Security Operation Center: paradosso e realtà

La tendenza a far convergere funzionalità di sicurezza fisica e informatica, sfruttando la disponibilità di sistemi off the shelf (PSIM e SIEM) o adattamenti e personalizzazione di middleware e sistemi proprietari è certamente più evidente nel settore governativo, in grandi imprese e in quelle municipalità che hanno da tempo implementato il modello della Smart City e che oggi, beneficiando di piattaforme più o meno centralizzate, implementano modelli di supervisione, comando e controllo del traffico, della mobilità, di aree urbane critiche (Safe City).

Questo è sostanzialmente dovuto non solo a una visione più strutturata, ai programmi per “homeland security”, alla disponibilità di fondi o budget di investimento rilevanti e alla possibilità di far anche contestualmente convergere e attrarre figure professionali con background e competenze propedeutiche al nuovo modello di gestione integrata, ma soprattutto evidentemente per la necessità di dover far fronte con efficacia a una superficie di attacco più vasta e sofisticata e a minacce che sono integrate, multivettore e morfologicamente mutanti e che sfruttano indipendentemente vulnerabilità  fisico–logiche.

Da questa prospettiva è ancora più evidente come queste tipologie di attacco (che si manifestano ad esempio come APT, data breaches, data exfiltration, malicious insider, etc. ma che sfruttano appunto anche debolezze del sistema di controllo accessi, del sistema HVAC, del sistema di videosorveglianza, di impianti tecnologici in genere, etc.) colpiscano in realtà aziende di ogni dimensione (es. +240% degli attacchi informatici negli ultimi 6 anni a danno delle PMI) e tipologia merceologica.

Il paradosso quindi è che proprio le aziende con minor capacità di investimento e di mantenimento di adeguate contromisure e tutto sommato anche minor consapevolezza e visione, sono quelle che maggiormente beneficerebbero di un sistema esterno di gestione integrata della sicurezza per proteggere H24 dati, informazioni, know how e processi e perfino la continuità e sopravvivenza stessa della propria attività di business, quando gli attacchi sono finalizzati (es. dDos, Botnet,etc.) all’inibizione di un servizio (es web, e-commerce, etc.) o quando malware sofisticati (APT, ransomware, etc.) possono produrre il blocco di processi vitali (es fatturazione, distribuzione, produzione, etc.) con danni spesso rilevanti.

Ecco che all’aumentare della maturità e consapevolezza delle Aziende in termini di necessità di gestione del rischio, aumenta la propensione all’outsourcing per affidarsi a società specializzate che dispongano di SOC (Security Operation Center) integrati e certificati (es. UNI CEI EN 50518) con personale altamente qualificato e piattaforme software innovative per la data collection, data classification, la correlazione e la gestione di eventi e incidenti di sicurezza fisica e logica e che possano accompagnare (life cycle services) le aziende anche in attività preventive (thread intelligence, vulnerability assessment, penetration test, etc.), di remediation e di analisi forense.