Intern SOC kontra managerad SOC: en ärlig jämförelse

Beslutet att bygga internt eller anlita en partner är sällan binärt. De flesta storföretag landar i en hybridmodell. Men det är värt att förstå avvägningarna.

Kostnadsspannen är indikativa och varierar kraftigt beroende på miljöns storlek och komplexitet.

Enligt Gartners rapporter om säkerhetsdrift har trenden mot managerade och hybridmodeller accelererat de senaste åren, drivet av den kroniska bristen på kvalificerade säkerhetsanalytiker. Det är inte en fråga om kapacitet i teorin utan om verkligheten att ett svenskt storföretag konkurrerar om samma talang som alla andra.

Managerad molnsäkerhet

Varför skräddarsydda detekteringsregler är icke-förhandlingsbara

Här kommer vi till kärnan i varför generiska managerade SOC-tjänster ofta underleverar.

Problemet med standardregler

Varje SIEM-plattform levereras med hundratals färdiga detekteringsregler. De fångar kända attackmönster — brute force-försök, kända malware-signaturer, uppenbar lateral movement. Men de missar det som verkligen hotar just ditt företag:

• Branschspecifika attackvektorer. En aktör som riktar in sig på svenska energibolag använder andra TTP:er (Tactics, Techniques, Procedures) än en som angriper e-handelsplattformar.
• Affärskritiska system. Standardregler vet inte att just den servern hanterar betalningsflöden och behöver en skarpare larmprofil.
• Normalt kontra onormalt beteende. Utan baslinjer för din specifika miljö genererar generiska regler antingen för många falska positiva (larmtrötthet) eller för få larm (missade hot).

Hur anpassning fungerar i praktiken

På Opsio börjar varje SOC-engagement med en upptäcktsfas på 2–4 veckor där vi kartlägger:

1. Kritiska tillgångar — vilka system, data och processer som verksamheten inte klarar sig utan.

2. Hotmodell — vilka aktörer och attacktyper som är mest relevanta baserat på bransch, geografi och befintlig exponering.

3. Datakällor — vilka loggar och telemetri som faktiskt finns tillgängliga och vilka luckor som behöver täppas till.

4. Eskaleringsvägar — vem som ska kontaktas, när, och med vilken information beroende på incidentens allvarlighetsgrad.

Resultatet är ett bibliotek av anpassade detekteringsregler och dokumenterade runbooks som våra analytiker följer. Dessa revideras kvartalsvis baserat på nya hotintelligens och förändringar i din miljö.

NIS2 och regulatoriska krav: vad din SOC-partner måste leverera

NIS2-direktivet, som ska vara implementerat i EU:s medlemsländer, ställer tydliga krav som direkt påverkar hur en managerad SOC ska fungera:

• Incidentrapportering inom 24 timmar (tidig varning) och fullständig rapport inom 72 timmar till berörd CSIRT eller tillsynsmyndighet.
• Dokumenterad riskhantering inklusive leverantörskedjesäkerhet — vilket betyder att din SOC-leverantör själv måste uppfylla höga krav.
• Ledningsansvar — styrelse och ledning kan hållas personligt ansvariga för bristande cybersäkerhet.

För svenska organisationer innebär detta att Integritetsskyddsmyndigheten (IMY) och sektorsspecifika tillsynsmyndigheter kommer att granska säkerhetsförmågor mer ingående. En managerad SOC-partner bör kunna visa:

• ISO/IEC 27001-certifiering eller likvärdigt ramverk.
• SOC 2 Type II-rapporter som bevisar att kontroller fungerar över tid.
• Tydliga avtal om datahantering, residens (var loggar lagras) och jurisdiktion.
• Bevisad förmåga att leverera de rapporter och tidsstämplar som NIS2 kräver.

GDPR är fortsatt centralt — särskilt Schrems II-problematiken kring dataöverföring till tredjeland. En SOC som lagrar säkerhetsloggar i en amerikansk molnregion utan adequate skyddsmekanismer skapar en regulatorisk risk som kan bli kostsam.

Molnsäkerhet och efterlevnad

Teknikstack: vad som faktiskt krävs under huven

En trovärdig managerad SOC-tjänst vilar på en teknikstack som hanterar hela livscykeln från datainsamling till automatiserad respons.

SIEM — navet i operationen

SIEM-plattformen samlar in, normaliserar och korrelerar loggar. Valet av SIEM påverkar direkt kostnad och kapacitet:

• Microsoft Sentinel — naturligt val för Azure-tunga miljöer, med native integrationer mot Microsoft 365 och Defender-sviten.
• Splunk — mogen plattform med stark korrelationsmotor men kan bli kostsam vid höga datamängder.
• Elastic Security — open source-baserad med god flexibilitet och lägre licensiering.
• Google Chronicle (SecOps) — intressant alternativ med Googles skalningskapacitet och fast prissättning.

SOAR — automatisering som minskar responstider

Security Orchestration, Automation and Response (SOAR) automatiserar repetitiva uppgifter som berikande av larm med hotintelligens, isolering av komprometterade endpoints och skapande av incidentärenden. I Opsios SOC använder vi SOAR-playbooks för att minska genomsnittlig responstid (MTTR) från timmar till minuter för vanliga incidenttyper.

EDR/XDR — synlighet på endpoint-nivå

Utan telemetri från endpoints är SOC-teamet blint för en stor del av attackytan. Extended Detection and Response (XDR) utökar synligheten till nätverk, moln och identitet i en samlad vy.

Hotintelligens-flöden

En managerad SOC som enbart förlitar sig på publika hotflöden missar den strategiska dimensionen. Vi kombinerar:

• Öppna källor (OSINT): MISP, OTX, Abuse.ch
• Kommersiella flöden med branschspecifik täckning
• Intern intelligens från observationer i vår egen kundbas (anonymiserad och aggregerad)

Så utvärderar du en managerad SOC-partner

Marknaden svämmar över av leverantörer som kallar sig "managerad SOC". Här är de frågor som faktiskt skiljer agnarna från vetet:

1. Hur anpassar ni detekteringsregler per kund? Om svaret är "vi kör standardregler" — gå vidare.

2. Var sitter era analytiker och vilken kompetensnivå har de? Kräv insyn i team-struktur, certifieringar och personalomsättning.

3. Hur hanterar ni falska positiva? Be om konkreta siffror på larmvolym och falsk-positiv-andel.

4. Vilka SLA:er gäller för detektering och respons? Viktiga mått är MTTD (Mean Time to Detect) och MTTR (Mean Time to Respond). Kräv kontrakterade nivåer, inte bara mål.

5. Hur säkerställer ni efterlevnad av NIS2 och GDPR? Certifieringar, dataresidensgarantier och revisionsrapporter ska vara tillgängliga.

6. Vad händer vid kontraktsavslut? Kunskapsöverföring, dataexport och övergångsperiod bör vara reglerade från start.

Managerade molntjänster

Hybridmodellen: varför den vinner i praktiken

De mest framgångsrika SOC-implementationerna vi genomför på Opsio följer en hybridmodell:

• Opsios SOC hanterar 24/7-övervakning, triage och första respons. Vårt team i Karlstad och Bangalore säkerställer dygnet-runt-täckning utan nattskift som sliter ut personalen.
• Kundens interna team behåller strategiskt ansvar, djup verksamhetskunskap och beslutsrätt vid allvarliga incidenter.
• Gemensamma runbooks definierar exakt var ansvaret övergår, med vilken information och inom vilken tidsram.

Den här modellen ger storföretag det bästa av två världar: extern expertis och skalbarhet kombinerat med intern kontroll och verksamhetsförståelse.

Managerad DevOps och säkerhet

Så kommer du igång

Att implementera en skräddarsydd managerad SOC-tjänst behöver inte vara ett årslångt projekt. Med rätt partner och en strukturerad approach ser tidplanen ut så här:

• Vecka 1–2: Workshop för att kartlägga kritiska tillgångar, hotmodell och befintliga datakällor.
• Vecka 3–4: Teknisk integration — SIEM-anslutning av prioriterade loggkällor, EDR-deployment om det saknas.
• Vecka 5–8: Finjustering av detekteringsregler, baslinjering av normalt beteende, dokumentation av runbooks.
• Vecka 9–12: Full operativ drift med löpande optimering och första kvartalsrevision.

Det viktigaste steget är det första: en ärlig kartläggning av var ni står. Inte var ni vill vara, utan var ni faktiskt befinner er. Därifrån bygger vi den SOC-tjänst som ger ert företag verkligt skydd — inte bara ett bockat krav i en checklista.

Vanliga frågor

Vad är skillnaden mellan en intern SOC och en managerad SOC?

En intern SOC bemannas och driftas helt av organisationen själv, medan en managerad SOC levereras av en extern partner. Den managerade varianten ger snabbare uppskalning, tillgång till bredare hotintelligens och dygnet-runt-bemanning utan rekryteringsutmaningar — men kräver tydliga gränssnitt och ansvarsfördelning med interna team.

Hur påverkar NIS2-direktivet kraven på SOC-tjänster?

NIS2 ställer krav på att väsentliga och viktiga entiteter rapporterar säkerhetsincidenter inom 24 timmar och lämnar en fullständig rapport inom 72 timmar. Det kräver dokumenterade processer för incidenthantering, riskanalys och leverantörskedjesäkerhet — alla områden där en managerad SOC-partner kan bidra direkt.

Kan en managerad SOC hantera både moln- och on-prem-miljöer?

Ja, en modern managerad SOC bör integrera loggar och telemetri från samtliga miljöer — AWS, Azure, Google Cloud och lokala datacenter. Det centrala är en SIEM/SOAR-plattform som korrelerar händelser oavsett källa, så att analytikerna får en samlad bild av hotlandskapet.

Hur lång tid tar det att driftsätta en managerad SOC-tjänst?

Grundläggande övervakning kan vara på plats inom 2–4 veckor. En fullt skräddarsydd implementation med anpassade detekteringsregler, integrationer och dokumenterade runbooks tar typiskt 8–12 veckor, beroende på miljöns komplexitet och antal datakällor.

Vad kostar en managerad SOC-tjänst jämfört med att bygga en egen?

Att bygga en intern SOC med 24/7-bemanning kräver minst 8–12 analytiker plus infrastruktur och licensiering. Totalkostnaden överstiger ofta 10–15 MSEK per år. En managerad SOC delar dessa resurser över flera kunder och landar typiskt på en bråkdel av den summan, med snabbare time-to-value.