"SOC" è una di quelle sigle che si sentono sempre più spesso nei preventivi di sicurezza informatica, spesso accompagnata da cifre importanti e slide piene di dashboard colorate. Il risultato è che molti imprenditori la associano a qualcosa di riservato alle multinazionali, con budget e reparti IT che una piccola azienda semplicemente non ha.
In realtà il concetto dietro un Security Operations Center è più semplice di quanto sembri, e negli ultimi anni è diventato accessibile anche a realtà con pochi dipendenti, grazie a modelli "as a service" pensati proprio per chi non può permettersi un reparto sicurezza interno. In questo articolo vediamo cos'è davvero, come funziona e, soprattutto, quando ha senso per una PMI e quando invece è un investimento prematuro.
COS'È UN SOC, IN PAROLE SEMPLICI
Un SOC è una struttura, interna o esterna, che ha un unico compito: tenere sotto osservazione costante l'infrastruttura informatica di un'azienda per individuare comportamenti anomali e reagire prima che diventino un incidente vero e proprio. Non è un prodotto che si installa, ma un servizio continuativo che combina persone, procedure e strumenti tecnologici.
La differenza rispetto a un normale antivirus o firewall è sostanziale. Un antivirus reagisce a minacce già note e catalogate. Un SOC, invece, analizza in modo continuo i log e i comportamenti della rete, dei server, delle postazioni di lavoro e della posta elettronica, cercando pattern sospetti anche quando non corrispondono a una firma di malware conosciuta: un accesso da un paese insolito alle tre di notte, un utente che scarica improvvisamente decine di gigabyte di dati, un processo che tenta di comunicare con un server esterno mai visto prima.
I TRE PILASTRI DI UN SOC
Qualunque SOC, grande o piccolo, interno o esternalizzato, si regge su tre elementi che devono lavorare insieme. Se manca anche uno solo, la protezione diventa parziale.
Molte aziende comprano solo la parte tecnologica pensando di avere "un SOC", installano una piattaforma di monitoraggio e la lasciano generare avvisi che nessuno legge. Senza le persone che interpretano i segnali e i processi che definiscono la risposta, quella tecnologia produce solo rumore: notifiche che si accumulano e che, alla lunga, vengono ignorate.
Da sapere: il termine SOC nasce nel mondo enterprise, dove le aziende costruivano centri di controllo interni con turni H24 di analisti. Oggi lo stesso servizio è disponibile in forma di "SOC as a Service" o MDR (Managed Detection & Response): un fornitore esterno mette a disposizione persone, tecnologia e processi condividendoli su più clienti, abbattendo drasticamente il costo per la singola azienda.
SOC INTERNO O SOC ESTERNO? IL CONFRONTO REALE
Per una grande azienda con un reparto IT strutturato, costruire un SOC interno può avere senso. Per una PMI, quasi mai: servirebbero analisti dedicati, turni di copertura, strumenti costosi da configurare e mantenere aggiornati. La stragrande maggioranza delle piccole e medie imprese che oggi hanno una copertura di questo tipo la ottengono affidandosi a un fornitore esterno specializzato.
| Aspetto | SOC Interno | SOC as a Service (esterno) |
|---|---|---|
| Personale dedicato | Da assumere e formare, spesso su turni | Già formato, condiviso su più clienti |
| Tempo di attivazione | Mesi (selezione, formazione, strumenti) | Settimane |
| Copertura oraria | Difficile garantire H24/7 con poche persone | Continuativa, per costruzione del servizio |
| Costo | Elevato, spesso non sostenibile per una PMI | Canone mensile proporzionato alla dimensione |
| Aggiornamento competenze | A carico dell'azienda | A carico del fornitore |
Questo non significa che una PMI debba rinunciare al controllo: nella maggior parte dei contratti seri, l'azienda mantiene piena visibilità su cosa viene monitorato, riceve report periodici e viene coinvolta direttamente in caso di incidente. Cambia semplicemente chi mette a disposizione le persone e la tecnologia.
SERVE DAVVERO A UNA PMI?
La domanda giusta non è "un SOC serve a tutte le aziende", ma "a che punto del percorso di sicurezza si trova la mia azienda". Un SOC, anche in forma leggera, ha senso quando l'azienda ha già messo a posto le basi: password gestite correttamente, autenticazione a più fattori, backup funzionanti, un servizio di cybersecurity strutturato su firewall e protezione degli endpoint. Senza queste fondamenta, aggiungere un livello di monitoraggio avanzato è come installare un allarme sofisticato su una porta senza serratura.
Ha invece poco senso, o è quantomeno prematuro, per una microimpresa che tratta pochi dati sensibili, non è mai stata bersaglio di tentativi mirati e non ha ancora completato i passaggi di base. In quel caso conviene investire prima in fondamenta solide.
Segnali che indicano che è il momento giusto
- L'azienda tratta dati personali di clienti, dipendenti o fornitori in quantità significativa (obbligo di responsabilità anche ai fini del GDPR).
- Ci sono già stati tentativi di phishing mirati, non generici, indirizzati a persone specifiche in azienda.
- L'azienda dipende in modo critico dai sistemi informatici: un fermo di poche ore genera un danno economico reale.
- Si lavora con clienti o partner che richiedono garanzie di sicurezza documentate (capitolati, gare, certificazioni).
- Il numero di dispositivi e utenti è cresciuto al punto che nessuno in azienda riesce più a tenere sotto controllo cosa succede sulla rete.
Attenzione: il rischio più comune non è scegliere un SOC quando non serve, ma il contrario: rimandare la decisione convincendosi che "tanto siamo piccoli, chi vuoi che ci attacchi". I gruppi ransomware oggi automatizzano gran parte delle scansioni e colpiscono chiunque presenti una falla sfruttabile, indipendentemente dalle dimensioni. Il GDPR, inoltre, prevede sanzioni che possono arrivare fino al 4% del fatturato annuo in caso di violazioni gravi legate a una gestione insufficiente della sicurezza dei dati.
COSA NON È UN SOC
Vale la pena chiarire alcuni equivoci frequenti, perché il termine viene usato in modo impreciso da molti fornitori.
Non è solo un antivirus più costoso
Un antivirus, per quanto evoluto, protegge principalmente il singolo dispositivo. Un SOC osserva l'insieme: rete, server, cloud, posta elettronica, mettendo in relazione eventi che, presi singolarmente, sembrerebbero innocui.
Non è un servizio "installa e dimentica"
Richiede una relazione continuativa con il fornitore: regole da tarare sul contesto specifico dell'azienda, falsi positivi da correggere, procedure da aggiornare quando cambiano i sistemi interni.
Non sostituisce il backup e il piano di disaster recovery
Un SOC riduce drasticamente la probabilità che un attacco vada a segno e ne accorcia i tempi di rilevamento, ma non elimina il rischio residuo. Serve comunque un piano per ripartire in caso di incidente, come descritto nel nostro approfondimento sul monitoraggio proattivo per ridurre i fermi operativi.
QUANTO PUÒ COSTARE, INDICATIVAMENTE
I prezzi variano molto in base al numero di dispositivi monitorati, alla complessità dell'infrastruttura e al livello di servizio richiesto (solo rilevamento, oppure rilevamento e risposta attiva). Per orientarsi, ecco una fascia indicativa per una PMI con qualche decina di postazioni e pochi server:
| Livello di servizio | Cosa include | Fascia di costo mensile indicativa |
|---|---|---|
| Monitoraggio base | Raccolta log, alert automatici, report periodici | Costo contenuto, scalabile sui dispositivi coperti |
| Monitoraggio con analisi umana | Analisti che validano gli allarmi e filtrano i falsi positivi | Fascia intermedia |
| MDR completo (rilevamento + risposta) | Intervento attivo su minaccia confermata, isolamento dispositivi | Fascia più alta, giustificata da infrastrutture critiche |
Non esistono numeri validi per tutti: l'unico modo serio per avere una cifra realistica è una valutazione della propria infrastruttura, del numero di dispositivi e del livello di criticità dei dati trattati.
Come iniziare: prima di sottoscrivere un SOC as a Service, verifica di avere già in ordine le basi con un servizio di cybersecurity completo: firewall configurato correttamente, protezione degli endpoint, autenticazione a più fattori e backup testati. Il monitoraggio avanzato dà il massimo valore quando si innesta su fondamenta già solide.
CHECKLIST: È IL MOMENTO DI VALUTARE UN SOC?
- ☐ Hai già firewall, antivirus/EDR e MFA attivi su tutti gli account critici?
- ☐ I backup vengono testati periodicamente e funzionano davvero?
- ☐ La tua azienda tratta dati personali di clienti o dipendenti in modo significativo?
- ☐ Un fermo di alcune ore dei sistemi informatici causerebbe un danno economico rilevante?
- ☐ Nessuno in azienda ha il tempo o le competenze per controllare quotidianamente log e allarmi di sicurezza?
- ☐ Hai già ricevuto tentativi di phishing mirati o segnali di attività sospette?
- ☐ Clienti o partner ti chiedono garanzie documentate sulla sicurezza dei dati?
Se hai risposto "sì" alla maggior parte di queste domande, vale la pena farsi fare una valutazione da un fornitore specializzato. Se invece le prime due risposte sono "no", il primo passo utile non è un SOC, ma sistemare le fondamenta.
COME MUOVERSI, IN PRATICA
- Fai un inventario onesto di cosa hai già: firewall, antivirus, backup, gestione password. Senza questo, qualsiasi discorso sul monitoraggio avanzato è prematuro.
- Individua i dati e i sistemi più critici: quali causerebbero il danno maggiore se compromessi o resi inaccessibili.
- Chiedi un assessment a un fornitore che offra sia la parte di sicurezza di base sia il monitoraggio, per avere un quadro coerente e non due strumenti scollegati tra loro.
- Parti con un livello di servizio proporzionato: non serve il pacchetto più completo dal primo giorno, si può crescere nel tempo con l'azienda.
- Verifica i tempi di risposta contrattuali: un monitoraggio che segnala un problema ma non prevede un intervento rapido serve a poco.
In sintesi: un SOC non è un lusso riservato alle grandi aziende, ma nemmeno il primo passo da fare. È lo strumento giusto quando le basi della sicurezza sono già solide e l'azienda ha raggiunto una dimensione, una criticità operativa o un livello di esposizione ai dati che rende utile un controllo continuo. Prima di chiedersi "che SOC scegliere", vale la pena chiedersi onestamente a che punto siamo con il resto.