Qualsiasi azienda avrebbe bisogno di un SOC (Security Operation Center), ma quasi nessuna se lo può permettere realmente. D’altra parte, la soluzione non viene nemmeno caldeggiata dai vendor: eppure, rappresenterebbe un’opportunità di business a concorrenza minima.
Un SOC è l’insieme di soluzioni tecnologiche, personale con specifiche conoscenze e insieme di regole che ha il compito di individuare, analizzare e dare indicazioni per ovviare ad un attacco informatico in corso o prevedibile.
A questo punto il lettore meno esperto potrebbe pensare che tutti dovrebbero avere un SOC che li “difenda”: ed io ritengo abbia perfettamente ragione, ma la realtà è molto più complicata di così. Facciamo chiarezza sul tema e forniamo qualche spunto di riflessione.
Indice degli argomenti
Problemi e detrattori del SOC
Innanzitutto, il SOC è una struttura normalmente costosa e quindi le aziende, normalmente, ne stanno lontane ufficialmente per questioni di budget. Altre aziende, come ad esempio le banche, sono pressoché costrette ad implementarne uno ma più per questioni “assicurative” che di reale attenzione alla sicurezza informatica. Difatti il SOC, in questa accezione distorta, personifica la terminologia legalese “fare tutto il possibile per evitare” che apre poi i cordoni dei soldi (dell’assicurazione) per il rimborso dei danni causati dai futuri attacchi.
Questo livello di “distorsione” però è appannaggio di pochi per una pura questione di costi-benefici.
Poi ci sono i SOC messi in piedi da uno Stato per il controllo specifico di “aree (informatiche) sensibili” ma qui si entra in un altro campo minato che, almeno per questo articolo, vorrei evitare. In Italia la risposta è sotto gli occhi di tutti: quelli che dovrebbero essere i responsabili seguono la massa che, semplicemente, fa il minimo indispensabile ma che, in realtà è zero.
Al mio ritorno da un lungo periodo passato all’estero ho potuto toccare con mano questo deludente approccio. Purtroppo, questo approccio non è solo relativo al mondo dell’impresa che fa, per definizione, un altro lavoro ma anche da parte degli addetti ai lavori. Queste sono aziende che avrebbero (almeno sulla carta) tutte le competenze per realizzare un SOC con il quale gestire la sicurezza dei propri clienti, ma preferiscono continuare a fare la fila per vendergli, invece, software e hardware con il quale l’azienda dovrebbe risolversi i problemi di sicurezza da sola.
Gli stessi “operatori del settore” non vogliono investire per riconvertire parte delle loro competenze e conoscenze in ottica “servizio gestito” e rivendere questo come servizio “unico” al mercato (che ne avrebbe davvero bisogno) perché richiede investimenti, perché l’azienda italiana di questo genere non vuole spostarsi dalla sua zona di conforto ma, ho notato, anche perché chi dovrebbe spingere e guidare le scelte del top-management, non ha idea di come realizzare davvero un SOC.
La paura frena il mercato
In questo scenario alcuni vendor hanno provato a propinare “soluzioni magiche” ma dopo qualche anno di adozione i clienti che gli hanno dato fiducia hanno capito che anche questo approccio non è sufficiente. Si perché l’assioma che dovete mettervi in testa è che “non c’è una soluzione che vi metta al riparo automaticamente, chi ve la propone è quindi un ciarlatano e deve essere evitato. Se tornate alla definizione del SOC che ho dato all’inizio di questo articolo potrete notare che l’ho definito come l’insieme di diverse soluzioni. Ricordatevi che il SOC rappresenta la massima difesa possibile della sicurezza che potrete mai mettere in campo.
Anche in Italia, ci sono diversi master e corsi di laurea in cyber security, qualcuno pure in “Analisi Forense dei dati” ma provate a cercare quanti di questi o di altri corsi parlano anche di come costruire SOC. La risposta vi introdurrà nella realtà.
Tutti si dedicano alle metodologie di attacco o, al limite, a come cercare di scoprire come o chi abbia attaccato. Ma dopo la prevenzione o l’approccio preventivo, come per molti altri settori, è l’ultimo ad essere preso in considerazione e, come dicevo, ancora non siamo arrivati neanche a un timido inizio.
Possibili soluzioni
Quindi, riassumendo:
- il SOC dovrebbe essere la soluzione ideale per ogni azienda;
- il SOC è costoso e quindi alla reale portata di pochi;
- l’unico modello economicamente vantaggioso sarebbe l’outsourcing ma le aziende non vogliono investire e non ne hanno la reale competenza implementativa;
- l’offerta di formazione di figure professionali in tal senso è nulla.
Dopo aver compreso tutto questo, cosa possiamo fare quindi? Sicuramente uno dei volani al cambiamento potrebbe essere la richiesta forte da parte delle aziende verso i propri “tradizionali fornitori di fiducia” di acquisire meno hardware e software ma più servizi di sicurezza gestita. Certo qualcosa di meno di un SOC ma almeno un messaggio chiaro ai fornitori: “vogliamo qualcosa di diverso”.
Questo atteggiamento potrebbe spingere le aziende che vengono da voi come “esperti del settore” a prendersi carico del servizio e non solo del margine della vendita del firewall o del software miracoloso.
Nei confronti invece della controparte non-offerente suggerirei un’attenta valutazione del mercato: il mercato della vendita del “fantastico prodotto X” è troppo affollata ed i margini in calo costante. Il cominciare a proporre la gestione della base installata (o di eventuali espansioni) porterebbe ad una moltiplicazione delle revenues amplificata dalla capacità di vedere ed analizzare il reale stato del cliente.
Punto di arrivo prefissato ovviamente è la realizzazione di un SOC ma anche la susseguente apertura di una serie di nuovi servizi in cui la concorrenza è davvero, al momento, labile. Mi domando spesso come mai blasonati system integrator aprano sedi all’ estero per aumentare il fatturato quando, al contempo, hanno un mercato inesplorato e teoricamente alla loro facile portata, proprio nel loro giardinetto di casa.
Vorrei ricordare che il successo di un SOC, cosi come di questo genere di iniziative imprenditoriali, dipende non solo dal budget profuso per l’acquisizione di talenti, hardware e software ma anche dalla perfetta conoscenza del cliente finale e delle sue peculiari esigenze. E chi ha questa conoscenza se non chi lo segue da anni? Il vantaggio competitivo è quindi degli esperti del settore, ma tale vantaggio potrebbe non essere a disposizione per sempre quindi bisogna trovare un modo per non vanificarlo.
I problemi di cyber security attuali del 98% del mercato (dallo studio professionale all’azienda con 500 dipendenti, alla fabbrica) passano dalla sicurezza gestita, non dalla semplice vendita di prodotti miracolosi. Le aziende dal canto loro sono sempre più attente a valutare il rapporto costi-benefici per priorizzare gli investimenti che li tengono sul mercato più di altre e non più dalle funzioni miracolose prospettate. Cerchiamo di cogliere tutti queste opportunità.
Infine, un messaggio anche a voi centri di ricerca (universitaria e non): sfruttate al meglio le competenze come le mie e quelle di tanti altri che stanno esplorando accezioni della cyber security “diverse” perché è in questa diversità e contaminazione che la ricerca si arricchirà e arricchirà il tessuto imprenditoriale e sociale legato alle tecnologie. Non limitatevi a “copiare” stereotipi di necessità, ma precorretene il più possibile per dare una possibilità alle nostre nuove leve di essere davvero all’avanguardia e non schiavi di macchine infernali come sono ora le aziende che li accolgono per poi schiacciarli. A volte basta rispondere ad una e-mail ed investire qualche ora del vostro tempo.
