk levert? In dit blogartikel bespreken we 3 KPI’s (Key Performance Indicators) die relevant zijn om hier een goed beeld van te scheppen.
KPI 1: Responstijd
Als het SOC een veiligheidsrisico detecteert, dan moet er snel op gereageerd worden. Hoe sneller er wordt gereageerd op de detectie, hoe beter. Het is dus van belang om te meten hoe snel het SOC reageert op meldingen, wat niet gemeten wordt kun je ook niet sturen.
KPI 2: Afhandeltijd / oplostijd
Zodra is vastgesteld dat het daadwerkelijk om een bedreiging gaat, is de volgende vraag hoe lang het duurt voordat het SOC de case heeft afgehandeld. Logischerwijs is het hierbij ook hoe sneller de afhandel- of oplostijd, hoe beter de securitydienst zijn/haar werk doet. Hierbij kan het wel voorkomen dat het SOC afhankelijk is van de afnemer, als er vragen over een bepaalde case zijn bijvoorbeeld. Als afnemer kun je dus ook de vraag stellen: hoe snel kan ik zelf reageren op security-incidenten wanneer mijn hulp nodig is? En kan ik dat ook buiten kantooruren?
Het sturen op de oplostijd is dus belangrijk, maar is een gedeelde verantwoordelijkheid van het SOC en de afnemer. Toch geldt ook hiervoor: meten is weten. Een online dashboard kan daarbij helpen om goed zicht te houden op de actuele stand van zaken.
KPI 3: Het aantal false-negatives
False negatives zijn het aantal detecties dat het SOC heeft gemist maar wel had moeten detecteren. Deze indicator is natuurlijk lastig te meten, want hoe weet je of je iets gemist hebt? Gelukkig zijn daar een aantal checks voor. Bijvoorbeeld wanneer een gebruiker een mailtje krijgt dat hij/zij niet vertrouwd (phishingmail) en dat rapporteert. Het SOC had daar de gebruiker voor kunnen zijn en had dus kunnen voorkomen dat het mailtje überhaupt binnen kwam.
Een ander voorbeeld is als een werkstation niet meer werkt of heel traag is en uit onderzoek blijkt dat daar software op zit die daar niet thuis hoort – ook dit geval had het SOC moeten detecteren. Iedere keer dat er dus iets ongemerkt op het netwerk van de organisatie binnenkomt dat er niet had moeten zijn, heb je een false-negative. Het aantal false-negatives in een periode is een van de belangrijkste KPI’s om de effectiviteit van het SOC te meten.
Ironisch genoeg hebben false negatives ook een positieve kant, want ze bieden namelijk een kans om de detectie te verbeteren. Iedere melding die een false negative aantoont moet dus ook op die manier worden afgehandeld – als een kans om mee aan de slag te gaan en de service te verbeteren. Een goede registratie van false negatives is hiervoor van belang.
Samen sterk tegen cybercriminaliteit
Tot slot is het belangrijk dat periodieke rapportages van het SOC de ontwikkeling van deze KPI’s duidelijk weergeven. Beveiliging blijft een wapenwedloop tussen criminelen en beveiligers. Een waterdichte garantie op veiligheid is per definitie niet haalbaar, maar door objectieve meetgegevens en een goede samenwerking tussen SOC en afnemer kan de optimale veiligheid wel worden gerealiseerd.