L’adozione di un SOC (Security Operation Center) è un passo indispensabile per garantire un adeguato livello di protezione dei sistemi informatici. Se un tempo affidarsi a un team di esperti in grado di lavorare sulla prevenzione e intervenire in caso di attacco poteva essere considerato un lusso o una misura necessaria solo in casi particolari, oggi questo tipo di attività è diventato il perno centrale intorno al quale costruire l’impianto di sicurezza IT.
Il cuore della SOC security: i SOC analyst
Sgombriamo subito il campo da equivoci: se l’implementazione di un SOC richiede certamente infrastrutture e strumenti specifici, il vero fulcro di un centro operativo è rappresentato dalle persone che lavorano al suo interno. Sono loro , infatti, a occuparsi di attività fondamentali come l’intelligence e la valutazione del rischio. Questo è un elemento che dobbiamo considerare per capire se convenga ricorrere a una struttura interna o a una esterna. In altre parole, non si tratta solo di investire per impiegare le risorse necessarie: se vogliamo creare un SOC interno dobbiamo avere presente che gli analisti che lo animano richiederanno stimoli che rendano “attraente” il loro lavoro. Quello della cyber-security, infatti, è uno dei pochi settori in cui la domanda eccede l’offerta e riuscire a trattenere gli esperti presso un’azienda non è sempre facile.
SOC e informatica, la security costa
Inutile girarci intorno: uno dei fattori imprescindibili per qualsiasi azienda nella scelta di internalizzare o esternalizzare un servizio è quello economico. Nel caso specifico, inoltre, si tratta di un investimento assolutamente rilevante. La creazione di un SOC, infatti, richiede il raggiungimento di una soglia minima al disotto della quale non è pensabile collocarsi. Un Security Operation Center adeguato deve infatti garantire protezione sette giorni su sette, 24 ore al giorno.
Perché la security e il SOC non sono economici
Nella pratica, si tratta di creare un team di analisti con competenze elevate che lavorano a tempo pieno. Ne deriva che l’adozione di un SOC interno può avere senso solo nel caso in cui le dimensioni dell’azienda e la complessità delle infrastrutture IT che utilizza giustifichino un investimento di questo livello.
In questa valutazione, poi, bisogna tenere conto anche di un altro aspetto: gli analisti impiegati nel SOC, oltre ad avere competenze estremamente elevate, devono necessariamente essere sottoposte a una formazione continua, che gli consenta di conoscere le nuove minacce e mettere in campo tutte le contromisure necessarie per proteggere i sistemi.
SOC e security as a service
Nella logica della “security as a service”, anche le funzionalità di SOC possono essere affidate a soggetti esterni, che garantiscono questo tipo di attività attraverso sistemi di gestione in remoto. Il vantaggio, soprattutto per le aziende di dimensioni medio-piccole, è evidente. Si può infatti contare sul livello di protezione garantito da un team di esperti attivi 24/7 a fronte di un investimento che viene però commisurato all’effettivo volume di dati e attività monitorate.
Non solo: se si pensa ad alcuni aspetti particolari, come le attività di intelligence e rilevamento delle minacce, fare affidamento a un soggetto che opera su un terreno più ampio rappresenta un enorme vantaggio. La disponibilità di un numero maggiore di sensori e l’utilizzo di sistemi di intelligenza artificiale in grado di elaborare i dati ricevuti per mettere a fuoco le dinamiche legate alle minacce rappresentano infatti un notevole vantaggio.
L'organizzazione del SOC nella security as a service
Da un punto di vista organizzativo, poi, la collaborazione con un servizio di SOC erogato in una logica di managed service può essere modulata attivando solo determinati servizi, affiancando l’attività a quella di un eventuale team interno o degli amministratori IT. Nella definizione della struttura, inoltre, è fondamentale tenere conto delle specifiche esigenze dell’azienda, ragionando secondo una logica “verticale” che individui, attraverso il settore di attività, gli aspetti critici per la sicurezza. Come in ogni aspetto della cyber-security, anche la predisposizione di un SOC non deve essere considerata in maniera “statica”, ma interpretata come un processo in continua evoluzione.
