Un “Security Operations Center” o “SOC” è un’unità organizzativa configurata e programmata per:
- identificare minacce alla sicurezza di dati, informazioni e programmi;
- rispondere alle minacce;
- mitigare gli effetti avversi provocati dagli attacchi informatici.
L’obiettivo finale di un SOC è quindi quello ridurre al minimo i danni a un’organizzazione.
Un SOC può supportare diversi sistemi (anche tre loro integrati), come un SIEM, un EDR, un MDR o un più sofisticato XDR, basato su algoritmi di “Intelligenza Artificiale” e “Machine Learning”, in ogni caso trattasi di soluzioni di sicurezza che consentono un controllo degli endpoint, dei gateway di posta elettronica, dei servizi cloud e degli accessi.
Un SOC può permettere a un’organizzazione di:
- analizzare il traffico esterno e interno di una LAN (in tal caso consente di rilevare anomalie come insider dannosi e credenziali compromesse);
- raccogliere dati contenenti informazioni dettagliate sulle minacce, sulle specifiche vulnerabilità della superficie di attacco, sui potenziali “attacker” e sulle priorità di reazione del team ICT (Threat Intelligence);
- effettuare un rilevamento delle minacce basato sull’apprendimento automatico e sull’analisi “comportamentale”, in modo da accertare l’esistenza di minacce non tradizionali in grado di aggirare i metodi basati sui patterns (“firme” degli attacchi);
- correlare gli eventi e creare sequenze temporali a scopo di indagine forense;
- reagire all’attacco e aggiornare le policy degli endpoint in tutta l’azienda.
I vantaggi di un SOC sono evidenti: risparmi di tempo e risorse, maggiore efficienza e produttività, monitoraggio continuo, risposta automatizzata e apprendimento automatico adattativo.
Tuttavia gravi possono essere i rischi impattanti sulla riservatezza dei vari utenti coinvolti nelle attività dell’organizzazione, infatti l’analisi dei dati consente di tracciare un percorso di attacco, ricostruire le azioni degli aggressori e localizzare l’attaccante ovunque si trovi, anche nel caso in cui fosse “interno” (insider) all’organizzazione stessa.
Ne consegue che l’organizzazione deve contemperare i suoi legittimi interessi coi diritti e le libertà fondamentali dei suoi utenti, pertanto deve:
- redigere una attenta “valutazioned’impatto” (v. art. 35 GDPR), che analizzi specificamente i rischi “intrinseci” a un trattamento di dati tramite SOC, soprattutto se basato su algoritmi di IA;
- stipulare un accordo sindacale o, in difetto, ottenere l’autorizzazione da parte l’Ispettorato del Lavoro ai sensi dell’art. 4 dello Statuto dei Lavoratori per un monitoraggio SOC a livello server;
- quanto agli endpoint, dovrebbe essere possibile cifrare i dati di traffico e decriptarli solo ove si rilevi un’anomalia, per evitare che il monitoraggio sia continuo e non rispettoso della riservatezza dei vari utenti, in modo che la “sorveglianza tecnologica” resti in una “dimensione umana”;
- fornire idonea e completa informativa agli utenti sulle basi giuridiche, sulle finalità e sulla modalità del controllo (art. 13 GDPR);
- stabilire una procedura per gli accessi al SOC soprattutto per i profili “root” e “superuser”, nel rispetto di tutti gli adempimenti prescritti dal Garante Privacy sugli “amministratori di sistema”;
- stabilire tempi massimi di conservazione dei log (anche se molto dipende dalle funzionalità di monitoraggio e tracciamento del SOC, che più sarà rapido, efficace ed efficiente e più facilmente consentirà la rotation o sovrascrittura dei log, riducendo i tempi di archiviazione e conservazione);
- gestire correttamente i rapporti con le terze parti, soprattutto coi fornitori dei sistemi di IA coi quali deve essere stipulato un accordo per la designazione degli stessi come Responsabili ai sensi dell’art. 28 GDPR, sempre che essi offrano garanzie sufficienti per il rispetto del GDPR stesso e di tutte le normative sulla sicurezza e sulla riservatezza dei dati trattati, ivi incluse la Direttiva NIS2 e il Regolamento europeo sull’IA; in tale ultimo caso è fondamentale per il Titolare adottare precisi criteri di selezione tramite checklist e audit (preventivi, ma anche successivi alla designazione).