Comprendere i ruoli e le responsabilità del team SOC
La creazione di un centro operativo di sicurezza (SOC) efficace è fondamentale per le organizzazioni di tutte le dimensioni. Proprio come le aziende stesse, ogni team di sicurezza è diverso.
Le aziende che riconoscono l’importanza della sicurezza informatica investiranno la quantità necessaria per garantire che i loro dati e sistemi rimangano sicuri e che il loro team SOC abbia le risorse necessarie per affrontare le minacce.
I ruoli e le responsabilità del security Operations center sono abbastanza semplici, ma distinti nei loro requisiti.
Nel complesso, le organizzazioni hanno avuto la tendenza a sottovalutare la sicurezza informatica. I team delle operazioni di sicurezza devono affrontare una miriade di sfide: spesso sono a corto di personale, oberati di lavoro e ricevono poca visibilità dalla direzione superiore.
SCARICARE GRATIS: GARTNER MARKET GUIDE FOR SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE SOLUTIONS
Se queste aziende sapessero qual è la posta in gioco, puoi scommettere che sarebbero disposte a fare investimenti maggiori nei loro SOC e membri del team. Dopo le operazioni di sicurezza, le best practice aiuteranno le aziende a proteggersi e fornire un ambiente migliore ai team SOC. Con nuovi attacchi di alto profilo che catturano titoli ogni giorno, le organizzazioni stanno iniziando a sottolineare l’importanza della sicurezza informatica e il security Operations center sta diventando un punto focale apprezzato.
Sebbene tutti i team SOC possano differire un po ‘ l’uno dall’altro, la maggior parte ha più o meno gli stessi ruoli e responsabilità. Costruire un SOC efficace richiede lungimiranza e un piano d’azione eseguibile. Diamo un’occhiata ai ruoli e alle responsabilità di base di ogni team SOC.
Ruoli e responsabilità del Centro operativo di sicurezza
Il team SOC medio ha molte responsabilità che si prevede di gestire in diversi ruoli. In genere i team SOC hanno posizioni che coprono due responsabilità di base: la manutenzione degli strumenti di monitoraggio della sicurezza e l’indagine sulle attività sospette.
Mantenere strumenti di monitoraggio della sicurezza
Per proteggere e monitorare in modo efficace un sistema, ci sono molti strumenti che il team deve mantenere e aggiornare su base regolare. Senza strumenti adeguati, è impossibile proteggere efficacemente sistemi e reti. I ruoli e le responsabilità del Security Operations center richiedono ai membri del team di mantenere gli strumenti utilizzati in tutti i processi di sicurezza. Ciò include la raccolta di dati. Questi dati devono estendersi a tutti i sistemi della rete, compresa l’infrastruttura cloud. Tali registri devono quindi essere passati a un SIEM e uno strumento di analisi dei registri. Una singola interruzione nella catena del flusso di informazioni potrebbe avere gravi implicazioni.
Indagare su attività sospette
Con l’aiuto degli strumenti sopra menzionati, il team SOC è responsabile di indagare su attività sospette e potenzialmente dannose all’interno delle reti e dei sistemi. In genere, il software SIEM o analytics li renderà consapevoli di potenziali problemi mediante l’emissione di avvisi. Il team di analisti esamina quindi gli avvisi, esegue il triage e determina l’ambito della minaccia. La combinazione di strumenti adeguati e competenze sono gli ingredienti necessari per un team SOC di successo.
Ruoli e posizioni del Security Operations Center
Sebbene i ruoli di qualsiasi azienda possano avere nomi diversi, tutte le organizzazioni hanno responsabilità simili quando si tratta di sicurezza informatica. Ecco i ruoli più comuni all’interno di un team SOC e le responsabilità individuali associate a ciascun ruolo.
Security Analyst
Gli analisti di sicurezza sono in genere i primi soccorritori agli incidenti. Sono i soldati in prima linea che combattono contro gli attacchi informatici e analizzano le minacce. In breve, il loro compito è quello di rilevare le minacce, indagare quelle minacce, e rispondere a loro in modo tempestivo. Inoltre, gli analisti possono avere responsabilità che implicano l’implementazione di misure di sicurezza dettate dalla gestione. Possono anche svolgere un ruolo nei piani di disaster recovery organizzativi. In alcune organizzazioni, si prevede che gli analisti della sicurezza siano di guardia per rispondere agli incidenti che si verificano al di fuori dell’orario di lavoro.
Security Engineer
I Security engineer sono responsabili della manutenzione degli strumenti, della raccomandazione di nuovi strumenti e dell’aggiornamento dei sistemi. Molti ingegneri della sicurezza sono specializzati in piattaforme SIEM. Gli ingegneri della sicurezza sono responsabili della costruzione dell’architettura e dei sistemi di sicurezza. In genere lavorano con i team delle operazioni di sviluppo per garantire che i sistemi siano aggiornati. Inoltre, i tecnici della sicurezza documentano i requisiti, le procedure e i protocolli per garantire che altri utenti dispongano delle risorse giuste.
Security Manager
Un security manager all’interno di un team SOC è responsabile della supervisione delle operazioni nel complesso. Sono responsabili della gestione dei membri del team e del coordinamento con gli ingegneri della sicurezza. I responsabili della sicurezza sono responsabili della creazione di politiche e protocolli per l’assunzione e della creazione di nuovi processi. Aiutano inoltre i team di sviluppo a definire la portata dei nuovi progetti di sviluppo della sicurezza. Servono come capo diretto a tutti i membri del team SOC.
Chief Information Security Officer
Il Chief Information Security Officer (CISO) è responsabile della definizione e delinea le operazioni di sicurezza dell’organizzazione. Sono l’ultima parola su strategia, politiche e procedure coinvolte in tutti gli aspetti della sicurezza informatica all’interno dell’organizzazione. Inoltre, possono anche essere responsabili della gestione della conformità.
Le aziende più grandi possono avere interi team dedicati a questa attività. In genere, un CISO riferisce direttamente al CEO e ha un contatto diretto con tutti i dirigenti superiori. Le posizioni CISO vanno ben oltre le competenze tecniche e richiedono anche la comunicazione di problemi complicati al management superiore che potrebbe non essere esperto in questioni tecniche.
Ruoli aggiuntivi
Spesso, le organizzazioni di sicurezza più grandi hanno ruoli come director incident response e / o director of threat intelligence. Il direttore di incident response o incident response manager supervisiona semplicemente e dà priorità ai passaggi attuabili durante il rilevamento di un incidente. Questa persona è l’unica responsabile di trasmettere i requisiti unici di incidenti di elevata gravità al resto dell’azienda.
Incident response manager supervisiona e dà priorità alle azioni durante il rilevamento, l’analisi e il contenimento di un incidente. Sono anche responsabili di trasmettere i requisiti speciali di incidenti di elevata gravità al resto dell’azienda.
Conclusione
Costruire un team SOC efficace è indispensabile per le organizzazioni di tutte le dimensioni. Garantire la possibilità di rilevare, indagare e rimediare agli incidenti di sicurezza è fondamentale. Dati i ruoli e la complessità all’interno di un SOC, è estremamente essenziale fornire visibilità su tutta la linea. È anche importante essere consapevoli che un SOC solido è 24/7 e più turni e gestire il flusso di lavoro senza soluzione di continuità e con prudenza è un must. Definire le politiche e le procedure che governano gli individui che fanno parte di questo team dovrebbe essere un processo continuo per servire meglio il team e l’organizzazione nel suo complesso. Definire i ruoli e le responsabilità del security Operations center aiuta le aziende a stabilire le priorità e valutare meglio le loro esigenze.