Il
mondo della cyber security è ogni giorno più complesso e per
riuscire a gestire i numerosi incidenti informatici sempre più
organizzazioni iniziano a considerare l'ipotesi di far ricorso ai
servizi di un Security Operation Center (SOC) o a
realizzarne uno
all'interno della propria organizzazione.
Ma
cos'è un Security Operation Center?
Per
fare un po di chiarezza utilizzo un documento che mi è sembrato
molto chiaro e che invito a leggere: "Classification
of Security Operation Centers", pubblicato nel 2013. Gli
autori (Pierre Jacobs, Alapan Arnab, Barry Irwin) lavorano per il
Department of Computer Science della Rhodes University a Grahamstown,
in Sud Africa.
Ciò
che ora ci interessa è mettere in evidenza il concetto di SOC per
cui riporto il primo paragrafo del citato documento:
"A
Security Operations Centre (SOC) can be defined as a centralized
security organization that assists companies with identifying,
managing and remediating distributed security attacks [1]. Depending
on the capabilities required from a SOC by the en&terprise or
client, a SOC can also be responsible for the management of technical
controls. The end-goal of a SOC is to improve the security posture of
an organization by detecting and responding to threats and attacks
before they have an impact on the business."
Da
quanto detto si capisce immediatamente che il SOC è una struttura
organizzativa centralizzata che si occupa di assistere le società
nella identificazione, gestione e nel porre rimedio ad attacchi di
sicurezza distribuiti. Un SOC può anche essere chiamato a gestire
tutti i controlli tecnici di una società che si avvale dei suoi
servigi.
Il
SOC può essere interno alla società e lavorare solo a supporto
della stessa, o offrire servizi anche ad altre società. In ogni caso
lo scopo finale di un SOC è quello di migliorare la "postura
di sicurezza" di una organizzazione attraverso l'individuazione
e la risposta ai rischi e agli attacchi prima che questi possano
impattare sul core business dell'organizzazione.
Sarebbe
meglio dire che il SOC "tende ad evitare l'impatto di attacchi
informatici sul business dell'organizzazione o comunque a limitarne i
danni", in quanto affermazione più realistica.
Nel
documento è possibile trovare un'analisi approfondita delle funzioni
e dei componenti di un SOC, ma al momento ci interessa solo il
concetto suesposto.
Diciamo
subito che il SOC non è una invenzione dei nostri giorni e non
deriva neanche dal mondo ICT. Se ne parla da tanto negli ambienti che
gestiscono la sicurezza fisica ed il mondo ICT non ha fatto altro che
adottarlo.
Attualmente
si parla di SOC di quinta
generazione, riferendosi a strutture dotate di capacità di analisi
predittive oltre che di monitoraggio e risposta.
E'
opportuno mettere subito in evidenza l'aspetto, a mio parere, più
importante: un Security Operation Center è una unità organizzativa
complessa, generalmente centralizzata, che si occupa di identificare,
gestire e porre rimedio ai problemi di sicurezza informatica ed è
costituito da processi, strumenti e persone.
Mentre
processi e strumenti sono tutto sommato facili da trovare e
sostituire all'occorrenza, la stessa cosa non vale per le persone che
devono essere preparate adeguatamente e conoscere a fondo
l'organizzazione per cui lavorano.
Generalmente
un SOC utilizza uno o più strumenti informatici di tipo SIEM, ovvero
Security Information and Event Management, per l'aggregazione e
correlazione dei dati e informazioni provenienti da differenti
sistemi.
E
fino ad ora abbiamo parlato di teoria...
In
Italia vi sono diversi SOC gestiti da alcune delle più grandi
società del mondo ICT, tra questi vi è quello della Società
Engineering, quello della Italtel e quello della Leonardo.
Per
capire meglio l'utilità dei SOC nella società moderna mi sono
rivolto all'Ingegner Pesaresi della Engineering,
ad un team Italtel e ad un team Leonardo ponendo
loro alcune domande.
Ingegner
Pesaresi buon giorno e innanzitutto un grazie per la disponibilità.
Il cyber space è entrato prepotentemente nelle nostre vite
attraverso le notizie ormai quotidiane, immagino che qualcosa di
simile stia accadendo nelle organizzazioni. Quanto è importante il
settore Cyber per Engineering? Per
quale motivo la vostra società ha sentito la necessità di creare un
SOC?
Engineering:
Buon giorno, io sono il responsabile commerciale della BU Difesa e
Spazio in Engineering. Nella visione Engineering la problematica
della sicurezza informatica, o cybersecurity, deve essere affrontata
attraverso un approccio multidisciplinare, basato sull'unificazione e
integrazione di competenze di tipo legale, economico, e tecnologico,
poiché è divenuto oggi evidente che l’individuazione di soluzioni
efficaci e di risposte alle sfide poste in essere richiedono, oltre
alle ovvie competenze in ambito ICT, anche la profonda comprensione
di aspetti normativi, di dominio e la valutazione di impatti
socio-economici.
In
questi ambiti Engineering pone la massima attenzione alla
CyberSecurity, in quanto ritenuta di primaria importanza per la
protezione delle informazioni memorizzate e trattate con sistemi
informatici e trasmesse attraverso le reti, con lo scopo di
assicurare riservatezza, integrità e disponibilità delle
informazioni.
L’offerta
del Gruppo nell’ambito della Cyber Security è specializzata nella
sicurezza delle applicazioni, la sicurezza perimetrale di
infrastrutture informatiche, la sicurezza nello scambio di
informazioni tra reti a diverso livello di classificazione e la
sicurezza di infrastrutture critiche.
Il
gruppo Engineering opera attraverso un network integrato di 4 Data
Center dislocati a Pont-Saint-Martin, Torino, Milano e Vicenza, con
un sistema di servizi e un’infrastruttura che garantiscono i
migliori standard tecnologici, qualitativi e di sicurezza agli oltre
330 clienti sia in ambito nazionale che internazionale. In tale
contesto, allo scopo di assicurare la necessaria cornice di sicurezza
informatica ai dati ed ai sistemi dei nostri clienti, il Data Center
principale di Pont Saint Martin è dotato di un Security Operation
Center all'avanguardia.
Anche
in Italtel potete contare su un SOC nazionale. Ciò fa pensare che il
settore cyber sia molto importante, è così?
Italtel:
La
trasformazione digitale aumenta la superficie di esposizione agli
attacchi informatici che sono sempre più evoluti. E’ quindi
importante fornire soluzioni e servizi di qualità per garantire la
protezione dei dati, la resilienza delle infrastrutture critiche e
contrastare le minacce avanzate. La Cyber Security è pilastro
fondamentale della nostra offerta rivolta alla Pubblica
Amministrazione, alle aziende ed ai Service Providers, nostra storica
area di forza. Nata
come azienda di telecomunicazioni, Italtel da diversi anni ha
diversificato la propria offerta e oggi è una multinazionale
italiana nel settore dell’Information & Communication
Technology e indirizza con le sue soluzioni diversi settori verticali
quali: Pubblica Amministrazione, Sanità, Difesa, Finance, Energy,
Industry 4.0, Smart Cities, senza tralasciare le Telecomunicazioni. I
servizi di SOC di Italtel nascono già nel 2001 con l’acquisizione
di SecurMatics, sviluppando l’esigenza di garantire una gestione
efficace e continuativa dei livelli di sicurezza dei clienti in
affiancamento ai servizi professionali di rete ed alla gestione delle
infrastrutture mediante i nostri Network Operation Center (NOC) e
Technical Assistance Center (TAC). Oggi il panorama delle minacce è
in continua mutazione ed è quindi importante potenziare le soluzioni
ed i servizi, inclusi quelli managed, in un una linea di offerta
univoca rivolta alle pubbliche amministrazioni, alle aziende e ai
service provider.
Ho
visitato, tempo addietro, il SOC della Leonardo e ne sono rimasto
colpito…
Leonardo:
Leonardo garantisce le prestazioni, la continuità, l’information
superiority dei sistemi dei propri clienti, oltre a proteggerne le
infrastrutture e le applicazioni mediante interventi mirati. Sviluppa
inoltre soluzioni digitali sicure, identificando, riducendo e
gestendo le minacce, le vulnerabilità e i rischi. In questo ambito
Leonardo è in grado di fornire soluzioni innovative per contrastare
le minacce cyber, sempre più pervasive e strutturate, che rendono la
protezione del patrimonio tecnologico, informativo e intellettuale di
ogni organizzazione, civile o militare, una necessità improrogabile.
Tra le realizzazioni
più significative nel settore della cyber security Leonardo ha
fornito un sistema “chiavi in mano” alla NATO per lo sviluppo, la
realizzazione e il supporto della NATO Computer Incident Response
Capability (NCIRC), che eroga servizi a oltre 70.000 utenti in 29
Paesi. La capacità di offrire protezione è accresciuta anche dalle
soluzioni sofisticate di intelligence, applicabili sia a dati open
source sia a fonti eterogenee, a supporto delle esigenze delle forze
di polizia e agenzie investigative.
Il
vostro SOC è ad uso interno o ad uso esterno? Quali sono i servizi
che il vostro SOC rende? Quali sono i servizi più richiesti?
Italtel:
Il nostro SOC è principalmente rivolto al mercato con servizi
customizzati a seconda della tipologia dei clienti. Fondamentalmente
esistono due macro gruppi di clienti tipo. Aziende di grandi
dimensioni, che si sono date una adeguata security governance, hanno
già internalizzato i team operativi ma richiedono all’esterno
servizi o competenze specifiche che non riescono ad indirizzare, come
ad esempio i servizi di Threat Intelligence o di Incident Response
(IR). Aziende di medie dimensioni che ci chiedono oltre ai servizi
SOC in full-outsourcing anche di avere un ruolo di partner/consulente
in grado di effettuare assessments e gap-analisys continuative per
aumentare il livello di protezione. Tra
l’altro, mantenere un SOC operativo chiede investimenti continui
sulla formazione e sulle tecnologie a supporto dell’operazione.
Qual’è
invece la situazione per la Engineering? Quali sono i servizi più
richiesti?
Engineering:
Il nostro SOC fornisce servizi sia ad uso interno, ma soprattutto in
favore dei nostri clienti, che sono distribuiti in tutte le aree di
mercato e cioè Finanza, Telecomunicazioni, Utilities, Industria e
servizi ed anche la Pubblica Amministrazione ai quali eroghiamo
servizi a vari livelli, dalla consulenza di alto livello orientati
alla definizione della governance, ai servizi di assessment, quali
pentration test, vulnerabilty assesment ed ethical hacking, fino a
scendere ai servizi di un SOC quali ad esempio Security Response
Team, Gestione dell'infrastruttura di sicurezza e soluzioni di DDoS.
Inoltre, realizziamo anche progetti specifici per i nostri clienti
per implementare soluzioni di sicurezza come ad esempio Identity
Access management, Strong Authentication, Mobile Device Security.
Infine, ci stiamo realizzando alcuni progetti pilota di soluzione di
Cyber Threat intelligence, finalizzati a prevedere in anticipo
potenziali attacchi informatici.
Leonardo:
Leonardo ha realizzato due SOC, uno in Italia e l’altro in UK. Il
principale è quello di Chieti, un centro di eccellenza in ambito
Cyber Security e Threat Intelligence, ovvero dedicato alla protezione
dalle minacce cibernetiche nei principali settori di riferimento
(i.e. Infrastrutture Critiche, Grandi Aziende, Pubbliche
Amministrazioni, Difesa, Agenzie di Intelligence, Istituzioni
nazionali ed internazionali). Presso il sito di Chieti sono allocati
i principali asset di riferimento:
-
SOC Business (Security Operation Center), attraverso cui viene
garantita la capacità di detection e monitoraggio 24x7 per tutti i
client nazionali ed internazionali di Leonardo;
-
CSIRT (Computer Security Incident Response Team), attraverso cui
viene assicurata la risposta tempestiva ad un attacco informatico;
-
Cyber Threat Intelligence (ovvero servizi di Open Source Intelligence
basati su un middleware proprietario implementato su una piattaforma
di supercalcolo ad alta efficienza energetica – High Performance
Computer).
Il
centro operativo di sicurezza di Chieti rappresenta oggi uno dei più
importanti Managed Service Security Provider (MSSP) a livello
europeo, in termini di completezza del portafoglio dei servizi
erogati e in relazione al numero di clienti e piattaforme monitorate.
Alcuni numeri più significativi: oltre 50,000 log ricevuti,
aggregati e collezionati ogni secondo; più di 30,000 eventi di
sicurezza collezionati e correlati al secondo. Il SOC gestisce una
media di 50 incidenti di sicurezza al giorno, applicando le
principali best practice internazionali di riferimento (ad es.
NIST-800-xx, ENISA) al fine di contenere gli incidenti e rispondere
tempestivamente alle odierne minacce di sicurezza cibernetica. A
Chieti lavorano oltre 100 esperti di sicurezza, di cui Certified
Ethical Hacker specializzati in attività di Vulnerability Assessment
e Penetration Test. Ogni anno sono analizzati e inviati ai Clienti
oltre 500 annunci di early warning. Il sito inoltre possiede diverse
certificazioni dei Servizi di Sicurezza Gestita.
Per
mantenere un SOC operativo, immagino, dobbiate investire in ricerca e
sviluppo. E' cosi? Quanto investite in percentuale e in quali settori
del cyberspace?
Engineering:
Engineering crede nella ricerca e nella necessità di trasformare il
potenziale delle tecnologie informatiche in opportunità di crescita
per i propri clienti attraverso l'innovazione, in un allineamento
continuo con l’evoluzione di tecnologie, processi e modelli di
business.
Engineering
ha aperto il primo laboratorio di ricerca nel 1987 e oggi, in
collaborazione con aziende, università e centri di ricerca a livello
nazionale e internazionale, conta su:
La
Cybersecurity è uno dei temi sui quali si sta investendo di più in
termini di ricerca in particolare in ambito europeo, dove Engineering
è presente con un laboratorio denominato IS3Lab (Intelligence
Systems and Social Software) che partecipando con un ruolo di
leadership ai principali progetti di ricerca finanziati in ambito
Horizon2020.
Avete
collaborazioni con organizzazioni di sicurezza? Che tipo di rapporti
esistono tra il vostro SOC e i CERT nazionali?
Engineering:
Engineering è anche uno dei soci fondatori di ECSO (European
CyberSecurity Organization) che raggruppa le principali aziende
europee che si occupano di sicurezza informatica, e che sta
collaborando con le istituzioni europee per la definizione di una
strategia comune in ambito Cybersecurity.
Leonardo:
In questo settore la collaborazione è un fattore
critico di successo. Collaboriamo con numerose imprese e technology
provider internazionali con cui scambiamo informazioni sulle nuove
minacce e vulnerabilità. Grazie alle capacità riconosciute dal
mercato, siamo il partner strategico di molte tra le più importanti
organizzazioni pubbliche e private in Europa e non solo. Questo ci
consente di supportare tali organizzazioni nel design e nella
implementazione dei loro sistemi di sicurezza informatica. Con esse
possiamo scambiare informazioni come previsto dalle relazioni
contrattuali. Infine, partecipiamo a gruppi di lavoro e tavoli di
confronto istituzionali in Europa (ad esempio ECSO) così come in
Italia e nel Regno Unito.
Un
progetto di partnership importante, inoltre, è sviluppato insieme
alla NATO.
Leonardo
e l’Agenzia per le comunicazioni e le informazioni dell’Alleanza
Atlantica (NCI - Communications and Information Agency) hanno siglato
un accordo di collaborazione sulla sicurezza informatica allo scopo
di condividere informazioni confidenziali per migliorare la
conoscenza del contesto di riferimento e aumentare la protezione
delle rispettive reti e sistemi.
Questa
iniziativa di collaborazione mira alla condivisione delle
informazioni sulle minacce informatiche e sulle pratiche di sicurezza
da adottare e riconosce l’importanza di lavorare con partner
industriali affidabili affinché l’Alleanza possa raggiungere
pienamente i propri obiettivi in materia di protezione dalla cyber
criminalità. Leonardo coopererà con l’agenzia NCI per comprendere
meglio i modelli di minaccia e le tendenze di attacco più recenti.
Ciò renderà più efficace l’applicazione di misure preventive e
migliorerà le capacità dell’azienda nella salvaguardia delle
informazioni, riducendo così la portata di eventuali tentativi
futuri di intrusione.
In
Italia qual'è il mercato dei servizi di sicurezza informatica? Visto
l'aumentato interesse verso la cybersecurity, è aumentato il mercato
nell'ultimo periodo?
Engineering:
In Italia il mercato dei servizi della sicurezza informatica ha
stentato a decollare in quanto i nostri clienti erano poco sensibili
a questa tipologia di minaccia. Forse un ruolo importante lo ha
giocato il gap tecnologico del nostro paese, che risulta uno dei meno
connessi e quindi, intrinsecamente meno esposto a rischi informatici.
Tuttavia, negli ultimi mesi, forse a causa dei recenti episodi di
attacchi informatici che hanno compromesso anche la reputazione di
molte aziende, la questione, che prima era vista come un problema
tecnico gestito dai CIO/CSO, è salita all'attenzione dei vertici che
hanno incominciato a prendere coscienza delle conseguenze in termini
reputazionali che può subire un'azienda vittima di attacchi
informatici. Di conseguenza il mercato italiano sembra volgere uno
sguardo più attento alla questione della protezione dei dati e dei
sistemi aziendali e sempre più clienti incominciano ad affrontare il
problema, chiedendoci, in prima battuta attività di analisi del
rischio e, successivamente, richiedendoci attività di messa in
sicurezza delle loro infrastrutture ICT.
Leonardo:
Nel periodo 2013
– 2018 il mercato mondiale della cyber
security cresce
con un tasso annuo di crescita composto (CAGR)
del
10,4% fino ad un valore atteso di 80B€ nel 2018; il mercato
italiano cresce con un CAGR del 8,6% per un valore pari a ca. 2B€
nel 2018. Il rapporto Assinform 2017 indica per lo scorso anno una
crescita del mercato della sicurezza informatica di oltre 11%.
Nel
contesto italiano, il settore Government / Defense rappresenta
il 20% del mercato, mentre il cluster Business circa l’80%
(di cui il settore CNI – Critical National Infrascructure –
impatta per oltre la metà).
Che
tipo di personale può trovare impiego in un SOC? Che tipo di studi e
che specializzazioni occorrono?
Engineering:
Nel
nostro SOC trovano impiego ingegneri informatici specializzati in
sicurezza delle reti e del software. Purtroppo queste professionalità
sono difficile da trovare sul mercato perchè esistono in Italia
pochi programmi di studio finalizzati a preparare ingegneri esperti
in sicurezza informatica. Per far fronte a questo gap, abbiamo
avviato presso la nostra Scuola ICT "Enrico Della Valle"
una serie di corsi di specializzazione in cybersecurity rivolti
principalmente a formare personale interno, ma aperti anche
all'esterno a quelle organizzazioni che intendessero specializzare
propri dipendenti.
Leonardo:
Noi impieghiamo esperti
di sicurezza informatica e giovani tecnici e ingegneri con conoscenza
teorica degli standard e dei protocolli di sicurezza informatica,
delle maggiori problematiche di sicurezza. Prediligiamo personale con
elevata propensione alla risoluzione di problematiche inerenti
network e security, conoscenza degli standard e delle best
practice
di riferimento per il governo della Sicurezza ICT, la prevenzione e
la gestione degli incidenti di sicurezza informatica e conoscenza
delle tematiche di sicurezza finalizzate alla protezione di reti e
sistemi di controllo e automazione.
Per
quale motivo i vostri clienti si sono rivolti a voi? A seguito di
incidenti cyber o per prevenire problemi?
Italtel:
Italtel ha tradizionalmente operato nella progettazione e
realizzazione di infrastrutture di rete per service provider globali
e nella nostra esperienza l’elemento della sicurezza è da sempre
un fattore chiave sotto molteplici aspetti. In virtù di questa
expertise molti clienti si sono rivolti a noi sulla Cyber Security
perchè hanno già avuto modo di saggiare la nostra qualità del
servizio nella gestione di reti complesse.
Engineering:
Come si accennava sopra, la nostra azienda eroga da decenni servizi
ICT tramite i propri Data Centre a clienti pubblici e privati ed in
tale contesto per noi è sempre stato un "must" assicurare
i massimi livelli di sicurezza logica e fisica. Molti di questi
clienti gestiscono loro infrastrutture per le quali hanno sentito la
necessità di migliorare i propri livelli di sicurezza. E' stato
quindi quasi naturale che i nostri clienti, alla luce delle nostre
riconosciute capacità, ci chiedessero consulenza in ambito
cybersecurity. Tuttavia, recentemente, la nostra azienda ha avviato
un'attività di promozione delle proprie competenze nel settore
cybersecurity anche nei confronti di tutto il mercato.
Secondo
voi qual'è la figura più importante, se esiste, all'interno di un
SOC?
Se
doveste rivolgervi ai giovani, invitandoli a studiare una o più
materie, cosa potreste suggerirgli?
Engineering:
Direi che non esiste una figura più importante delle altre. La
cybersecurity è una materia multidisciplinare che richiede
competenze variegate, che vanno dalla governance, alle questioni più
prettamente tecniche e che coinvolgono tutta l'infrastruttura ICT,
dai livelli più bassi della rete a quelli più elevati delle
applicazioni.
Quindi,
l'unico suggerimento che mi sentirei di dare ad un giovane ingegnere
informatico è di specializzarsi in qualunque materia inerente la
cybersecurity perchè sicuramente troverà un'azienda disponibile ad
assumerlo.
Italtel:
Se proprio dovessimo individuare una figura di rilievo, allora direi
che il SOC MANAGER è il ruolo
fondamentale per l’erogazione del servizio, in grado sia di
governare e stimolare i security analyst nelle fasi più delicate
della gestione di un incidente informatico sia nel gestire
adeguatamente le comunicazioni con l’esterno.
Quali
strumenti utilizzate nel vostro SOC? Quale SIEM utilizzate?
Engineering:
Il
nostro SOC utilizza prodotti cosiddetti "branded".
Tuttavia, c'è sempre maggiore attenzione verso l'open source non
solo per questioni economiche, ma anche per esigenze di "sicurezza
nazionale". Infatti, la tendenza è di cercare di avere il
controllo del codice sorgente anche per questa tipologia di prodotti.
Dal
punto di vista normativo, la nuova norma "Direttiva recante
indirizzi per la protezione cibernetica e la sicurezza informatica
nazionali", DPCM emanato il 17 febbraio 2017 e pubblicato in
Gazzetta Ufficiale, serie generale n. 87 del 13 aprile 2017, sembra
promettere grossi cambiamenti, cosa ne pensate?
Italtel:
Il DPCM Gentiloni migliora ed ottimizza la catena decisionale
nazionale nell’affrontare il domino Cyber, terreno principale dei
conflitti futuri. Inoltre il modello cooperativo e collaborativo tra
le istituzioni e le infrastrutture critiche ritengo sia fondamentale
per affrontare le minacce che ci attendono.
Leonardo:
Con
il DPCM 17/2/2017 e il successivo Piano Nazionale, il Dipartimento
Informazioni per la Sicurezza (DIS) acquisisce il ruolo di guida
delle attività di cyber security a livello nazionale.
Il
ruolo sarà esercitato mediante due strutture dedicate
rispettivamente la prima alle attività “operative” e la seconda
a quelle di natura strategica ed evolutiva. In ambito operativo,
viene a costituirsi un servizio di Intelligence e Sicurezza
Cibernetica (NSC) con l’obiettivo di gestire h24 l’unità per
l’allertamento e la risposta a situazioni di crisi cibernetica,
acquisendo le comunicazioni su violazioni o tentativi di violazione
dagli organismi di informazione per la sicurezza, dalle Forze di
Polizia, dalle strutture del Ministero della Difesa (che permangono
separate) e dai CERT (Computer Emergency Response /Readiness Team).
E’
inoltre prevista la realizzazione di laboratori per la
valutazione e certificazione nazionale per componentistica ICT di
mercato destinata a infrastrutture critiche e strategiche, sviluppo
di crittografia nazionale, Ricerca e Sviluppo su tecnologie sovrane.
Leonardo
è in grado di mettere a disposizione competenze e servizi a supporto
dell’operatività del DIS. In particolare, ciò riguarda gli ambiti
di Threat Intelligence e Open Source Intelligence, modelli, soluzioni
e capacità a supporto dei CERT, sistemi e servizi per
l’addestramento (Cyber range / Cyber Academy), competenze di
consolidamento infrastrutturale ed applicativo, competenze di
“hardening” di sistemi.
Un
elemento interessante è, inoltre, il centro di Ricerca e Sviluppo in
tecnologie sovrane di cyber security, che sarà verosimilmente
costituito nell’ottica di una collaborazione tra settore pubblico e
privato, creando un ecosistema che veda la collaborazione di
istituzioni, industria ed accademia.
Engineering:
Senza dubbio si sentiva l'esigenza di dare una "governance"
al modo della cybersecurity in ambito nazionale e la Direttiva va
sicuramente in questo senso affidando al DIS un ruolo centrale di
guida. Tuttavia, bisognerà fare ogni sforzo affinchè l'approccio
non sia quello di trattare la materia come una questione "riservata"
a pochi addetti ai lavori, ma di affrontare la questione con la
massima apertura mentale possibile, coinvolgendo tutte parti in gioco
sia pubbliche, ma soprattutto private.
Penso
che la panoramica fatta con l'aiuto di Italtel, Engineering e
Leonardo sia sufficiente a illustrare lìimportanza dei SOC e dei
servizi di cybersecurity erogati per cui non resta che ringraziare
tutti
per la disponibilità e mi auguro che possano servire a fare un po di
chiarezza nel mondo Cyber sul concetto di SOC.
I
SOC, sia chiaro, sono solo un aspetto della cyber security. Network
Operation Center (NOC) e Infrastructure Operation Center (IOC) con le
loro varianti completano le strutture impiegate nella gestione del
cyberspace e spero di poter avere l'occasione di parlarne
prossimamente.
Alessandro
Rugolo & Ciro Metaggiata.
Per
approfondire:
-
http://ieeexplore.ieee.org/document/6641054/
-
http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-operation-center-concepts-&-implementation;
Immagini
fornite dalla Leonardo.
