Es bastante difícil de decir sin saber mucho más sobre tu configuración. Probablemente comenzaría dividiendo el equipo de IDS en las áreas funcionales cubiertas,
- IDS de red, incluido el monitoreo de firewall
- IDS basados en host: integración con Change Management
- auditoría técnica
- integridad de los datos: controle los datos de la aplicación para detectar anomalías
Mucho depende del alcance de su mandato, por lo que la auditoría técnica puede incluir revisiones de códigos y estándares de desarrollo, así como revisiones de arquitectura y pruebas de penetración.
Medir el éxito es más complicado, idealmente, no hay problemas que encontrar. OTOH que le informa a sus contadores de frijoles cada mes que no encontró nada malo no es propicio para mantener su presupuesto. Pero desde un punto de vista estratégico, debe pensar en cuantificar el impacto de las vulnerabilidades para realizar un análisis adecuado de riesgo / beneficio. A partir de esto, puede comenzar a formar equipos ad-hoc para analizar áreas específicas de riesgo en función del tipo de proyecto.
IME, y dependiendo de los escenarios de su organización, esto funciona bien con un pequeño grupo central de expertos en seguridad y miembros cooptantes de otras áreas (por ejemplo, DBA, desarrolladores, ingenieros de redes, usuarios) en lugar de tratar de mantener un alto nivel de experiencia dentro del equipo central.
HTH