In molti potrebbero pensare che, una volta riusciti a proteggere la rete aziendale dagli attacchi esterni con misure quali l’installazione di un antimalware, un cluster di firewall per la sicurezza perimetrale e l’educazione dei dipendenti al corretto utilizzo dei sistemi, non ci saranno più problemi da affrontare. In realtà, in tutto ciò, manca da considerare un elemento fondamentale, ovvero il monitoraggio.
Malware, ransomware e virus sono sempre in agguato e le tecnologie di attacco si evolvono continuamente. Per questo motivo, controllare che tutto si svolga per il meglio è un’operazione fondamentale e tutt’altro che scontata. Chi svolge questa funzione all’interno di un’organizzazione e a livello del dipartimento IT sono il SOC (Service Operation Center) e il NOC (Network Operation Center).
Come funziona il sistema di monitoraggio?
Immagina una vera e propria squadra che difende come una fitta barriera i sistemi informativi aziendali. Il software di monitoraggio in uso al SOC – di cui abbiamo parlato anche qui in merito alla gestione delle funzionalità di sicurezza legate all’infrastruttura IT – assicura il corretto funzionamento e il regolare svolgimento delle operazioni.
Prendiamo come caso di studio il monitoraggio svolto per gli asset di aziende del settore bancario, come nel delicato ambito degli ATM. L’esperienza di Intellisync con Banca Popolare Agricola di Ragusa ha dato importanti risultati in termini di gestione delle comunicazioni con gli endpoint della banca. Tramite alert mostrati sulle dashboard del Service Operation Center, gli esperti infatti possono vedere se ci sono dei problemi di rete o di servizio e reagire, nel più breve tempo possibile, applicando le giuste procedure di remediation, cioè di risoluzione dei problemi, prima che si generi un disservizio per i clienti e un impatto all’availability della triade CIA, un security model che assicura Confidentiality, Integrity e Availability.
I vantaggi di un’adeguata reportistica
La registrazione sequenziale e cronologica (log) dei dati provenienti dai devices monitorati viene analizzata e rielaborata accuratamente dagli operatori in modo da rendere i dati facilmente comprensibili ai clienti attraverso delle dashboard real-time e tramite dei software di ChatOps, che permettono l’interazione dell’operatore con dei bot che inviano degli alert con le Root Cause Analysis contenenti i suggerimenti per le remediation. Questa reportistica è particolarmente importante perché, oltre a fornire il dettaglio di eventi che si sono verificati o di eventuali tentativi di intrusione da parte di soggetti non autorizzati, può permettere al cliente di intraprendere delle azioni preventive.
In questo senso, l’esistenza stessa di un sistema di monitoraggio denota come sia importante assicurare ai propri clienti che la catena di comunicazione dei dati sia sempre attiva e funzionante, in maniera tale da consentire, da un lato, che gli operatori possano espletare le proprie funzioni e, dall’altro, di non creare disservizi ai clienti delle aziende. Il monitoraggio degli ATM in tempo reale permette infatti ai team tecnici di guardare più a fondo nei problemi di disponibilità della rete e delle interazioni fallite con i clienti, fornendo risposte sul perché degli incidenti e analizzandone la frequenza, con l’obiettivo di risolvere i problemi più rapidamente. Questi strumenti di gestione si rivelano infine degli alleati preziosi nell’intercettare soluzioni per prevenire questi problemi in futuro.