La scelta di dotarsi di un Security Operation Center (SOC) causa ancora molta indecisione nelle aziende. Fino a circa tre anni fa l’adozione di questo tipo di asset non era molto sviluppata, tanto che il 48% delle organizzazioni non ne aveva uno (fonte ricerca “20th Global Information Security Survey 2017-18” EY). Tuttavia l’edizione 2020 dello stesso report, che ha coinvolto 1300 manager di sicurezza informatica di aziende internazionali, ha invece evidenziato come il potenziamento dei Security Operations Center rappresenti il 30% del budget. Ma in un SOC, realizzato come asset interno dell’azienda, possono verificarsi problemi di efficacia. Dalla stessa ricerca, emerge infatti, una scarsa efficacia nell’operatività difensiva, perché solo il 15% degli incidenti di sicurezza significativi sono stati identificati dai SOC. Questi dati possono suggerire errori nelle scelte di progettazione e design di una struttura Security Operation Center interna all’azienda, oppure nella scelta del tipo e durata dei servizi SOC gestiti. Per investire correttamente in un Security Operation Center è necessario dotarsi delle corrette competenze, skill e strumenti operativi commisurati allo scenario della minaccia da cui ci si vuole difendere. Poiché non è immediatamente intuitivo capire il tipo di minaccia che incombe, si può optare per un approccio incrementale con servizi modulabili e modificare il mix dei servizi SOC secondo le esigenze e le valutazioni e rivalutazioni periodiche.
Cos’è un Security Operation Center
“Un Security Operations Center (SOC) può essere definito come unità organizzativa complessa, generalmente centralizzata, che assiste le aziende nell'identificazione, gestione e correzione degli attacchi alla sicurezza, ed è costituito da processi, strumenti e persone. A seconda delle capacità richieste un SOC può anche essere responsabile della gestione dei controlli tecnici. L'obiettivo finale è migliorare la posizione di sicurezza di un'organizzazione rilevando e rispondendo a minacce e attacchi prima che abbiano un impatto sull'azienda”. (Fonte “Classification of Security Operation Centers” 2013).
Un SOC può essere interno all’azienda o esterno ed in quest’ultimo caso eroga uno o più tipi di servizi gestiti. Un centro operativo di sicurezza (SOC) è tipicamente composto da una struttura che ospita un team di cyber security specialist, responsabile del monitoraggio e dell'analisi della posizione di sicurezza di un'organizzazione su base continuativa. L'obiettivo del team SOC è quello di rilevare, analizzare e rispondere agli incidenti di sicurezza informatica, utilizzando una combinazione di soluzioni tecnologiche e una solida serie di processi. I centri operativi per la sicurezza sono generalmente dotati di analisti e ingegneri della sicurezza, nonché di responsabili che supervisionano le operazioni di sicurezza. Lo staff SOC lavora a stretto contatto con i team di risposta agli incidenti organizzativi per garantire che i problemi di sicurezza vengano risolti rapidamente dopo la scoperta.
Secondo i report dell’Osservatorio di Cyber Security e Privacy del Politecnico di Milano, nel 2019 il 45% degli attacchi cyber è stato rivolto alle PMI. Ma in pratica l’estensione e incidenza della minaccia comporta che sia le grandi aziende Corporate, sia le PMI abbiano l’esigenza di dotarsi di un Security Operation Center. Le prime tipicamente tendono costituirlo come asset interno, mentre le PMI non possedendo budget abbastanza estesi, potrebbero optare per un servizio gestito.
Le capacità di un Security Operation Center
Le dotazioni fondamentali di un Security Operation Center sono essenzialmente due: la capacità di monitoraggio continuo della minaccia dentro e fuori il perimetro aziendale per collezionare dati da tutte le fonti informative. La seconda è la capacità di analisi mediante una serie di tool che permettano di investigare attività malevole estraendo indicatori di compromissione e ogni altra informazione utile a studiare la minaccia e introdurre misure di protezione appropriate e corrispondenti. Cruciale l’aspetto delle skill e competenze del SOC team, che devono possedere capacità diverse fra loro ma complementari e specialistiche. La scelta se dotarsi di un Security Operation Center in house o di un servizio gestito deve poter rispondere alla domanda: “Ho nella mia azienda tutte le competenze adeguate a individuare, contenere e risolvere un data breach?”. La maggior parte delle volte la risposta è negativa. Chi fornisce un servizio gestito concorda SLA sulla qualità dei controlli e quindi interviene nella formazione del personale in modo costante perché sia perennemente aggiornato e preparato alle condizioni di emergenza.
Rischi della mancanza di un Security Operation Center
Rinunciare a dotarsi di un Security Operation Center è una soluzione miope che non tiene conto del rischio con cui la minaccia informatica colpisce. In questi casi è importante far capire “non SE la minaccia colpirà l’organizzazione, ma QUANDO questo avverrà”. E il più delle volte è già avvenuto e l’azienda colpita non se ne è resa conto. Manca quindi una iniziale consapevolezza della minaccia.
Senza le capacità di monitoraggio continuo e analisi dentro e fuori del perimetro aziendale si rischia di essere vittima di minacce informatiche con danni ingenti o tali da compromettere completamente l’operatività aziendale. I servizi di sicurezza gestiti attività h24/7/365 possono concorrere alla prevenzione di incidenti cyber, mediante capacità di Early Warning. Alla notifica preventiva di una possibile compromissione, il team del SOC può eventualmente intervenire per l’attività di mitigazione e anche intervenire per risolvere supportando il ritorno alla normalità. In mancanza di questi interventi il Data Breach può comportare esfiltrazione dei dati strategici, finanziari, personali, sensibili o particolari, causando rivendita nel dark web e secondo il GDPR in caso di dati personali rubati, anche una cospicua multa per mancanza di conformità. Il tetto massimo per le sanzioni amministrative in questo tipo di violazioni è di 10 milioni di euro o, per i gruppi di impresa, fino al 2% del fatturato mondiale totale annuo.
