arrow left image Vissza

SOC Management: A SOC-CMM modell - 2. rész

Hogyan mérhető a vállalati biztonsági központod felkészültsége? Az üzlet, a HR és a folyamatok érettsége

man with monitors image

Az előző részben áttekintettük, hogyan működik a SOC-CMM modell, és miért vált a modern SOC-ok egyik legfontosabb önértékelési eszközévé. A modell ereje azonban abban rejlik, hogy nemcsak a technológiát és a szolgáltatásokat vizsgálja, hanem három olyan alapvető működési területet is, amelyek meghatározzák, hogy a SOC mennyire képes valódi értéket teremteni: az üzleti illeszkedést, az emberi tényezőt és a folyamatérettséget.

Ebben a második részben a SOC-CMM három „nem-technológiai” fődomainjét mutatjuk be. Ezek a Business, a People és a Process. Ezek a domainek adják a SOC működésének szervezeti, stratégiai és operatív alapját. Ha bármelyik gyenge, a SOC egészének érettsége sérül — még akkor is, ha a technológia modern és a szolgáltatások széleskörűek.

SOC management: Az üzlet, a HR és a folyamatok domain-je a SOC-CMM (Capability Maturity Model) modellben
A SOC-CMM felépítése: 5 domain, 27 aspektus. Forrás: SOC-CMM®

1. Business – az üzleti illeszkedés érettsége

A Business domain azt vizsgálja, hogy a SOC mennyire kapcsolódik a vállalat stratégiai céljaihoz, kockázati profiljához és governance struktúrájához. Egy SOC akkor működik hatékonyan, ha pontosan érti, mit és miért véd, és ha nem egy elszigetelt IT-funkcióként működik, hanem szervesen illeszkedik az üzlethez. A Business domain érettsége közvetlenül meghatározza, hogy a SOC mennyire tudja támogatni a vállalat döntéshozatalát és kockázatkezelését.

A Business domain aspektusai:

  • Business Drivers: értékeli, hogy a SOC azonosította-e, dokumentálta-e és használja-e a fő üzleti hajtóerőket a döntéshozatalában.
  • Customers & Stakeholders: vizsgálja, hogy a SOC azonosította-e a belső és külső érintetteket, és képes-e differenciált kommunikációra feléjük.
  • Charter: azt vizsgálja, hogy a SOC rendelkezik-e formalizált működési alapdokumentummal (küldetés, vízió, célok, feladatok, felelősségek, stb.).
  • Governance: értékeli a SOC irányítási struktúráját, a döntési jogköröket, a vezetői riportingot és a governance meetingeket.
  • Privacy & Policy: vizsgálja, hogy a SOC működését szabályozó policy-k dokumentáltak-e, naprakészek-e és megfelelnek-e a hatályos adatvédelmi jogszabályoknak.

2. People – a SOC emberi tényezőjének érettsége

A People domain a SOC működésének egyik legkritikusabb területe: azt vizsgálja, hogy a szervezet rendelkezik-e megfelelő létszámmal, kompetenciákkal, szerepkörökkel és képzési struktúrával. A SOC technológiai stackje lehet bármilyen modern — ha nincs mögötte stabil, képzett és motivált csapat, a működés nem lesz érett. A People domain érettsége közvetlenül meghatározza a SOC reakcióképességét, minőségét és hosszú távú fenntarthatóságát.

A People domain aspektusai:

  • Employees: értékeli a SOC létszámát, kompetenciaprofilját és a szükséges KSAO-k (Knowledge, Skills, Abilities, and Other Characteristics) meglétét.
  • Roles & Hierarchy: vizsgálja, hogy a szerepkörök, felelősségek és a szervezeti struktúra egyértelműek-e és dokumentáltak-e.
  • People Management: felméri a csapatcélok, a teljesítményértékelés, az utánpótlás-tervezés és a vezetői támogatás érettségét.
  • Knowledge Management: azt vizsgálja, hogy a SOC rendelkezik-e skill- és knowledge-mátrixszal, dokumentált tudással és tudásmegosztási folyamattal.
  • Training & Education: értékeli az onboardingot, a rendszeres képzéseket, a tanúsítványok támogatását és a gyakorlati tréningeket.
SOC management: Az üzlet, a HR és a folyamatok domain-je a SOC-CMM (Capability Maturity Model) modellben
Kiberbiztonsági skill mátrix (minta). Forrás: ag5.com (Kattints a nagyításhoz)

3. Process – a SOC működési és operatív érettsége

A Process domain a SOC működésének gerince: azt vizsgálja, hogy a SOC folyamatai mennyire dokumentáltak, következetesek, mérhetők és fejleszthetők. A folyamatérettség határozza meg, hogy a SOC mennyire kiszámíthatóan, auditálhatóan és skálázhatóan működik. A 2.4-es SOC-CMM verzióban ez a domain jelentősen kibővült, és ma már a SOC működésének legösszetettebb területe.

A Process domain aspektusai:

  • SOC Management: értékeli a működési modell, a folyamatos fejlesztés, a minőségbiztosítás és a SOC-architektúra érettségét.
  • Operations & Facilities: vizsgálja az operatív működés fizikai és szervezeti feltételeit, beleértve az OPSEC-et (Operations Security), a war roomot, a fizikai biztonságot és a távmunka támogatását.
  • Reporting & Communication: felméri a riportok, metrikák, vezetői kommunikáció és tájékoztatási kampányok minőségét.
  • Use Case Management: értékeli a detekciós use case-ek teljes életciklusát a definíciótól a finomhangolásig és a MITRE ATT&CK-mappingig.
  • Detection Engineering & Validation: vizsgálja a detekciós minőségbiztosítást, az automatizált validációt és a naplóforrások lefedettségének ellenőrzését.
  • Automation Engineering: felméri a workflow automatizációs és AI-alapú folyamatok érettségét és minőségbiztosítását.
  • Log Management: értékeli a naplóforrások lefedettségét, adatminőségét, normalizációját és a loggyűjtés integritását.

Esetpélda: amikor a folyamatok hiánya visszaveti a SOC teljesítményét

Egy nagyvállalat SOC-ja modern SIEM-mel és tapasztalt elemzőkkel dolgozott, mégis rendszeresen késtek az incidenskezeléssel. A SOC-CMM Process domain értékelése kimutatta, hogy:

  • nem volt formalizált use case életciklus-kezelés,
  • a logforrások kb. 25%-a nem küldött adatot,
  • az incidens-kezelési playbookok elavultak voltak,
  • a riportok nem jutottak el a vezetéshez.

A technológia tehát adott volt — a folyamatok hiánya miatt mégsem működött hatékonyan a SOC.

Összegzés: miért kritikus a Business–People–Process hármas?

A SOC-CMM keretrendszer egyik legfontosabb üzenete, hogy a SOC érettsége nem csupán technológiai kérdés. A valódi működési érettség három pilléren nyugszik:

  1. Üzleti illeszkedés (Business) – a SOC tudja, mit kell védenie.
  2. Emberi tényező (People) – a SOC rendelkezik a megfelelő kompetenciákkal.
  3. Folyamatérettség (Process) – a SOC következetesen, mérhetően működik.

Ha ezek közül bármelyik hiányzik, a SOC működése sérülékennyé válik — még akkor is, ha a technológia modern és a szolgáltatások széleskörűek.

(A következő, 3. részben a SOC-CMM Technology és Services domainjeit mutatjuk be, amelyek a SOC technikai képességeit és szolgáltatási portfólióját értékelik.)

A SOC CMM bemutatása után felmerülhet a kérdés: hol tart a saját szervezete a kiberbiztonsági érettség terén? Ahelyett azonban, hogy a SOC-CMM önértékeléssel töltené az időt, vegye igénybe az Andrews tapasztalatát a belső SOC-ja felmérése és fejlesztése kapcsán. Szakértőink a SOC CMM alapjain segítenek a felmérésben, a célmeghatározásban és a cselekvési terv kidolgozásában.

Amennyiben nincs belső SOC-ja, de érdekli a téma, és tisztán SaaS vagy hibrid modellben gondolkodik: ismerje meg az Andrews SOCaaS szolgáltatását, és tudja meg, hogyan támogathatja a szervezete biztonságát és megfelelését!

kapcsolat

Írjon nekünk