Hai un firewall, un antivirus, un EDR. Ma chi li monitora alle 3 di notte? Chi analizza l'alert che sembra un falso positivo ma potrebbe essere un'intrusione reale? Chi correla gli eventi tra diversi sistemi per rilevare un attacco sofisticato? La risposta e il SOC — Security Operations Center.
Il SOC e il centro nevralgico della sicurezza informatica di un'organizzazione. Monitora, rileva, analizza e risponde alle minacce informatiche 24 ore su 24, 7 giorni su 7. Per la NIS2, avere capacita di monitoraggio continuo e una delle aspettative implicite delle misure di sicurezza richieste.
Cosa fa un SOC
- Monitoraggio continuo — raccolta e analisi in tempo reale dei log e degli alert da tutti i sistemi di sicurezza
- Triage degli alert — analisi degli alert per distinguere i falsi positivi dalle minacce reali
- Incident detection — identificazione degli incidenti attraverso correlazione di eventi e threat intelligence
- Incident response — contenimento iniziale delle minacce e coordinamento con il team IR
- Threat hunting — ricerca proattiva di minacce che potrebbero essere sfuggite ai sistemi automatici
- Reporting — produzione di report per il management su stato della sicurezza, incidenti e trend
SOC interno vs SOC esterno (MSSP)
Costruire un SOC interno richiede investimenti significativi: personale specializzato (minimo 6-8 analisti per il H24), strumenti SIEM, threat intelligence, formazione continua. Per una media impresa, il costo annuale supera facilmente i 500.000 euro. L'alternativa e il SOC esterno, fornito da un MSSP (Managed Security Service Provider).
| Aspetto | SOC interno | SOC esterno (MSSP) |
|---|---|---|
| Costo annuale | 500.000-1.500.000 EUR | 50.000-200.000 EUR |
| Conoscenza del business | Alta | Media (da costruire) |
| Competenze tecniche | Da costruire | Gia disponibili |
| Scalabilita | Limitata | Alta |
| Reattivita | Alta | Dipende dal SLA |
| Controllo | Totale | Parziale |
Per la maggior parte delle PMI italiane, il SOC esterno e la scelta piu pragmatica. Il costo di un servizio MSSP (50.000-200.000 euro/anno) e una frazione di un SOC interno e offre competenze gia mature. L'importante e scegliere un MSSP con SLA chiari, reporting trasparente e esperienza nel tuo settore.
Come scegliere un MSSP
- SLA chiari — tempi di detection, tempi di risposta, disponibilita del servizio
- Reporting — report periodici comprensibili per il management, non solo tecnici
- Integrazione — il SOC deve integrarsi con i tuoi strumenti esistenti
- Competenze settoriali — un MSSP che conosce il manifatturiero e diverso da uno specializzato in finanza
- Certificazioni — ISO 27001, SOC 2 Type II come garanzia di qualita
- Exit strategy — cosa succede se vuoi cambiare provider? I tuoi dati e log ti appartengono?
SOC e NIS2: il legame
La NIS2 richiede capacita di rilevamento e gestione degli incidenti. Un SOC — interno o esterno — e lo strumento che fornisce queste capacita in modo strutturato. Senza monitoraggio continuo, gli incidenti vengono scoperti in media dopo 207 giorni (dato IBM Cost of Data Breach 2024). Con un SOC efficace, il tempo scende a ore o minuti. Questa differenza puo essere vitale per rispettare le tempistiche di notifica della NIS2 (24 ore dalla consapevolezza).