Esistono varie descrizioni per il concetto di SOC (Security Operations Center) fra cui una riportata su un testo Cisco: “Remember, running a SOC is a journey, not a destination”. Abbiamo chiesto all’esperto Giovanni Toscani, Responsabile NOC & SOC di VEM sistemi, se si rispecchia in una particolare definizione di SOC per il lavoro che svolge il suo team ogni giorno.
Cos’è un SOC?
Sicuramente tutte le definizioni evidenziano elementi caratterizzanti un SOC: un insieme di specialisti, un luogo dedicato, i processi, gli obiettivi di gestione del rischio informatico e dell’uso delle tecnologie, il monitoraggio. Sono tutti elementi chiave, tutti presenti. Con un po’ di romanticismo scegliamo però la definizione di Cisco che ci riporta all’idea di un percorso sempre in divenire (è inevitabile di fronte al tema sicurezza) che possiamo tradurre con il termine un po’ più standard del continual service improvement.
La sfida che si trova ad affrontare un SOC Manager è resa ardua da diverse componenti avverse: la compressione e limitazione del budget che affligge ogni ambito aziendale, il difficile approvvigionamento di risorse adeguatamente skillate (sia in termini di quantità che di qualità), la vastità ed eterogeneità della tecnologia presente sul mercato (sia quella a beneficio degli utenti finali, sia quella con cui si trovano a lavorare ogni giorno gli specialisti del SOC) e in ultimo il progredire incessante in termini qualitativi e quantitativi delle performance degli attaccanti. Di questi fattori qual è, a tuo parere, quello che maggiormente rende difficile il compito del SOC di cui sei a capo?
Tra le maggiori sfide del SOC, metto senza dubbio al primo posto la ricerca di personale “skillato”. Gli analisti ci dicono che in ambito security nei prossimi anni ci sarà una penuria di risorse, e già oggi è evidente come sia difficile reperire risorse qualificate. E non mi riferisco solamente alla conoscenza specifica di tecnologie, mi riferisco anche alla cultura di fondo della sicurezza che deve essere meglio coltivata, anche da chi è già esperto di tecnologie e di servizi gestiti. Direi che serve una buona dose di passione per la sicurezza se la si vuole ottenere ed offrire ai massimi livelli.
Un’altra importante sfida che si trova ad affrontare un SOC Manger è quella di dimostrare il valore delle proprie attività al “business”. In passato era molto complicato far comprendere al management l’importanza di dotarsi di adeguate strutture che tutelino la sicurezza dell’organizzazione, ora in taluni casi si assiste al fenomeno contrario: un management “illuminato” spinge fortemente sulla sicurezza (magari perché incalzato da norme e regolamenti) e la struttura tecnica sottostante fatica a seguire l’impulso che viene dall’alto, soprattutto per l’oggettiva difficoltà dell’impresa. Per dimostrare il proprio valore, il SOC, il suo manager e la sua squadra devono fornire risultati misurabili. È necessario quindi stabilire dei KPI (Key Performance Indicator) e promuovere un circolo virtuoso di miglioramento continuo (Continual Service Improvement). All’interno del tuo SOC sono previste misurazioni di KPI? È previsto un percorso di miglioramento continuo?
Un deciso sì ad entrambe le domande. Misurare il proprio operato è un punto cardine per la qualità (la qualità industriale, ciò che abbiamo pattuito e che ci siamo impegnati a fornire secondo modi e tempi certi) e non solo per rendere conto o ben “vendersi” al management.
Gli sforzi richiesti a un SOC spesso sono difficili da capire per il business che non può calarsi negli aspetti più operativi, quindi anche un semplice KPI come il tempo medio impiegato per completare una service request può dare evidenze importanti, sia se considerato in valore assoluto, sia se misurato nel tempo a definire un trend che consenta di fare scelte oculate.
Nel SOC di VEM utilizziamo KPI meno generici ma più specifici per la nostra struttura e allo stesso tempo cerchiamo di dare e raccogliere quanti più feedback possibile per alimentare il motore che fa girare il circolo virtuoso del CSI a beneficio della struttura e dei clienti. In particolare, in merito al CSI, tengo a precisare come il SOC di VEM operi in stretta relazione con l’IRT Certego e come il modello di gestione della sicurezza da noi proposto, VSecure, rappresenti di fatto un circolo virtuoso di continua correlazione tra le fasi di anticipation, prevention, detection, response.
La IT aziendale e la security sono, nelle organizzazioni più strutturate, elementi separati. È però evidente che, per un addetto alla sicurezza, avere nozioni sistemistiche, di networking o in ambito database risulti fondamentale. Quanto credi nella collaborazione della sicurezza con l’IT e quanto pensi sia possibile, da parte della sicurezza, attingere a risorse sistemistiche per ingrossare le fila del proprio “esercito”?
La collaborazione tra sicurezza e IT fa parte della nostra storia. Il nostro SOC è composto in gran parte da persone che “da sempre” si occupano di sicurezza, da esperti di network o altre tecnologie che decidono di affrontare la nuova sfida, e in parte anche da giovani che hanno tutto da imparare. Vero è che la sicurezza richiede basi tecnologiche variegate, per cui i giovani alle prime armi devono studiare tanto e farsi le ossa. La squadra vincente non si costruisce solo con i fuori classe, si forma nel tempo. Mi soffermo sulla parola esercito di questa domanda: in VEM preferiamo usare il termine “scienziati”, una squadra di scienziati. All’attacco che arriva da ogni parte e con le modalità più disparate non possiamo sperare di rispondere con la quantità, ma con l’intelligence. Con i processi prima e con gli strumenti poi. Con l’attenzione alla qualità e al continual service improvement.
Facebook Comments