SOC Management: A SOC-CMM modell - 2. rész
Hogyan mérhető a vállalati biztonsági központod felkészültsége? Az üzlet, a HR és a folyamatok érettsége

Az előző részben áttekintettük, hogyan működik a SOC-CMM modell, és miért vált a modern SOC-ok egyik legfontosabb önértékelési eszközévé. A modell ereje azonban abban rejlik, hogy nemcsak a technológiát és a szolgáltatásokat vizsgálja, hanem három olyan alapvető működési területet is, amelyek meghatározzák, hogy a SOC mennyire képes valódi értéket teremteni: az üzleti illeszkedést, az emberi tényezőt és a folyamatérettséget.
Ebben a második részben a SOC-CMM három „nem-technológiai” fődomainjét mutatjuk be. Ezek a Business, a People és a Process. Ezek a domainek adják a SOC működésének szervezeti, stratégiai és operatív alapját. Ha bármelyik gyenge, a SOC egészének érettsége sérül — még akkor is, ha a technológia modern és a szolgáltatások széleskörűek.
1. Business – az üzleti illeszkedés érettsége
A Business domain azt vizsgálja, hogy a SOC mennyire kapcsolódik a vállalat stratégiai céljaihoz, kockázati profiljához és governance struktúrájához. Egy SOC akkor működik hatékonyan, ha pontosan érti, mit és miért véd, és ha nem egy elszigetelt IT-funkcióként működik, hanem szervesen illeszkedik az üzlethez. A Business domain érettsége közvetlenül meghatározza, hogy a SOC mennyire tudja támogatni a vállalat döntéshozatalát és kockázatkezelését.
A Business domain aspektusai:
- Business Drivers: értékeli, hogy a SOC azonosította-e, dokumentálta-e és használja-e a fő üzleti hajtóerőket a döntéshozatalában.
- Customers & Stakeholders: vizsgálja, hogy a SOC azonosította-e a belső és külső érintetteket, és képes-e differenciált kommunikációra feléjük.
- Charter: azt vizsgálja, hogy a SOC rendelkezik-e formalizált működési alapdokumentummal (küldetés, vízió, célok, feladatok, felelősségek, stb.).
- Governance: értékeli a SOC irányítási struktúráját, a döntési jogköröket, a vezetői riportingot és a governance meetingeket.
- Privacy & Policy: vizsgálja, hogy a SOC működését szabályozó policy-k dokumentáltak-e, naprakészek-e és megfelelnek-e a hatályos adatvédelmi jogszabályoknak.
2. People – a SOC emberi tényezőjének érettsége
A People domain a SOC működésének egyik legkritikusabb területe: azt vizsgálja, hogy a szervezet rendelkezik-e megfelelő létszámmal, kompetenciákkal, szerepkörökkel és képzési struktúrával. A SOC technológiai stackje lehet bármilyen modern — ha nincs mögötte stabil, képzett és motivált csapat, a működés nem lesz érett. A People domain érettsége közvetlenül meghatározza a SOC reakcióképességét, minőségét és hosszú távú fenntarthatóságát.
A People domain aspektusai:
- Employees: értékeli a SOC létszámát, kompetenciaprofilját és a szükséges KSAO-k (Knowledge, Skills, Abilities, and Other Characteristics) meglétét.
- Roles & Hierarchy: vizsgálja, hogy a szerepkörök, felelősségek és a szervezeti struktúra egyértelműek-e és dokumentáltak-e.
- People Management: felméri a csapatcélok, a teljesítményértékelés, az utánpótlás-tervezés és a vezetői támogatás érettségét.
- Knowledge Management: azt vizsgálja, hogy a SOC rendelkezik-e skill- és knowledge-mátrixszal, dokumentált tudással és tudásmegosztási folyamattal.
- Training & Education: értékeli az onboardingot, a rendszeres képzéseket, a tanúsítványok támogatását és a gyakorlati tréningeket.

3. Process – a SOC működési és operatív érettsége
A Process domain a SOC működésének gerince: azt vizsgálja, hogy a SOC folyamatai mennyire dokumentáltak, következetesek, mérhetők és fejleszthetők. A folyamatérettség határozza meg, hogy a SOC mennyire kiszámíthatóan, auditálhatóan és skálázhatóan működik. A 2.4-es SOC-CMM verzióban ez a domain jelentősen kibővült, és ma már a SOC működésének legösszetettebb területe.
A Process domain aspektusai:
- SOC Management: értékeli a működési modell, a folyamatos fejlesztés, a minőségbiztosítás és a SOC-architektúra érettségét.
- Operations & Facilities: vizsgálja az operatív működés fizikai és szervezeti feltételeit, beleértve az OPSEC-et (Operations Security), a war roomot, a fizikai biztonságot és a távmunka támogatását.
- Reporting & Communication: felméri a riportok, metrikák, vezetői kommunikáció és tájékoztatási kampányok minőségét.
- Use Case Management: értékeli a detekciós use case-ek teljes életciklusát a definíciótól a finomhangolásig és a MITRE ATT&CK-mappingig.
- Detection Engineering & Validation: vizsgálja a detekciós minőségbiztosítást, az automatizált validációt és a naplóforrások lefedettségének ellenőrzését.
- Automation Engineering: felméri a workflow automatizációs és AI-alapú folyamatok érettségét és minőségbiztosítását.
- Log Management: értékeli a naplóforrások lefedettségét, adatminőségét, normalizációját és a loggyűjtés integritását.
Esetpélda: amikor a folyamatok hiánya visszaveti a SOC teljesítményét
Egy nagyvállalat SOC-ja modern SIEM-mel és tapasztalt elemzőkkel dolgozott, mégis rendszeresen késtek az incidenskezeléssel. A SOC-CMM Process domain értékelése kimutatta, hogy:
- nem volt formalizált use case életciklus-kezelés,
- a logforrások kb. 25%-a nem küldött adatot,
- az incidens-kezelési playbookok elavultak voltak,
- a riportok nem jutottak el a vezetéshez.
A technológia tehát adott volt — a folyamatok hiánya miatt mégsem működött hatékonyan a SOC.
Összegzés: miért kritikus a Business–People–Process hármas?
A SOC-CMM keretrendszer egyik legfontosabb üzenete, hogy a SOC érettsége nem csupán technológiai kérdés. A valódi működési érettség három pilléren nyugszik:
- Üzleti illeszkedés (Business) – a SOC tudja, mit kell védenie.
- Emberi tényező (People) – a SOC rendelkezik a megfelelő kompetenciákkal.
- Folyamatérettség (Process) – a SOC következetesen, mérhetően működik.
Ha ezek közül bármelyik hiányzik, a SOC működése sérülékennyé válik — még akkor is, ha a technológia modern és a szolgáltatások széleskörűek.
(A következő, 3. részben a SOC-CMM Technology és Services domainjeit mutatjuk be, amelyek a SOC technikai képességeit és szolgáltatási portfólióját értékelik.)
A SOC CMM bemutatása után felmerülhet a kérdés: hol tart a saját szervezete a kiberbiztonsági érettség terén? Ahelyett azonban, hogy a SOC-CMM önértékeléssel töltené az időt, vegye igénybe az Andrews tapasztalatát a belső SOC-ja felmérése és fejlesztése kapcsán. Szakértőink a SOC CMM alapjain segítenek a felmérésben, a célmeghatározásban és a cselekvési terv kidolgozásában.
Amennyiben nincs belső SOC-ja, de érdekli a téma, és tisztán SaaS vagy hibrid modellben gondolkodik: ismerje meg az Andrews SOCaaS szolgáltatását, és tudja meg, hogyan támogathatja a szervezete biztonságát és megfelelését!