I Security Operations Center (Soc) sono nati negli anni per analizzare e proporre soluzioni contro le minacce esterne. Ma uno studio realizzato dalla divisione consulenza & intelligence nella sicurezza operativa di Hp arriva a dimostrare come la maggior parte di essi, siano essi aziendali o di istituzioni, rivelino un livello di maturità al di sotto degli standard richiesti.
Hp ha misurato le capacità di 87 Soc situati in 18 paesi nel mondo, basandosi sul modello di maturità per l’integrazione messo a punto dall’istituto di ingegneria software di Carnegie-Mellon. Le valutazioni si sono concentrate sulle capacità delle organizzazioni incaricate di rilevare, in maniera affidabile, le attività malevole, attivando un approccio sistematico di gestione appropriata delle minacce su quattro categorie: persone, processi, tecnologia e supporto al business.
Il modello di maturità esprime una valutazione che va da 0 a 5, dove il minimo evidenzia un approccio incompleto, 1 si applica alle installazioni che rispondono alle esigenze minime per fornire una visione generale sulla sicurezza, 3 si riferisce a operazioni ben definite e 5 corrisponde a un contesto ottimizzato per il miglioramento continuo. Il livello 3 viene giudicato il minimo raccomandato. Nell’analisi effettuata, esso non viene raggiunto dall’87% dei Soc, ma il 20% non arriva neanche al livello 1. L’osservazione è stata condotta per cinque anni e la media è bassa in ogni settore industriale coinvolto, con un punteggio minimo di 1,12 conseguito dalle Tlc e un massimo di 1,87 per l’industria delle nuove tecnologie.
Hp ha notato che i Soc sono cresciuti in maturità nel periodo analizzato, ma per valutare i miglioramenti occorrono incidenti di grande portata. Anche i tool e i metodi utilizzati sono evoluti, ma i Soc devono comunque superare difficoltà connesse alle scelte delle aziende, spesso orientate verso i benefici a breve termine. Un esempio è l’acquisto di uno strumento per la gestione dei log, fatto per rispondere a necessità di conformità, ma non supportato da un sistema di gestione delle informazioni e degli eventi di sicurezza (Siem) o di motori analitici per correlare i dati dei log.
Comunque, secondo Hp, le imprese stanno lavorando per diventare più proattive nella rilevazione dei sistemi compromessi, spesso con equipe dedicate a identificarli. Tuttavia, la mancanza di competenze nell’analisi per la sicurezza è una debolezza piuttosto diffusa e questo limite è rafforzato dalla difficoltà di attirare e trattenere i professionisti di talento.
Infine, per certe organizzazioni i workflow sono un problema, visto che le strutture deputate alla sicurezza sono spinte a concentrarsi sulla quantità di incidenti trattati piuttosto che sulla riduzione dei rischi qualitativi. Hp suggerisce un approccio olistico, che prenda in conto tecnologie, processi, persone e supporto al business, alle scopo di migliorare la sicurezza operativa.