{"id":1988,"date":"2022-06-03T16:27:00","date_gmt":"2022-06-03T14:27:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/soc-vs-mssp-pmi-italiane-build-buy-hybrid-security-2022\/"},"modified":"2022-06-03T16:27:00","modified_gmt":"2022-06-03T14:27:00","slug":"soc-vs-mssp-pmi-italiane-build-buy-hybrid-security-2022","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/soc-vs-mssp-pmi-italiane-build-buy-hybrid-security-2022\/","title":{"rendered":"SOC vs MSSP per PMI italiane 2022: build, buy o hybrid security operations"},"content":{"rendered":"

Il 2021 si \u00e8 chiuso con la definizione di “ransomware year”<\/strong>: Conti, REvil, BlackCat e una decina di altre gang hanno colpito ospedali, multiutility e manifatture italiane in serie. Il 2022, dopo il fallout di Log4Shell<\/strong> e l’invasione russa dell’Ucraina, ha alzato il livello: attacchi wiper<\/em> in Ucraina (HermeticWiper, IsaacWiper, CaddyWiper), il DDoS di Killnet contro siti istituzionali italiani<\/strong> a maggio, Lapsus$ che ruba codice sorgente a Microsoft, Nvidia, Okta prima degli arresti UK, e Conti che chiude le operazioni<\/strong> a maggio frammentandosi in cellule pi\u00f9 piccole.<\/p>\n

In questo contesto la domanda “ci serve un SOC?” non \u00e8 pi\u00f9 appannaggio di banche e telco: anche le PMI italiane fra 50 e 300 dipendenti, soprattutto se manifatturiere con export, se gestiscono dati sanitari o se ricadono nel perimetro NIS (D.Lgs 65\/2018), devono coprire 24\/7 il monitoraggio degli eventi di sicurezza<\/strong>. Tre le strade praticabili: build<\/strong> (SOC interno), buy<\/strong> (MSSP\/MDR) e hybrid<\/strong>. Le differenze su TCO triennale, time-to-value, controllo e scalability sono enormi: da 30 mila euro\/anno<\/strong> per un MDR base a 1,5 milioni\/anno<\/strong> per un SOC interno full-stack. Questa guida operativa scompone i tre modelli, propone una griglia decisionale e indica errori comuni da evitare.<\/p>\n

\nTL;DR \u2014 Verdict per persona<\/strong><\/p>\n
    \n
  • PMI 20-50 dipendenti<\/strong>: MDR managed (Arctic Wolf, Expel, Red Canary o MDR Italia tipo Hwg Sababa, Yarix) a 25-50K\u20ac\/anno. Il build interno \u00e8 fuori budget e fuori scala.<\/li>\n
  • PMI 100-300 dipendenti<\/strong>: Hybrid<\/em> con IT interno tier 1 (1-2 risorse) + MSSP\/MDR su tier 2\/3, night & weekend. TCO 80-200K\u20ac\/anno. Modello dominante in Italia 2022.<\/li>\n
  • Mid-market 500+ dipendenti o regulated<\/strong> (banche, sanit\u00e0, utility): valutare seriamente build<\/em> interno con 5-8 analyst + threat hunter + SOC manager. 800K-1,5M\u20ac\/anno running ma controllo e propriet\u00e0 del know-how.<\/li>\n<\/ul>\n<\/div>\n

    Cos’\u00e8 un SOC: people, process, technology<\/h2>\n

    Un Security Operations Center (SOC)<\/strong> \u00e8 la funzione organizzativa che monitora, rileva, analizza e risponde agli incidenti di sicurezza informatica in modo continuo. Non \u00e8 un prodotto n\u00e9 un singolo strumento: \u00e8 la combinazione di tre pilastri.<\/p>\n

      \n
    • People<\/strong>: analyst tier 1 (triage alert), tier 2 (investigation), tier 3 (threat hunting, malware analysis, forensics), un SOC manager che gestisce SLA e capacity planning, e \u2014 nei SOC pi\u00f9 maturi \u2014 un threat intelligence officer che cura feed esterni e profilazione attaccanti.<\/li>\n
    • Process<\/strong>: runbook per ogni tipologia di alert, playbook di incident response allineati al NIST CSF<\/strong> (Identify, Protect, Detect, Respond, Recover) o al ciclo SANS (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned), procedure di escalation, comunicazione interna e legale (notifica Garante Privacy entro 72h ex Art. 33 GDPR).<\/li>\n
    • Technology<\/strong>: stack tecnologico che generalmente include un SIEM per la log aggregation e correlation, un SOAR per l’orchestrazione delle risposte, un EDR sugli endpoint, NDR sul traffico di rete, threat intelligence platform e vulnerability management.<\/li>\n<\/ul>\n

      I due indicatori chiave del SOC sono MTTD (Mean Time To Detect)<\/strong> e MTTR (Mean Time To Respond)<\/strong>. Target maturi: MTTD <15 minuti<\/strong> su alert critici, MTTR <1 ora<\/strong> per il triage iniziale, dwell time<\/em> sotto le 24 ore. Per riferimento, il rapporto Mandiant M-Trends 2022 indica un dwell time mediano globale di 21 giorni, 17 quando il rilevamento \u00e8 interno, 28 quando arriva da fonti esterne.<\/p>\n

      Le sei funzioni operative di un SOC<\/h2>\n

      A prescindere dal modello di delivery (build, buy, hybrid), un SOC dovrebbe coprire sei funzioni. La differenza fra modelli sta in chi<\/em> fa cosa, non in cosa<\/em> si fa.<\/p>\n

        \n
      1. Security monitoring 24\/7<\/strong>: ingestione log da firewall, endpoint, server, applicazioni cloud, identity provider, e correlazione tramite regole SIEM. Volume tipico per una PMI 200 dip: 200-500 GB di log al giorno, 50-150 alert tier 1.<\/li>\n
      2. Incident response<\/strong>: triage, contenimento (isolamento host, blocco IP, revoca credenziali), eradication, recovery, post-mortem. Va condotta in coordinamento con IT, legale e \u2014 se grave \u2014 con il CSIRT Italia<\/strong> per le entit\u00e0 NIS.<\/li>\n
      3. Threat hunting<\/strong>: ricerca proattiva di indicatori di compromissione che le regole automatiche non hanno colto. Usa il framework MITRE ATT&CK<\/strong> per mappare TTP (Tactics, Techniques, Procedures) noti e ipotizzare presenza di attaccanti gi\u00e0 dentro il perimetro.<\/li>\n
      4. Vulnerability management<\/strong>: scansioni periodiche con Tenable Nessus, Qualys o Rapid7 InsightVM; prioritizzazione patch sulla base di CVSS, exploitability (es. EPSS), e contesto asset.<\/li>\n
      5. Threat intelligence<\/strong>: feed strategici e tattici (Recorded Future, Anomali, Mandiant Advantage, CrowdStrike Falcon Intelligence) per anticipare campagne in corso, IOC nuovi, vulnerabilit\u00e0 sotto attacco attivo.<\/li>\n
      6. Compliance reporting<\/strong>: produzione di KPI mensili e report annuali per audit GDPR Art. 32, ISO 27001:2013 controlli A.12 (Operations security) e A.16 (Incident management), e \u2014 per gli obbligati \u2014 riferibili al recepimento italiano della Direttiva NIS.<\/li>\n<\/ol>\n

        \"Security<\/p>\n

        I tre modelli: build, buy, hybrid<\/h2>\n

        La scelta fra i tre modelli dipende da quattro variabili: dimensione e maturit\u00e0<\/strong> dell’organizzazione, profilo di rischio<\/strong> (regulated o no, asset critici, esposizione internazionale), budget triennale<\/strong> disponibile, scarcity di talenti<\/strong> sul mercato italiano (il gap di skill cybersecurity ENISA stima oltre 100.000 posizioni vacanti in UE).<\/p>\n

          \n
        • Build<\/strong>: SOC interno, team dedicato, infrastruttura in casa o in cloud privato. Massimo controllo, massimo costo, time-to-value 12-18 mesi.<\/li>\n
        • Buy<\/strong>: MSSP (Managed Security Service Provider) o MDR (Managed Detection & Response) \u2014 un fornitore esterno gestisce monitoring e risposta. Time-to-value 4-8 settimane, costi predicibili, ma minore visibilit\u00e0 sui processi e dipendenza contrattuale.<\/li>\n
        • Hybrid<\/strong>: il modello che nel 2022 sta vincendo sul mid-market italiano. Tier 1 interno per filtrare il rumore e gestire la prima escalation, MSSP\/MDR su tier 2\/3, notti, weekend e festivi. Bilancia controllo, costi e copertura.<\/li>\n<\/ul>\n

          Build SOC interno: cosa serve davvero<\/h2>\n

          Costruire un SOC da zero significa decidere su tre asset: team<\/em>, tecnologia<\/em>, processi<\/em>. Il sottodimensionamento di uno rende inutile l’investimento sugli altri.<\/p>\n

          Team minimo per copertura 24\/7<\/h3>\n

          Per coprire H24 con turni di 8 ore, considerando ferie e malattie, servono almeno 5 analyst tier 1<\/strong> in rotazione (2 di giorno, 1 sera, 1 notte, 1 di riserva). Aggiungere:<\/p>\n

            \n
          • 2 analyst tier 2 (orario d’ufficio, on-call notte)<\/li>\n
          • 1 threat hunter \/ tier 3 senior<\/li>\n
          • 1 SOC manager<\/li>\n
          • 1 ingegnere SIEM dedicato (manutenzione regole, parser custom, tuning)<\/li>\n<\/ul>\n

            Totale: 9-10 FTE<\/strong>. Costo lordo aziendale in Italia, fra RAL e contributi: un tier 1 junior costa 35-45K\u20ac\/anno, un senior tier 2\/3 65-90K\u20ac, un SOC manager 80-110K\u20ac, un threat hunter di alto profilo 100-130K\u20ac. Pacchetto annuale stipendi: 500-750K\u20ac<\/strong>.<\/p>\n

            Stack tecnologico<\/h3>\n
              \n
            • SIEM<\/strong>: Splunk Enterprise (oneroso oltre 100 GB\/giorno), IBM QRadar, Sumo Logic, Elastic Security, LogRhythm, o AlienVault USM<\/strong> Anywhere (acquisita AT&T 2018). Costo SIEM per PMI: 80-200K\u20ac\/anno.<\/li>\n
            • SOAR<\/strong>: Splunk Phantom, Palo Alto Cortex XSOAR (ex Demisto), Tines, Swimlane. 30-80K\u20ac\/anno.<\/li>\n
            • EDR<\/strong>: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X, VMware Carbon Black. 30-80\u20ac\/endpoint\/anno.<\/li>\n
            • NDR<\/strong>: Vectra AI, Darktrace, ExtraHop Reveal(x). 50-150K\u20ac\/anno.<\/li>\n
            • Vulnerability scanning<\/strong>: Tenable.io o Nessus, Qualys VMDR, Rapid7 InsightVM. 20-60K\u20ac\/anno.<\/li>\n
            • Threat intelligence<\/strong>: Recorded Future, Anomali, Mandiant Advantage, CrowdStrike Falcon Intelligence. L’acquisizione di Mandiant da Google \u00e8 annunciata a marzo 2022, chiusura attesa entro fine anno.<\/li>\n<\/ul>\n

              Costi consolidati build<\/h3>\n

              Mettendo insieme i pezzi: setup iniziale 500K-1,5M\u20ac<\/strong> (selezione, formazione, design, implementazione tecnologie, certificazioni di sicurezza fisica del SOC, eventuale ridondanza geografica), poi running 800K-1,5M\u20ac\/anno<\/strong> a regime. Per molte PMI italiane \u00e8 semplicemente fuori scala. Le organizzazioni che giustificano il build sono tipicamente quelle con oltre 500 dipendenti<\/strong> in settori regulated (finance, sanit\u00e0, energia, difesa) o aziende che vendono servizi di cybersecurity e fanno del SOC un’offerta commerciale.<\/p>\n

              Buy: MSSP, MDR e il mercato italiano 2022<\/h2>\n

              Il “buy” si articola su due categorie di fornitori, spesso confuse. Un MSSP (Managed Security Service Provider)<\/strong> nasce dall’outsourcing IT classico: gestisce dispositivi (firewall, IDS, antivirus), invia alert, produce report. Punto debole: si limita spesso a “girare l’alert” al cliente senza investigare a fondo.<\/p>\n

              Un MDR (Managed Detection & Response)<\/strong> \u2014 categoria definita da Gartner dal 2017, mainstream dal 2020 \u2014 copre lo stack moderno EDR\/SIEM, fa investigation<\/em> attiva e include la response<\/strong>: isolamento endpoint, blocco IP, kill processi, anche su autorizzazione preventiva. L’MDR moderno \u00e8 quasi sempre 24\/7 e si compra a tariffa per endpoint\/mese.<\/p>\n

              Vendor italiani di riferimento (2022)<\/h3>\n
                \n
              • Leonardo Cybersecurity<\/strong> \u2014 historic player, forte su PA, difesa, grandi imprese.<\/li>\n
              • TIM Enterprise \/ Telsy<\/strong> \u2014 SOC nazionale, target enterprise.<\/li>\n
              • Reply Spike (Communication Valley)<\/strong> \u2014 riferimento bancario.<\/li>\n
              • Lutech<\/strong> \u2014 system integrator con servizi MSSP\/MDR strutturati.<\/li>\n
              • Aizoon<\/strong> \u2014 Torino, prodotto proprio Aramis NDR + servizi gestiti.<\/li>\n
              • NTT Data Italia<\/strong> \u2014 global SOC con presenza Italia.<\/li>\n
              • Cyberlab UniCredit<\/strong> \u2014 SOC del gruppo bancario, anche servizio a terzi.<\/li>\n
              • Yarix (Var Group)<\/strong> \u2014 popolare su mid-market e Nordest.<\/li>\n
              • Hwg Sababa<\/strong> \u2014 fusione 2021, MDR moderno su mid-market.<\/li>\n
              • Westpole<\/strong> \u2014 focus PA e healthcare.<\/li>\n<\/ul>\n

                Vendor MDR globali con presenza Italia<\/h3>\n
                  \n
                • Arctic Wolf<\/strong> \u2014 modello “Concierge”, in crescita EMEA.<\/li>\n
                • Expel<\/strong> \u2014 pure-play MDR, integrazioni native cloud.<\/li>\n
                • Red Canary<\/strong> \u2014 forte su detection engineering.<\/li>\n
                • eSentire<\/strong> \u2014 MDR XDR-style con Atlas Platform.<\/li>\n
                • Rapid7 MDR<\/strong>, CrowdStrike Falcon Complete<\/strong>, SentinelOne Vigilance<\/strong> \u2014 MDR dei principali vendor EDR.<\/li>\n<\/ul>\n

                  Pricing tipico buy<\/h3>\n

                  Per una PMI 100-300 dipendenti con 200-400 endpoint, 30-50 server e qualche workload cloud:<\/p>\n

                    \n
                  • MDR base<\/strong> (solo endpoint, EDR managed, no SIEM): 25-50K\u20ac\/anno<\/li>\n
                  • MDR completo<\/strong> (endpoint + network + cloud + identity + SIEM gestito): 60-150K\u20ac\/anno<\/li>\n
                  • MSSP enterprise<\/strong> con SOC dedicato e SOC manager allocato: 150-400K\u20ac\/anno<\/li>\n<\/ul>\n

                    SLA tipici di un buon MDR<\/h3>\n
                      \n
                    • MTTD < 15 minuti su alert critici<\/li>\n
                    • MTTR (triage iniziale) < 1 ora<\/li>\n
                    • Containment < 4 ore per incidenti gravi<\/li>\n
                    • Report mensile + briefing trimestrale con CISO\/IT manager<\/li>\n
                    • War room virtuale 24\/7 attivabile via canale dedicato<\/li>\n<\/ul>\n

                      Pro e contro del buy<\/h3>\n

                      Pro<\/strong>: copertura 24\/7 immediata, accesso a expertise difficile da assumere internamente in Italia, costi predicibili, niente burnout su un team troppo piccolo, vendor che vede pattern di attacco su centinaia di clienti.<\/p>\n

                      Contro<\/strong>: visibilit\u00e0 ridotta su come l’MSSP investiga (la black box<\/em>), change request lente<\/strong> (creare una regola di detection custom pu\u00f2 richiedere giorni), tariffe per endpoint che scalano male su crescita rapida, rischio di lock-in<\/em> sulla piattaforma del vendor.<\/p>\n

                      Hybrid: il modello che sta vincendo sul mid-market<\/h2>\n

                      Il modello hybrid si basa su una distribuzione esplicita di responsabilit\u00e0 fra interno ed esterno. Esempio concreto per una manifattura italiana di 250 dipendenti con presidio IT 9-18:<\/p>\n

                        \n
                      • Tier 1 interno<\/strong>: 1-2 risorse IT (anche non senior) ricevono via dashboard MDR gli alert gi\u00e0 pre-filtrati, gestiscono triage di alert noti e fanno escalation al fornitore quando l’evento \u00e8 ambiguo.<\/li>\n
                      • Tier 2\/3 esterno (MDR\/MSSP)<\/strong>: investigation profonda, threat hunting, malware analysis, response su autorizzazione, copertura notte\/weekend\/festivi.<\/li>\n
                      • CISO virtuale<\/strong>: un consulente senior esterno (anche frazionato 2-4 giorni\/mese) che siede ai Comitati, gestisce roadmap di sicurezza, audit ISO 27001, rapporti con il Garante.<\/li>\n
                      • Playbook congiunti<\/strong>: definiti in fase di onboarding, rivisti trimestralmente. Specificano chi fa cosa per ciascun tipo di incidente (es. ransomware confermato \u2192 MDR isola endpoint immediatamente; phishing campagna \u2192 IT interno blocca dominio + MDR cerca eventuali credenziali esfiltrate).<\/li>\n<\/ul>\n

                        TCO triennale tipico hybrid PMI 200 dipendenti: 250-500K\u20ac su 3 anni<\/strong>, cio\u00e8 80-170K\u20ac\/anno fra MDR, CISO frazionato, formazione del team interno e licenze EDR\/MFA\/MDM. Time-to-value: 6-12 settimane di onboarding strutturato.<\/p>\n

                        \"Server<\/p>\n

                        Confronto build vs buy vs hybrid su 5 dimensioni<\/h2>\n\n\n\n\n\n\n\n\n\n
                        Dimensione<\/th>\nBuild interno<\/th>\nBuy MSSP\/MDR<\/th>\nHybrid<\/th>\n<\/tr>\n<\/thead>\n
                        TCO 3 anni<\/strong><\/td>\n2,5-5M\u20ac<\/td>\n80-450K\u20ac<\/td>\n250-700K\u20ac<\/td>\n<\/tr>\n
                        Time-to-value<\/strong><\/td>\n12-18 mesi<\/td>\n4-8 settimane<\/td>\n6-12 settimane<\/td>\n<\/tr>\n
                        Controllo<\/strong><\/td>\nMassimo<\/td>\nMedio-basso<\/td>\nAlto<\/td>\n<\/tr>\n
                        Scalability<\/strong><\/td>\nLenta (assunzioni)<\/td>\nRapida (tariffe)<\/td>\nRapida lato MDR<\/td>\n<\/tr>\n
                        Expertise<\/strong><\/td>\nDifficile reclutarla<\/td>\nInclusa<\/td>\nInclusa + cresce interna<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

                        MITRE ATT&CK e threat intelligence: come integrarli<\/h2>\n

                        Indipendentemente dal modello scelto, due integrazioni rendono il SOC molto pi\u00f9 efficace.<\/p>\n

                        MITRE ATT&CK<\/strong> \u00e8 il knowledge base pi\u00f9 completo di tattiche, tecniche e procedure (TTP) usate da attaccanti reali, aggiornato semestralmente. Nel 2022 include la matrice ICS per ambienti industriali (rilevante per PMI manifatturiere con OT). Un SOC maturo:<\/p>\n

                          \n
                        • Mappa le proprie detection rule alle technique ATT&CK<\/li>\n
                        • Misura la copertura come % di technique coperte (target maturo: > 60% delle tecniche rilevanti per il proprio settore)<\/li>\n
                        • Usa la matrice per esercizi di purple team<\/strong>: il red team simula tecniche specifiche, il blue team verifica se le ha rilevate<\/li>\n<\/ul>\n

                          La threat intelligence<\/strong> alimenta il SOC con tre livelli di informazione: strategica (chi sono gli attaccanti rilevanti per il mio settore: ad esempio Wizard Spider\/Conti per industria, FIN7 per retail, APT28\/Fancy Bear per geopolitica), tattica (TTP usate in campagne in corso), operativa (IOC freschi: hash, IP, domini malevoli). Feed gratuiti utili: CSIRT Italia<\/strong> bollettini, CERT-AGID<\/strong> per la PA, AlienVault OTX<\/strong>, abuse.ch<\/strong> (URLhaus, MalwareBazaar, Feodo Tracker), MISP<\/strong> communities settoriali.<\/p>\n

                          SOAR: orchestrazione per ridurre il carico tier 1<\/h2>\n

                          Un SOAR (Security Orchestration, Automation and Response) automatizza i playbook ricorrenti: un alert “login da Paese mai visto” pu\u00f2, senza intervento umano, lanciare query AD, verificare l’IP in feed threat intel, forzare un re-auth MFA. Dal 2020 i SOAR sono accessibili anche al mid-market grazie a player come Tines<\/strong> e ai SOAR cloud-native delle piattaforme XDR. Riduzioni di carico tipiche: 40-60% degli alert tier 1 chiusi senza intervento umano<\/strong>, MTTD\/MTTR migliorati di 2-3x.<\/p>\n

                          KPI del SOC: cosa misurare<\/h2>\n

                          I KPI da contrattualizzare con un MSSP\/MDR \u2014 o da imporsi internamente in un build \u2014 sono di tre famiglie.<\/p>\n

                            \n
                          • Detection efficacy<\/strong>: MTTD per severity (critica, alta, media), copertura MITRE ATT&CK %, true positive rate, dwell time medio.<\/li>\n
                          • Response performance<\/strong>: MTTR triage, MTTR containment, MTTR recovery, % incidenti chiusi entro SLA.<\/li>\n
                          • Volume e qualit\u00e0<\/strong>: alert\/giorno, % alert falsi positivi (target sotto il 20%), tickets chiusi\/analyst, soddisfazione cliente (CSAT) e retention.<\/li>\n<\/ul>\n

                            Un ROI del SOC va costruito come costo dell’incidente evitato<\/em>: il costo medio di una data breach in Europa nel 2021 secondo IBM \u00e8 3,8M\u20ac, con costi specifici per healthcare oltre i 7M\u20ac. Anche prevenire un solo incidente “medio” in tre anni ripaga ampiamente un SOC esternalizzato.<\/p>\n

                            GDPR Art. 32, ISO 27001:2013 e NIS in Italia<\/h2>\n

                            Il SOC non \u00e8 solo difesa: \u00e8 anche evidenza per compliance. Tre quadri normativi rilevanti nel 2022.<\/p>\n

                            GDPR Art. 32 \u2014 Sicurezza del trattamento<\/strong>: impone misure tecniche e organizzative adeguate, fra cui “la capacit\u00e0 di assicurare su base permanente la riservatezza, l’integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure”. Un SOC documentato con KPI mensili \u00e8 la pi\u00f9 solida evidenza producibile.<\/p>\n

                            ISO 27001:2013 (Annex A)<\/strong> \u2014 controlli pertinenti: A.12.4 (Logging and monitoring), A.16 (Information security incident management), A.17 (Business continuity). Le organizzazioni che chiedono certificazione hanno bisogno di documentare politiche, procedure, log retention, runbook IR. Il rapporto SOC produce gran parte dell’evidenza richiesta dall’auditor.<\/p>\n

                            Direttiva NIS (UE 2016\/1148) recepita in Italia con D.Lgs 65\/2018<\/strong>: obbliga gli operatori di servizi essenziali (energia, trasporti, banche, sanit\u00e0, fornitura acqua potabile, infrastrutture digitali) e i fornitori di servizi digitali (cloud, marketplace, motori di ricerca) a notificare incidenti significativi al CSIRT Italia<\/strong>. La revisione NIS2<\/strong> \u00e8 attualmente in negoziazione fra Parlamento UE e Consiglio nel 2022 \u2014 il testo finale \u00e8 atteso entro fine anno e amplier\u00e0 significativamente platea ed obblighi, con focus su supply chain e accountability del management.<\/p>\n

                            CSIRT Italia<\/strong> (Computer Security Incident Response Team), parte dell’Agenzia per la Cybersicurezza Nazionale (ACN, istituita 2021), \u00e8 il punto di contatto operativo nazionale: pubblica bollettini, coordina risposta a incidenti su scala paese, riceve notifiche NIS. Per la PA c’\u00e8 anche CERT-AGID<\/strong>. La Polizia Postale<\/strong> resta il riferimento per la denuncia penale.<\/p>\n

                            \"Team<\/p>\n

                            Errori comuni e come evitarli<\/h2>\n
                              \n
                            1. Build SOC senza skill mature<\/strong>: assumere 2-3 junior, comprare uno SIEM, e pensare di costruire detection rule strada facendo. Risultato: alert fatica, burnout, dimissioni dopo 9 mesi. Soluzione: partire con un SOC consultant<\/em> senior in affiancamento 6-12 mesi.<\/li>\n
                            2. Buy MSSP senza onboarding chiaro<\/strong>: si firma il contratto, dopo 60 giorni si scopre che met\u00e0 degli ambienti non \u00e8 coperta. Soluzione: onboarding plan<\/em> firmato con scope, milestone settimanali, purple team test entro 90 giorni.<\/li>\n
                            3. Ignorare la threat intelligence<\/strong>: monitorare senza sapere chi attacca il proprio settore porta a inseguire alert generici. Soluzione: anche i feed gratuiti CSIRT\/CERT-AGID\/abuse.ch fanno la differenza.<\/li>\n
                            4. No integration con identity provider<\/strong>: senza log di Active Directory, Azure AD, Google Workspace, l’80% degli attacchi moderni basati su credenziali compromesse resta invisibile.<\/li>\n
                            5. Nessuna copertura cloud<\/strong>: workload AWS\/Azure\/GCP e SaaS critici (M365, Salesforce) vanno nel perimetro SOC. Le configurazioni di default escludono molti log rilevanti.<\/li>\n
                            6. Backup non testati<\/strong>: si scopre la sera del ransomware che i backup sono cifrati anch’essi. Regola 3-2-1-1-0 e test di restore trimestrali.<\/li>\n
                            7. Cyber insurance come piano B<\/strong>: dopo l’war exclusion<\/em> Lloyd’s 2021 la copertura \u00e8 ristretta. L’assicurazione \u00e8 complemento del SOC, non sostituto.<\/li>\n<\/ol>\n

                              Roadmap selezione SOC\/MSSP in 90 giorni<\/h2>\n

                              Per chi parte da zero, una sequenza praticabile per arrivare a copertura attiva in 90 giorni.<\/p>\n

                              Giorni 1-15: assessment<\/h3>\n
                                \n
                              • Inventario asset, identificazione dei “crown jewel” (dati, sistemi, processi critici)<\/li>\n
                              • Risk assessment leggero su modello ISO 27005 o framework NIST CSF<\/li>\n
                              • Analisi gap di copertura attuale: cosa \u00e8 gi\u00e0 loggato, cosa \u00e8 gi\u00e0 monitorato, quali strumenti sono in casa<\/li>\n
                              • Definizione budget triennale e modello (build\/buy\/hybrid)<\/li>\n<\/ul>\n

                                Giorni 16-45: selezione fornitori (se buy o hybrid)<\/h3>\n
                                  \n
                                • Long-list di 5-7 vendor partendo dalle liste pubbliche (Gartner Magic Quadrant MDR, Forrester Wave, vendor italiani)<\/li>\n
                                • RFI con questionario tecnico standardizzato: copertura tecnologica, SLA, modello pricing, lingua italiana, presenza fisica\/legale Italia<\/li>\n
                                • Short-list di 2-3 per RFP dettagliata + demo + reference call<\/li>\n
                                • Selezione e negoziazione contratto con clausole di exit, data ownership, audit, war room<\/li>\n<\/ul>\n

                                  Giorni 46-75: onboarding<\/h3>\n
                                    \n
                                  • Collegamento log source (firewall, EDR, identity, cloud, SaaS critici)<\/li>\n
                                  • Tuning iniziale delle regole di detection sul contesto cliente<\/li>\n
                                  • Definizione playbook IR congiunti<\/li>\n
                                  • Definizione canali di comunicazione (Teams\/Slack dedicato, telefono di emergenza, email cifrate)<\/li>\n<\/ul>\n

                                    Giorni 76-90: validazione<\/h3>\n
                                      \n
                                    • Tabletop exercise con scenario ransomware<\/li>\n
                                    • Purple team test su 5-10 technique MITRE ATT&CK selezionate<\/li>\n
                                    • Review primo set di alert con il fornitore e calibrazione false positive<\/li>\n
                                    • Setup reportistica mensile e cadenza meeting trimestrale<\/li>\n<\/ul>\n

                                      HowTo: 5 step per scegliere fra build, buy e hybrid<\/h2>\n
                                        \n
                                      1. Quantifica esposizione e rischio<\/strong>: numero endpoint, server, utenti, workload cloud, dati personali trattati, ricavi annui. Sotto 50 dipendenti e fuori da settori regulated, il build \u00e8 quasi certamente fuori scala.<\/li>\n
                                      2. Mappa il budget triennale realistico<\/strong>: tutto incluso, infrastruttura + persone + formazione. Sotto 200K\u20ac\/anno, il build full-stack non \u00e8 praticabile.<\/li>\n
                                      3. Verifica disponibilit\u00e0 skill sul mercato locale<\/strong>: in Italia 2022, recruiting di tier 2\/3 senior richiede 4-9 mesi e tassi di turnover oltre il 20%. Se il piano di build si regge su “assumiamo entro 6 mesi”, aggiungere un fattore 2x al tempo.<\/li>\n
                                      4. Definisci tolleranza al rischio operativo<\/strong>: quanto tempo di blackout di sicurezza \u00e8 accettabile? Se la risposta \u00e8 “zero”, il buy o l’hybrid danno copertura immediata che il build non offre.<\/li>\n
                                      5. Pianifica exit strategy<\/strong>: anche scegliendo buy o hybrid, mantenere la propriet\u00e0<\/em> dei log (data ownership clause) e dei runbook, e ricostruibilit\u00e0 dell’architettura in altro vendor entro 6 mesi.<\/li>\n<\/ol>\n

                                        FAQ<\/h2>\n

                                        SOC interno o MDR esterno: cosa costa meno realmente?<\/h3>\n

                                        L’MDR esterno costa significativamente meno per organizzazioni sotto i 500 dipendenti, con TCO triennale tipicamente 80-450K\u20ac contro i 2,5-5M\u20ac del SOC interno. Il break-even economico del build si raggiunge tipicamente sopra i 1.500-2.000 dipendenti o in settori regulated con obblighi specifici.<\/p>\n

                                        MSSP e MDR sono la stessa cosa?<\/h3>\n

                                        No. L’MSSP gestisce dispositivi e gira alert, l’MDR fa investigation e response<\/em> attiva sull’endpoint, sulla rete o sulle identit\u00e0. Nel 2022 la maggioranza dei nuovi contratti in mid-market \u00e8 MDR o MSSP-con-componenti-MDR, l’MSSP “classico” sta perdendo quota.<\/p>\n

                                        Qual \u00e8 il modello giusto per una PMI manifatturiera 200 dipendenti?<\/h3>\n

                                        Tipicamente hybrid: IT interno (1-2 risorse) come tier 1 + MDR esterno su tier 2\/3 e copertura 24\/7. CISO virtuale 2-4 giorni\/mese per governance. TCO 80-170K\u20ac\/anno, copertura completa, time-to-value 6-12 settimane.<\/p>\n

                                        Cosa chiedere in fase di RFP a un fornitore MDR?<\/h3>\n

                                        SLA contrattualizzati su MTTD e MTTR per severity, copertura MITRE ATT&CK %, lingua italiana sui canali H24, presenza legale Italia, data residency UE, clausola di exit con esportazione log, war room virtuale, reference cliente del proprio settore, demo della console e di un caso reale anonimizzato.<\/p>\n

                                        Il NIS si applica alla mia azienda?<\/h3>\n

                                        Il D.Lgs 65\/2018 si applica agli operatori di servizi essenziali identificati nei settori energia, trasporti, banche, infrastrutture dei mercati finanziari, sanit\u00e0, fornitura\/distribuzione acqua potabile, infrastrutture digitali, e ai fornitori di servizi digitali (cloud, motori di ricerca, marketplace). La NIS2 in negoziazione 2022 amplier\u00e0 la platea includendo manifattura “critica”, chimica, alimentare e altri settori.<\/p>\n

                                        Come si misura il ROI di un SOC?<\/h3>\n

                                        Il ROI si costruisce come costo evitato: costo medio di una data breach europea 3,8M\u20ac secondo IBM Cost of a Data Breach 2021, con valori pi\u00f9 alti su healthcare. Anche evitare un solo incidente medio in tre anni ripaga ampiamente un SOC esternalizzato. Per il build interno, il ROI include anche knowledge retention e indipendenza strategica.<\/p>\n

                                        La cyber insurance pu\u00f2 sostituire un SOC?<\/h3>\n

                                        No. Dopo l’esclusione per atti di guerra introdotta da Lloyd’s nel 2021, la copertura su attacchi attribuibili a stati sovrani \u00e8 molto stretta. Gli underwriter del 2022 chiedono inoltre MFA, EDR e detection 24\/7 come precondizioni<\/em> per rilasciare polizza o per applicare tariffe ragionevoli. L’assicurazione \u00e8 complemento del SOC, non sostituto.<\/p>\n

                                        \n

                                        Vuoi costruire il modello SOC giusto per la tua PMI?<\/h3>\n

                                        Brentasoft affianca PMI italiane nella selezione fra build, buy e hybrid: assessment, RFP MDR, definizione playbook IR e governance.<\/p>\n

                                        Richiedi un preventivo<\/a>\n<\/div>\n