Postare fixată
SOC, no more!!!!
De câțiva ani asist în România la o efervescență în zona promovării serviciilor de tip SOCaaS (Security Operations Center as a Service). Fiecare conferință, fiecare webinar și multe campanii de marketing digital transmit ideea că SOCaaS este soluția supremă și universală la problemele de securitate cibernetică ale companiilor românești, în special pentru conformitatea cu cerințele Directivei NIS2.
Însă, este aceasta direcția corectă?
Din experiența mea directă ca și consultant în securitatea cibernetică, pot afirma că acest trend duce audiența într-o direcție profund greșită, din două motive majore.
1. Audiența greșită și neînțelegerea pieței
În primul rând, cine cumpără realmente SOCaaS în România? Marile organizații și cele intens reglementate, cum ar fi băncile sau companiile multinaționale, au deja echipe interne mature, dedicate în zona de guvernanță (GRC - Governance, Risk, Compliance), IT Security Operations și SOC. Aceste organizații nu sunt clienții principali ai unui serviciu SOC externalizat; ele dispun deja de capacități proprii bine dezvoltate.
Realitatea este că SOCaaS ar putea fi util în special organizațiilor cu un nivel de maturitate mai scăzut, indiferent de mărime, dar aici apar câteva capcane serioase. Principala capcană constă în faptul că aceste organizații au nevoi mult mai fundamentale decât simple servicii de monitorizare și detectare a incidentelor de securitate.
2. Fundamentele securității cibernetice lipsesc masiv în România
În al doilea rând, din experiența mea practică în externalizarea operațiunilor de securitate cibernetică în diverse companii, am constatat că principalele provocări nu sunt deloc în zona de monitorizare și detectare (zona tradițională a unui SOC), ci în două arii distincte și mult mai critice:
Guvernanța securității (40% din efort) – Majoritatea covârșitoare a companiilor românești vizate de Directiva NIS2 nu dispun nici măcar de o guvernanță minimală a securității informației. Întâlnesc frecvent manageri IT incapabili să traducă cerințele tehnice în limbajul businessului pentru a justifica bugetele, iar directori generali cu un apetit crescut la risc care nu au mecanisme interne clare pentru luarea unor decizii informate și fundamentate privind digitalizarea și protecția afacerii lor. Aici intervine o nevoie critică de consultanță reală și practică în zona GRC, pentru a structura deciziile și investițiile.
Operațiunile preventive IT și ITSecOps (40-60% din efort) – Implementarea cerințelor fundamentale ale Directivei NIS2 necesită o muncă titanică în zona operațională IT. Vorbim despre implementarea ITIL (managementul configuratiilor, al schimbarilor, ai asseturilor) , managementul identităților și accesului, segregarea rețelelor și hardeningul infrastructurii. Toate acestea sunt lucruri de bază care proportional sunt isi controale de securitate din NIS 2 si orice standard de bun simt, dar dificile, pentru ca în mod real pot dura ani întregi de efort consistent și serios.
Din experiența mea, acesta este punctul central pe care companiile românești ar trebui să-l atace frontal înainte de a se gândi măcar la monitorizarea incidentelor.
Ce nu se înțelege încă despre piața românească?
În prezent, multe companii de cybersecurity și consultanță din România preferă calea ușoară și „elitistă”: audituri simple și servicii SOCaaS, pentru că este mai ușor să promovezi și să vinzi o soluție la modă, decât să faci muncă reală, „old-school”, de fundamentare și construcție a unor practici solide de guvernanță și prevenție.
Foarte puține companii românești au ales să abordeze frontal acest subiect dificil. Iar cele care au făcut-o, de multe ori au lăsat în urmă clienți nemulțumiți și proceduri inutile, nealiniate și imposibil de aplicat. Astfel, piața rămâne subdezvoltată, iar clienții românești sunt vulnerabili în fața amenințărilor cibernetice.
Valoarea adăugată în securitatea cibernetică
Ca furnizor de servicii SOCaaS, afirm deschis că SOC-ul nu este panaceul. Îl apreciez, dar realist vorbind, atunci când problemele fundamentale din zona preventivă nu sunt rezolvate, monitorizarea și detectarea incidentelor devin secundare.
Mai mult decât atât, serviciile moderne de tip XDR și MDR furnizate direct de vendorii consacrați precum CrowdStrike, Microsoft sau Trend Micro sunt deja extrem de eficiente și mature, oferind o alternativă mai convenabilă decât implementarea unui SOC complet local cat si al unei oferte de SOCaaS. Am văzut clienți europeni si am clienti din Romania care au ales MDR full-service de la vendori mari pentru că oferă raportul optim cost-eficiență.
Astfel, întrebarea pe care fiecare furnizor local de SOCaaS trebuie să și-o pună sincer este: „Ce valoare reală aducem noi clientului?”. Din analiza pieței și a situației financiare a unor furnizori locali, reiese că mulți nu înțeleg clar piața și nici nevoile reale ale clienților multi si preera sa ramana in zona elitista a comporatiilor si a bancilor.
Concluzie și apel la schimbare
În concluzie, cred că principalii responsabili pentru maturitatea scăzută a pieței românești de cybersecurity sunt tocmai cei care ar trebui să o dezvolte: integratorii si furnizorii de advisory.
În loc să se concentreze pe audituri elitiste sau pe promovarea exagerată a serviciilor SOCaaS, cat si a unor tehnologii punctuale de securitate, ar trebui să se angajeze sincer în munca reală și dificilă de GRC consulting și ITSecOps management.
E timpul să trecem de la soluțiile „glamour” și trendy la fundamentul solid al securității cibernetice. Doar așa vom vedea o evoluție reală în piața de cybersecurity din România. Sau, cum spune un proverb adaptat mediului de business: „Dormim cum ne așternem”.
Nota. Nu am dat nici un nume de firma locala din Romania, dar pot mentiona ca sunt foarte putine care nu fac ce am scris eu aici. Aproape orice companie de cybersec au offeringul lor de SOCaaS.