Maurizio Tondi, CTO di Axitea, offre un interessante e qualificato punto di vista sulla sicurezza informatica, e sulla gestione di PSIM e SIEM.
Attraverso il monitoraggio, la misurazione e l’analisi di enormi quantità di dati provenienti da sistemi distribuiti, le soluzioni di Physical Security Information Management forniscono alle imprese o agli operatori dei SOC informazioni in tempo reale sullo stato della sicurezza a livello dell’intera azienda. Grazie ad essi, è spesso possibile eliminare la necessità di un presidio fisso, l’evenienza di falsi allarmi e le revisioni manuali, riducendo così il TCSO (Total Cost of Security Ownership) delle aziende o il costo del servizio erogato per MSSP.
I sistemi PSIM offrono lo stesso tipo di funzionalità avanzate (disponibili per i team di cyber security tramite SIEM) ai centri operativi di sicurezza (Security Operation Center). Ad esempio, lo PSIM consente l’integrazione di più sistemi e tecnologie di informazioni sulla sicurezza fisica (CCTV, controllo accessi, gestione degli edifici, antincendio e sicurezza, sensori di intrusione perimetrale e altro) per consentire una visione in tempo reale unificata e correlata degli incidenti di sicurezza.
Questa tecnologia indirizza la necessità di risolvere situazioni di emergenza fornendo una visione completa della situazione con il supporto di dati in tempo reale aggregati da più sistemi di sorveglianza. Lo PSIM, inoltre, minimizza i rischi identificando le situazioni vere e false in modo da dare la precedenza a quelle più critiche. Una delle spinte principali alla crescita del mercato PSIM è rappresentata anche dal fabbisogno crescente di sicurezza pubblica, con la richiesta di sistemi per il monitoraggio di siti critici personalizzati per gli operatori e ricchi di funzionalità di gestione eventi e video. Inoltre, con il proliferare dell’IoT e della richiesta di sistemi capaci di interfacciarsi con dispositivi tecnologici eterogenei, lo PSIM si pone come immediata risposta. Non è più sufficiente, infatti, interfacciarsi con i comuni dispositivi analogici per la sicurezza, è necessario integrare nuovi dispositivi nei sistemi Physical Security Information Management al fine di fornire un’unica interfaccia di monitoraggio e controllo, che sia in grado anche di valutare le performance in termini di utilizzo dei dispositivi stessi e valutarne preventivamente il possibile degrado. Non solo: tale interfaccia va resa progressivamente disponibile in architetture di peering al SIEM (Security Information and Event Management) o a sistemi superiori in grado di effettuare una supervisione integrata.
I team di cyber security conoscono molto bene i benefici e le potenzialità di soluzioni SIEM che sono state create per affrontare con efficacia e velocità la gestione del rischio derivante dalle vulnerabilità e dalle debolezze di reti, sistemi informativi e applicazioni (incluso il “comportamento” dell’uomo) in situazioni di attacco da parte di hacker altamente motivati. Il SIEM si concentra in particolare sulla gestione delle informazioni di sicurezza e dei log, sul reporting e su funzionalità avanzate di Security Event Management (SEM) per il supporto facilitato al monitoraggio in tempo reale e la gestione degli incidenti.
Entrambe le tecnologie e le soluzioni condividono la necessità di disporre di dati, informazione ed eventi – derivanti da domini e scenari operativi sempre più integrati e cooperativi – per i quali non tanto l’abbondanza del dato, quanto l’accuratezza, la veridicità, l’autenticità e la rilevanza del dato stesso rappresentano il primo e più importante livello di filtro, correlazione, analisi e aggregazione per garantire logiche di EDIR (Endpoint Detection and Integrated Response) efficaci e innovative in scenari operativi sempre più convergenti.
La convergenza, la visibilità integrata in real-time o near real-time di un evento, di un attacco, di una emergenza rappresentano sempre più, contestualmente all’evoluzione di centri di competenza specializzati, aggiornati e operativi H24 (SOC), la “linea” cognitivo-operativa più efficace e cost effective per la difesa e la protezione integrata delle aziende private e pubbliche.