Vad ett outsourcat SOC faktiskt gör

Låt oss vara konkreta. Ett modernt outsourcat SOC utför betydligt mer än att titta på dashboards. Här är kärnfunktionerna:

Kontinuerlig övervakning och detektion

All säkerhetstelemetri — loggar från brandväggar, endpoints, molnplattformar, identitetslösningar — samlas in och korreleras i realtid. SIEM-plattformen (exempelvis Microsoft Sentinel, Splunk eller Elastic) identifierar avvikande mönster. XDR-lösningar (Extended Detection and Response) ger djupare korrelering över endpoints, nätverk och molnmiljöer.

Det avgörande är inte tekniken i sig, utan de analytiker som tolkar signalerna. En bra SOC-leverantör filtrerar bort bruset — falska positiver som annars dränker ett internt team — och eskalerar det som faktiskt kräver åtgärd.

Incidenthantering och respons

När ett verkligt hot identifieras aktiveras incidentprocessen. I en managed SOC-modell kan leverantören isolera en komprometterad endpoint, blockera en skadlig IP eller stänga av ett komprometterat användarkonto — ofta inom minuter. I en co-managed modell eskaleras incidenten till ert interna team med en rekommenderad åtgärdsplan.

Proaktiv hotjakt (Threat Hunting)

Utöver regelbaserad detektion genomför erfarna analytiker hypotesdriven hotjakt: de letar aktivt efter tecken på intrång som ännu inte utlöst en larmregel. Det kan handla om att undersöka ovanliga laterala rörelser i nätverket, analysera PowerShell-exekvering på servrar eller granska OAuth-behörigheter i Microsoft 365.

Hotintelligens och rapportering

SOC-leverantören aggregerar hotintelligens från branschflöden, myndigheter (CERT-SE, ENISA) och egen operativ erfarenhet. Ni får regelbundna rapporter om hotnivå, trender och rekommenderade åtgärder — underlag som ert ledningsteam behöver för informerade beslut.

SOC-modeller: Managed, co-managed och hybrid

Alla outsourcade SOC-upplägg är inte likadana. Valet av modell påverkar er kontrollnivå, kostnad och interna resursbehov.

Opsios rekommendation: Co-managed SOC är ofta den mest balanserade modellen för svenska företag med 200–2 000 anställda. Ni behåller strategisk kontroll och beslutsrätt, men slipper det operativa dygnet-runt-ansvaret. Vår erfarenhet från SOC/NOC-driften visar att denna modell ger snabbast mognad — ert interna team lär sig av leverantörens analytiker och bygger gradvis kompetens.

NIS2 och svensk reglering: Vad din SOC-leverantör måste klara

NIS2-direktivet, som träder i kraft genom svensk lagstiftning, ställer konkreta krav som direkt påverkar SOC-funktionen:

Incidentrapportering: Tidig varning till behörig myndighet inom 24 timmar, fullständig incidentrapport inom 72 timmar. Er SOC-leverantör måste ha processer och mallar för detta — det räcker inte med ett larm i ett ticketsystem.

Riskhantering: Dokumenterade processer för hantering av cybersäkerhetsrisker, inklusive incidenthantering, affärskontinuitet och leveranskedjesäkerhet.

Ledningsansvar: NIS2 lägger ansvar på ledningsnivå. Er SOC-leverantör måste kunna producera rapporter som ger styrelse och ledningsgrupp den insyn som krävs.

Utöver NIS2 gäller självklart GDPR — och Integritetsskyddsmyndigheten (IMY) har visat att man inte drar sig för att utfärda sanktioner. En SOC-leverantör som hanterar era loggar måste ha tydligt personuppgiftsbiträdesavtal, och data bör behandlas inom EU/EES.

Molnsäkerhet för svenska företag

Så utvärderar du en SOC-leverantör: Konkret checklista

Efter att ha hjälpt svenska organisationer migrera och säkra molnmiljöer ser vi samma misstag upprepas vid leverantörsval. Här är vad som faktiskt skiljer en bra SOC-partner från en medioker:

1. Teknisk plattform och integrationsförmåga

Fråga inte bara vilken SIEM leverantören använder — fråga hur de integrerar med er specifika miljö. Kör ni Azure med Microsoft 365? Då vill ni ha djup integration med Microsoft Sentinel och Defender. AWS-tunga? Kontrollera stöd för CloudTrail, GuardDuty och Security Hub. Hybridmiljö? Kräv att leverantören visar hur de korrelerar on-prem-loggar med molntelemetri.

2. Analytikerkompetens och bemanning

Be om anonymiserade CV:n för SOC-analytikerna. Kontrollera certifieringar (GIAC, OSCP, SC-200 för Microsoft-miljöer) men viktigare: fråga hur länge analytikerna i snitt stannar. En leverantör med hög personalomsättning ger er nya analytiker som inte känner er miljö.

3. Responstider och SLA

De viktigaste mätvärdena:

• MTTD (Mean Time to Detect): Genomsnittlig tid från att ett hot uppstår till att det identifieras. Kräv < 15 minuter för kritiska larm.
• MTTR (Mean Time to Respond): Tid från detektion till initial åtgärd. Kräv < 30 minuter för P1-incidenter.
• SLA för incidentrapportering: Måste matcha NIS2:s 24/72-timmars krav med marginal.

4. Datasuveränitet och regelefterlevnad

Var lagras och behandlas era loggar? Vilken jurisdiktion gäller? Kräv att data behandlas inom EU/EES — helst med SOC-personal i europeisk tidszon. Fråga efter SOC 2 Type II-rapport och ISO/IEC 27001-certifiering.

5. Transparens och exit-villkor

En seriös leverantör erbjuder:

• Tillgång till era egna loggdata i realtid
• Månatliga genomgångar med konkreta förbättringsförslag
• Tydliga exit-villkor inklusive överlämningsstöd
• Exporterbara detektionsregler och playbooks

Managerade molntjänster

Vanliga fallgropar vi ser från Opsios SOC/NOC

Vår operativa erfarenhet från dygnet-runt-drift i Karlstad och Bangalore ger oss insyn i vad som faktiskt går fel:

Överdrivet fokus på verktyg, för lite på process. Ett företag investerade i en avancerad XDR-plattform men hade inga dokumenterade incidentprocesser. Resultatet: analytikerna detekterade hotet men ingen visste vem som hade mandat att isolera den drabbade servern. Kritiska minuter gick förlorade.

Bristfällig loggkvalitet. SOC-leverantören kan bara analysera det ni skickar in. Vi ser regelbundet kunder som inte loggar DNS-queries, inte aktiverat audit-loggar i Microsoft 365, eller som filtrerar bort "onödiga" loggar för att spara lagringskostnad. Det är som att installera övervakningskameror men peka dem i taket.

Ingen övning av incidentprocessen. NIS2 kräver inte bara att ni har processer — de ska fungera under press. Kräv att er SOC-leverantör genomför tabletop-övningar minst kvartalsvis. En incidentprocess som aldrig testats är en process som inte fungerar.

Felaktig ansvarsfördelning. I co-managed-modeller uppstår ibland gråzoner: vem beslutar om att stänga av en VPN-tunnel klockan tre på natten? Dokumentera eskaleringsvägar och beslutsmandat innan ni behöver dem.

Managerad DevOps

Implementering: Från avtal till operativt SOC

En realistisk tidslinje för SOC-outsourcing ser ut så här:

Vecka 1–2: Scoping och avtal. Kartlägg er IT-miljö, identifiera datakällor, definiera SLA:er och ansvarsfördelning. Signera personuppgiftsbiträdesavtal och NDA.

Vecka 2–4: Teknisk integration. Koppla loggsändare, konfigurera SIEM-ingestion, verifiera att telemetri flödar korrekt. Stäm av med er nätverks- och infrastrukturteam.

Vecka 4–6: Tuning och baslinje. Leverantören lär sig er miljö, justerar detektionsregler och filtrerar falska positiver. Det här steget är kritiskt — en SOC som larmar på allting producerar alarm fatigue, inte säkerhet.

Vecka 6–10: Full operativ drift. Alla detektionsregler aktiva, incidentprocesser testade, rapporteringsflöden verifierade. Första tabletop-övningen genomförd.

Löpande: Kontinuerlig förbättring. Månatliga genomgångar, kvartalsvis uppdatering av hotmodell, årlig utvärdering av leverantörsrelationen.

Kostnadsanalys: Outsourcat vs. internt SOC

Låt oss vara ärliga med siffrorna. Kostnadsberäkningar varierar kraftigt, men här är en realistisk jämförelse för ett svenskt företag med 500 anställda:

Observera: Siffrorna är ungefärliga och baserade på vår erfarenhet av den svenska marknaden. Verklig kostnad varierar med miljöns komplexitet, antal datakällor och vald servicenivå.

Skillnaden är dramatisk, men outsourcing innebär inte noll internt arbete. Ni behöver fortfarande en intern kontaktperson (ofta en CISO eller IT-säkerhetsansvarig) som äger leverantörsrelationen och säkerställer att SOC-funktionen är alignad med verksamhetens riskaptit.

Cloud FinOps

Trender som formar SOC-outsourcing 2025–2026

AI-assisterad analys har gått från buzzword till produktionsverklighet. Moderna SOC-plattformar använder maskininlärning för att prioritera larm, identifiera mönster i stora datamängder och föreslå åtgärder. Det ersätter inte mänskliga analytiker, men det reducerar tiden de lägger på rutinuppgifter och förbättrar MTTD.

Konvergens mellan SOC och NOC. Gränsen mellan säkerhetsövervakning och infrastrukturövervakning suddas ut. En DDoS-attack är både ett säkerhetsproblem och ett tillgänglighetsproblem. Leverantörer som Opsio, med integrerat SOC och NOC, kan korrelera signaler från båda domänerna — vilket ger snabbare rotorsaksanalys.

Ökade krav på leveranskedjesäkerhet. NIS2 ställer explicita krav på leveranskedjesäkerhet. Er SOC-leverantör måste kunna visa hur de hanterar sina egna underleverantörer och vilka kontroller de har på plats.

Vanliga frågor

Vad kostar SOC-outsourcing för ett medelstort svenskt företag?

Kostnaden varierar kraftigt beroende på antal endpoints, datakällor och servicenivå. Räkna med 30 000–150 000 SEK/månad för ett medelstort företag med 200–1 000 anställda. Det är typiskt en tredjedel till hälften av vad ett internt SOC kostar i löner, verktyg och utbildning.

Hur snabbt kan ett outsourcat SOC vara operativt?

En etablerad leverantör kan nå initial operativ förmåga inom 2–4 veckor, med full integration av era datakällor inom 6–10 veckor. Jämför med 6–12 månader för att bygga ett internt SOC från grunden — rekrytering av analytiker tar ofta längst tid.

Uppfyller ett outsourcat SOC NIS2-kraven?

Ja, förutsatt att leverantören stödjer NIS2:s krav på incidentrapportering inom 24 timmar (tidig varning) och 72 timmar (fullständig rapport). Säkerställ att avtalet specificerar leverantörens ansvar för dokumentation, eskalering och samarbete med CERT-SE.

Vad är skillnaden mellan managed SOC och co-managed SOC?

I en managed-modell hanterar leverantören hela säkerhetsoperationen. Co-managed innebär att ert interna team behåller kontroll över exempelvis incidentbeslut och policyändringar, medan leverantören sköter övervakning och analys. Co-managed passar organisationer med viss befintlig säkerhetskompetens.

Kan vi byta SOC-leverantör utan att tappa skydd?

Ja, men det kräver planering. Kräv i avtalet att leverantören tillhandahåller överlämningsdokumentation, exporterbara detektionsregler och minst 30 dagars parallellkörning vid byte. Vendor lock-in uppstår främst kring proprietära SIEM-plattformar — fråga efter stöd för öppna format.

For hands-on delivery in India, see end-to-end drift.