SOC vs MSSP per PMI italiane 2022: build, buy o hybrid security operations

Il 2021 si è chiuso con la definizione di “ransomware year”: Conti, REvil, BlackCat e una decina di altre gang hanno colpito ospedali, multiutility e manifatture italiane in serie. Il 2022, dopo il fallout di Log4Shell e l’invasione russa dell’Ucraina, ha alzato il livello: attacchi wiper in Ucraina (HermeticWiper, IsaacWiper, CaddyWiper), il DDoS di Killnet contro siti istituzionali italiani a maggio, Lapsus$ che ruba codice sorgente a Microsoft, Nvidia, Okta prima degli arresti UK, e Conti che chiude le operazioni a maggio frammentandosi in cellule più piccole.

In questo contesto la domanda “ci serve un SOC?” non è più appannaggio di banche e telco: anche le PMI italiane fra 50 e 300 dipendenti, soprattutto se manifatturiere con export, se gestiscono dati sanitari o se ricadono nel perimetro NIS (D.Lgs 65/2018), devono coprire 24/7 il monitoraggio degli eventi di sicurezza. Tre le strade praticabili: build (SOC interno), buy (MSSP/MDR) e hybrid. Le differenze su TCO triennale, time-to-value, controllo e scalability sono enormi: da 30 mila euro/anno per un MDR base a 1,5 milioni/anno per un SOC interno full-stack. Questa guida operativa scompone i tre modelli, propone una griglia decisionale e indica errori comuni da evitare.

Cos’è un SOC: people, process, technology

Un Security Operations Center (SOC) è la funzione organizzativa che monitora, rileva, analizza e risponde agli incidenti di sicurezza informatica in modo continuo. Non è un prodotto né un singolo strumento: è la combinazione di tre pilastri.

• People: analyst tier 1 (triage alert), tier 2 (investigation), tier 3 (threat hunting, malware analysis, forensics), un SOC manager che gestisce SLA e capacity planning, e — nei SOC più maturi — un threat intelligence officer che cura feed esterni e profilazione attaccanti.
• Process: runbook per ogni tipologia di alert, playbook di incident response allineati al NIST CSF (Identify, Protect, Detect, Respond, Recover) o al ciclo SANS (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned), procedure di escalation, comunicazione interna e legale (notifica Garante Privacy entro 72h ex Art. 33 GDPR).
• Technology: stack tecnologico che generalmente include un SIEM per la log aggregation e correlation, un SOAR per l’orchestrazione delle risposte, un EDR sugli endpoint, NDR sul traffico di rete, threat intelligence platform e vulnerability management.

I due indicatori chiave del SOC sono MTTD (Mean Time To Detect) e MTTR (Mean Time To Respond). Target maturi: MTTD <15 minuti su alert critici, MTTR <1 ora per il triage iniziale, dwell time sotto le 24 ore. Per riferimento, il rapporto Mandiant M-Trends 2022 indica un dwell time mediano globale di 21 giorni, 17 quando il rilevamento è interno, 28 quando arriva da fonti esterne.

Le sei funzioni operative di un SOC

A prescindere dal modello di delivery (build, buy, hybrid), un SOC dovrebbe coprire sei funzioni. La differenza fra modelli sta in chi fa cosa, non in cosa si fa.

1. Security monitoring 24/7: ingestione log da firewall, endpoint, server, applicazioni cloud, identity provider, e correlazione tramite regole SIEM. Volume tipico per una PMI 200 dip: 200-500 GB di log al giorno, 50-150 alert tier 1.
2. Incident response: triage, contenimento (isolamento host, blocco IP, revoca credenziali), eradication, recovery, post-mortem. Va condotta in coordinamento con IT, legale e — se grave — con il CSIRT Italia per le entità NIS.
3. Threat hunting: ricerca proattiva di indicatori di compromissione che le regole automatiche non hanno colto. Usa il framework MITRE ATT&CK per mappare TTP (Tactics, Techniques, Procedures) noti e ipotizzare presenza di attaccanti già dentro il perimetro.
4. Vulnerability management: scansioni periodiche con Tenable Nessus, Qualys o Rapid7 InsightVM; prioritizzazione patch sulla base di CVSS, exploitability (es. EPSS), e contesto asset.
5. Threat intelligence: feed strategici e tattici (Recorded Future, Anomali, Mandiant Advantage, CrowdStrike Falcon Intelligence) per anticipare campagne in corso, IOC nuovi, vulnerabilità sotto attacco attivo.
6. Compliance reporting: produzione di KPI mensili e report annuali per audit GDPR Art. 32, ISO 27001:2013 controlli A.12 (Operations security) e A.16 (Incident management), e — per gli obbligati — riferibili al recepimento italiano della Direttiva NIS.

I tre modelli: build, buy, hybrid

La scelta fra i tre modelli dipende da quattro variabili: dimensione e maturità dell’organizzazione, profilo di rischio (regulated o no, asset critici, esposizione internazionale), budget triennale disponibile, scarcity di talenti sul mercato italiano (il gap di skill cybersecurity ENISA stima oltre 100.000 posizioni vacanti in UE).

• Build: SOC interno, team dedicato, infrastruttura in casa o in cloud privato. Massimo controllo, massimo costo, time-to-value 12-18 mesi.
• Buy: MSSP (Managed Security Service Provider) o MDR (Managed Detection & Response) — un fornitore esterno gestisce monitoring e risposta. Time-to-value 4-8 settimane, costi predicibili, ma minore visibilità sui processi e dipendenza contrattuale.
• Hybrid: il modello che nel 2022 sta vincendo sul mid-market italiano. Tier 1 interno per filtrare il rumore e gestire la prima escalation, MSSP/MDR su tier 2/3, notti, weekend e festivi. Bilancia controllo, costi e copertura.

Build SOC interno: cosa serve davvero

Costruire un SOC da zero significa decidere su tre asset: team, tecnologia, processi. Il sottodimensionamento di uno rende inutile l’investimento sugli altri.

Team minimo per copertura 24/7

Per coprire H24 con turni di 8 ore, considerando ferie e malattie, servono almeno 5 analyst tier 1 in rotazione (2 di giorno, 1 sera, 1 notte, 1 di riserva). Aggiungere:

• 2 analyst tier 2 (orario d’ufficio, on-call notte)
• 1 threat hunter / tier 3 senior
• 1 SOC manager
• 1 ingegnere SIEM dedicato (manutenzione regole, parser custom, tuning)

Totale: 9-10 FTE. Costo lordo aziendale in Italia, fra RAL e contributi: un tier 1 junior costa 35-45K€/anno, un senior tier 2/3 65-90K€, un SOC manager 80-110K€, un threat hunter di alto profilo 100-130K€. Pacchetto annuale stipendi: 500-750K€.

Stack tecnologico

• SIEM: Splunk Enterprise (oneroso oltre 100 GB/giorno), IBM QRadar, Sumo Logic, Elastic Security, LogRhythm, o AlienVault USM Anywhere (acquisita AT&T 2018). Costo SIEM per PMI: 80-200K€/anno.
• SOAR: Splunk Phantom, Palo Alto Cortex XSOAR (ex Demisto), Tines, Swimlane. 30-80K€/anno.
• EDR: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X, VMware Carbon Black. 30-80€/endpoint/anno.
• NDR: Vectra AI, Darktrace, ExtraHop Reveal(x). 50-150K€/anno.
• Vulnerability scanning: Tenable.io o Nessus, Qualys VMDR, Rapid7 InsightVM. 20-60K€/anno.
• Threat intelligence: Recorded Future, Anomali, Mandiant Advantage, CrowdStrike Falcon Intelligence. L’acquisizione di Mandiant da Google è annunciata a marzo 2022, chiusura attesa entro fine anno.

Costi consolidati build

Mettendo insieme i pezzi: setup iniziale 500K-1,5M€ (selezione, formazione, design, implementazione tecnologie, certificazioni di sicurezza fisica del SOC, eventuale ridondanza geografica), poi running 800K-1,5M€/anno a regime. Per molte PMI italiane è semplicemente fuori scala. Le organizzazioni che giustificano il build sono tipicamente quelle con oltre 500 dipendenti in settori regulated (finance, sanità, energia, difesa) o aziende che vendono servizi di cybersecurity e fanno del SOC un’offerta commerciale.

Buy: MSSP, MDR e il mercato italiano 2022

Il “buy” si articola su due categorie di fornitori, spesso confuse. Un MSSP (Managed Security Service Provider) nasce dall’outsourcing IT classico: gestisce dispositivi (firewall, IDS, antivirus), invia alert, produce report. Punto debole: si limita spesso a “girare l’alert” al cliente senza investigare a fondo.

Un MDR (Managed Detection & Response) — categoria definita da Gartner dal 2017, mainstream dal 2020 — copre lo stack moderno EDR/SIEM, fa investigation attiva e include la response: isolamento endpoint, blocco IP, kill processi, anche su autorizzazione preventiva. L’MDR moderno è quasi sempre 24/7 e si compra a tariffa per endpoint/mese.

Vendor italiani di riferimento (2022)

• Leonardo Cybersecurity — historic player, forte su PA, difesa, grandi imprese.
• TIM Enterprise / Telsy — SOC nazionale, target enterprise.
• Reply Spike (Communication Valley) — riferimento bancario.
• Lutech — system integrator con servizi MSSP/MDR strutturati.
• Aizoon — Torino, prodotto proprio Aramis NDR + servizi gestiti.
• NTT Data Italia — global SOC con presenza Italia.
• Cyberlab UniCredit — SOC del gruppo bancario, anche servizio a terzi.
• Yarix (Var Group) — popolare su mid-market e Nordest.
• Hwg Sababa — fusione 2021, MDR moderno su mid-market.
• Westpole — focus PA e healthcare.

Vendor MDR globali con presenza Italia

• Arctic Wolf — modello “Concierge”, in crescita EMEA.
• Expel — pure-play MDR, integrazioni native cloud.
• Red Canary — forte su detection engineering.
• eSentire — MDR XDR-style con Atlas Platform.
• Rapid7 MDR, CrowdStrike Falcon Complete, SentinelOne Vigilance — MDR dei principali vendor EDR.

Pricing tipico buy

Per una PMI 100-300 dipendenti con 200-400 endpoint, 30-50 server e qualche workload cloud:

• MDR base (solo endpoint, EDR managed, no SIEM): 25-50K€/anno
• MDR completo (endpoint + network + cloud + identity + SIEM gestito): 60-150K€/anno
• MSSP enterprise con SOC dedicato e SOC manager allocato: 150-400K€/anno

SLA tipici di un buon MDR

• MTTD < 15 minuti su alert critici
• MTTR (triage iniziale) < 1 ora
• Containment < 4 ore per incidenti gravi
• Report mensile + briefing trimestrale con CISO/IT manager
• War room virtuale 24/7 attivabile via canale dedicato

Pro e contro del buy

Pro: copertura 24/7 immediata, accesso a expertise difficile da assumere internamente in Italia, costi predicibili, niente burnout su un team troppo piccolo, vendor che vede pattern di attacco su centinaia di clienti.

Contro: visibilità ridotta su come l’MSSP investiga (la black box), change request lente (creare una regola di detection custom può richiedere giorni), tariffe per endpoint che scalano male su crescita rapida, rischio di lock-in sulla piattaforma del vendor.

Hybrid: il modello che sta vincendo sul mid-market

Il modello hybrid si basa su una distribuzione esplicita di responsabilità fra interno ed esterno. Esempio concreto per una manifattura italiana di 250 dipendenti con presidio IT 9-18:

• Tier 1 interno: 1-2 risorse IT (anche non senior) ricevono via dashboard MDR gli alert già pre-filtrati, gestiscono triage di alert noti e fanno escalation al fornitore quando l’evento è ambiguo.
• Tier 2/3 esterno (MDR/MSSP): investigation profonda, threat hunting, malware analysis, response su autorizzazione, copertura notte/weekend/festivi.
• CISO virtuale: un consulente senior esterno (anche frazionato 2-4 giorni/mese) che siede ai Comitati, gestisce roadmap di sicurezza, audit ISO 27001, rapporti con il Garante.
• Playbook congiunti: definiti in fase di onboarding, rivisti trimestralmente. Specificano chi fa cosa per ciascun tipo di incidente (es. ransomware confermato → MDR isola endpoint immediatamente; phishing campagna → IT interno blocca dominio + MDR cerca eventuali credenziali esfiltrate).

TCO triennale tipico hybrid PMI 200 dipendenti: 250-500K€ su 3 anni, cioè 80-170K€/anno fra MDR, CISO frazionato, formazione del team interno e licenze EDR/MFA/MDM. Time-to-value: 6-12 settimane di onboarding strutturato.

Confronto build vs buy vs hybrid su 5 dimensioni

Dimensione	Build interno	Buy MSSP/MDR	Hybrid
TCO 3 anni	2,5-5M€	80-450K€	250-700K€
Time-to-value	12-18 mesi	4-8 settimane	6-12 settimane
Controllo	Massimo	Medio-basso	Alto
Scalability	Lenta (assunzioni)	Rapida (tariffe)	Rapida lato MDR
Expertise	Difficile reclutarla	Inclusa	Inclusa + cresce interna

MITRE ATT&CK e threat intelligence: come integrarli

Indipendentemente dal modello scelto, due integrazioni rendono il SOC molto più efficace.

MITRE ATT&CK è il knowledge base più completo di tattiche, tecniche e procedure (TTP) usate da attaccanti reali, aggiornato semestralmente. Nel 2022 include la matrice ICS per ambienti industriali (rilevante per PMI manifatturiere con OT). Un SOC maturo:

• Mappa le proprie detection rule alle technique ATT&CK
• Misura la copertura come % di technique coperte (target maturo: > 60% delle tecniche rilevanti per il proprio settore)
• Usa la matrice per esercizi di purple team: il red team simula tecniche specifiche, il blue team verifica se le ha rilevate

La threat intelligence alimenta il SOC con tre livelli di informazione: strategica (chi sono gli attaccanti rilevanti per il mio settore: ad esempio Wizard Spider/Conti per industria, FIN7 per retail, APT28/Fancy Bear per geopolitica), tattica (TTP usate in campagne in corso), operativa (IOC freschi: hash, IP, domini malevoli). Feed gratuiti utili: CSIRT Italia bollettini, CERT-AGID per la PA, AlienVault OTX, abuse.ch (URLhaus, MalwareBazaar, Feodo Tracker), MISP communities settoriali.

SOAR: orchestrazione per ridurre il carico tier 1

Un SOAR (Security Orchestration, Automation and Response) automatizza i playbook ricorrenti: un alert “login da Paese mai visto” può, senza intervento umano, lanciare query AD, verificare l’IP in feed threat intel, forzare un re-auth MFA. Dal 2020 i SOAR sono accessibili anche al mid-market grazie a player come Tines e ai SOAR cloud-native delle piattaforme XDR. Riduzioni di carico tipiche: 40-60% degli alert tier 1 chiusi senza intervento umano, MTTD/MTTR migliorati di 2-3x.

KPI del SOC: cosa misurare

I KPI da contrattualizzare con un MSSP/MDR — o da imporsi internamente in un build — sono di tre famiglie.

• Detection efficacy: MTTD per severity (critica, alta, media), copertura MITRE ATT&CK %, true positive rate, dwell time medio.
• Response performance: MTTR triage, MTTR containment, MTTR recovery, % incidenti chiusi entro SLA.
• Volume e qualità: alert/giorno, % alert falsi positivi (target sotto il 20%), tickets chiusi/analyst, soddisfazione cliente (CSAT) e retention.

Un ROI del SOC va costruito come costo dell’incidente evitato: il costo medio di una data breach in Europa nel 2021 secondo IBM è 3,8M€, con costi specifici per healthcare oltre i 7M€. Anche prevenire un solo incidente “medio” in tre anni ripaga ampiamente un SOC esternalizzato.

GDPR Art. 32, ISO 27001:2013 e NIS in Italia

Il SOC non è solo difesa: è anche evidenza per compliance. Tre quadri normativi rilevanti nel 2022.

GDPR Art. 32 — Sicurezza del trattamento: impone misure tecniche e organizzative adeguate, fra cui “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure”. Un SOC documentato con KPI mensili è la più solida evidenza producibile.

ISO 27001:2013 (Annex A) — controlli pertinenti: A.12.4 (Logging and monitoring), A.16 (Information security incident management), A.17 (Business continuity). Le organizzazioni che chiedono certificazione hanno bisogno di documentare politiche, procedure, log retention, runbook IR. Il rapporto SOC produce gran parte dell’evidenza richiesta dall’auditor.

Direttiva NIS (UE 2016/1148) recepita in Italia con D.Lgs 65/2018: obbliga gli operatori di servizi essenziali (energia, trasporti, banche, sanità, fornitura acqua potabile, infrastrutture digitali) e i fornitori di servizi digitali (cloud, marketplace, motori di ricerca) a notificare incidenti significativi al CSIRT Italia. La revisione NIS2 è attualmente in negoziazione fra Parlamento UE e Consiglio nel 2022 — il testo finale è atteso entro fine anno e amplierà significativamente platea ed obblighi, con focus su supply chain e accountability del management.

CSIRT Italia (Computer Security Incident Response Team), parte dell’Agenzia per la Cybersicurezza Nazionale (ACN, istituita 2021), è il punto di contatto operativo nazionale: pubblica bollettini, coordina risposta a incidenti su scala paese, riceve notifiche NIS. Per la PA c’è anche CERT-AGID. La Polizia Postale resta il riferimento per la denuncia penale.

Errori comuni e come evitarli

1. Build SOC senza skill mature: assumere 2-3 junior, comprare uno SIEM, e pensare di costruire detection rule strada facendo. Risultato: alert fatica, burnout, dimissioni dopo 9 mesi. Soluzione: partire con un SOC consultant senior in affiancamento 6-12 mesi.
2. Buy MSSP senza onboarding chiaro: si firma il contratto, dopo 60 giorni si scopre che metà degli ambienti non è coperta. Soluzione: onboarding plan firmato con scope, milestone settimanali, purple team test entro 90 giorni.
3. Ignorare la threat intelligence: monitorare senza sapere chi attacca il proprio settore porta a inseguire alert generici. Soluzione: anche i feed gratuiti CSIRT/CERT-AGID/abuse.ch fanno la differenza.
4. No integration con identity provider: senza log di Active Directory, Azure AD, Google Workspace, l’80% degli attacchi moderni basati su credenziali compromesse resta invisibile.
5. Nessuna copertura cloud: workload AWS/Azure/GCP e SaaS critici (M365, Salesforce) vanno nel perimetro SOC. Le configurazioni di default escludono molti log rilevanti.
6. Backup non testati: si scopre la sera del ransomware che i backup sono cifrati anch’essi. Regola 3-2-1-1-0 e test di restore trimestrali.
7. Cyber insurance come piano B: dopo l’war exclusion Lloyd’s 2021 la copertura è ristretta. L’assicurazione è complemento del SOC, non sostituto.

Roadmap selezione SOC/MSSP in 90 giorni

Per chi parte da zero, una sequenza praticabile per arrivare a copertura attiva in 90 giorni.

Giorni 1-15: assessment

• Inventario asset, identificazione dei “crown jewel” (dati, sistemi, processi critici)
• Risk assessment leggero su modello ISO 27005 o framework NIST CSF
• Analisi gap di copertura attuale: cosa è già loggato, cosa è già monitorato, quali strumenti sono in casa
• Definizione budget triennale e modello (build/buy/hybrid)

Giorni 16-45: selezione fornitori (se buy o hybrid)

• Long-list di 5-7 vendor partendo dalle liste pubbliche (Gartner Magic Quadrant MDR, Forrester Wave, vendor italiani)
• RFI con questionario tecnico standardizzato: copertura tecnologica, SLA, modello pricing, lingua italiana, presenza fisica/legale Italia
• Short-list di 2-3 per RFP dettagliata + demo + reference call
• Selezione e negoziazione contratto con clausole di exit, data ownership, audit, war room

Giorni 46-75: onboarding

• Collegamento log source (firewall, EDR, identity, cloud, SaaS critici)
• Tuning iniziale delle regole di detection sul contesto cliente
• Definizione playbook IR congiunti
• Definizione canali di comunicazione (Teams/Slack dedicato, telefono di emergenza, email cifrate)

Giorni 76-90: validazione

• Tabletop exercise con scenario ransomware
• Purple team test su 5-10 technique MITRE ATT&CK selezionate
• Review primo set di alert con il fornitore e calibrazione false positive
• Setup reportistica mensile e cadenza meeting trimestrale

HowTo: 5 step per scegliere fra build, buy e hybrid

1. Quantifica esposizione e rischio: numero endpoint, server, utenti, workload cloud, dati personali trattati, ricavi annui. Sotto 50 dipendenti e fuori da settori regulated, il build è quasi certamente fuori scala.
2. Mappa il budget triennale realistico: tutto incluso, infrastruttura + persone + formazione. Sotto 200K€/anno, il build full-stack non è praticabile.
3. Verifica disponibilità skill sul mercato locale: in Italia 2022, recruiting di tier 2/3 senior richiede 4-9 mesi e tassi di turnover oltre il 20%. Se il piano di build si regge su “assumiamo entro 6 mesi”, aggiungere un fattore 2x al tempo.
4. Definisci tolleranza al rischio operativo: quanto tempo di blackout di sicurezza è accettabile? Se la risposta è “zero”, il buy o l’hybrid danno copertura immediata che il build non offre.
5. Pianifica exit strategy: anche scegliendo buy o hybrid, mantenere la proprietà dei log (data ownership clause) e dei runbook, e ricostruibilità dell’architettura in altro vendor entro 6 mesi.

FAQ

SOC interno o MDR esterno: cosa costa meno realmente?

L’MDR esterno costa significativamente meno per organizzazioni sotto i 500 dipendenti, con TCO triennale tipicamente 80-450K€ contro i 2,5-5M€ del SOC interno. Il break-even economico del build si raggiunge tipicamente sopra i 1.500-2.000 dipendenti o in settori regulated con obblighi specifici.

MSSP e MDR sono la stessa cosa?

No. L’MSSP gestisce dispositivi e gira alert, l’MDR fa investigation e response attiva sull’endpoint, sulla rete o sulle identità. Nel 2022 la maggioranza dei nuovi contratti in mid-market è MDR o MSSP-con-componenti-MDR, l’MSSP “classico” sta perdendo quota.

Qual è il modello giusto per una PMI manifatturiera 200 dipendenti?

Tipicamente hybrid: IT interno (1-2 risorse) come tier 1 + MDR esterno su tier 2/3 e copertura 24/7. CISO virtuale 2-4 giorni/mese per governance. TCO 80-170K€/anno, copertura completa, time-to-value 6-12 settimane.

Cosa chiedere in fase di RFP a un fornitore MDR?

SLA contrattualizzati su MTTD e MTTR per severity, copertura MITRE ATT&CK %, lingua italiana sui canali H24, presenza legale Italia, data residency UE, clausola di exit con esportazione log, war room virtuale, reference cliente del proprio settore, demo della console e di un caso reale anonimizzato.

Il NIS si applica alla mia azienda?

Il D.Lgs 65/2018 si applica agli operatori di servizi essenziali identificati nei settori energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, fornitura/distribuzione acqua potabile, infrastrutture digitali, e ai fornitori di servizi digitali (cloud, motori di ricerca, marketplace). La NIS2 in negoziazione 2022 amplierà la platea includendo manifattura “critica”, chimica, alimentare e altri settori.

Come si misura il ROI di un SOC?

Il ROI si costruisce come costo evitato: costo medio di una data breach europea 3,8M€ secondo IBM Cost of a Data Breach 2021, con valori più alti su healthcare. Anche evitare un solo incidente medio in tre anni ripaga ampiamente un SOC esternalizzato. Per il build interno, il ROI include anche knowledge retention e indipendenza strategica.

La cyber insurance può sostituire un SOC?

No. Dopo l’esclusione per atti di guerra introdotta da Lloyd’s nel 2021, la copertura su attacchi attribuibili a stati sovrani è molto stretta. Gli underwriter del 2022 chiedono inoltre MFA, EDR e detection 24/7 come precondizioni per rilasciare polizza o per applicare tariffe ragionevoli. L’assicurazione è complemento del SOC, non sostituto.