È piuttosto difficile da dire senza sapere molto di più sulla tua configurazione. Probabilmente comincerei dividendo il team IDS nelle aree funzionali coperte,
- ID di rete, incluso il monitoraggio del firewall
- ID basato su host - integrazione con Change Management
- controllo tecnico
- integrità dei dati - monitoraggio dei dati delle applicazioni per anomalie
Molto dipende dall'ambito del tuo mandato - quindi l'audit tecnico potrebbe includere revisioni del codice e standard di sviluppo oltre a revisioni di architettura e test di penetrazione.
Misurare il successo è più difficile - idealmente non ci sono problemi da trovare. OTOH che ogni mese ha detto ai tuoi contatori di fagioli che non hai trovato nulla di sbagliato non è favorevole al mantenimento del budget. Ma da un punto di vista strategico è necessario pensare a quantificare l'impatto delle vulnerabilità al fine di svolgere un'analisi rischi / benefici adeguata. A seguito di ciò, è possibile iniziare a formare team ad hoc per esaminare specifiche aree di rischio in base al tipo di progetto.
IME e, a seconda del livello della tua organizzazione, questo funziona bene con un piccolo nucleo di esperti di sicurezza e membri cooptati provenienti da altre aree (ad es. DBA, sviluppatori, ingegneri di rete, utenti) piuttosto che cercare di mantenere un alto livello di competenza all'interno del core team.
HTH