Le sempre più frequenti e sofisticate minacce alla cyber security aziendale hanno mostrato chiaramente come il Security Operation Center (SOC) possa fornire un importante aiuto nell’erigere un’efficace difesa ai dati. Questo perché il SOC effettua un monitoraggio e un'analisi ininterrotti dell'attività del traffico di rete nel tentativo di prevenire o identificare attacchi. E, qualora questi dovessero avere successo, fa il possibile per porre un veloce rimedio e limitare al massimo i danni.
Security Operation Center, in cosa consiste
Il SOC si compone di un team di specialisti in cyber security e di professionisti qualificati. La sua struttura lo rende quindi un reparto IT un po’ particolare, di altissimo profilo, che si differenzia anche dagli altri reparti di security perché conduce esclusivamente operazioni avanzate. Attraverso le sue attività, il Security Operation Center cerca di evitare minacce alla sicurezza IT mediante il rilevamento precoce ma risponde prontamente anche a qualsiasi incidente di hacking o violazione dei dati. Il SOC sorveglia 24 ore su 24, 7 giorni su 7 computer, reti, server e tutti gli altri dispositivi utilizzati per la gestione del traffico di rete. Per identificare eventuali lacune di sicurezza nell'infrastruttura IT utilizza una vasta gamma di sofisticati strumenti come il SIEM (security information and event management) seguendo procedure avanzate. Quando viene identificato un evento sospetto, il SOC indaga e reagisce di conseguenza.
Interno o in outsourcing
Come ogni tipico reparto di cyber security, il SOC può essere interno a un’azienda e quindi composto da dipendenti dell’azienda stessa. In questo caso, data la specificità del Security Operation Center, è necessario poter fare affidamento su tecnici altamente qualificati in grado di usare i sofisticati strumenti necessari per le indagini. Inoltre, tali tecnici devono sempre essere aggiornati sulle ultime novità in tema di cyber security, perciò la formazione deve essere parte integrante delle attività del SOC. In sostanza, quelle realtà che intendono attivare un proprio un Security Operation Center devono mettere in preventivo un processo molto complesso e dispendioso.
Date queste premesse, sono un numero limitato le aziende che creano al proprio interno il reparto SOC. Molto più di frequente le imprese si avvalgono del Security Operation Center come servizio in outsourcing. Una scelta di questo tipo permette di avere un unico costo: quello relativo al servizio. Ci si può tranquillamente dimenticare del personale necessario, del suo grado di preparazione e del suo costante aggiornamento professionale. Lo stesso vale per la sofisticata strumentazione usata da un SOC nella sua attività di protezione della cyber security: non serve più. Inoltre, con il provider si può definire un determinato SLA che assicuri un preciso livello di servizio adatto alle necessità dell’azienda.
Ma vale davvero la pena puntare su un SOC?
Se ci si domanda quanto può essere utile un SOC per la propria azienda la risposta può essere che il valore di un SOC è proporzionale a quello del danno che potrebbe arrecare un attacco alla cyber security andato a segno. Se vogliamo, possiamo vedere la cosa sotto un altro punto di vista, ovvero si scopre quanto utile avrebbe potuto essere un SOC e quanto si avrebbe risparmiato nel momento in cui si deve quantificare il danno economico e d’immagine che crea un data breach. Se al primo, per quanto ingente possa essere, si può porre rimedio in tempi brevi, rimediare a un danno di immagine può non essere né semplice né veloce, sempre che si riesca riacquistare dai clienti la medesima fiducia di cui si godeva prima del furto di dati.
D’altro canto, i clienti sempre più spesso chiedono di sapere come sono gestiti i propri dati. E mostrare di avere attivo un SOC consente di acquistare sicuramente più credibilità.
Da sottolineare poi che il tempo medio stimato che impiega un’azienda per scoprire di essere stata vittima di un attacco è di circa 6 mesi (secondo i dati Clusit), mentre uno SOC permette di avere un’identificazione di una minaccia in tempo reale. E nel in caso di infezione da malware (il mezzo più usato dai cyber criminali) il tempo di propagazione viene ridotto al minimo. Aspetti da non sottovalutare se si considera che oggi con il GDPR (General Data Protection Regulations) è necessario notificare una violazione dei dati entro 72 ore.
Inoltre, in caso di violazione, sarebbe impossibile determinare la causa se non si possedessero i dati appropriati. Un SOC dispone che i registri che contengono dati su ambito, architettura tecnica, processi di monitoraggio e manutenzione siano correttamente archiviati in modo che tutte le prove e gli indicatori di vulnerabilità siano conservati per un eventuale esame forense.
