Een SOC team samenstellen is een van de meest strategische beslissingen die een CTO kan nemen. Het klinkt rechttoe rechtaan: je huurt een paar securityanalisten in, zet een SIEM-platform neer en je hebt een Security Operations Center. Maar de praktijk is weerbarstiger. Welke rollen huur je eerst in? Hoeveel mensen heb je nodig voor 24/7 dekking? En waarom mislukken zoveel eerste SOC-initiatieven binnen twee jaar? Dit artikel is een praktische gids voor CTO’s die hun eerste SOC team samenstellen. Geen theorie, maar een concreet draaiboek op basis van hoe succesvolle SOC-teams in Nederland functioneren. Met inzichten van het NCSC en internationale best practices.
Begin met de missie, niet met de vacatures
De eerste fout die organisaties maken bij het SOC team samenstellen is beginnen met het plaatsen van vacatures voordat de missie helder is. Wat moet je SOC precies doen? Alleen monitoren en alerts doorgeven? Of ook actief dreigingen jagen, incidenten afhandelen en detectieregels schrijven? Het antwoord op die vraag bepaalt alles: de rollen die je nodig hebt, het budget dat je moet reserveren en de tooling die je aanschaft.
Een SOC zonder heldere missie wordt een alert-fabriek. Analisten verwerken honderden meldingen per dag zonder te weten welke alerts ertoe doen en welke ruis zijn. Dat leidt tot frustratie, hoog verloop en een vals gevoel van veiligheid. Bepaal dus eerst wat je SOC moet opleveren. Is het doel snellere detectie? Lagere Mean Time to Respond? Of aansluiting bij frameworks zoals het NIST Cybersecurity Framework? Die keuze is de fundering waarop je je SOC team samenstellen kunt baseren.
Het tiermodel: tier 1, tier 2 en tier 3 uitgelegd
De meeste SOC-teams werken met een tiermodel. Bij het SOC team samenstellen is het belangrijk om dit model te begrijpen, want het verdeelt analisten in drie niveaus, elk met eigen verantwoordelijkheden en vaardigheden. Het principe is eenvoudig: junior analisten filteren het gros van de alerts, zodat duurdere seniors zich kunnen richten op de complexe dreigingen.
Tier 1: triage-specialisten
Tier 1 analisten vormen de eerste verdedigingslinie. Ze monitoren de alert-wachtrij vanuit het SIEM-platform, voeren een eerste beoordeling uit en beslissen of een alert escalatie verdient of als onschuldig kan worden afgesloten. In een gemiddelde dienst bekijkt een tier 1 analist tientallen tot honderden alerts. Dat vereist concentratie, oog voor detail en de discipline om procedures te volgen. Een junior SOC-analyst in Nederland verdient gemiddeld 3.200 tot 3.900 euro bruto per maand, wat deze rol relatief betaalbaar maakt voor de hoeveelheid werk die het oplevert.
Tier 2: incident responders
Wanneer tier 1 een verdacht signaal doorgeeft, pakt tier 2 het over. Deze analisten voeren diepgaand onderzoek uit: ze correleren data uit meerdere bronnen, analyseren logbestanden, beoordelen de omvang van een mogelijke breach en coordineren de eerste containment-stappen. Tier 2 analisten hebben bredere technische kennis nodig dan tier 1. Ze moeten netwerken, besturingssystemen en aanvalstechnieken begrijpen om een incident correct te beoordelen. Qua salaris zit een medior security analyst in Nederland op 5.000 tot 7.500 euro bruto per maand.
Tier 3: threat hunters en specialisten
Tier 3 zijn de meest ervaren teamleden. Ze jagen proactief op dreigingen die door geautomatiseerde detectie heen glippen, voeren forensisch onderzoek uit bij grote incidenten en verbeteren continu de detectieregels. Deze rol vereist doorgaans vijf jaar of meer ervaring, specialisatie in forensics of malware-analyse, en certificeringen als OSCP of GCFA. Tier 3 analisten zijn schaars en duur. Uit de ISC2 Cybersecurity Workforce Study 2025 blijkt dat de sector wereldwijd verschuift van een focus op headcount naar een focus op vaardigheden en competenties. En precies dat maakt het tiermodel kwetsbaar: wanneer een tier 3 analist vertrekt, verlies je institutionele kennis die lastig te vervangen is. Wie slim wil SOC team samenstellen, bouwt daarom niet alleen aan mensen, maar ook aan kennisoverdracht en documentatie.
De eerste drie functies bij het SOC team samenstellen
Als je vanaf nul begint, kun je niet meteen een volledig SOC neerzetten. De kunst is om te starten met de functies die de meeste waarde opleveren en van daaruit te groeien. Op basis van hoe succesvolle SOC-teams zijn opgebouwd, zijn er drie rollen die je als eerste moet invullen.
Ten eerste: een SOC-manager. Deze persoon definieert de processen, selecteert de tooling, stelt escalatieprotocollen op en is het aanspreekpunt naar de rest van de organisatie. Zonder een manager die de richting bepaalt, wordt je SOC een verzameling individuen zonder samenhang.
Ten tweede: twee tot drie tier 1 analisten. Zij vormen de operationele kern. Het is verleidelijk om te starten met twee seniors die alles aankunnen, maar dat is een valkuil. Seniors raken snel verveeld door het volume aan routinematige alerts, en hun hoge salaris maakt het model onbetaalbaar zodra je wilt schalen. Begin met juniors die je gericht opleidt. Een praktijkgerichte cybersecurity-opleiding levert professionals op die binnen weken operationeel zijn als tier 1 analist.
Ten derde: een SIEM-engineer of detection engineer. Deze persoon richt je tooling in, schrijft detectieregels en zorgt dat de alerts die je analisten zien ook daadwerkelijk relevant zijn. Zonder die rol produceer je ruis in plaats van inzicht. Samen vormen deze drie functies de minimale bezetting waarmee je een SOC team samenstellen kunt dat functioneert.
De vijf valkuilen bij het opbouwen van een SOC
1. Beginnen met alleen seniors
Senior analisten zijn goed in complexe incidenten, maar ze zijn niet gemaakt voor het dagelijkse volume van tier 1 triage. Als je je hele SOC team samenstellen rond seniors doet, krijg je een dure operatie waarin overgequalificeerde mensen routinematig werk doen. Het resultaat: frustratie, hoog verloop en een gat in je budget. De betere aanpak is een piramidestructuur: meer juniors aan de basis, minder seniors aan de top.
2. Tooling kopen zonder processen
Een SIEM-platform aanschaffen zonder dat er processen zijn voor alert-triage, escalatie en incident response is als een auto kopen zonder te weten waar je naartoe rijdt. Dit is een veelgemaakte fout bij het SOC team samenstellen: te veel budget naar licenties, te weinig naar processen. Investeer eerst in processen en playbooks. De tooling volgt daarna.
3. Geen aandacht voor doorgroei
De typische duur van een SOC-analist op tier 1 niveau is een tot drie jaar. Daarna willen mensen doorgroeien. Als je geen carriereperspectief biedt, vertrekken ze naar de concurrent. In een markt waar cybersecurity-talent schaars is, is dat een probleem dat je moet voorkomen, niet oplossen.
4. 24/7 dekking forceren met te weinig mensen
24/7 monitoring klinkt als een vereiste, maar het vereist minimaal vijf tot zes analisten om roosters rond te krijgen zonder burn-out. Veel organisaties die voor het eerst een SOC team samenstellen onderschatten die bezetting. Als je dat aantal niet kunt financieren, begin dan met kantooruren en besteed de nachten uit aan een MSSP. Dat hybride model is realistischer dan een onderbezet team dat ’s nachts halfslapend alerts beoordeelt.
5. Het SOC isoleren van de rest van IT
Een SOC dat niet samenwerkt met de IT-afdeling, het netwerkteam en de applicatiebeheerders mist de context die nodig is om alerts correct te beoordelen. Zorg dat je SOC-team regelmatig contact heeft met andere teams. Context is wat een alert van een incident onderscheidt, en die context zit verspreid over de organisatie.
Van plan naar operationeel SOC team samenstellen
De stap van strategie naar een werkend SOC hoeft niet overweldigend te zijn. Succesvol een SOC team samenstellen begint klein, met een duidelijke missie en drie tot vier mensen die weten wat ze doen. Bouw van daaruit je capaciteit op. Voeg tier 2 analisten toe zodra het volume dat rechtvaardigt. Overweeg tier 3 pas wanneer je organisatie groot genoeg is om proactieve threat hunting te financieren.
De ramp-up tijd van nieuwe medewerkers is een factor die veel CTO’s onderschatten. Een junior die zonder voorbereiding instroomt, heeft drie tot zes maanden nodig voordat die zelfstandig waarde levert. Met een gerichte, scenariogebaseerde opleiding kun je die periode verkorten tot weken. Dat is het verschil tussen een SOC dat na een half jaar draait en een SOC dat na twee maanden waarde oplevert.
Wil je weten welke functies er bestaan in cybersecurity en welke het beste passen bij jouw SOC-plannen? Of wil je begrijpen welke carrierepaden de opleiding opent? Bekijk ook hoe een praktijkgerichte opleiding je helpt om sneller een operationeel SOC team samenstellen te realiseren.
Klaar om je eerste SOC-team op te bouwen? Trivian werkt samen met organisaties die interne securitycapaciteit willen ontwikkelen. Plan een adviesgesprek en bespreek welke aanpak past bij jouw situatie.



