Toen netwerken steeds complexer werden in de tweede helft van de twintigste eeuw, kregen ze vaker geavanceerdere monitoring en ruimtes om het netwerk te beheren. In de basis bestaat zo'n Network Operations Center (NOC) om de beschikbaarheid van het netwerk te garanderen, terwijl een Security Operations center (SOC) zich richt op de beveiliging van de omgeving. Ze hebben daarom enkele overlappende functies, maar er zijn ook duidelijke verschillen.

Overlap van de twee

De overlap zit hem duidelijk in de monitoring: beide centra houden het netwerk in de gaten en doen bijvoorbeeld aan packetinspectie. Aan de buitenkant lijken de twee daarom ook op elkaar: een centrum met veel schermen met bijvoorbeeld grafieken over netwerkverkeer en een lijst met incidenten en hun prioriteiten.

Een NOC zal uiteraard rekening houden met beveiligingsdreigingen bij zulke monitoring, maar een SOC kijkt andersom minder naar issues die te maken hebben met reguliere netwerkuitval. Dat onderstreept dat een SOC in de meeste organisaties onderdeel uitmaakt van een NOC: de werkzaamheden en doelen zijn anders, maar beide richten zich grotendeels op dezelfde broninformatie.

Verschil tussen de twee

Een voornaam verschil tussen de twee is de expertise van leden van een NOC versus leden van een SOC. In het eerstgenoemde geval heb je te maken met netwerkbeheerders en in die hoedanigheid zijn ze beter bekend met netwerkspecifieke issues met betrekking tot de beschikbaarheid zoals congestie, routering, koppelingen naar databases, poortconfiguraties et cetera. Medewerkers van een SOC hebben veel van die kennis ook, maar kijken er met een andere lens naar.

Een ander verschil is het proces. De tickets van een NOC gaan over incidenten en wijzigingen met als voornaamste doel de uptime van de omgeving te garanderen: hoe zijn deze issues van invloed op de beschikbaarheid? Bij een SOC draait het om informatiebeveiliging: zijn de assets veilig en blijft zakelijke data veilig binnen het netwerk?

Wat is de rol van een NOC/SOC?

Met andere woorden, een SOC komt meestal niet in plaats van een NOC, maar is een aanvulling of onderdeel ervan. Een SOC kan het werk van een NOC niet overnemen. Het is een apart deelproces dat tegenwoordig meer aandacht krijgt dan vroeger, omdat organisaties beseffen dat beveiliging geen doel is, maar een continu proces. Andersom zou een NOC het werk van een SOC om die reden niet moeten doen, vanwege de specifieke expertise en aandacht die informatiebeveiliging eisen.