<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2290112331237017&amp;ev=PageView&amp;noscript=1">
Sara Mattioli / Categories: Cyber Security

Tre consigli per individuare il fornitore SOC ideale per la propria azienda

Consulenza, completezza di servizi e segregation of duties: questi i 3 elementi da prendere in considerazione.

Art9-2

 

Ogni azienda ha bisogno di tenere costantemente sotto controllo quello che avviene nel traffico di dati che coinvolge i suoi utenti, i suoi processi e le sue tecnologie.

È di questo che si occupano i Security Operation Center (SOC), ossia strutture che centralizzano tutte le informazioni che riguardano lo stato di sicurezza IT di una o più organizzazioni.

 

Parla con un nostro esperto di Cyber Security: richiedi una consulenza gratuita

 

Se, per alcune realtà molto grandi e strutturate, realizzare un SOC interno può essere un'opzione sostenibile, per la maggior parte delle aziende la soluzione ideale è solitamente quella di appoggiarsi a un SOC esterno che eroga dei Managed Security Services.

Una strategia completa di Cyber Security richiede infatti un approccio strutturato con l'impiego di diverso personale altamente specializzato e di tecnologie soggette a rapida obsolescenza, pertanto ideare e portare avanti in autonomia questa strategia può essere molto complesso e costoso. Appoggiarsi ad una società esterna può fare la differenza nella buona riuscita del progetto.

Come individuare il fornitore più adatto per le esigenze della tua azienda? Ecco di seguito alcuni consigli per effettuare la scelta giusta.

 

TIP #1 - Scegli chi ha un approccio consulenziale
Il primo consiglio che ci sentiamo di darti è quello di verificare che il fornitore abbia un approccio consulenziale. Proprio perché la Cyber Security necessita di una strategia, dovresti evitare un fornitore che ti faccia scegliere i servizi attivabili da un listino prezzi.

Ti occorre qualcuno che, partendo da un'analisi preliminare, ti guidi nel definire e attuare un piano strutturato e in continua evoluzione. Questo piano dovrà includere un mix sapientemente combinato di tecnologie, servizi, formazione di tutto il personale e revisione dei processi aziendali.

Perché questo mix funzioni, è importante che l'esternalizzazione sia modulabile. L'analisi preliminare permetterà al tuo fornitore di consigliarti su cosa ha senso esternalizzare.

L'outsourcing può infatti essere solo parziale e anche nel caso di outsourcing totale è possibile fare questo passaggio in modo graduale.

 

TIP #2 - Completezza di servizi
Il secondo consiglio è quello di scegliere un fornitore che abbia una gamma di servizi completa e che sia in grado di gestire la sicurezza informatica a 360° in quanto le variabili e le aree di competenza sono così tante e interconnesse che è importante che il tuo consulente ne abbia una visione generale.

Per aiutarti a farti un’idea, ti proponiamo di seguito un elenco dei principali servizi che vanno a coprire i tre asset principali della Cyber Security: tecnologie, persone e processi:

 

Security Assessment
Analisi approfondita dello stato dell'arte della sicurezza dell'intera infrastruttura tecnologica, delle modalità di gestione della stessa e delle procedure definite al fine di identificarne eventuali fattori di rischio e individuare il livello di sicurezza e conformità ottimale da raggiungere.

Vulnerability Assessment e Penetration Test
Si tratta di test il cui obiettivo è fornire una valutazione in merito alla sicurezza e all’esposizione dei sistemi informatici di un’azienda, al fine di definire le adeguate contromisure.

Da un lato il Vulnerability Assessment consente di scoprire tutte le vulnerabilità presenti nei sistemi e, dall’altro, il Penetration Test, attraverso verifiche manuali, valida la reale esistenza delle vulnerabilità identificate e l’impatto che queste possono avere.

Per rendere l’idea: un Vulnerability Assessment identifica se, in un edificio, le porte degli uffici sono aperte; un Penetration Test segnala cosa potrebbero realmente fare i criminali una volta entrati nell'ufficio.

Red Team
Il servizio di Red Team consiste in una squadra di professionisti, si tratta dei cosiddetti hacker etici, che simulano un reale attacco, al fine di testare le misure di prevenzione e protezione dell’azienda in caso di attacchi mirati.

Il team andrà a “colpire” l'azienda non solo in ambito tecnologico, ma anche umano e fisico. Se, trattandosi di Cyber Security, l'ambito tecnologico non sorprenderà nessuno, gli altri due ambiti potrebbero far nascere qualche domanda. L’ambito umano viene esplorato con attività di social engineering nei confronti dello staff aziendale per carpire informazioni utili a comprendere abitudini, processi, dinamiche in cui può nascondersi una vulnerabilità.

Con “ambito fisico” si intendono invece gli spazi aziendali, in cui dei membri del team possono riuscire ad accedere e in cui possono provare a raccogliere informazioni o documenti o dove possono inserire device in grado di supportarli nel loro intento.

Lo scopo del Red Team è dunque quello di fornire all’azienda una migliore comprensione del suo livello di sicurezza e capire dove concentrare gli sforzi per migliorarne lo stato.

Data Collection and Correlation & Threat Detection
Il servizio base, che tutti i Security Operation Center devono erogare, è quello di raccolta dati, attraverso strumenti quali Security Information and Event Management (SIEM).

La rilevazione dei dati è oggi in parte automatizzata, grazie all’utilizzo di strumenti tecnologici che generano alert e che sono in grado di effettuare confronti con informazioni aggiornate e provenienti dall'esterno, relative ad esempio alle minacce più attuali o alle vulnerabilità scoperte nei software in uso. In parte poi la rilevazione rimane manuale, effettuata da team tecnici qualificati, con grandi capacità di analisi.

Un buon SOC deve poi integrare con una rilevazione manuale a opera di tecnici qualificati con grandi capacità di analisi e di rilevazione di anomalie e minacce (Threat Detection).

Questo permette molto spesso di prevenire incidenti o disservizi perché fornisce ai professionisti le informazioni per valutare come mettere in atto azioni di remediation alle anomalie.

Incident Response & Management
Un altro servizio erogato dai SOC è quello di Incident Response & Management, ossia di reazione e gestione dell’incident in tempo reale.

Un servizio completo prevede una fase preparatoria in cui vengono definite procedure, effettuate esercitazioni, formato il personale e definiti i ruoli. Se poi l'attacco si verifica, c'è l'attività vera e propria di risposta. Il team del SOC deve essere capace di contenere l’incident e ripristinare, a fianco delle risorse interne dell’azienda, il corretto funzionamento della rete informatica.

Security Awareness Training
Avrai probabilmente letto dell'ormai noto caso di Confindustria, realtà in cui un amministrativo ha ricevuto una email che recitava: "Caro G., dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare". Di fatto, con una semplice email, una somma importante è per sempre sparita su un conto estero di cui non si conosce l’intestatario.

In questo caso la tecnologia non è stata la sola protagonista dell'attacco, ma gli attaccanti hanno sfruttato il fatto di scrivere una email verosimile, conoscendo quindi le persone e le dinamiche.

Una parte fondamentale di una strategia di Cyber Security è la creazione di una cultura aziendale condivisa da tutto lo staff.

Per ottenerla si deve partire dalla formazione ed i servizi di Security Awareness Training servono proprio a guidare tutto lo staff in un percorso in cui, partendo dal raggiungimento di una sempre maggiore consapevolezza dei rischi, si acquisiscono le competenze per mitigarli, comprendendo come queste rappresenteranno un valore anche nella propria vita personale.

È importante che la formazione possa essere personalizzata, basata su servizi di intelligence sulle minacce. In questo modo si eroga la formazione giusta alle persone giuste al momento giusto.

 

TIP #3 - Applicare la segregation of duties
Ti abbiamo detto che è importante stabilire un punto di riferimento unico che si occupi di supervisionare l'intera strategia in modo da avere un quadro generale e sempre aggiornato della security posture della tua azienda.

È però altrettanto importante coinvolgere anche altri attori, in modo da applicare il principio della segregation of duties. In quest'ottica verifica che il tuo fornitore operi con un numero adeguato di risorse e soprattutto che abbia una rete affidabile di partner a cui delegare determinati servizi.

Oltre a questo ti consigliamo di definire una risorsa interna alla tua azienda, che si interfacci con il fornitore dei servizi esterni e che faccia parte dell'Incident Response Team.

 

New call-to-action

 

Autore dell'articolo: Sara Mattioli
LinkedIn

Sono in Errevi System dal 2007, tanti anni in cui l'azienda e con lei il mio ruolo sono stati in continua evoluzione, ma una cosa è rimasta invariata: la sensazione di essere parte di un progetto da cui si possono attingere competenze utilissime per tante realtà, unita al senso di urgenza derivante dal desiderio di diffonderle. Con questo blog vogliamo fare proprio questo: condividere competenze, esperienze, stimolare la riflessione e il confronto per supportare le aziende che vorranno seguirci.