Ogni anno Jeff Bezos scrive una lettera aperta agli azionisti di Amazon, lo fa dal 1997 anno della quotazione in borsa.

Queste lettere ci dicono come, secondo Jeff Bezos, si costruisce, si gestisce e si sviluppa un’impresa di successo.

Mi sono imbattuto nell’articolo citato sotto che le commenta tutte e che, per ognuna di loro, ha sintetizzato con un titolo breve il messaggio contenuto nelle lettere.

Leggendo questi titoli ho pensato che i concetti espressi potevano essere applicati, con qualche opportuna “licenza poetica”, alla realizzazione, gestione e sviluppo di un Security Operation Center (SOC) di successo.

D’altronde non è la realizzazione di un SOC essa stessa un’impresa? Amazon non è di fatto una società di servizi che è diventata grande e di successo grazie all’attenzione maniacale al cliente? Esattamente come un SOC è e deve essere.

Bezos ha sempre pensato che qualsiasi struttura di servizi della sua impresa potesse trasformarsi in un centro di profitto e che qualsiasi persona, anche la più operativa, potesse contribuire ad innovarla drasticamente. Questo perché, queste strutture e persone, sono a contatto con clienti interni ed esterni all’impresa e sono quindi a conoscenza delle loro esigenze più vere e importanti.

Vedo il SOC non più confinato all’erogazione di servizi dentro lo standard universalmente accettato di “quello che il SOC fa da sempre” ma come un’impresa veloce, pervasa da uno spirito di sviluppo e cura del cliente che integri servizi innovativi e/o non propriamente riconducibili alla sua attività tradizionale e che soprattutto si trasformi in antenna per il business per capire come fare leva su di esso per lanciare iniziative di successo e fidelizzare clienti.

Mi auspico che il SOC si trasformi da un centro servizi dedicato al monitoraggio di eventi di sicurezza e alla gestione degli incidenti informatici in un centro di generazione di valore per l’impresa e per i suoi clienti, interni o esterni che siano.

Di seguito i titoli (in inglese per non tradire l’originale) delle lettere agli azionisti di Amazon con i miei commenti suddivisi per anni. I commenti non seguono la logica realizzativa ed evolutiva di un SOC ordinata per urgenza o valenza implementativa, ma semplicemente quello temporale di pubblicazione delle lettere, dalla più recente alla più vecchia.La prima parte raccoglie i commenti alle lettere pubblicate dal 2017 al 2011.

Negli articoli che seguiranno nei prossimi giorni potrete leggere tutti i commenti alle lettere pubblicate dal 2010 al 1997. 

Buona lettura!

2017: Build high standards into company culture

Nel SOC si deve promuovere l’attitudine a standard elevati per rispondere alle aspettative più alte del cliente, interno o esterno, che non devono essere negoziate al ribasso.

2016: Move fast and focus on outcomes

Il SOC deve vivere perennemente in condizione di start-up concentrandosi sull’efficacia del risultato e sulla velocità del suo ottenimento.

2015: Don’t deliberate over easily reversible decisions

Il SOC deve affidarsi sempre di più a strumenti automatici di analisi e lasciare intervenire gli uomini solo sulle situazioni difficili da definire. Questo si traduce nell’essere veloci nel prendere decisioni reversibili e ponderare solo quelle che non lo sono.

2014: Bet on ideas that have unlimited upsideIl SOC monitorando la sicurezza e intervenendo sui problemi, ha contezza delle diverse situazioni e quindi avrebbe senso diventasse il centro propositivo di nuove iniziative di sicurezza a supporto del business.

2013: Decentralize decision-making to generate innovation

Più che decentralizzare qui si intende rovesciare il processo di decision making facendolo partire dal basso cioè lasciando più autonomia decisionale agli operatori del SOC (front-line). Il SOC ha un’organizzazione molto gerarchica, di natura militare, dobbiamo adottare un modello più funzionale al business interno o dei clienti esterni.

2012: Surprise and delight your customers to build long-term trust

Gli operatori del SOC più che “interfacciarsi” con i clienti devono “connettersi” con loro.

2011: Self-service platforms unlock innovation

Il SOC può diventare una piattaforma di servizio per progettare, per esempio, migliori corsi di security awareness, facilitare la security-by-design e by-default, sostenere le iniziative di digitalizzazione e supportare e verificare i processi di compliance e di audit.