Varför egna SOC-team inte räcker — och vad statistiken visar

Att bygga ett eget Security Operations Center med dygnet-runt-bemanning kräver minst 8–12 heltidsanställda säkerhetsanalytiker (för att täcka skift, semester och sjukfrånvaro), plus verktyg, licenser och kontinuerlig kompetensutveckling. Enligt Flexeras State of the Cloud har organisationer konsekvent rapporterat att kompetensbristen inom molnsäkerhet är en av de mest akuta utmaningarna — och den trenden har inte vänt.

Gartners analysramverk för säkerhetstjänster visar att medelstora organisationer som outsourcar säkerhetsövervakning får snabbare detektionstider och lägre total ägandekostnad jämfört med de som försöker bygga allt själva. Det stämmer väl med vad vi ser i praktiken.

Den svenska kontexten: NIS2 och IMY

NIS2-direktivet, som trädde i kraft i EU 2024, ställer explicita krav på:

• Incidentrapportering inom 24 timmar till behörig myndighet
• Dokumenterade processer för riskhantering och incidenthantering
• Leveranskedjekontroll — du ansvarar även för dina underleverantörers säkerhet

Integritetsskyddsmyndigheten (IMY) har dessutom skärpt sin tillsyn av GDPR-efterlevnad, med fokus på tekniska skyddsåtgärder. En MSS-partner ger dig den dokumentation och de processer som behövs vid en granskning.

---

Kärnfunktioner att kräva av en MSS-leverantör

Inte alla MSS-erbjudanden är likvärdiga. Här är vad som skiljer en mogen tjänst från en som bara säljer larm:

Realtidsövervakning kontra reaktiv logganalys

Den vanligaste bristen vi ser hos organisationer som "redan har säkerhet" är att de har verktyg — men ingen som tittar. Ett SIEM som samlar loggar utan att någon agerar på larmen är en dyr loggdatabas, inte en säkerhetslösning.

Opsios SOC bemannas dygnet runt av analytiker som arbetar i skift mellan Karlstad och Bangalore. Det innebär att ett larm klockan 03:17 svensk tid analyseras av en vaken människa — inte av en on-call-ingenjör som vaknar av sin telefon.

Molnsäkerhet

---

Sårbarhetsskanning och patchhantering i praktiken

Sårbarhetsskanning låter enkelt men kräver kontextuell prioritering. En kritisk CVE i en internetexponerad tjänst är inte samma sak som samma CVE på en intern testserver bakom tre brandväggar.

Så här arbetar vi:

1. Kontinuerlig skanning av alla endpoints, molnresurser och containerbaserade arbetsbelastningar.

2. Riskbaserad prioritering som väger CVE-allvarlighetsgrad mot faktisk exponering, affärskritikalitet och tillgänglighet av exploits i det vilda.

3. Automatiserad patchning med godkännandeflöde — kritiska patchar inom 24 timmar, övriga enligt överenskommet schema.

4. Verifiering efter patchning: ny skanning bekräftar att sårbarheten faktiskt är åtgärdad.

Patchhantering i molnmiljöer (AWS, Azure, GCP) kräver dessutom förståelse för shared responsibility-modellen. Molnleverantören ansvarar för infrastrukturen, men du ansvarar för OS-patchar, applikationsberoenden och konfiguration. Det är just den gränsdragningen som en MSS-partner hanterar.

Managerad DevOps

---

Incidenthantering: processen som avgör skadans storlek

När en incident väl inträffar handlar allt om tid. Skillnaden mellan en isolerad kompromiss och en fullskalig ransomware-attack är ofta minuter, inte timmar.

Opsios incidenthanteringsprocess

1. Detektion och triage (0–15 min). SOC-analytiker bekräftar att larmet är en verklig incident, klassificerar allvarlighetsgrad och påbörjar dokumentation.

2. Containment (15–60 min). Isolering av påverkade system — nätverkssegmentering, blockering av skadliga IP-adresser, inaktivering av komprometterade konton.

3. Utredning (1–24 h). Forensisk analys för att fastställa attackvektor, omfattning och potentiell dataexponering.

4. Eradikering och återställning. Borttagning av skadlig kod, återställning från verifierade backuper, härdning av angripna system.

5. Rapportering och lessons learned. Detaljerad incidentrapport som uppfyller NIS2-kraven, plus rekommendationer för att förhindra upprepning.

---

Regelefterlevnad: MSS som enabler, inte quick fix

En vanlig missuppfattning är att en MSS-partner "löser compliance". Det stämmer inte helt. NIS2, GDPR, ISO/IEC 27001 och SOC 2 kräver alla att organisationen tar ansvar för styrning och riskbedömning. Men en MSS-partner levererar de tekniska kontrollerna och den dokumentation som krävs för att uppfylla kraven.

Konkret hjälper MSS med:

• Kontinuerlig övervakning — ett explicit krav i NIS2 och ISO 27001 Annex A
• Incidentrapportering — NIS2 kräver initial notifiering inom 24 timmar och fullständig rapport inom 72 timmar
• Åtkomstkontroll och loggning — GDPR artikel 32 kräver "lämpliga tekniska åtgärder"
• Revisionsunderlag — samlade loggar och incidentrapporter som auditor kan verifiera

Cloud FinOps

---

Så väljer du rätt MSS-partner: fem avgörande frågor

1. Var sitter ert SOC, och hur bemannas det? Kräv transparens om skiftmodell, antal analytiker och eskaleringsnivåer. Ett "24/7-SOC" som i praktiken är en on-call-telefon räknas inte.

2. Vilka SLA:er erbjuder ni på responstid? Acceptera inte vaga formuleringar. Kräv definierad tid till första respons, tid till containment och tid till fullständig rapport.

3. Hur hanterar ni vår molnleverantörs shared responsibility-modell? En partner som inte kan förklara gränsdragningen mellan AWS/Azure/GCP:s ansvar och ditt ansvar förstår inte molnsäkerhet.

4. Kan ni visa referensfall inom vår bransch och vårt regelverk? Erfarenhet av NIS2, GDPR och svenska datalagringskrav är inte förhandlingsbart för svenska organisationer.

5. Hur integrerar ni med vår befintliga verktygsstapel? Undvik leverantörsinlåsning. En bra MSS-partner arbetar med din SIEM, din EDR och din molnplattform.

Molnmigrering

---

Opsios perspektiv: vad vi ser i produktion

Vi driver SOC/NOC med team i Karlstad och Bangalore, vilket ger oss faktisk dygnet-runt-bemanning utan att förlita oss på jourtjänst. Några mönster vi observerar:

• De flesta incidenter börjar med felkonfiguration, inte sofistikerade attacker. Öppna S3-buckets, publika RDP-portar och överdimensionerade IAM-policyer är fortfarande de vanligaste ingångsvägarna.
• Patcheftersläpning är den tysta risken. Organisationer som "planerar att patcha nästa sprint" har ofta 90+ dagar gamla kritiska sårbarheter exponerade mot internet.
• Compliance-arbete utan teknisk substans faller vid granskning. Vi ser organisationer med perfekta policydokument men ingen faktisk loggövervakning. IMY och NIS2-tillsynsmyndigheter letar efter bevis, inte bara papper.

---

Vanliga frågor

Vad är skillnaden mellan MSS och MDR?

MSS (Managed Security Services) är det bredare begreppet och täcker övervakning, logghantering, regelefterlevnad och patchhantering. MDR (Managed Detection and Response) är en delmängd som fokuserar specifikt på hotdetektion och aktiv incidentrespons. En mogen MSS-leverantör inkluderar MDR-kapacitet, men lägger till governance, compliance-rapportering och proaktiv sårbarhetsskanning.

Hur snabbt kan en MSS-leverantör reagera på en säkerhetsincident?

Opsios SOC har ett SLA på 15 minuter till första respons vid kritiska larm. Det innebär att en analytiker har bekräftat händelsen och påbörjat triage. Fullständig containment beror på incidentens komplexitet, men målet är alltid att isolera hotet innan lateral rörelse sker — typiskt inom 30–60 minuter.

Uppfyller managerade säkerhetstjänster kraven i NIS2?

En MSS-partner täcker flera NIS2-krav: kontinuerlig övervakning, incidentrapportering inom 24 timmar, sårbarhetsskanning och dokumenterade processer. Men NIS2 kräver också att organisationen själv tar ansvar för governance och riskanalys. MSS är en viktig pusselbit — inte en komplett lösning i sig.

Vad kostar managerade säkerhetstjänster för ett medelstort företag?

Kostnaden varierar kraftigt beroende på antal endpoints, molnmiljöer och SLA-nivå. Som riktmärke ligger en MSS-tjänst med 24/7-SOC för 200–500 endpoints på mellan 40 000 och 120 000 SEK per månad — en bråkdel av vad det kostar att bemanna ett eget SOC med skiftgång.

Kan vi behålla vår befintliga SIEM och ändå använda MSS?

Ja. En bra MSS-partner integrerar med din befintliga SIEM — oavsett om det är Splunk, Microsoft Sentinel, Elastic eller en annan plattform. Opsio arbetar leverantörsagnostiskt och kopplar in sig i det du redan har, snarare än att tvinga fram ett byte.