Per abilitare al meglio la cybersecurity, non sempre è sufficiente fare affidamento su soluzioni e risorse internet: un SOC permette di raggiungere livelli di sicurezza sicuramente superiori. Ne parliamo con Massimo Grandesso, Responsabile del Security Operation Center e Cybersecurity CC Manager di Innovery.
Antivirus e firewall sono strumenti di base indispensabili per la sicurezza informatica personale e di un’azienda, ma possono risultare insufficienti a garantire gli alti standard di cybersecurity richiesti dalle organizzazioni.
«Per far fronte ad attacchi sempre più complessi e su larga scala noi di Innovery riteniamo che il valore aggiunto di un SOC, non siano sole le tecnologie e la strumentazione, ma risieda nelle competenze delle persone che lavorano al suo interno.»
Il SOC permette di avere una struttura che garantisce un monitoraggio continuo, attivo 24/7 per 365 giorni all’anno, oltre che ad un team di esperti, altamente formato, in grado di rispondere a ogni emergenza. Un elemento oggi molto raro sul mercato.
Infatti in un momento storico in cui tutto il settore della sicurezza informatica sta affrontando una carenza di risorse e competenze, un SOC può essere la chiave di volta per riequilibrare la disparità di forze. Grazie a tali strutture una società può attingere ad un bacino di professionisti con elevate competenze, che sarebbe difficile, oltre che oneroso, reperire sul mercato.
Inoltre, un altro elemento focale nella sicurezza informatica è il tempismo. Un attacco informatico viene in media scoperto tra i 150 e i 200 giorni dopo il suo rilascio, e questo perché quando l’intrusione è avvenuta non c’è stato un presidio da parte dell’azienda. Il motivo risiede nel fatto che nelle maggior parte delle aziende il monitoraggio avviene durante il canonico orario di ufficio, il che comporta che per 2/3 della giornata l’azienda non è presidiata. Avere un centro operativo che monitora in maniera continuativa il perimetro aziendale e che possa indentificare live possibili minacce riduce notevolmente i rischi. Individuare un data breach nelle sue fasi iniziale è fondamentale per mitigare possibili danni.
La recente apertura di un SOC a Milano dimostra l’importanza di una copertura capillare del territorio; avete in programma ulteriori espansioni?
Creare strutture di intervento rapido sul territorio è importante in un’ottica di risposta immediata. Le attività proprie di un SOC si possono svolgere senza problemi da remoto, sono le attività di gestione post incident, come le attività di pronto intervento o di acquisizione di prove forensi che possono rendere, se non necessario, utile un intervento sul campo. Ed è per questo che avere un presidio capillare sul territorio è importante perché facilità e velocizza eventuali interventi in sede dal cliente, in una lotta che, come abbiamo detto prima, si gioca tutta sul tempismo.
La carenza di skill sul mercato sta raggiungendo livello di assoluto allarme. Possiamo affermare che un SOC esterno contribuisce ad alleviare la pressione sui dipartimenti IT interni?
Come detto in precedenza, a fronte di una grave carestia di profili con esperienza nel settore ICT, i Security Operation Center possono essere una valida alternativa per le aziende. Non si tratta solo di alleviare la pressione dei reparti IT dei clienti, quanto di fornire un presidio continuativo da parte di un team di esperti. I dipendenti all’interno di un SOC possono infatti usufruire di corsi di formazione strutturati in base alle singole esigenze, e godere inoltre della contaminazione attraverso il lavoro in più team. Un aspetto rilevante che può giocare la differenza in questo contesto.,
