Oltre la sola gestione degli incidenti informatici: RSA Security Operations Management

Security Operations Management è la soluzione RSA che permette di gestire ed orchestrare tutti gli aspetti del Security Operation Center. Spesso si pensa che tale attività sia rappresentata dal solo processo di gestione degli incidenti e di bonifica ma ciò rappresenta solo una piccola parte di ciò di cui chi è deputato ad implementare un programma di SOC viene reso responsabile.

L’obiettivo è chiaramente quello di rendere i diversi processi su cui il SOC è strutturato ripetibili e strutturati, permettendo ad ogni entità di contribuire alla crescita dell’intera struttura, evitando le sovrapposizioni e migliorando le modalità di condivisione delle informazioni, il tutto facendo leva sul contributo che la tecnologia può portare.

A tal fine, la soluzione mira a fornire informazioni differenti, specifiche e rilevanti per ogni persona, o ruolo con cui vi interagisce, in modo tale che ogni entità possa raggiungere il proprio obiettivo nel tempo più breve possibile, nel modo più efficace e potendo costantemente misurare il proprio operato.

L’importanza di avere contenuti predefiniti che modellizzano procedure e workflow basati su standard industriali permette di essere operativi in breve tempo e di perseguire quella consistenza necessaria ogni qualvolta che persone con esperienze e conoscenze variegate debbano lavorare all’unisono per conseguire un unico obiettivo.
Inoltre, il coordinamento di tali attività è facilitato dalla presenza di procedure preconfigurate atte a coinvolgere le persone giuste all’interno dell’organizzazione al momento giusto, il tutto attraverso la piattaforma.  Non dimentichiamoci che nel corso di una crisi, se anche solo un anello della catena non porta il proprio contributo o non è messo in grado di farlo, l’intero processo rischia di essere compromesso, aumentando così l’esposizione al rischio dell’intera organizzazione e potenziali danni al business.

Misurare l’operato di ciascuna figura è chiaramente fondamentale in tale contesto per garantire il conseguimento degli SLA a cui l’intero SOC e ogni singola figura che ne fa parte è soggetta. Chiaramente tali misurazione sono differenti per ogni ruolo: ad esempio il singolo analista è interessato a valutare quanti incidenti è riuscito a chiudere e il tempo medio di gestione degli stessi mentre chi il SOC lo gestisce può essere più interessato a valutare che il ritorno sull’investimento dei diversi controlli di sicurezza implementati sia positivo.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant

Francesco Gelo – RSA Pre Sales Consultant
http://www.emc.com/security/rsa-archer/security-operations-management.htm