مركز عمليات الأمن كخدمة في السعودية — التكاليف ومقارنة الموردين

السياق في السوق السعودي

SOC كخدمة (SOCaaS) هو الحل لـ 80% من المؤسسات السعودية التي تحتاج مراقبة حوادث NCA ECC-2 واستخبارات تهديدات ساما لكنها لا تستطيع تبرير 4–7 ملايين ر.س سنوياً لبناء SOC داخلي 24/7. مزوّد SOCaaS حديث في السعودية يشغّل SIEM (Splunk أو Elastic أو Sentinel أو Wazuh) و SOAR (Cortex XSOAR أو Tines أو Shuffle) وموجزات استخبارات تهديدات تركز على الخصوم في السعودية، وكادراً من المحللين المعتمدين SACA يستطيعون مخاطبة مجلسك بالعربية.

هذا الدليل من فريق هندسة SKYLINE يلخّص ما تعلّمناه عبر أكثر من عقد من التنفيذ الفعلي في الرياض وجدة والدمام. نركّز على ما يصلح فعلاً للسوق السعودي — تفاصيل الترخيص، فجوات الدعم المحلي، متطلبات الواجهة العربية، والجهات التنظيمية التي ستحاسبك.

ما الذي يجب البحث عنه

عند تقييم أي مزوّد أو منتج خاص بـ مركز عمليات الأمن كخدمة في السعودية — التكاليف ومقارنة الموردين، اعتمد قائمة التحقق التالية قبل توقيع أي عقد:

• إقامة بيانات سعودية — كل سطر سجل يبقى على الأرض السعودية؛ تحقق من منطقة مستأجر SIEM كتابياً.
• كوادر 24/7 بثلاثة محللين سعوديين على الأقل في كل وردية (المستوى 1) — لا تغطية "بأفضل جهد".
• حالات استخدام متوافقة مع NCA جاهزة — 60 قاعدة كشف على الأقل مرتبطة بضوابط ECC.
• تكامل موجز استخبارات تهديدات ساما (CTI) لأي بنك أو فينتك في النطاق.
• متوسط زمن الكشف ≤ 15 دقيقة ومتوسط زمن الاستجابة ≤ 60 دقيقة في SLA.
• تقرير KPI شهري بملخص تنفيذي عربي وملحق فني إنجليزي.
• كتب SOAR لأهم 20 نوع تنبيه، قابلة للتشغيل بلا تدخل بشري لحالات النظافة.
• فريق أحمر سنوي متوافق NCA وتمرين طاولة ضمن الرسوم الأساسية.

أي عرض أضعف من هذا الحدّ مرفوض لمشتري المؤسسات في 2026.

مقارنة الموردين والخيارات

يلخّص الجدول التالي الخيارات الواقعية الموصى بها أو الشائعة في السوق السعودي. التكاليف بالريال السعودي (SAR) كمستوى ابتدائي، والسعر الفعلي يعتمد على النطاق.

| المورد / الخيار | التكلفة (SAR) | جهد التكامل | الدعم المحلي | الواجهة العربية | |---|---|---|---|---| | SKYLINE SOCaaS (Riyadh) | 38,000 ر.س/شهر (≤500 نقطة) | منخفض | سعودي 24/7 | كاملة | | stc / Mobily SOC | 55-95,000 ر.س/شهر | متوسط | سعودي 24/7 | كاملة | | Help AG / DTS / SecureLink | 60-140,000 ر.س/شهر | متوسط | خليجي 24/7 | كاملة | | Build your own SOC | 4-7م ر.س/سنة | مرتفع جداً | حسب البناء | حسب التوظيف |

ليس لدينا مفضّل وحيد — الاختيار الصحيح يعتمد على البنية الحالية لديك، قدرة فريقك الداخلي، وتحملك للارتباط بمورد. SKYLINE تنشر وتدعم كل الخيارات في الجدول، وسنوصي بما يناسب شركتك لا بما يحقق أعلى هامش لنا.

اعتبارات خاصة بالسوق السعودي

• الضابط 2-13 من NCA ECC-2 (إدارة حوادث الأمن السيبراني) يتطلب دليل مراقبة 24/7 وأدلة استجابة موثقة.
• SAMA CSF 3.3.5 يطلب استقبال استخبارات تهديدات وتكامل SOC لكل البنوك وشركات الدفع.
• المادة 22 من PDPL — إبلاغ سدايا 72 ساعة يجب أن يمر عبر تذاكر SOC.
• لوائح هيئة الاتصالات (قطاع الاتصالات وISP) تضيف قواعد تسجيل واحتفاظ خاصة — تحقق أن مزوّد SOCaaS يعرفها.
• معيار أرامكو SACS-210 للموردين يتطلب دليل SOC مُدار لأي مورد يلامس بيانات أرامكو.

هذه ليست اختيارية. تجاوز أي بند منها هو الفرق بين مشروع يُسلَّم ومشروع يُحاسب عليه أمام جهة رقابية بعد ثلاثة أشهر من التشغيل.

شرائح الأسعار والتقدير

توقّع أسعاراً سعودية في النطاقات التالية. الأرقام الأدنى لشركات صغيرة/موقع واحد، والأعلى للمؤسسات متعددة المواقع.

• صغير (حتى 200 نقطة، 50GB/يوم سجلات): 22,000 – 38,000 ر.س/شهر.
• متوسط (200–1,000 نقطة، 250GB/يوم): 45,000 – 95,000 ر.س/شهر.
• مؤسسي (+1,000 نقطة، +1TB/يوم): 120,000 – 380,000 ر.س/شهر.
• احتياطي IR (إضافة على SOCaaS، مهندس IR 24/7): 28,000 ر.س/شهر.
• فريق أحمر سنوي (3 أسابيع، نطاق كامل): 180,000 – 420,000 ر.س ثابت.

الأرقام واقعية لعام 2026 قبل الخصم. الحجم والتعاقد متعدد السنوات والباقات يمكن أن تخفّضها 15–35%. SKYLINE توحّد الفواتير بالريال وتمتص فرق العملة فلن تتلقى فاتورة بالدولار غير متوقعة.

خارطة الطريق التنفيذية

مشروع SKYLINE النموذجي لـ مركز عمليات الأمن كخدمة في السعودية — التكاليف ومقارنة الموردين يسير في المراحل التالية:

1. الأسبوع 1–2: تحديد النطاق — جرد الأصول وقائمة مصادر السجلات ومطابقة NCA/ساما.
2. الأسبوع 3–6: التأهيل — نشر جامعات السجلات وEDR ومنافذ NetFlow؛ خط أساس 30 يوماً.
3. الأسبوع 7–8: ضبط حالات الاستخدام — تحقق من قواعد الكشف وكتم الضوضاء.
4. الأسبوع 9–10: SOAR — كتابة كتب لأهم 20 تنبيهاً، تمرين مع فريق IR.
5. الأسبوع 11: الإطلاق — مراقبة 24/7 نشطة، بدء ساعة MTTD/MTTR.
6. الشهر 2–3: الرعاية المكثفة — اجتماع يومي، ضبط أسبوعي، مراجعة تنفيذية شهرية.
7. التشغيل المستقر: تقرير KPI شهري، إحاطة مشهد تهديدات ربعية، فريق أحمر سنوي.

البرنامج الكامل يستغرق 8–16 أسبوعاً لموقع واحد و4–9 أشهر للتنفيذ متعدد المواقع. نعقد اجتماع توجيهي أسبوعياً، عرضاً لأصحاب المصلحة كل أسبوعين، وتمريناً كاملاً للتحوّل قبل الإطلاق.

الأخطاء الشائعة

بعد عشرات المشاريع المماثلة في الخليج، ما زلنا نرى نفس الأخطاء:

• SOCaaS يشحن السجلات للخارج "لأغراض التحليل" — انتهاك فوري لـ PDPL/NCA.
• محللو المستوى 1 لا يتحدثون العربية — حوادث الوردية الليلية تبقى دون تصنيف.
• لا يوجد SOAR — كل تنبيه يصبح تذكرة يدوية، MTTR يتضخم لأكثر من 4 ساعات.
• تسعير "EPS غير محدود" يُخنق بصمت — اقرأ بند الاستخدام العادل.
• لا يوجد فريق أحمر سنوي — لا دليل أن SOC يلتقط أي شيء فعلاً.

كل خطأ منها يكلّف 2–6 أسابيع تأخير ومحادثة صعبة مع المدير المالي. كلها قابلة للتجنّب بقرارات مبكرة صحيحة.

أسئلة شائعة

هل ما زلت أحتاج CISO داخلياً إن أسندت SOC؟

نعم. SOC عمليات، CISO استراتيجية وحوكمة وقبول مخاطر. لا تُسند المسؤولية أبداً.

أي SIEM تستخدم SKYLINE؟

نحن محايدون — نشغّل مستأجري Splunk و Microsoft Sentinel و Elastic و Wazuh. الاختيار يعتمد على أدواتك وميزانيتك.

كم سرعة التأهيل؟

SOCaaS بـ Wazuh: 3–4 أسابيع للإطلاق. Splunk/Sentinel: 6–10 أسابيع. الفرق في شراء الترخيص لا الهندسة.

هل تخرج بياناتي من السعودية؟

أبداً. كل مستأجر SIEM لـ SKYLINE يعمل على بنية الرياض أو جدة مع مخططات تدفق بيانات موثقة لتقييم DPIA الخاص بك.

هل تقدمون MDR فوق SOC؟

نعم — MDR يوسّع SOCaaS بصلاحية احتواء النقاط الطرفية. سنعزل ونقتل العمليات ونرجع التغييرات نيابة عنك.

الخطوة التالية

تحدّث مع مهندس من SKYLINE حول الأمن السيبراني سكاي لاين. نوفّر مكالمة لتحديد النطاق بدون التزام، ومسحاً مجانياً للموقع في الرياض وجدة والدمام أو أي مدينة سعودية، وعرضاً سعرياً ثابتاً بالريال خلال 5 أيام عمل.

• صفحة الخدمة: الأمن السيبراني سكاي لاين
• واتساب: +966 53 053 9748
• البريد: info@alskyline.com

نردّ خلال 4 ساعات عمل، طوال أيام الأسبوع، بالعربية أو الإنجليزية.