Tietoturvavalvonta 24/h on vasta puolet työstä
SOC-tiimin näkemyksiä kyberturvapalveluista
Mitä jatkuvan tietoturvavalvonnan (SOC) lisäksi tarvitaan? Juuri tämä taso ratkaisee usein, tuottaako tietoturvapalvelu todellista lisäarvoa päivittäisessä toiminnassa.
Valvonnan ja ymmärtämisen välillä on ero. Monet tietoturvapalvelut, perinteisistä SOC-palveluista moderneihin MDR-ratkaisuihin, tyytyvät pelkästään valvontaan. Meidän mielestämme todellinen työ vasta alkaa siitä.
Kun yritykset arvioivat SOC-palvelua, keskustelu siirtyy usein nopeasti mitattaviin seikkoihin: havaitsemisaikaan, reagointiaikaan, kattavuuteen ja työkalujen määrään. Se on ymmärrettävää, ja näillä seikoilla on merkitystä. Mutta kun kysymme asiakkailtamme, mitä he arvostavat eniten palvelun käyttöönoton jälkeen, he mainitsevat harvoin numerot ensimmäisenä.
Se on neuvonta. Se on kokemus. Se, että on joku, joka tuntee alansa niin hyvin, että osaa antaa konkreettisia neuvoja, jotka todella auttavat.
Mitä tarjoamme turvallisuuden valvonnan lisäksi
Jatkuva tietoturvan valvonta on perusta. Sen on oltava käytössä, ja sen on toimittava. Mutta valvonta itsessään ei ole se, missä arvoa luodaan, se on se, mikä mahdollistaa arvon luomisen.
Hälytyksen välittäminen ei ole sama asia kuin riskien vähentäminen. Hallintapaneeli ei ole tietoturvapalvelu, eikä näkyvyys ole sama asia kuin puolustus. Ratkaisevaa on se, mitä näiden päälle rakennetaan:
- Tekninen syvyys jokaisessa päätöksessä, alustavasta luokittelusta tapahtuman käsittelyn päättämiseen asti
- Kokemus monenlaisissa ympäristöissä ja toimialoilla, vuosien aikana kertynyt osaaminen, ei vain muutaman koulutuspäivän aikana hankittu
- Neuvonta oikealla paikallaan, räätälöity kunkin yrityksen tarpeisiin, ei yleispätevä
Analyytikolle työ ei tarkoita pelkästään hälytyksen näkemistä. Kyse on siitä, että ymmärretään, mitä hälytys tarkoittaa juuri tässä ympäristössä ja juuri tämän asiakkaan kohdalla ja mikä on oikeasti oikea seuraava askel.
Kuukausittaiset kokoukset ja kaikki niiden välissä
Palveluun kuuluu säännölliset kuukausikokoukset. Niissä käymme läpi havainnot, trendit ja suositukset yhdessä asiakkaan kanssa ja nostamme tietoturvatilanteen taktisen tason tarkasteluun. Uhkaympäristö muuttuu kuitenkin nopeammin kuin kerran kuukaudessa.
Kun huomaamme jotain, josta asiakkaan mielestämme pitäisi olla tietoinen, esimerkiksi uuden haavoittuvuuden, joka koskee asiakkaan käyttämää teknologiaa, muutoksen asiakkaan toimialan uhkaympäristössä tai lokitiedoista löytyvän keskustelun arvoisen ilmiön, otamme yhteyttä. Emme tee sitä siksi, että järjestelmä olisi antanut hälytyksen, vaan koska tieto on hyödyllistä.
Juuri tämä jatkuva vuoropuhelu tekee turvallisuudesta asian, jonka parissa työskentelet, eikä pelkästään asian, jota vain valvotaan.
Jokaisella yrityksellä on oma toimintaympäristönsä
Yksi yleisimmistä väärinkäsityksistä SOC- ja MDR-palveluista (hallinnoitu havaitseminen ja reagointi) on, että ne toimisivat samalla tavalla kaikissa ympäristöissä. Näin ei ole. Tai tarkemmin sanottuna: niiden ei pitäisi toimia niin.
Vesilaitoksella ei ole samoja tietoturvahaasteita kuin rahoituspalveluyrityksellä. Julkisella virastolla ei ole samaa liikkumavaraa kuin yksityisellä vähittäiskauppaketjulla. Teollisuusyritys, jolla on OT-ympäristö, toimii täysin eri olosuhteissa kuin pelkkä toimistopohjainen yritys.
Jotta neuvonta olisi hyödyllistä, sen on lähdettävä siitä todellisuudesta, jossa asiakas tosiasiassa toimii. Tämä edellyttää useiden asioiden hyvää tuntemusta:
- Toimiala ja ala: mitkä uhat ovat todellisia ja mitkä sääntelyvaatimukset ovat voimassa?
- Infrastruktuuri: mistä ympäristö koostuu ja missä kriittiset riippuvuussuhteet sijaitsevat?
- Organisaatio: miten IT, tietoturva ja liiketoiminta liittyvät toisiinsa organisaation sisällä?
- Eräpäivä: kuinka pitkälle yritys on tällä hetkellä edennyt tietoturvatyössään?
Ilman tätä ymmärrystä neuvo jää yleisluontoiseksi. Kun tämä ymmärrys on olemassa, neuvo muuttuu merkitykselliseksi.
Meidän on myös ymmärrettävä teitä
Turvapalveluista puhuttaessa unohdetaan usein asiakas itse, ei pelkästään ympäristö, vaan myös yrityksen henkilöstö ja sen resurssit.
Hyvä neuvo ei välttämättä ole kaikkein edistynein neuvo. Se on neuvo, joka voidaan todella toteuttaa käytettävissä olevilla resursseilla ja joka vie yritystä askeleen eteenpäin nykytilanteesta.
Kun tiedämme, että IT-tiimi koostuu kolmesta henkilöstä, joilla on monia muita tehtäviä, suositus on yksi. Kun tiedämme, että käytössä on oma tietoturvatiimi, jolla on syvällistä asiantuntemusta, suositus on toinen. Molemmat vaihtoehdot voivat olla oikeita mutta eivät samalle asiakkaalle.
Kun tiedote julkaistaan
Juuri teknisen osaamisen, toimialan tuntemuksen, asiakastiedon ja käytännön toteutettavuuden risteyskohdassa kyberturvapalvelut muuttuvat pelkästä budjettikohdasta osaksi varsinaista tietoturvatyötä.
Uskomme, että juuri tässä palvelumme tuo suurimman lisäarvon. Ei niinkään näkyviin tulevissa hälytyksissä, vaan niiden jälkeisissä keskusteluissa ja päätöksissä, jotka tehdään siksi, että joku tuntee liiketoiminnan riittävän hyvin voidakseen antaa oikean neuvon oikeaan aikaan.
Katso, miten valvonta, konteksti ja neuvonta yhdistyvät yhdeksi operatiiviseksi tietoturvapalveluksi
Esittelemme sinulle SOC-portaalin sekä sen, miten tapahtumien hallinta ja tekninen vuoropuhelu yhdistyvät päivittäisessä toiminnassa ja miten neuvonta mukautuu toimialan, infrastruktuurin ja kypsyystason mukaan.
Ota yhteyttä tietoturva-arkkitehtiin alla olevan lomakkeen avulla.
→ NetNordic Cyber Defense Services · Kumppanisi kriittisen infrastruktuurin turvaamisessa
Sisällysluettelo
- SOC-tiimin näkemyksiä kyberturvapalveluista
- Mitä tarjoamme turvallisuuden valvonnan lisäksi
- Kuukausittaiset kokoukset ja kaikki niiden välissä
- Jokaisella yrityksellä on oma toimintaympäristönsä
- Meidän on myös ymmärrettävä teitä
- Kun tiedote julkaistaan
- Katso, miten valvonta, konteksti ja neuvonta yhdistyvät yhdeksi operatiiviseksi tietoturvapalveluksi
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Assumed Breach
Purduesta nykyaikaiseen OT-tietoturvaan: miksi perinteinen malli ei enää riitä
SOC-integraatio: mitä yrityksen liittäminen SOC-järjestelmään todella vaatii
NIS2-direktiivi: Kyberturvallisuus siirtyy IT-osastolta johtoryhmän pöydälle
Mitä johdon pitäisi ymmärtää verkon uusista uhista tekoälyaikana? Asiantuntijat kertovat