SOC as a service: come si sceglie il migliore

il 13 luglio 2021
SOC

Le minacce IT sono sempre più sofisticate e numerose e le conseguenze di un attacco andato a segno sono solitamente disastrose per le aziende, sia in termini finanziari sia di immagine.Una delle più efficaci difese che possono usare le organizzazioni per contrastare le minacce è il Security Operations Center (SOC), un insieme di persone con competenze di alto livelloprocessi collaudati e soluzioni di sicurezza molto efficaci. Un sistema che deve essere disponibile e operativo in ogni momento, 24 ore al giorno tutto l’anno. Il SOC può essere creato internamente oppure può essere fruito “as a service” ricorrendo a un fornitore esterno. 

 

Interno o esterno? 

Avere un SOC interno composto da un adeguato numero di persone competenti e sempre aggiornate sulle ultime novità in tema di cyber security, che possono disporre delle più recenti ed efficaci soluzioni di sicurezza IT, presenta alcuni vantaggi. Infatti, consente di avere risposte più veloci nel caso di un attacco perché la comunicazione avviene con mezzi interni all’azienda e i dipendenti, conoscendo meglio la composizione e gli obiettivi dell’organizzazione, possono implementare soluzioni altamente personalizzate. 

Però, nella quasi totalità dei casi, la focalizzazione sul business più che sulla sicurezza IT, la mancanza di personale specializzato (o la difficoltà a reperirlo) e un budget limitato fanno puntare le aziende su SOC fruiti in outsourcing as a service. 

 

I benefici di un SOC as a service 

In un’azienda, i CIO e i CISO optano per un SOC as a service perché sono consapevoli della complessità dell'implementazione di un Security Operations Center poiché prevede l’acquisizione di molti strumenti che vanno impostati e usati con competenza e la ricerca di esperti del settore e di analisi degli incidenti e forense. Tutte queste caratteristiche si possono invece riscontrare in un provider esterno, che vede come uno dei suoi punti di forza la competenza e l'esperienza di analisti che hanno monitorato molti ambienti. 

Un altro aspetto che fa propendere la scelta verso il SOC as a service è l’accesso alla threat intelligence, ovvero la possibilità di usufruire di un servizio di intelligence sulle minacce che è molto impegnativo adottare in house. Invece, per un provider di SOC è più semplice raggiungere questo obiettivo perché può riunire i dati provenienti da molte fonti, sia esterne sia interne.   

Usufruire di un SOC come servizio permette poi di definire precisi SLA (Service Level Agreement) che il provider deve rispettare, come la presenza h24. Tutti i livelli del servizio sono dettagliati con precisione e questo assicura all’azienda committente di non incorrere in spiacevoli sorprese, soprattutto durante eventuali attacchi.  

Infine, la voce costi. Un SOC as a service risulta molto più economico di uno interno perché la maggior parte delle attrezzature, delle soluzioni e degli esperti sono usati in condivisione. Inoltre, non va sottovaluto il fatto che un servizio esterno è una spesa operativa (OPEX) e non una spesa in conto capitale, quindi più “facilmente gestibile” all’interno del budget. 

 

I criteri di scelta 

Deciso di puntare su un SOC as a service, secondo quali criteri si effettua la selezione che poterà a definire il provider migliore? Ecco alcuni suggerimenti. 

Anzitutto è bene analizzare il modello operativo: bisogna verificare se il lavoro del provider prevede essenzialmente la notifica degli eventi o se invece arriva a offrire una risposta proattiva agli eventi. Nel primo caso la risposta a un attacco deve venire dall’interno dell’azienda, che quindi deve disporre di persone competenti e strumenti sofisticati. In pratica si deve allestire una sorta di SOC interno che agisca in concomitanza con quello esterno, sincronizzando il proprio piano di comunicazione e i playbook di gestione degli incidenti con quelli del provider. E questo potrebbe non essere semplice. 

Allo stesso modo, gli strumenti che userà il fornitore di SOC si integreranno al meglio con le soluzioni esistenti in azienda? Il provider riuscirà a ottenere i dati che gli servono? Questo è un punto cruciale: il fornitore deve avere gli strumenti e la capacità di integrarsi con tecnologie già in uso e deve poter trasferire facilmente i dati utili all’interno delle proprie soluzioni. 

Un altro aspetto importante è l'allineamento dell’offerta di servizi del fornitore alle capacità interne dell’azienda. Se il provider può offrire più livelli di servizio, si potrebbero dover sviluppare nuovi flussi di lavoro per allineare le proprie operazioni IT e di sicurezza per adattarle ai servizi del fornitore.  

Da ultimo, ma non meno importante, gli accordi contrattuali. Il fornitore di servizi dovrebbe assicurare un accordo sul livello di servizio (SLA), che assicuri la massima resa e formalizzi i tempi di ingaggio e risposta. Tali accordi devono essere chiaramente definiti e devono essere in linea con le pratiche e gli obiettivi dell’azienda. 

Clicca qui e scarica il White Paper: Industrial cyber security

Condividilo su: