Servicii SOC necesare în contextul alinierii la NIS2

Servicii SOC necesare în contextul alinierii la NIS2

Tot mai mulți CISO ajung la concluzia că utilizarea unui Security Operations Center (SOC) este soluția optimă pentru tratarea unui set larg de cerințe ale Directivei NIS2. Deși reglementarea nu menționează explicit obligativitatea unui „SOC”, aceasta solicită companiilor să implementeze măsuri specifice de securitate, precum monitorizarea, detectarea și răspunsul la incidente — toate disponibile 24/7, precum și măsuri de logare, raportare, documentare și auditabilitate. Acestea sunt exact funcțiile pe care le îndeplinește un SOC.

NIS2 permite organizațiilor să construiască un SOC intern sau să externalizeze aceste funcții către un furnizor specializat, menționând doar că ele trebuie implementate. Prin urmare, nu există obligația de a angaja personal dedicat, dacă procesele de monitorizare, detectare și răspuns sunt asigurate prin externalizare către o companie terță.

Mai mult, Directiva NIS2 stimulează audituri de securitate mai riguroase, analiza riscurilor, a vulnerabilităților și a incidentelor și efectuarea activităților necesare pentru tratarea acestora, precum și instruirea adecvată a utilizatorilor în privința amenințărilor cibernetice. În esență, NIS2 încearcă să prevină incidentele, impunând entităților critice obligația de a monitoriza continuu securitatea, de a documenta procesele interne și de a implementa strategii robuste de apărare și reacție.

Concluzia: NIS2 implică, în mod practic, obligativitatea utilizării unor servicii SOC, însă dezvoltarea unui SOC intern sau externalizarea acestuia rămâne la latitudinea fiecărei organizații.

Provocările reale din spatele unui SOC intern

Deși un SOC intern oferă organizațiilor control direct asupra operațiunilor și proceselor proprii, implementarea și menținerea acestuia sunt dificile din mai multe motive. În Europa, în 2024, exista deja un deficit de aproximativ 500.000 de specialiști (https://www.romania-actualitati.ro/stiri/romania/deficit-de-personal-in-domeniul-ciberneticii-id201425.html) în domeniul ciberneticii, potrivit DNSC, iar în regiunea de Vest a României 78% dintre firme (https://adrvest.ro/start-la-inscrieri-pentru-cybertm-2025-eveniment-privind-securitatea-cibernetica-dedicat-imm-urilor-din-regiunea-vest) nu dispun de experți interni în securitate cibernetică, conform ADR.

Dincolo de penuria de specialiști, elaborarea procedurilor și normelor specifice unui SOC intern eficient (răspuns, analiză, escaladare alerte, training continuu al personalului) necesită timp îndelungat, iar costurile pentru a asigura disponibilitate și scalabilitate adecvate sunt ridicate. Un SOC intern poate fi și dificil de extins rapid pentru a face față unor creșteri bruște ale amenințărilor cibernetice, iar atragerea și păstrarea talentelor de top poate fi o provocare constantă, lăsând organizația vulnerabilă la atacuri avansate.

Totodată, utilizarea mai multor instrumente de securitate fără o integrare eficientă poate crea suprasarcină operațională și probleme de compatibilitate, ceea ce face ca operațiunile să fie mai lente și mai costisitoare. Pe măsură ce volumul alertelor crește, inclusiv multe fals pozitive, personalul calificat riscă să piardă timp prețios pentru analiza acestora. O limitare subestimată este faptul că echipele interne pot fi influențate de prejudecăți sau de cultura organizațională, ceea ce poate afecta obiectivitatea evaluării riscurilor.

Pe de altă parte, furnizorii externi pot aduce un plus de valoare ca expertiză specializată, dar și o reducere a costurilor. O analiză efectuată de Safetech Innovations asupra costurilor de personal pentru un SOC intern (estimare pentru o rețea internă cu 10.000 de end-point-uri) a arătat că prin externalizare, aceste costuri pot fi reduse cu 45%. Totodată, externalizarea aduce o structură de cost transparentă și previzibilă, dar și acces la capabilități tehnice dificil de obținut către un SOC intern.

Argumente pro externalizare servicii SOC

1. Accesul rapid la servicii avansate de SOC, corelate cu alte servicii/soluții complementare de securitate. Serviciile SOC as a Service (SOCaaS) furnizate de Safetech  (inventarierea activelor, managementul vulnerabilităților, monitorizare, detectare, investigare, răspuns, logare, raportare, documentare, auditabilitate) permit organizațiilor să aleagă doar serviciile necesare, oferind, de asemenea, acces la soluții recunoscute global de tipul Endpoint Detection and Response (EDR), eXtended Detection and Response (XDR), NextGen SIEM, Vulnerability Management, Risk Management, Operational Technology Security și Threat Intelligence. Experiența echipei permite identificarea celor mai noi tehnici și amenințări cibernetice și aplicarea de soluții personalizate pentru fiecare organizație.

2. Competențe certificate și eficiență datorată activității SOC structurate pe trei niveluri de expertiză. Organizațiile beneficiază de un nivel ridicat de expertiză prin SOC-ul STI CERT, care include peste 30 de specialiști în securitate cibernetică. Echipa, disponibilă 24/7/365, este formată din profesioniști cu multiple certificări internaționale, precum SANS, MICROSOFT, (ISC)², ISACA, CREST și EC-Council. Specialiștii lucrează în trei schimburi pentru a asigura acoperire continuă și urmează un program permanent de instruire, garantând servicii de securitate cibernetică de înaltă calitate.

3. Una dintre cele mai experimentate echipe de pe piața locală. STI CERT are o experiență de peste 10 ani în gestionarea unui volum mare de evenimente, alerte și incidente, beneficiind de capabilități avansate de analiză. Lunar, echipa tratează, în medie, 100 de miliarde de evenimente capturate de către soluțiile de securitate monitorizate, analizează 25.000 de alerte de securitate și gestionează o medie de 180 de incidente. STI CERT deservește clienți din diverse sectoare, inclusiv financiar-bancar, utilități, sănătate, tehnologie, retail, distribuție și consultanță. În plus, Safetech Innovations a fost inclusă în prestigiosul Top 250 MSSPs 2024 realizat de CyberRisk Alliance, care evidențiază cei mai performanți 250 de furnizori de servicii gestionate de securitate la nivel global, fiind prima companie MSSP din România inclusă în top, clasându-se pe poziția 153.

4. Scalabilitate ridicată – clienții pot accesa rapid resurse suplimentare în caz de incidente sau extindere a activității. SOCaaS prin Safetech Innovations este dimensionat pentru a deservi simultan un număr mare de clienți și dispune de o rezervă pentru gestionarea vârfurilor de activitate. Spre deosebire de un SOC intern, acesta se adaptează rapid la schimbările de cerințe, iar beneficiarii pot scala serviciile de securitate fără a fi nevoie de investiții suplimentare.

5. Timp scurt de activare a serviciilor, semnificativ mai redus decât în cazul dezvoltării unui SOC intern. Echipa SOC a Safetech Innovations are un proces organizat de activare rapidă a serviciilor. Serviciile furnizate de STI CERT pot utiliza platforme proprii ale clientului, platformele asigurate de Safetech în rol de MSSP (Managed Security Services Provider) sau un model mixt, pentru optimizarea costurilor și reducerea impactului operațional.

6. Proceduri și politici demonstrate în practică, cu fluxuri de lucru automatizate care asigură un nivel ridicat de eficiență. Echipa Safetech recomandă o arhitectură tehnologică minimală, care respectă principiile simplității și ale apărării în profunzime prin automatizare, incluzând Endpoint Detection and Response (EDR) pentru protejarea punctelor de intrare critice și o platformă multi-tehnologică eXtended Detection and Response (XDR), care centralizează alertele și jurnalele într-un singur panou de monitorizare SOC. De asemenea, Safetech Innovations pune la dispoziție servicii de managementul vulnerabilităților, analiza riscurilor, gestionarea indicatorilor de securitate. monitorizarea activelor în medii OT/ICS), utilizând instrumente specializate adiționale.

7. Accesibilitate financiară – fără investiții inițiale în echipamente și licențe, cu plată lunară flexibilă în funcție de evoluția activității. Serviciile STI CERT oferă un preț competitiv, costuri predictibile și stabilitate financiară, permițând companiilor să elimine investițiile și cheltuielile asociate dezvoltării și operării unui SOC intern. Organizațiile pot alege dintre trei pachete de servicii SOC externalizate, personalizabile în funcție de nevoile și resursele fiecărui client, iar toate serviciile STI CERT sunt acoperite de o poliță de asigurare de 500.000 EUR, cu clauze specifice pentru riscuri cibernetice.