Cybersecurity Team Roles and Responsibilities

Un Security Operations Center, o SOC, è un team che si occupa costantemente di analizzare le infinite potenziali minacce informatiche lanciate contro un'organizzazione. Comprendere la struttura e i processi all'interno di un team di sicurezza informatica consente una gestione della sicurezza molto più efficace, ma non sempre segue una rigida gerarchia.

Rapporto IDC SOC SOC Demo

Cybersecurity Team Roles and Responsibilities

L'introduzione al framework di sicurezza informatica del NIST

Il NIST Cybersecurity Framework stabilisce una solida serie di standard e processi che affrontano adeguatamente il rischio informatico. La sua flessibilità significa che, sebbene non esista una formula esplicita per la struttura di un team di sicurezza informatica , ogni gestione delle minacce deve coprire questi cinque pilastri chiave:

  1. Identificazione: si concentra sull'identificazione dei sistemi critici di un'organizzazione e dei rischi per la sicurezza che devono affrontare. Ciò include la comprensione delle risorse, dei sistemi, dei dati e dell'ambiente aziendale generale.
  2. Protezione: implica la determinazione dell'impatto di potenziali violazioni della sicurezza e lo sviluppo di strategie per mitigare questi rischi, garantendo che siano in atto misure di sicurezza per salvaguardare i servizi e i dati critici.
  3. Rilevamento: si concentra sul rilevamento tempestivo degli incidenti di sicurezza informatica. Ciò significa disporre di sistemi e processi per monitorare continuamente potenziali violazioni o attività sospette.
  4. Rispondere: enfatizza la preparazione per una risposta rapida ed efficace agli incidenti di sicurezza informatica, limitando la diffusione e l'impatto della violazione.
  5. Ripristino: si concentra sulla possibilità per l'organizzazione di tornare alle normali operazioni il più rapidamente possibile dopo un incidente.

La composizione di un team di sicurezza informatica: ruoli chiave e responsabilità

Per ottenere il NIST Cybersecurity Framework, molti SOC sono segmentati in team che sfruttano al meglio l'esperienza e il campo di esperienza di ciascun dipendente, come i seguenti:

#1: Analisti della sicurezza

Gli analisti della sicurezza informatica sono membri sul campo del team di sicurezza che, il più delle volte, hanno il naso premuto saldamente sull'odore delle minacce alla sicurezza all'interno di una rete.

Tuttavia, data la quantità di dati di rete, la gamma di sistemi che devono essere protetti e la natura variabile dei livelli di allerta, è comune che il ruolo dell'analista della sicurezza venga ulteriormente suddiviso in tre o quattro tipi chiave.

Livello 1: Gestore di allerta

Questo è generalmente il ruolo meno esperto ma ugualmente mission-critical.

Gli analisti della sicurezza di livello 1 sono responsabili del monitoraggio degli strumenti di sicurezza per avvisi e configurazioni errate. Quando arrivano nuovi avvisi, sono i primi a gestirli, poiché scelgono a cosa dare la priorità e come vengono valutati.

Livello 2: Rispondente

Questo livello riceve gli incidenti identificati dagli analisti di livello 1 e inizia un'analisi più approfondita della loro origine e delle implicazioni più ampie. A causa dell'ampia varietà di avvisi che sono unici per qualsiasi ambiente, le specifiche quotidiane possono cambiare notevolmente. Questi investigatori approfonditi sono esperti in analisi complesse e possono dedicare più tempo a incrociare gli avvisi che ricevono.

Costituiscono la maggior parte delle capacità di risposta agli incidenti di un'azienda e, grazie alla loro esperienza nella posizione di livello 1, hanno generalmente molta familiarità con i normali processi della rete di un'azienda.

Questa capacità di comprendere in modo rapido e conciso le complessità di un potenziale incidente significa che gli analisti di livello 2 sono anche ben posizionati per rispondere: aiutano a costruire una strategia di sicurezza per il contenimento, la correzione e il ripristino.

Livello 3: Esperto sul campo o Cacciatore di minacce

A supportare le indagini sugli incidenti ad ampio raggio degli analisti di livello 2 ci sono le loro controparti di livello 3: si tratta di analisti di grande esperienza che si sono poi specializzati in determinati campi.

Possono essere:

  • Specialisti dell'infrastruttura
  • Specialisti in tecniche di sicurezza informatica,

Spesso hanno il compito di occuparsi degli elementi più proattivi della sicurezza informatica, come la caccia alle minacce. Quando è in corso un test di penetrazione , sono i livelli 1 e 2 che fungono da team blu e i livelli 3 che generalmente agiscono come falsi aggressori, consentendo all'intero livello di sicurezza dell'organizzazione di trarre vantaggio dalla loro esperienza avanzata.

Indipendentemente dal livello, i cambiamenti della maggior parte degli analisti iniziano allo stesso modo: 

Il primo compito a disposizione è valutare le informazioni raccolte dal turno precedente, in particolare in un SOC 24 ore su 24, 7 giorni su 7, e iniziare con un briefing sugli incidenti in corso o sugli eventi che necessitano di un ulteriore monitoraggio.

Analista di livello 4: SOC Manager

Il SOC manager è responsabile degli analisti; Poiché sono essenzialmente l'ultima evoluzione della tradizionale carriera di analista, il ruolo viene talvolta definito analista di livello 4. Dirigono le operazioni SOC e sono responsabili della sincronizzazione degli analisti con DevOps e della strategia più ampi attraverso le policy di sicurezza.

Questo è il modo in cui costruiscono e aiutano a eseguire la strategia di sicurezza informatica.

Le responsabilità quotidiane di un responsabile SOC ruotano attorno al supporto del team e all'assicurarsi che tutto funzioni senza intoppi, tra cui:

  • Erogazione di sessioni di formazione
  • Assunzione di nuovi membri
  • Contrattazione di servizi e strumenti esterni di cui il team ha bisogno

#2: Ingegneri della sicurezza

Sebbene non siano sempre membri integranti del SOC, gli ingegneri della sicurezza meritano una menzione a causa del loro ruolo nella gestione del rischio dell'organizzazione. Di solito hanno una vasta esperienza in software o hardware e sono generalmente responsabili della progettazione di sistemi informativi sicuri.

Questo spesso significa che hanno un piede nel SOC e un altro nel team DevOps ; Acquisiscono inoltre la responsabilità della documentazione dei protocolli di sicurezza dell'applicazione.

#3: Direttore della risposta agli incidenti

L'Incident Response Director si occupa dell'intero processo di risposta agli incidenti, coordinando e dirigendo ogni aspetto dello sforzo di risposta.

Il direttore IR si assume la piena responsabilità di tutti i ruoli all'interno del team di risposta e ha il potere di creare e assegnare ruoli aggiuntivi secondo necessità per affrontare le esigenze di un incidente, come l'assegnazione di più analisti per gestire particolari flussi di informazioni.

Questo approccio dinamico consente loro di adattare la struttura del team in tempo reale.

#4: CISO

Un gradino sopra il responsabile SOC c'è il Chief Information Security Officer (CISO). Senza le distrazioni dovute alla gestione dei singoli analisti, sono liberi di concentrarsi quasi esclusivamente sulle decisioni strategiche che allontanano l'organizzazione dalle minacce a livello di settore.

Riportando al CEO, bilanciano le esigenze di sicurezza con obiettivi e budget aziendali più ampi.

Non hai un team interno completo? Check Point può aiutare

Quando ci si affida a un team snello, o addirittura a uno completamente in outsourcing, può essere difficile sentirsi completamente in sintonia con la propria posizione di sicurezza. Con un modello di sicurezza nativo cloud, Check Point offre una visione completamente centralizzata di ogni componente dell'infrastruttura dell'applicazione.

In tutto il traffico, le configurazioni e i componenti, identifica le tue risorse e proteggile con funzionalità avanzate come macro e microsegmentazione, firewall di nuova generazione, protezione API e ispezione SSL\TLS. Questa visibilità di nuova generazione costituisce la base del servizio Check Point Infinity : se hai bisogno di un maggiore grado di protezione pratica, esplora i servizi gestiti completi che ne fanno buon uso. Ciò include:

  • Monitoraggio dell'intero stack
  • Stretta messa a punto delle policy
  • Gestione degli incidenti

Tutto questo si integra perfettamente nelle operazioni IT e InfoSec preesistenti. Per saperne di più, esplora l'intera gamma di servizi Check Point Infinity qui.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK