Come rilevare un incidente di sicurezza: il Security Operation Center (SOC)

Per molti anni la sicurezza delle informazioni si è basata sull’adozione di tecniche preventive, cioè sull’utilizzo di sistemi, normalmente posizionati a difesa del perimetro aziendale, in grado di bloccare eventuali tentativi di attacco ed intrusione (i cosidetti “firewall” più o meno sofisticati). Il nuovo contesto digitale basato su asset ed architetture distribuite e caratterizzato dalla presenza di tecniche di attacco sempre più sofisticate ha fatto evolvere questo modello, fondato principalmente sulla prevenzione, verso un nuovo paradigma che prevede un monitoraggio continuo: il Security Operation Center (SOC), struttura organizzativa, interna od esterna, che mette in atto un processo di gestione degli incidenti di sicurezza mediante un insieme di tecnologie ed un team specializzato in grado di interpretare gli ausili tecnologici al fine di riconoscere le evidenze di compromissione.