SOCin uusi rooli: skaalautuva, mukautuva ja kestäväksi rakennettu 

Nykyisessä nopeasti muuttuvassa uhkaympäristössä kyberresilienssi edellyttää muutakin kuin pelkkää passiivista puolustautumista. Tarvitaan ennakoiva, joustava ja integroitu lähestymistapa. Tässä kohdassa kuvaan astuu moderni Security Operations Center (SOC). Samlinkissa SOC-palvelut kehittyvät entistä älykkäämmiksi: modulaarisiksi, laajennettaviksi ja räätälöidyiksi.  

Samlinkin tietoturvapäällikön Christian Eichinin mukaan modernit SOC-keskukset eivät enää toimi näkymättömästi taustalla. 

“Ne ovat siirtyneet keskeisempään rooliin, jolloin niistä on tullut proaktiivisia ja ennakoitavia. Modernin SOCin ei pidä vain seurata uhkia, vaan pyrkiä olemaan askeleen edellä.” 

Sateenvarjomalli, joka elää asiakkaan tarpeiden mukana

Christian kuvailee SOCia sateenvarjomaisena rakenteena, joka koostuu useista moduuleista ja niiden yhteisestä hallintamallista. Moduuleilla on omat, selkeät roolinsa, joihin voi sisältyä esimerkiksi haavoittuvuuksien ja haittaohjelmien hallintaa, uhkatiedustelua, sovellusten valvontaa, tapahtumisen käsittelyä sekä tietoturvaloukkausten tutkintaa. Tämä mahdollistaa palveluiden räätälöinnin asiakkaan tarpeiden, kypsyystason ja järjestelmäympäristön mukaan. 

“Asiakkaamme ovat hyvin erilaisissa tilanteissa. Joillakin on perinteisiä järjestelmiä, toiset rakentavat täysin uusia. Moduulirakenne mahdollistaa skaalautumisen ja sen, että voimme integroitua olemassa oleviin järjestelmiin vaiheittain”, Christian kertoo. 

Joustava rakenne tukee myös sääntelykehitystä, kuten tulevia DORA-vaatimuksia. SOCin tiedonkeruukykyjä voidaan laajentaa tukemaan uusia raportointivastuita, mikä antaa asiakkaille kilpailuedun myös sääntelyssä. 

Aloita vähitellen, kasva fiksusti

Monilla organisaatioilla on jo olemassa jonkinlainen tietoturvarakenne, vaikka sitä ei kutsuttaisikaan SOCiksi. Siksi Samlink aloittaa työn usein yhteisellä määrittelyvaiheella, jossa kartoitetaan asiakkaan nykytila, tarpeet ja tavoitteet. 

“Asiakkaalla ei ole aina itselläänkään täysin selvää kuvaa omista tarpeistaan, ja se on ihan ok. Me selvitämme ne yhdessä”, Christian sanoo. 

Tämän jälkeen palvelut rakennetaan vaiheittain ja hiotaan osaksi olemassa olevia prosesseja ja hallintamalleja. Näin vältetään riskialttiit “kaikki kerralla uusiksi” -tyyppiset ratkaisut ja varmistetaan, että uudet moduulit sulautuvat toimintaan sujuvasti. 

Vaikka automaation ja tekoälyn rooli on yhä tärkeämpi tietoturvassa – etenkin ensimmäisen vasteen tasolla – Christian painottaa ihmisen asiantuntemuksen merkitystä. 

“Tulemme näkemään muutoksen: alkuvaiheessa on enemmän automaatiota, mutta syvempi analyysi ja päätöksenteko vaativat edelleen ihmisen panosta. Eikä unohdeta sitä, että rikollisetkin käyttävät tekoälyä. Meidän on oltava vähintään yhtä nopeita, tai mieluummin nopeampia kuin he.” 

Kun SOC kohtaa NOCin, syntyy SNOC

Yksi tulevaisuuden kehityssuunnista on SOCin ja verkkotoimintakeskuksen (NOC) yhdistyminen, jolloin syntyy niin kutsuttu SNOC. Niiden lähentyminen parantaa erityisesti tehokkuutta ja läpinäkyvyyttä rikkomalla siiloja verkonhallinnan ja tietoturvan välillä. 

Samalla modulaarinen SOC-rakenne mahdollistaa uusien osa-alueiden, kuten sääntelyraportoinnin tai laadunvarmistuksen tuomisen osaksi kokonaisuutta. 

Christian korostaa, ettei SOC ole irrallinen yksikkö, vaan osa laajempaa kyberresilienssistrategiaa. Kyndrylin viitekehyksessä tämä strategia rakentuu neljän pilarin varaan, jotka ovat ennakointi, suojaus, kestävyys ja palautuminen. 

“SOC sijoittuu ‘kestävyys’-pilarin alle. Se on tärkeä osio, mutta ei yksinään riittävä. Todellinen resilienssi syntyy vasta, kun kaikki neljä osa-aluetta toimivat yhdessä”, Christian tiivistää.