Il SOC as a Service rappresenta la soluzione per quelle aziende che riconoscono gli indubbi vantaggi di un Security operations center ma che, al tempo stesso, non possono costruirlo internamente, vuoi per mancanza di risorse oppure poiché intimorite da alcune note criticità e qualche leggenda metropolitana. Il SOC as a Service potrebbe, dunque, mettere tutti d’accordo? Non tutti ma quasi. Questo modello va sicuramente valutato quando si definisce una strategia di cybersecurity.
Cos’è un SOC as a Service
Partiamo da una definizione. Il SOC (Security Operations Center) as a Service, o SOCaaS, è un modello di sicurezza che viene attivato e gestito h24 da un fornitore di servizi gestiti esterno all’azienda, con una formula ad abbonamento e sotto forma di servizio. Il SOC è una piattaforma digitale che si occupa di monitorare in modo costante le infrastrutture e le reti aziendali, evidenziando agli specialisti dedicati eventuali criticità. «Un servizio di SOC consente di avere visibilità sulle infrastrutture del cliente, di effettuare monitoraggio finalizzato alla rilevazione di eventi di sicurezza e al contenimento e risposta di eventuali incidenti», spiega Giuseppe Colosimo, Cyber Security Director di WIIT, azienda specializzata nei servizi cloud.
Who's Who
Giuseppe Colosimo
Cyber Security Director di WIIT
Un SOC as a Service, quindi, si occupa di monitorare l’infrastruttura informatica, senza che il cliente si occupi della gestione della piattaforma. Un vantaggio strategico, se si pensa a tutto ciò di cui si occupa un SOC tradizionale. Tra le sue varie funzioni, infatti, si trovano il monitoraggio h24 di una rete, threat intelligence, gestione e analisi dei log, ma anche reportistica su più livelli, analisi del rischio e della compliance. Le attività di un SOC sono scalabili e il SOC as a Service non fa differenza: esiste una base di servizi che può essere estesa e personalizzata con la scelta di svariate opzioni.
Un servizio di SOC as a Service su più livelli
Colosimo conferma: «L’offerta di WIIT, per esempio, si compone di un SOC as a Service su due livelli: uno standard e uno enterprise. Il primo è un’offerta focalizzata sulle necessità delle piccole e medie imprese, il secondo include la possibilità di definire ed ingegnerizzare le regole di correlazione per le analisi sulla base delle esigenze del cliente specifico». Quella della scalabilità è una delle principali caratteristiche dei SOC as a Service. Laddove un SOC tradizionale si basa, fin da subito, sulle risorse allocate in fase di progettazione, con spese elevate quando si tratta di ampliarne le funzioni, un SOC as a Service viene configurato e adattato dal partner che lo gestisce. E che si assume tutti gli oneri e le criticità di una eventuale espansione del servizio.
«La decisione di affidarsi a un SOC esterno dipende da molte variabili: risorse, budget e personale sono solo alcune», afferma Giuseppe Colosimo. Che continua: «Una grossa banca può decidere di destinare molte risorse al SOC interno, mentre una fabbrica meccanica da cento milioni di euro di fatturato lo farà molto più difficilmente, poiché il suo core business è molto distante dalla sicurezza».
Il riferimento implicito è al delicato tema dei costi. Un’azienda non avvezza al mondo della cybersecurity tende a investire meno nella sicurezza digitale, figurarsi a creare un SOC interno, che richiede un investimento enorme in termini di risorse e costi.
Tuttavia, esiste un modo per godere dei benefici di un vero SOC, a una frazione del costo: è, appunto, il SOC as a Service. Colosimo conferma: «Per noi, per esempio, il SOC as a Service è il punto di partenza: è per questo che abbiamo un’offerta base espandibile con altri moduli». E chiosa: «Se il nostro cliente decide di non partire dal SOC as a Service può andare bene, ma sulla base di una strategia condivisa che, in una fase successiva, arrivi comunque all’adozione del SOC».
Il motivo di tanta enfasi sul SOC as a Service non è di natura commerciale, ma strategica. Un SOC as a Service va a creare la base su cui poi costruire un progetto, più o meno esteso che sia, di cybersecurity. Dunque, è bene implementarla il prima possibile, di modo da creare una base dati, e relativa analisi, che rilevi fin da subito le principali criticità e suggerisca le soluzioni migliori sia in termini tecnici che economici. Perché ciò che differenzia, più di tutto, SOC e SOC as a Service, è la filosofia, che nel secondo caso è quella del servizio. Un SOC as a Service è un’unità che va integrata nell’infrastruttura aziendale, ma che viene poi gestita in perfetta autonomia da personale qualificato, lasciando all’azienda la possibilità di concentrarsi sul proprio core business.
Un servizio da valutare con metriche precise
Al tempo stesso, il SOC as a Service gode del contesto migliore in cui svilupparsi. Aggiornamenti degli operatori di hardware e software, controlli di sicurezza interna, gestione di ogni criticità, il tutto senza che il cliente debba occuparsi di nulla. Colosimo sottolinea diverse volte l’importanza del dialogo con il cliente, che all’occorrenza deve poter contare su interlocutori che gli spieghino il lavoro svolto secondo parametri precisi e facilmente comprensibili. «Quello che è importante nella rilevazione dei servizi SOC è l’efficacia, misurabile con metriche trasferibili al cliente». In questo modo, l’azienda ha sempre la certezza di poter contare su un servizio di sicurezza che la tuteli in modo costante, e su una comunicazione chiara.