Gunther Cleijn is Global CISO bij NewCold, een bedrijf gespecialiseerd in het bouwen en beheren van vrieshuizen wereldwijd. Als zovele CISO’s heeft hij te maken met het grote tekort aan security-specialisten. Zijn oplossing: richt een zero people SOC in. Het is een term die we niet letterlijk moeten nemen, maar dat een organisatie de security-processen met veel minder mensen kan uitvoeren, staat volgens Gunther Cleijn als een paal boven water. CIO Magazine sprak met de CISO, die volop aan de slag is om het zero people SOC te realiseren.
Wat is in jouw optiek zero people SOC? Waarom zou je het moeten willen?
“Ik begin met die laatste vraag. Als verantwoordelijke voor security heb je als taak te zorgen voor betrouwbare data en een betrouwbare digitale omgeving. Je wilt een zo effectief mogelijke security-organisatie optuigen, met een optimale inzet van middelen. Tegenwoordig is dat vaak niet eenvoudig te realiseren met de beschikbare resources. Neem een traditioneel SOC, dat werkt op basis van ITIL-processen. Die werkwijze brengt met zich mee dat hoogopgeleide mensen zich vaak bezig moeten houden met allerlei basale meldingen, terwijl je zulke professionals juist moet uitdagen en moet inzetten op ingewikkelde meldingen.”
“Die basale meldingen moet je volgens mij afhandelen met AI, machine learning. Dit is in het kort wat ik versta onder zero people SOC, waarmee je beoogt optimaal gebruik te maken van de resources.”
Je moet de term niet letterlijk opvatten blijkbaar, maar hoe ver ga je ermee? Waar zet je dan nog wel mensen in?
“De weg naar zero people SOC is ooit ingeslagen met het automatiseren van incident response, waarbij het eerste stapje werd geautomatiseerd, zodat er tickets verschenen. Daarna werden AI-oplossingen ingezet om security-issues en kwetsbaarheden op te sporen. Nu kunnen we inmiddels gebruikmaken van orchestration en automated response. Die vormen als het ware een laag over je security-maatregelen en zorgen dat die allemaal op elkaar zijn afgestemd en met elkaar kunnen werken. Dan ben je echt next level bezig!”
Als je hiernaartoe gaat werken, waar vallen dan de investeringen? En hoe onderbouw je de ROI?
“Waar je investeert, hangt af van de situatie in een specifieke organisatie. Belangrijk is ook de vraag welke output je van de systemen wilt hebben: volgens mij zouden dat hoogstaande findings moeten zijn, waar een gespecialiseerde security engineer op kan duiken.”
“Over de ROI kun je zeggen dat je met zero people SOC de tijd van hoogopgeleide professionals bespaart, waardoor zij zich met het cyberrisicoprofiel van de organisatie bezig kunnen houden. Ze kunnen meedenken over risico’s van ontwikkelingen in de markt of in de wereld van cybercrime. Het is niet eenvoudig die inzet naar harde ROI te vertalen. Ik spreek daarom liever van waarde.”
Wat is de rol van uitbesteden bij het inrichten van zero people SOC? Wat laat je door de markt invullen?
“Tenzij je alles in huis wilt hebben omdat je bijvoorbeeld met wet- en regelgeving te maken hebt, kun je taken die een ander beter kan, beter aan die ander overlaten. Denk aan red teaming, zeer gespecialiseerd werk, dat voor geen enkele organisatie ‘erbij is te doen’. Bovendien zou de slager dan zijn eigen vlees keuren. Ik zou in elk geval de controletaken uitbesteden.”
“‘Met automated orchestration and response ben je pas echt next level bezig”
“Er zijn ook providers die SOC-as-a-service aanbieden. Dat is zeker een optie. Het is immers niet eenvoudig zelf een SOC op te bouwen. Als je hiermee nu zou willen starten, zou ik in elk geval niet voor een compleet SOC gaan. En investeer in elk geval niet in de bekende grote monitoren. Wel leuk om te laten zien wat het SOC doet, maar het is nergens voor nodig. Het zou zo moeten zijn dat de mensen ook vanuit huis kunnen werken.”
Er zijn ook voorbeelden van organisaties die het SOC weer in huis halen, om aan de business de toegevoegde waarde ervan te demonstreren.
“Dat kan zeker een afweging zijn. Je kunt dit ook doen door bijvoorbeeld wekelijks event-overzichten te delen, met steeds minder detaillering naarmate je hoger in de organisatie komt. Daarmee bevorder je ook de betrokkenheid van de business.”
Veel organisaties werken tegenwoordig agile. Welke rol speelt DevSecOps? Wat is de link met zero people SOC?
“Ik denk dat dit zeer sterk vergelijkbare en met elkaar vervlochten fenomenen zijn. Het automatiseren van testen binnen je ontwikkeliteraties is daar een goed voorbeeld van. Het brengt findings direct op de backlog. Dit kun je prima ondersteunen met een of twee specialisten op het gebied van applicatiebeveiliging, om de teams hiermee op weg te helpen. De kennis van de security-specialist moet uiteindelijk overgaan naar de ontwikkelaar.”
Rondetafelsessie
Op 14 december zal Gunther Cleijn spreken tijdens een online rondetafelsessie over zero people SOC, georganiseerd door CIO Magazine en SentinelOne. Hij zal dan ook ingaan op de stappen die hij gezet heeft, de lessen die hij heeft geleerd en zijn toekomstplannen. Schrijf je meteen in om erbij te zijn!
[su_button url=”https://itexecutive.nl/event/zero-people-soc-een-luchtkasteel/” target=”blank” style=”flat” background=”#1e73be” color=”#ffffff” size=”7″ radius=”0″ text_shadow=”0px 0px 0px “]Meer info en aanmelden[/su_button]
