Negli ultimi anni le nostre comunità, e molti di noi individualmente, abbiamo scoperto rischi nuovi o rinnovati così grandi e immanenti da essere difficili persino da interiorizzare: pandemie e crisi climatica, per esempio, si sono affiancati a guerra, terremoti, terrorismo, eppure restano chiusi meglio che possiamo in un angolo della nostra mente personale e della consapevolezza e programmazione di organizzazioni e comunità.
Oggi, quando dai servizi digitali dipende una parte grandissima e ancora crescente della nostra vita, il rischio cyber relativo a servizi, sistemi e infrastrutture digitali è un altro esempio a pieno titolo: il prossimo disastro può venire da terrorismo o guerra cibernetici quanto da malattie contagiose o eventi climatici catastrofici, eppure tutti gli osservatori ci indicano che quel che facciamo per prevenirlo non basta.
I Security Operations Centre sono lo strumento concreto principale per proteggerci da questo rischio: organizzazioni specializzate, dedicate a identificare, prevenire e gestire rischi ed attacchi digitali in organizzazioni pubbliche e private, con strumenti e processi continuamente aggiornati.
In cosa consiste questo rischio e come lo stiamo gestendo? Per l’Italia, i due punti di partenza per capirlo sono le relazioni annuali di Agenzia per la Cybersicurezza Nazionale – ACN, l’autorità statale che presidia la cybersecurity e Clusit – Associazione Italiana per la Sicurezza Informatica, un’associazione senza fini di lucro con più di 700 membri appartenenti a tutti i settori, nata 24 anni fa presso il Dipartimento di Informatica dell’Università degli Studi di Milano, che svolge attività di formazione, sensibilizzazione e supporto sugli stessi temi.
Le relazioni sul 2023 di ACN e Clusit
Le sezioni introduttive della Relazione annuale 2023 di ACN e del Rapporto Clusit 2024 , relativo allo stesso anno, descrivono la situazione con molte informazioni concordi, proponendo però valutazioni abbastanza diverse e complementari.
Entrambe raccontano innanzitutto una crescita rapida, drastica e accelerata, almeno dal 2022, di tutti i principali indicatori: siamo quindi in un periodo di crisi, anche per la cybersecurity.
Alcuni parametri crescono grazie al rafforzamento e all’ampliamento della sorveglianza e quindi della consapevolezza e della cultura del rischio cyber, come:
- L’aumento delle segnalazioni ad ACN (e a Clusit): rappresenta anche, forse soprattutto, la diffusione di una cultura della collaborazione e della trasparenza in questo ambito critico – e insieme degli obblighi di segnalazione e della capacità di farli rispettare!
- La crescita dei cespiti (asset) che ACN considera a rischio: indica soprattutto l’estensione dell’ambito delle risorse sotto controllo, solo in parte compensata dalla protezione progressiva di altre che prima erano state identificate come gravemente esposte ed ora lo sono meno.
La crescita ben oltre il 300% di entrambi i parametri è quindi in gran parte una buona notizia.
D’altra parte, sono aumentati del 29% gli “eventi cyber”, quelli che CSIRT Italia, il braccio operativo di ACN, prima identifica come interessanti (“case”), poi analizza e finalmente conferma abbiano un potenziale impatto su almeno un soggetto nazionale. Molto peggio, sono cresciuti del 140% gli “incidenti” veri e propri, quegli eventi per i quali l’organizzazione vittima ha confermato un impatto effettivo su confidenzialità, integrità o disponibilità di dati.
La relazione di ACN, documento di forte valore comunicativo e formativo indirizzato al parlamento e rivolto all’intera comunità, descrive anche il progressivo e significativo sviluppo di strumenti, organizzazioni e processi centralizzati a livello nazionale che ACN stessa coordina. Questi aiutano l’intero ecosistema delle organizzazioni pubbliche e private a proteggersi da questi rischi. Molti di loro fino a pochi anni fa non esistevano o erano molto più limitati per ambito e capacità – un’altra serie di buone notizie.
La relazione di CLUSIT propone informazioni analoghe, come è naturale, ma sceglie di confrontarle con la situazione internazionale in maniera ben più critica. Se ACN evidenzia che nel 2023 l’Italia è il terzo paese dell’UE e sesto al mondo per incidenti dei due tipi più diffusi (ransomware e Distributed Denial of Service – DDoS), Clusit segnala che nel 2023 l’Italia ha ricevuto l’11% del numero totale di attacchi rilevati e confermati in tutto il mondo, in crescita rapidissima rispetto al 3,4% del 2021 e al 7,6% del 2022.
Se osserviamo che il PIL italiano in questi anni rappresenta molto approssimativamente il 2% di quello mondiale, capiamo facilmente come l’Italia si distingua sempre più negativamente per capacità di prevenire gli attacchi e gestirli, anche rispetto al panorama in drastico peggioramento che entrambe le relazioni evidenziano a livello globale.
Uno sguardo specifico alle PMI: Cyber Index 2023
A fine 2023 la prima edizione di questo rapporto, realizzato da Confindustria e Generali con il supporto scientifico dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano e la partnership istituzionale di ACN, analizzava lo stato di consapevolezza del cyber risk di un campione di 700 imprese italiane. Il livello complessivo si attesta al 51/100 (dove 60 è il valore minimo soddisfacente), valutato su tre dimensioni: approccio strategico, capacità di comprendere e identificare le minacce, attuazione di pratiche per mitigare il rischio.
Solo il 14% delle PMI è risultato “maturo” su tutti e tra gli aspetti; il 31% “consapevole”, con buona comprensione e capacità di azione limitate, il 35% “informato”, con consapevolezza e strumenti limitati, e infine il 20% “principiante” con limiti di comprensione e implementazione significativi. Questi valori sono sostanzialmente costanti al variare della geografia mentre migliorano per le imprese medie rispetto alle piccole.
In attesa di monitorarne l’evoluzione di anno in anno, queste valutazioni confermano una percezione qualitativa di fragilità, eppure indicano che raggiungere un livello adeguato è possibile, come risulta aver fatto per ora solo il 14% del campione.
Il rapporto raccomanda infine di stimolare le PMI a integrare la cybersecurity nella strategia aziendale, anche sviluppando partenariati pubblico-privati tra istituzioni pubbliche, imprese specializzate ed università.
Una proposta concreta, operativa e gratuita per la sicurezza delle PMI: Cloud Security Alliance
Cloud Security Alliance (CSA) è un’associazione no profit internazionale cui aderiscono più di 500 imprese a livello mondiale, la maggior parte fornitori di servizi cloud, presente in Italia dal 2011. Sviluppa e propone linee guida, certificazioni per fornitori e clienti, formazione e strumenti per la governance della sicurezza proprio in quegli ambienti cloud che sono oggi, come descrive meglio la sezione successiva sulle esigenze delle organizzazioni piccole e medie, la destinazione naturale per i loro servizi digitali. Secondo CSA, visto che l’adozione del cloud comporta per definizione un maggior coinvolgimento dei fornitori, il punto di partenza per una governance efficace sono proprio i contratti che con questi fornitori si stabiliscono, con l’obiettivo di estendere ai cloud service provider la governance ed i controlli interni delle proprie infrastrutture, applicazioni e dati – e con l’occasione se necessario potenziarli quanto il cloud permette di potenziare le difese dai rischi cyber.
Qui CSA ci interessa in particolare perché ha approfondito le questioni della sicurezza in cloud in maniera specifica per imprese piccole e medie: quelle che hanno risorse umane, economiche e di strategia limitate per occuparsene, eppure a fronte di un attacco informatico riuscito possono essere costrette anche a chiudere – immaginate un incendio doloso di uffici, impianti e magazzini in tutte le sedi del mondo, preparato con comodo tra il 25 aprile e il 1° maggio e pronto a partire venerdì 16 agosto alle 22. La versione semplificata del Cloud Control Matrix di CSA, CCM Lite, lanciata nel 2023, è una raccolta dei controlli più importanti e adeguati ad organizzazioni di dimensioni e rischio ridotti, utile per valutare e migliorare progressivamente la propria postura di sicurezza. La accompagna CAIQ Lite, versione semplificata di un questionario di valutazione dei fornitori cloud. Infine, CSA mette a disposizione STAR Registry, un registro di fornitori cloud qualificati e certificati secondo il suo standard CSA Star, oggi più di 2000, che permette alle PMI di accelerare e gestire con maggiori garanzie e lucidità la propria migrazione al cloud.
Tutto questo è gratuito per le PMI, e rappresenta secondo chi scrive un supporto allo sviluppo di una cultura aziendale della sicurezza nel cloud e per il cloud, fattore che tutte le analisi a partire da quelle di ACN e Clusit descritte sopra, e dall’indice DESI, indicano come cruciale per il successo della trasformazione digitale delle nostre comunità economiche e sociali.
Quanto è concretamente realistico e applicabile un approccio simile? Secondo Alberto Manfredi, responsabile nazionale e presidente di Cloud Security Alliance Italy, già per un’organizzazione di poche decine di persone può essere praticabile e sostenibile che una persona segua uno o più corsi CCSK e applichi le proprie conoscenze alla scelta e gestione dei fornitori di servizi cloud, magari nell’ambito di una responsabilità condivisa nella gestione sicurezza con tutti gli stakeholder interni ed esterni. Anche quelle più piccole trovano strumenti utili: possono scaricare i questionari di valutazione CSA già compilati dai fornitori cloud e pubblicati sullo STAR Registry, e usarli per accelerare la due diligence nella scelta e nella negoziazione.
L’ecosistema della cybersecurity
Di fronte a questa accelerazione drastica nella crescita dei rischi, sia ACN sia Clusit raccomandano innanzitutto processi e strumenti specializzati e altamente strutturati, in forte collaborazione tra tutti gli attori dell’ecosistema. In queste pagine si considera che realizzare questi processi coincida sostanzialmente con l’adottare un SOC, Security Operations Centre.
Situazione ed esigenze delle grandi organizzazioni
Già da prima della diffusione di internet e della trasformazione digitale, le grandi organizzazioni pubbliche e private hanno strutture specializzate di gestione dell’ICT e del digitale all’interno della quale si evolve un gruppo di specialisti della cybersecurity. Questi team hanno sempre collaborato tra di loro, con una serie di osservatori e associazioni internazionali e poi italiani anche commerciali, con fornitori di strumenti software e hardware di protezione e con aziende di servizi tecnologici progettuali e gestiti, in un vero e proprio ecosistema di cui le strutture di governo centrale a livello nazionale e internazionale sono ora un cardine. Con processi sempre più strutturati, estesi a coprire le ventiquattr’ore e progressivamente automatizzati, questi team allargati e interconnessi costituiscono ormai dei SOC a pieno titolo, ciascuno a un livello commisurato alle esigenze dell’organizzazione corrispondente e alla sua importanza per la comunità di cui fa parte.
Negli ultimi anni, e in particolare dal 2022 quando ACN e Clusit hanno entrambe identificato una drastica accelerazione dei rischi, molte di queste organizzazioni fanno sempre più affidamento su servizi esterni, ancor più specialistici dei loro. I SOC interni faticano infatti a sviluppare le competenze sempre nuove necessarie, a organizzare i propri strumenti in un insieme coerente che copra la maggior parte dei rischi possibili e delle segnalazioni sempre più numerose e complesse in maniera realisticamente gestibile dagli addetti, e soprattutto ad ingaggiare e trattenere un numero di specialisti adeguato. Anche le organizzazioni un tempo più orgogliose della propria autonoma capacità di difesa si rivolgono sempre più a partner esterni ancora più competenti e organizzati di loro, che servendo più organizzazioni insieme ottengono benefici di efficienza altrimenti irraggiungibili.
Basterà? Come per tanti rischi grandi e incombenti, si può solo ridurli al minimo in funzione delle risorse disponibili, e delle scelte strategiche su quali rischi tollerare. Sicuramente lo sviluppo delle strutture e servizi centralizzati di ACN, progressivamente posti dal governo a fattor comune tra pubblico e privato, contribuisce a migliorare le prospettive per tutti.
Le esigenze delle piccole imprese e pubbliche amministrazioni
Ben diversa è la situazione delle piccole e piccolissime organizzazioni. Per molti anni avevano potuto sperare di sfuggire all’attenzione delle organizzazioni ostili, credere di avere poco da perdere in un attacco digitale, e accontentarsi – le più sensibili al tema – di misure elementari come gli antivirus e i firewall che un vasto ecosistema di fornitori poteva offrire a prezzi sostenibili. Oggi che la trasformazione digitale e l’adozione del cloud le rendono più accessibili e vulnerabili, proprio mentre automazione e progresso tecnologico degli attori ostili rendono più facile ed economico attaccare migliaia di piccoli bersagli insieme, i rischi si fanno insostenibili. Purtroppo, risulta altrettanto difficile adottare misure di contenimento adeguate.
Organizzazioni simili, private come pubbliche, dipendono fortemente da servizi pubblici o privati terzi che pure non si possono permettere economicamente. Oggi questi servizi esterni possono rendersi sostenibili per ogni singola, piccola organizzazione solo quando tutti perseguono forti economie di scala e di scopo:
- Le piccole organizzazioni possono permettersi servizi di cybersecurity adeguati uniformandosi e convergendo quanto più rapidamente possibile verso piattaforme omogenee e moderne, tipicamente cloud, adottate da migliaia o milioni di operatori e quindi più facili da gestire e proteggere.
- D’altro canto, i partner dell’ecosistema stanno espandendo ed evolvendo la propria offerta, e devono farlo sempre più in fretta, per servire questi clienti più piccoli e vulnerabili facendo leva quanto più possibile su quegli stessi strumenti e piattaforme standardizzati.
Come mostrano molte delle schede nella prossima sezione, i fornitori di soluzioni e servizi dell’ecosistema stanno appena cominciando a evolvere i propri servizi in modo da servire le organizzazioni più piccole. I più piccoli tra loro lo fanno per cogliere un’opportunità nuova mentre i più grandi, se mai lo faranno, sarà soprattutto perché questo serve alle grandi organizzazioni che sono loro clienti di elezione per proteggere sé stesse tutelando i propri fornitori, partner e clienti più piccoli.
Questa evoluzione sembra muovere proprio ora i primi passi, almeno in Italia: a titolo di aneddoto, almeno alcuni degli operatori citati, incontrati su questo tema già nell’autunno del 2023, a metà 2024 mostravano una maggior consapevolezza di questa esigenza e un maggiore interesse a soddisfarla. Le stesse relazioni di ACN e Clusit sembrano rivolte più a organizzazioni capaci di difendersi e desiderose di farlo meglio, quindi grandi, che non a quelle che temono di essere troppo piccole per farlo in maniera adeguata e magari rimuovono il problema dalla loro programmazione e dalla mente dei responsabili. Auguriamoci di veder evolvere questo approccio nelle relazioni dei prossimi anni.
La risposta dell’ecosistema, con alcune esperienze concrete sul campo
Vediamo ora come alcuni operatori specializzati rispondono proprio a quelle esigenze di competenza e capacità all’avanguardia che anche le organizzazioni più grandi faticano oggi a mantenere, e per le piccole sono tanto necessarie quanto irraggiungibili.
Le prossime righe raccolgono le prospettive di Clusit stesso, di sette fornitori di servizi progettuali e gestiti, e di un fornitore di Software as a Service. Chi scrive, e forse chi legge, noterà come le valutazioni, le proposte, addirittura l’organizzazione nel caso dei diversi operatori di servizi, siano molto simili. È un segno dell’attenzione che tutti pongono alle esigenze incalzanti della cybersecurity di oggi, e dell’influenza positiva e unificante che organizzazioni internazionali e nazionali centrali, pubbliche e private, stanno avendo sulla consapevolezza degli operatori più attenti, grandi e piccoli.
I grandi fornitori di servizi digitali online
Molti grandi fornitori di servizi digitali in cloud, internazionali e locali, e per definizione tutti quelli tra loro che si possono considerare seri, forniscono ormai a chi lavora sulla loro piattaforma alcuni strumenti di protezione essenziali, che riducono molto almeno i rischi principali. Costituiscono quindi la prima linea di difesa, spesso l’unica per chi non può o non sa svilupparne altre.
Al contorno, restano rischi significativi: un servizio di posta elettronica in cloud, per esempio, è ragionevolmente protetto da accessi non autorizzati e perdite accidentali di dati per cedimenti dell’infrastruttura o per attacchi cyber al servizio stesso; molto meno o per nulla da azioni degli utenti, in buona fede o meno, che potrebbero distruggere, alterare o condividere con terzi dati preziosi, magari ingannati da truffe sempre più efficaci.
Altri rischi gravi rimangono: ad esempio per chi si affida a fornitori diversi per servizi diversi e deve poi combinarne e coordinarne i risultati con soluzioni proprie, o per chi usa insieme a uno o pochi servizi online “buoni” anche applicazioni di concezione ormai inadeguata e non più aggiornate, enormemente più vulnerabili.
Clusit – Associazione Italiana per la Sicurezza Informatica
Per le grandi organizzazioni Clusit conferma il quadro descritto sopra, sottolineando in particolare l’importanza della formazione del personale, facilitata dalla presenza di un team cybersecurity interno. Anna Vaccarelli, membro del direttivo, concorda che anche per le più grandi è difficile acquisire e soprattutto conservare competenze rare e preziose, contrastando la fuga di chi le possiede verso operatori specializzati e internazionali che possono offrire condizioni più favorevoli.
Per quanto riguarda le organizzazioni piccole, che non possono permettersi una squadra di cybersecurity interna permanente, Vaccarelli consiglia con molta chiarezza di rivolgersi a consulenti esterni, affidando in outsourcing il servizio. Anche per queste piccole organizzazioni è essenziale la formazione, tanto che raccomanda di ottenere da questi consulenti che formino una persona interna all’azienda come riferimento permanente su questi temi.
Per entrambe le categorie di organizzazioni, Clusit segnala la necessità di diffondere una cultura della cybersecurity che al di là della formazione e consapevolezza personale, e delle soluzioni puramente tecnologiche, entri a far parte della strategia dell’organizzazione a partire dai processi produttivi, trattando la cybersecurity come un investimento per conseguire un vantaggio competitivo già nel medio termine, per ridurre l’impatto economico, spesso alto, degli attacchi che verranno.
Questa attenzione potrà contribuire a ridurre due grandi debolezze del sistema italiano: la scarsità della spesa in cybersecurity, stimata nello 0,12% del PIL e per di più frammentata in interventi scoordinati e quindi meno efficienti, e l’arretratezza culturale di un paese quartultimo nell’EU secondo l’indice DESI delle competenze digitali, e ultimo per presenza di laureati in materie ICT.
CybergON – Elmec
La business unit di cybersecurity di Elmec Informatica, l’erogatore di servizi gestiti e operatore di data centre descritto in un articolo precedente, è nata per erogare servizi gestiti per la protezione 24 ore su 24, in particolare di tre classi di risorse dei clienti: le identità digitali, le infrastrutture server e cloud, e i dispositivi (endpoint) degli utenti. Negli ultimi anni si è evoluta per offrire anche progetti “advisory” di valutazione e miglioramento della loro postura di sicurezza, sia tecnologica, sia umana – quest’ultima con interventi di formazione e iniziative di consapevolezza come l’originale e memorabile podcast Cyber Things. Con entrambe le offerte aiutano i clienti a gestire infrastrutture cloud ibride, con componenti pubbliche AWS e Microsoft.
Naturalmente lo sviluppo dell’offerta si esprime anche come aggiornamento continuo, investimento in ricerca e sviluppo e innovazione, dal momento che le tipologie di attacco e gli strumenti utili per la difesa si evolvono continuamente.
Secondo Filadelfio Emanuele, direttore della BU e CISO di Elmec Informatica, i primi livelli, più accessibili, dell’offerta modularizzata di CybergON, sono pienamente rilevanti per organizzazioni di medie dimensioni, dell’ordine dei 100-200 dipendenti e alcune decine di milioni di fatturato. Si tratta in particolare di servizi a protezione dei dispositivi con soluzioni XDR (Extended Detection and Response), l’evoluzione delle tecnologie antivirus e antimalware degli scorsi decenni.
Opportunamente adattate, queste soluzioni permettono di proteggere anche le organizzazioni più piccole. Anche CybergON conferma che oggi qualsiasi organizzazione deve avere una strategia di cybersicurezza, naturalmente adattata ai valori a rischio e alla propria capacità di spesa.
Per le organizzazioni più complesse diventa rilevante anche un’offerta di monitoraggio della rete, del cloud, e sempre più dell’IoT, con tecnologie SIEM (Security Information and Event Management): strumenti centralizzati di raccolta, storicizzazione e correlazione degli eventi che si verificano continuamente in tutta l’infrastruttura. Le organizzazioni più grandi di solito preferiscono mantenere questi dati in un SIEM proprio, al quale l’erogatore di servizi SOC come CybergON accede per erogare i propri servizi. Quelle di dimensioni intermedie si affidano spesso a CybergON anche per la messa in campo del SIEM, a questo punto un ambiente pienamente controllato dal SOC pur se dedicato al singolo cliente.
Tutte queste offerte sono predisposte per rispettare quanto i clienti hanno sempre più spesso già acquisito, integrarlo e potenziarlo.
Cybertech – Engineering
L’azienda dedicata alla cybersecurity del gruppo Engineering si considera il primo operatore di servizi di cybersecurity in Italia, tra i principali in Europa, con oltre 300 professionisti e 10 anni di storia. Servono 450 clienti, soprattutto grandi e grandissime imprese e pubbliche amministrazioni, in Italia e in 20 paesi tra Europa, Medio Oriente e Africa.
Per coprire tutti gli ambiti e gli aspetti delle esigenze di una grande organizzazione che procede a una trasformazione digitale, hanno adottato un’architettura coerente con il Cybersecurity Mesh di Gartner: integrare strumenti e servizi che coprono diversi aspetti anche in parziale sovrapposizione condividendo dati e un livello di gestione comune (“control plane”) per proteggere da minacce complesse che sfruttano la complessità degli ambienti digitali moderni evolvendosi rapidamente.
All’interno di un portafoglio di servizi completo, dagli assessment agli audit e penetration testing, dalla governance alla tutela dell’adeguatezza normativa (“compliance”), alla realizzazione di soluzioni tecnologiche, alla formazione per specialisti e utenti, gioca un ruolo particolarmente importante proprio il SOC. Gestito da una control room certificata ISO 27001 (standard globale per i sistemi di gestione della sicurezza informativa), il SOC di CyberTech eroga servizi gestiti ai clienti del gruppo per identificare prima possibile le minacce anche potenziali, reagire rapidamente in caso di incidente e analizzare l’evoluzione delle minacce per anticiparle quanto più possibile.
DGS
Questo system integrator e managed service provider, che si presenta come primario operatore italiano proprio per i servizi di cybersecurity, ha un’offerta di SOC-as-a-Service rivolta anche ai clienti con capacità di cybersecurity interne limitate o assenti. Si tratta di un’offerta completa, aperta a integrare quanto il cliente ha eventualmente già realizzato salvaguardandone gli investimenti precedenti, purché adeguato alle esigenze di oggi, in una piattaforma organica imperniata su un Open XDR che fa leva sulle più evolute tecniche di intelligenza artificiale.
L’offerta “X-SOC” (eXtended Security Operations Centre) si struttura in tre livelli successivi, con il primo inteso già per organizzazioni relativamente piccole (orientativamente, un centinaio di collaboratori), più naturalmente possibili personalizzazioni e potenziamenti sostanzialmente su misura, rilevanti per clienti via via più grandi.
Grande attenzione è dedicata alla definizione di processi che diano la massima chiarezza e visibilità sulle deleghe che il SOC dovrà usare anche – soprattutto – ai clienti che, in mancanza di referenti interni competenti, devono delegare all’X-SOC la maggioranza o la totalità degli interventi correttivi e di reazione agli attacchi. Per il massimo controllo, il cliente ha accesso alla cronologia di tutte le azioni e i risultati, nel rispetto di tutti gli standard normativi e di qualità applicabili.
A questo punto si arriva con un percorso preparatorio di valutazione della situazione iniziale, identificazione, progettazione e realizzazione degli interventi di miglioramento a partire dai più semplici e dai più urgenti (quick win). Nell’esperienza di DGS un elemento fondamentale di questa preparazione è l’introduzione di una gestione delle identità digitali, e di processi di sicurezza basati su di essa, perché in un ambito cloud ibrido o multiplo le identità tendono a proliferare generando incongruenze e vulnerabilità.
Sia durante la preparazione, sia nell’erogazione del servizio SOC continuativo, DGS si avvale di decine di partnership con fornitori tecnologici di riferimento, le cui soluzioni svolgono ruoli chiave nella piattaforma che abilita il servizio complessivo.
Inside Technologies
Inside Technologies è un system integrator specializzato in servizi infrastrutturali: ad esempio realizzazione di infrastrutture on premise e in cloud, backup e disaster recovery, e in particolare cybersecurity e SOC avanzato. Da molti anni mantengono i massimi livelli di competenza certificabili sulle tecnologie chiave per la loro offerta data centre e di sicurezza cloud, con le quali servono clienti da centinaia o migliaia di utenti o dispositivi, che in Italia è giusto considerare già grandi organizzazioni.
Per rispondere anche alle esigenze di piccole e medie aziende che non vogliono costruire capacità autonome di presidio cybersecurity, Inside Technologies ha strutturato un servizio di SOC as a Service, CyberGuard, che ha realizzato con i principali prodotti della suite Microsoft per la sicurezza digitale: Microsoft Defender XDR, Microsoft Defender for Cloud e Microsoft Sentinel, ed eroga in collaborazione con Tinexta Cyber. In questa partnership, Inside Technologies allestisce e configura il servizio usando le proprie competenze e la conoscenza dell’ambiente del cliente, mentre Tinexta Cyber contribuisce la propria sonda che raccoglie i dati dal Microsoft Sentinel di ciascun cliente per alimentare i servizi CyberGuard, ed eroga i servizi continuativi 24/7. In questi servizi si applicano i “playbook” di azione concordati tra ciascun cliente, Inside Technologies e Tinexta Cyber per le situazioni da gestire.
Al momento, secondo il cofondatore e CEO Silvio Di Benedetto, la domanda da parte delle piccole e medie imprese (sotto le decine di milioni di fatturato e il centinaio di dipendenti) per soluzioni SOC deve ancora svilupparsi. Se oggi Inside Technologies serve ancora molte più imprese grandi che organizzazioni in questo settore, è ragionevole aspettarsi che la consapevolezza crescente dei rischi di sicurezza del cloud ibrido porterà presto a una domanda più evoluta.
Professional Link (PLINK)
Professional Link è un operatore di telecomunicazioni B2B, certificato in Italia per servizi nazionali e attivo in tutto il mondo. Si considera particolarmente apprezzata e rilevante per la sua capacità di offrire soluzioni progettuali chiavi in mano ad esigenze anche molto complesse, come quelle proprie del settore retail dove l’apertura di nuovi punti vendita è un’operazione strategica da cui dipende tanta parte del successo di un marchio. Hanno citato l’esempio del loro cliente Percassi, storico leader nella gestione di catene retail in Italia, che si è rivolta a PLINK per un servizio di connettività internazionale personalizzato per ogni singola realtà locale. PLINK ha potuto assicurare piena continuità operativa e supporto in situazioni critiche, grazie alla propria suite di servizi che comprende infrastrutture di rete, connettività e soluzioni di cybersecurity. Con un team di circa 40 persone e una rete di business partner in tutto il mondo, PLINK ha sviluppato una cultura aziendale originale ed innovativa, con una comunità particolarmente coesa e motivata, senza gerarchie. All’agilità che questa struttura ottiene, PLINK attribuisce la propria capacità di realizzare servizi unici per i propri clienti.
Nel contesto di questo articolo PLINK si inserisce grazie al fatto che nel mercato dei servizi di cybersecurity ha scelto di entrare con un’offerta che fin dal nome, “Elephant in the Room”, vuole distinguersi e richiamare l’attenzione alla cybersecurity, cruciale eppure spesso trascurata ai tavoli decisionali. Anche questa suite include numerosi servizi modulabili in base alle dimensioni e alle esigenze di ciascuna azienda, permettendo a PLINK di proporla a grandi realtà oltre che a PMI, anche quelle che cominciano solo oggi a riconoscere la necessità di affrontare la questione, elefante solo apparentemente quieto nella sala del consiglio di amministrazione o nell’ufficio del padrone.
L’offerta mira ad aiutare queste organizzazioni a costruire un percorso pratico, concreto ed utile fin dai primi passi per contenere quell’elefante. È quindi un esempio di come si può servire il mercato sterminato delle aziende, non solo microscopiche, che hanno competenze tecnologiche limitate e un team cybersecurity non lo avranno mai. Sarà interessante seguirli.
Qualys
Qualys è un fornitore di software commerciale (ISV, Independent Software Vendor) che offre soluzioni SaaS per la sicurezza e la compliance digitale utili sia alle organizzazioni grandi e medie, sia e forse soprattutto ai fornitori di servizi gestiti (MSP) di sicurezza, che tipicamente li erogano proprio tramite un SOC. Ha quindi una prospettiva diretta sul mercato di questi servizi in Italia, e in particolare sull’ecosistema dei partner.
Le sue soluzioni aiutano chi si occupa di sicurezza in cloud e on premise a raccogliere in tempo reale informazioni esaurienti, comprensibili e utili a migliorare la postura e la resilienza cyber propria e dei propri clienti, e a reagire immediatamente alle situazioni critiche.
Per Emilio Turani, Managing Director per Italia, South East Europe, Turchia e Grecia, il panorama della cybersecurity di oggi richiede una triade di competenza, velocità e visibilità – nel senso, quest’ultima, di vedere il più possibile impedendo allo stesso tempo agli operatori ostili di vederci – che è sempre più difficile per un operatore anche ricco di risorse mantenere adeguata. Se chi è specializzato in questi servizi riesce più facilmente a motivare, retribuire e tenere sulla breccia gli esperti necessari, l’adozione del cloud da parte di milioni di piccole e piccolissime imprese senza alcuna competenza specifica impone oggi agli operatori specializzati in sicurezza tradizionale di aggiornare profondamente la propria offerta per proteggere le risorse cloud proprie e dei propri clienti, anche i più piccoli.
Tra altre esigenze, sia ben note come l’importanza della formazione degli utenti finali interni ed esterni, che restano il tallone d’Achille di ogni organizzazione, sia emergenti come il ruolo benefico dell’intelligenza artificiale nel migliorare velocità e precisione della ricerca di attacchi e della reazione anche automatica, Turani ha voluto sottolinearne una che pochi altri hanno citato: l’importanza crescente della collaborazione tra gli operatori, condividendo informazioni sia con le comunità di esperti, come si fa da tempo e occorre fare sempre meglio, sia tramite database commerciali, come quello della stessa Qualys, sia oggi tra gli stessi SOC.
A riprova dell’importanza dei fornitori di servizi SOC gestiti nel mercato attuale, a maggio Qualys ha lanciato il proprio portale globale per gli MSSP (Managed Security Service Provider, chi eroga servizi gestiti di sicurezza digitale). Con questo portale Qualys vuol rendere più facile a chi usa i suoi prodotti per gestire più clienti insieme mantenere aggiornata la situazione degli abbonamenti e degli aggiornamenti di ciascuno. È uno strumento di assistenza, automazione ed efficienza soprattutto commerciale, che dà però la misura di quanto gli operatori di servizi gestiti, con le loro esigenze specifiche, diventino un riferimento importante per ciascun fornitore, nel mondo e in Italia.
S2E – Solutions to Enterprises
S2E, una società di consulenza in ambito business technology completamente italiana con un’offerta cloud descritta in un articolo precedente, dal 2022 ha riorganizzato e potenziato i propri servizi di cybersecurity, per rispondere alle esigenze crescenti dei suoi clienti. Sia i servizi di sicurezza gestiti, erogati dal SOC, sia quelli progettuali riguardano due ambiti principali: la sicurezza del cloud, in particolare negli ambienti AWS e Microsoft dove le competenze di S2E si concentrano, e l’identity management, in particolare la gestione dei profili privilegiati, quelli dotati di diritti di accesso alle risorse digitali elevati, di cui gli operatori ostili cercano di ottenere il controllo per infliggere il massimo danno alle organizzazioni che attaccano. Al di là di questa suddivisione Andrea Cerro, direttore della BU Enterprise Security Services,ha tenuto a sottolineare che i tre team collaborano strettamente facendo leva sulle competenze gli uni degli altri.
Per quanto riguarda in particolare il SOC, che gestisce anche gli ambienti cloud ibridi la cui componente pubblica si basa su AWS o Microsoft, ambiti di specializzazione sono il monitoraggio, la reazione agli incidenti che si verificano, lo studio delle minacce che potrebbero concretizzarsi in futuro, anche sondando il dark web con strumenti specializzati di fornitori terzi, l’analisi e correzione delle vulnerabilità e più in generale il miglioramento progressivo della postura di sicurezza. Per questo sono fondamentali la formazione e lo sviluppo della consapevolezza di ogni membro dell’organizzazione cliente e degli stessi specialisti di tecnologie, anche grazie a prove di attacco (penetration test) che rendono evidenti debolezze e lacune spesso proprio negli ambiti ritenuti protetti.
Il SOC, costituito da più di 10 persone rispetto ai 60 e oltre dell’intera business unit cybersecurity, è articolato in 3 livelli. Il primo livello di monitoraggio e reazione è automatizzato e coinvolge alcuni partner. Invia segnali ai livelli superiori, classificando gli eventi che identifica in quattro categorie di gravità: bassa, media, alta e critica. Gli operatori del secondo livello gestiscono gli eventi di gravità bassa e media, più numerosi, con processi relativamente semplici e soprattutto standardizzati, lasciando a un terzo livello di specialisti gli eventi classificati a gravità alta e critica, per i quali occorrono capacità anche umane per gestire attività e persone in situazioni difficili, e assistere il management dei clienti nelle decisioni più difficili, destinate magari ad avere visibilità pubblica.
Secondo Cerro molti di questi servizi sono rilevanti anche per clienti piccoli con risorse più limitate e competenze specialistiche minime o nulle. A loro, S2E propone in particolare una prima fase di valutazione e correzione di vulnerabilità, seguita da servizi MDR (Managed Detection and Response) a controllo e protezione dei dispositivi utente (“endpoint”) e della rete. Il monitoraggio delle infrastrutture di back end con SIEM, più costosi, è invece più rilevante e meglio giustificabile per organizzazioni più grandi e complesse, quelle con le quali S2E storicamente lavora di più.
Sorint.SEC
La società dedicata alla cybersecurity del gruppo SORINT impegna circa ottanta persone a giugno 2024 (erano sessanta a ottobre 2023). Una trentina sono dedicati al SOC, su tre livelli, attivi soprattutto su piattaforme SIEM ed XDR dei principali player di riferimento. Recentemente stanno ampliando la propria competenza sulla piattaforma Security Copilot di Microsoft, di cui Sorint.SEC è partner, in particolare sulle soluzioni di MXDR (Managed Extended Detection and Response), che propone ai clienti come servizio gestito.
Per affrontare la costante evoluzione delle minacce, l’azienda ha costituito un gruppo interno di Automation & AI, volto al continuo miglioramento delle capacità di rilevamento e all’adozione dell’offerta di intelligenza artificiale in ambito cybersecurity dei principali fornitori.
Sorint.SEC lavora principalmente con clienti appartenenti alla fascia alta del mercato: organizzazioni da qualche centinaio di collaboratori fino a molte migliaia. Questi clienti dispongono di un servizio IT interno e in molti casi anche di un gruppo di cybersecurity, ma spesso trovano difficile sviluppare e ancor più mantenere competenze continuamente aggiornate e richiestissime dal mercato. La maggior parte ha la sede principale in Italia, mentre alcune realtà sono internazionali.
L’azienda riconosce anche le esigenze di imprese più piccole, spesso prive di un servizio di sicurezza informatica interno. Sta evolvendo le proprie soluzioni in collaborazione con alcuni dei suoi clienti per renderle più efficaci per questo segmento più ampio del mercato.
Secondo Marco Battaglia – General Manager, la chiave del successo della società sta in un’offerta scalabile e strutturata che permette a SORINT.sec di servire in modo efficiente e profittevole molte decine di clienti con un team altamente qualificato di decine di persone. Grazie a questa architettura l’azienda può ampliare il proprio ruolo nell’ecosistema e raggiungere con maggior efficacia mercati attualmente non coperti.
