Modern SOC-serie – Efterlevnad: en grundpelare i modern säkerhetsverksamhet (4/4)

Läs tidigare blogginlägg i serien: Läs blog #1,  blog #2  and blog #3 av den modern SOC-serien.

Vi har kommit långt på vår resa genom det moderna SOC. Vi har undersökt hur AI stärker analytiker, hur äldre modeller omformas från grunden och hur External Attack Surface Management (EASM) ökar synligheten. Men ingen utveckling av SOC skulle vara komplett utan att ta itu med det som kanske är dess mest underskattade pelare: efterlevnad.

För att fördjupa oss i den roll som efterlevnad spelar för att forma morgondagens SOC, ger vår expert Markus Thiel, Senior Business Development Manager på Orange Cyberdefense, sin syn på hur man kan översätta regelverk till operativ verklighet.

Kraven på regelefterlevnad ökar och SOC:er står i fokus

Enligt Markus har regleringspressen ökat i takt med hotbilden. ”Särskilt inom EU har hybridhot och riktade attacker gjort att tillsynsmyndigheter granskar organisationers verksamhet och försvar mer noggrant, framför allt inom kritiska sektorer”, förklarar han.

En viktig förändring är att SOC inte längre ses som enbart tekniska responsenheter. De förväntas nu anpassa sig till risker och styrningsstrukturer på företagsnivå och spela en viktig roll i tre-linjemodellen för försvar.

Den äldre SOC-arkitekturen är inte byggd för detta.

Traditionella SOC:er tenderar att fokusera på detektering och incidenthantering – tekniskt, reaktivt och ofta isolerat. Men dagens regelverk (som DORA och NIS2) kräver mer än tekniska åtgärder: de kräver affärsfokus, påvisbar effektivitet, spårbarhet och kontinuerlig förbättring.

Markus påpekar att äldre SOC ofta inte uppfyller dessa förväntningar eftersom de arbetar isolerat: ”Målet är resiliens. Det kan man inte uppnå med en rent reaktiv organisation – och definitivt inte utan ett starkt samarbete och tydligt definierade ansvarsområden.”

Loggning av aktiviteter, spårbarhet och revisionsberedskap: bevisfaktorn

När det gäller efterlevnad räcker det inte att bara reagera: ni måste kunna bevisa hur och varför ni agerade. ”Korrekt loggning och spårbarhet innebär att varje åtgärd grundar sig på element i policypyramiden och dokumenteras i enlighet därmed”, förklarar Markus.

Detta omfattar inte bara grundläggande händelse- eller varningsinformation. Ännu viktigare är att arbetsflödesinnehållet inkluderas – till exempel resultaten av avancerade analyser och den faktiska påverkan på specifika affärsprocesser och resultat. Enligt DORA definieras till exempel specifika attribut för incidentrapportering uttryckligen i nivå 3-dokument, och organisationer måste kunna visa – och regelbundet testa – sin förmåga att leverera dessa i tid.

Markus lyfter fram en potentiell blind fläck: ”Kan ledningen integreras effektivt i godkännandeprocessen för incidentrapporter till tillsynsmyndigheter? Det är en potentiell bristpunkt. Jag rekommenderar att man intar rollen som tillsynsperson och besvarar dessa frågor med en sund portion ödmjukhet.”

Det moderna SOC måste inte bara upptäcka hot utan också fungera som en compliance-motor som möjliggör spårbarhet och anpassar responstiderna till kraven på rapportering till myndigheter.

Automatisering och rapportering: effektivisering av bevisbördan

Det finns inga regler eller regelverk som föreskriver specifika verktyg, men det finns förväntningar på prestanda. Och det är här automatisering kommer till sin rätt. Enligt Markus kan automatiserings- och rapporteringsplattformar bidra med kontinuerlig KPI-dokumentation, snabbare incidenthantering och respons samt högre kvalitet på insamlad bevisning. Om ett av de interna målen till exempel är att minska MTTR (Mean Time to Respond) för kritiska eller viktiga tjänster till under fyra timmar, kan SOAR-teknik hjälpa er att nå dit och följa framstegen längs vägen.

”Verktyg ersätter inte ansvar”, säger Markus, ”men de hjälper er att bevisa att ni uppnår era mål.”

Efterlevnad kontra säkerhet: en stark allians

Finns det en risk för att efterlevnad prioriteras framför säkerhet, och hur kan SOC:er hitta rätt balans?

Markus är tydlig: ”Jag ser ingen risk för att efterlevnad prioriteras framför säkerhet. Tvärtom – efterlevnad hjälper till att optimera säkerheten på ett riskbaserat och mätbart sätt.”

I stället för att se efterlevnad och säkerhet som konkurrerande prioriteringar måste moderna SOC positionera sig som strategiska samarbetspartner inom ett bredare affärssammanhang.

Nya tekniker som AI medför nya risker. Markus varnar för att alla organisationer som använder AI har ett ansvar att säkerställa spårbarhet och visa hur dessa system utvecklas, testas och övervakas.

Slutsatsen är att god efterlevnad inte försvagar säkerheten, utan grundar den i affärsrisker och ansvarsskyldighet.

Slutligt råd: bygg först grunden

Om ni vill modernisera er SOC har Markus ett tydligt budskap: börja med kompetent personal, sedan mogna processer och slutligen toppmodern teknik.

”Teknik går att byta ut”, säger han. ”Det viktigaste är den mellanmänskliga och organisatoriska ramen som gör det möjligt för SOC att stödja verkliga affärsmål.” Hans tillvägagångssätt:

1. Säkerställ fullt stöd från ledningen
2. Upprätta ett styrningsramverk (t.ex. RACI-matris)
3. Definiera tydliga riktlinjer och effektiva arbetsflöden baserade på lagkrav
4. Använd en steg-för-steg-plan med milstolpar för att bygga upp mognaden över tid

Det här är inte bara teori: det är grunden för den kontinuerliga förbättring som moderna regelverk kräver.

Our experts can help you assess, align, and elevate your security operations, from DORA and NIS2 readiness to building a resilient, audit-ready SOC.