Elke Zuid-Afrikaanse CISO staat op een gegeven moment voor dezelfde vraag: moeten we ons eigen Security Operations Centre opbouwen, uitbesteden aan een MSSP, of een hybride middenweg vinden? Het antwoord is minder eenvoudig dan beide kampen toegeven.
Door Neil Beulecke, Managing Director — Layer7 Networking
De Cijfers, Eerlijk Gezegd
Laten we beginnen met wat een intern SOC daadwerkelijk kost in Zuid-Afrika in 2026.
Een minimaal levensvatbaar 24/7 SOC vereist minstens acht analisten om drie shifts met redundantie te dekken, plus een SOC-manager en een threat intelligence-analist. Tegen de huidige Zuid-Afrikaanse markttarieven kijkt u naar:
- 8 x SOC-analisten (L1/L2): R450.000 - R750.000 elk per jaar
- 2 x Senior Analisten (L3): R850.000 - R1.200.000 elk
- 1 x SOC-manager: R1.000.000 - R1.500.000
- 1 x Threat Intelligence-analist: R750.000 - R1.100.000
Dat is R7,5 - R12,5 miljoen alleen aan salarissen — voordat u SIEM-licenties (R1,5 - R4 miljoen), SOAR-tooling, threat intelligence-feeds, training en de fysieke of virtuele infrastructuur erbij optelt. De realistische volledig belaste kosten voor een intern SOC bedragen R12 - R20 miljoen per jaar.
En dat is als u daadwerkelijk kunt aannemen. Het tekort aan cybersecurity-vaardigheden in Zuid-Afrika is goed gedocumenteerd — we hebben ongeveer 12.000 gekwalificeerde cybersecurity-professionals tegenover een geschatte vraag van 40.000+. Uw analisten worden voortdurend weggerekruteerd, en elk vertrek kost zes maanden productiviteit.
Wanneer Intern Opbouwen
Ondanks de kosten is een intern SOC in specifieke omstandigheden zinvol:
Sterk gereguleerde sectoren waar regelgevende vereisten directe controle over beveiligingsoperaties voorschrijven — bepaalde vereisten uit de bank- en financiële dienstverlening vallen in deze categorie.
Organisaties met unieke dreigingsprofielen die diepgaande, gespecialiseerde kennis van propriëtaire systemen vereisen. Mijnbouwoperaties met complexe OT-omgevingen hebben bijvoorbeeld analisten nodig die SCADA-protocollen grondig begrijpen.
Zeer grote organisaties (5.000+ medewerkers) waarbij de kosten per gebruiker van een intern SOC de kosten van uitbesteding benaderen, en de organisatie de merkbekendheid heeft om talent aan te trekken en te behouden.
Wanneer Uitbesteden
Uitbesteding aan een managed security services provider is zinvol wanneer:
Snelheid van implementatie telt. Een MSSP kan u binnen weken monitoren. Het opbouwen van een intern SOC duurt 12-18 maanden om operationele volwassenheid te bereiken. Als u een onmiddellijke compliance-deadline heeft of recent een incident heeft meegemaakt, koopt uitbesteding u tijd.
Budgetbeperkingen zijn reëel. Een managed SOC-dienst kost doorgaans R150.000 - R400.000 per maand, afhankelijk van de scope — aanzienlijk minder dan het interne alternatief voor de meeste middelgrote organisaties.
Uw kernactiviteit is geen cybersecurity. Een winkelketen, een logistiek bedrijf, een productiebedrijf — hun concurrentievoordeel ligt niet in beveiligingsoperaties. Uitbesteding maakt managementaandacht vrij voor kernactiviteiten.
Het Hybride Model
De meest effectieve aanpak voor de meeste Zuid-Afrikaanse organisaties is een hybride model, en dit is wat we steeds vaker aanbevelen:
Intern: Governance, risico en strategische beveiliging. Behoud uw CISO, uw beveiligingsarchitect en een klein team gericht op beleid, risicobeoordeling, leveranciersbeheer en strategische richting. Deze rollen vereisen diepgaande organisatiekennis die een MSSP niet kan repliceren.
Extern: Operationele beveiligingsmonitoring en -respons. Laat een specialist de 24/7 routine van loganalyse, alerttriage, threat hunting en incidentrespons afhandelen. Zij hebben de schaal, de tools en de talentpijplijn om dit efficiënt te doen.
Gedeeld: Incidentrespons en threat intelligence. Grote incidenten vereisen samenwerking tussen het interne team (dat de bedrijfscontext begrijpt) en het externe SOC (dat de technische diepgang en 24/7 dekking heeft). Gezamenlijke runbooks en regelmatige oefeningen houden deze interface soepel.
Vragen voor Uw MSSP
Als u managed SOC-providers evalueert, scheiden deze vragen de serieuze van de marketing:
- Wat is uw analist-naar-klant-ratio? Alles boven 1:15 betekent dat uw alerts concurreren om aandacht met te veel andere klanten.
- Waar bevinden uw analisten zich? Tijdzone-afstemming is belangrijk voor incidentrespons. Een SOC op een ander halfrond introduceert communicatievertraging op het slechtst mogelijke moment.
- Wat is uw gemiddelde detectietijd en gemiddelde responstijd? Vraag contractuele SLA's, geen marketingcijfers. En vraag hoe ze deze metrics meten.
- Hoe gaat u om met false positives? Een SOC dat elk alert doorstuurt naar uw team levert geen dienst — het levert ruis. Vraag naar hun tuningproces en false positive-percentage.
- Kan ik uw incidentrapporten van het afgelopen kwartaal zien? Geanonimiseerd, uiteraard. Maar de kwaliteit en diepgang van hun rapportage zegt alles over hun analytisch vermogen.
De Conclusie
Er is geen universeel correct antwoord op bouwen versus kopen. Maar er is wel een fout antwoord: geen van beide doen. Opereren zonder continue beveiligingsmonitoring in 2026 is geen risicoacceptatie — het is nalatigheid. Of u nu bouwt, koopt of combineert, zorg voor dekking. Het dreigingslandschap wacht niet op budgetgoedkeuringscycli.
Layer7 Networking levert managed security services afgestemd op de Zuid-Afrikaanse markt. We zijn niet de goedkoopste optie — we zijn degene die om 2 uur 's nachts op zondag de telefoon opneemt wanneer u te maken heeft met ransomware.