Un mondo senza rischi informatici è purtroppo una chimera. Fortunatamente, le organizzazioni possono evitare molte sofferenze e, quando si verifica un attacco, risolverlo adeguatamente. Le organizzazioni sono ben consapevoli del pericolo degli attacchi informatici, secondo l'indagine di benchmark sulla cybersecurity condotta da Conscia in collaborazione con la società di ricerche di mercato The Blue Hour.

Ad esempio, 43% degli intervistati hanno indicato che la maggior parte del loro tempo dedicato alla sicurezza informatica viene impiegato per la prevenzione. Per 85%, la "sensibilizzazione e formazione" è una misura importante adottata per prevenire gli incidenti di sicurezza informatica. Tuttavia, quando si verifica un incidente, la ricerca mostra che di solito ci vogliono più di 200 giorni prima che l'incidente venga notato. Maarten Werff, Solution Consultant Cybersecurity di Conscia: "È per questo che rimane imperativo avere misure di rilevamento e risposta oltre alla prevenzione, per ottenere anche una visione degli attacchi che non vengono fermati dalle misure preventive. Sembra una piccola percentuale, ma può comunque causare molta sofferenza".

SOC: costruire il proprio o esternalizzare?

Un Centro operativo di sicurezza (SOC) può fornire la soluzione. Spesso l'opinione generale è che un SOC comporti costi elevati, richieda molto tempo, conoscenze ed energie da parte dei dipendenti e sia quindi destinato solo alle grandi organizzazioni. Ma è vero?

Un semplice calcolo: una ricerca di Forrester mostra che, in media, le organizzazioni hanno bisogno di 14 analisti di sicurezza FTE per costruire e mantenere la propria funzione SOC (11 FTE per le organizzazioni con meno di 5.000 dipendenti e 20 FTE per le organizzazioni con più di 5.000 dipendenti). Questo dato tiene conto del fatto che le persone lavorano giorno e notte e di tanto in tanto vanno in vacanza.

Se si considera il costo di un servizio esterno di Managed Detection & Response (MDR) con monitoraggio 24/7 per 1.000 dipendenti, si arriva a circa 6.000 euro al mese. Si tratta quindi di una cifra addirittura inferiore a quella di 1 FTE. Quando le organizzazioni creano un proprio SOC, oltre alle persone giuste hanno bisogno di una piattaforma tecnologica adeguata. Questo fa lievitare i costi totali di gestione di un SOC interno fino a tre volte il costo di un SOC in outsourcing (con un CAPEX elevato).

Attirare e trattenere gli analisti della sicurezza

La creazione di una funzione SOC propria presenta anche dei vantaggi. I rischi specifici dell'organizzazione vengono compresi più rapidamente e meglio dalle persone interne. D'altro canto, è difficile trovare e trattenere persone valide. E non è nemmeno l'ultimo dei loro compiti. Forrester afferma che 96% degli analisti di sicurezza subiscono un impatto personale dopo un incidente. Pensate alle lunghe giornate di lavoro, allo stress che si porta a casa, al sonno insufficiente. Tutto ciò è il risultato della cosiddetta "stanchezza da allarme".

Le organizzazioni non devono affrontare questo problema quando esternalizzano la funzione SOC, così come le opportunità di scaling up. L'indagine di benchmark mostra che 15% degli intervistati hanno già esternalizzato la funzione SOC. In 55% dei casi, il monitoraggio e l'analisi degli avvisi di sicurezza vengono effettuati dal team IT interno. Inoltre, il 6% delle organizzazioni dichiara di avere un proprio SOC che effettua il monitoraggio e l'analisi durante le ore lavorative (3%) o 24/7 (3%). Quasi un quarto degli intervistati non ha o comunque non ha protetto il rilevamento degli avvisi di sicurezza.

Il panorama delle minacce richiede un approccio diverso

Secondo Maarten Werff, c'è un'altra buona ragione per passare all'MDR: "Nell'ultimo decennio ci siamo concentrati principalmente sulla rete, ma con il cambiamento del panorama delle minacce dovuto all'aumento del lavoro a domicilio, del cloud e della crittografia, la visibilità attraverso le tradizionali misure di sicurezza della rete è molto minore. La sicurezza oggi richiede un approccio diverso. Dobbiamo adottare misure di sicurezza per ciò che vogliamo proteggere: le nostre informazioni, i nostri utenti e i nostri endpoint".

Attualmente, 41% degli intervistati dichiara di aver adottato misure di protezione degli endpoint. Non è una novità se diciamo che i dipendenti - con tutto il rispetto - sono spesso il problema maggiore. In caso di accesso anomalo ai file e di file crittografati, 46% degli intervistati dichiara di ricevere un avviso. Nel frattempo, 21% possono vedere quali file sono stati colpiti da un incidente informatico e recuperarli.

Secondo Maarten Werff, gli sviluppi tecnologici come EDR, SOAR e XDR consentono di modificare la strategia di rilevamento. Considerando queste soluzioni, il 15% degli intervistati dispone di EDR e il 3% di SOAR. "Mettere l'identità e l'endpoint al centro della strategia di rilevamento e risposta crea una maggiore visibilità sugli avvisi e consente un intervento più rapido. Questo approccio non si concentra sulla ricerca dell'ago nel pagliaio ed è quindi meno oneroso".

Fonte: Conscia