Il panorama delle minacce informatiche in Italia ha raggiunto livelli critici: secondo il Rapporto Clusit 2025, gli attacchi cyber verso organizzazioni italiane sono cresciuti del 65% rispetto all'anno precedente, con le PMI come bersaglio principale. In questo contesto, il SOC as a Service (SOCaaS) rappresenta la risposta più efficace per le aziende che non possono permettersi un Security Operations Center interno ma hanno bisogno di protezione 24 ore su 24, 7 giorni su 7. In questa guida approfondiamo cos'è un SOC, perché le PMI italiane non possono costruirne uno in-house, come funziona il modello as-a-service, quanto costa e come scegliere il provider giusto.
Indice dei Contenuti
- 1. Cos'è un Security Operations Center (SOC)
- 2. Perché le PMI Italiane Non Possono Costruire un SOC Interno
- 3. Come Funziona il SOC as a Service
- 4. I Tier di Servizio: Basic, Standard, Premium
- 5. Lo Stack Tecnologico del SOCaaS
- 6. Prezzi del SOC as a Service in Italia
- 7. SOCaaS e Compliance: NIS2, GDPR, ISO 27001
- 8. Le Metriche che Contano: MTTD, MTTR, False Positive Rate
- 9. La Soluzione BullTech: SOC/MDR con Bitdefender
- 10. Domande Frequenti
1. Cos'è un Security Operations Center (SOC)
Un Security Operations Center — comunemente abbreviato in SOC — è il centro nevralgico della sicurezza informatica di un'organizzazione. Si tratta di una struttura che combina persone, processi e tecnologie con l'obiettivo di monitorare, rilevare, analizzare e rispondere alle minacce informatiche in tempo reale. Il SOC opera come una torre di controllo del traffico aereo: ogni evento di sicurezza che attraversa l'infrastruttura aziendale viene osservato, classificato e, quando necessario, gestito con procedure di risposta predefinite.
Il cuore umano del SOC è composto da analisti di sicurezza organizzati su più livelli. Gli analisti di Tier 1 (Triage) monitorano continuamente la console SIEM, filtrano i falsi positivi e scalano gli alert sospetti. Gli analisti di Tier 2 (Investigation)conducono indagini approfondite, correlano gli eventi con fonti di threat intelligence e determinano la natura e la portata degli incidenti. Gli analisti di Tier 3 (Threat Hunting)sono i più esperti: conducono attivamente ricerche di minacce avanzate (APT) che potrebbero essere sfuggite ai sistemi automatizzati, sviluppano nuove regole di rilevamento e gestiscono gli incidenti più complessi.
Dal punto di vista dei processi, un SOC si basa su procedure formalizzate per ogni scenario: dalla gestione di un alert di phishing alla risposta a un attacco ransomware, dalla notifica di un data breach alla comunicazione con le autorità competenti. Queste procedure — chiamate playbook o runbook — garantiscono coerenza e velocità di risposta indipendentemente dall'analista di turno. Un SOC maturo dispone di centinaia di playbook che coprono gli scenari più comuni e le minacce emergenti.
La componente tecnologica comprende una suite di strumenti integrati: il SIEM come piattaforma centrale di raccolta e correlazione log, soluzioni EDR/XDR sugli endpoint, piattaforme SOAR (Security Orchestration, Automation and Response) per l'automazione delle risposte, feed di threat intelligence per contestualizzare gli alert con le minacce conosciute, e strumenti di analisi forense per le indagini post-incidente. L'integrazione tra questi strumenti è fondamentale: un SOC efficace non è una collezione di tool separati, ma un ecosistema in cui ogni componente alimenta e arricchisce le altre.
2. Perché le PMI Italiane Non Possono Costruire un SOC Interno
La realtà economica e organizzativa delle PMI italiane rende la costruzione di un SOC interno praticamente impossibile. Non si tratta di mancanza di volontà, ma di numeri che semplicemente non tornano. Analizziamo i fattori critici che rendono il SOC interno inaccessibile per la stragrande maggioranza delle aziende italiane con fatturato inferiore ai 50 milioni di euro.
Costo del personale: minimo 500.000 euro/anno
Per garantire copertura 24/7/365, un SOC necessita di almeno 5-6 analisti di sicurezza (per coprire tre turni da 8 ore, weekend, ferie e malattie), un SOC Manager e un Tier 3 Senior Analyst. Con stipendi medi italiani per cybersecurity analyst tra i 35.000 e i 55.000 euro lordi/anno, il solo costo del personale supera i 350.000-500.000 euro annui. A questo si aggiungono i costi di formazione continua (certificazioni SANS, GIAC, CompTIA che costano 5.000-8.000 euro ciascuna) e il turnover elevato nel settore cybersecurity (il 30% degli analisti SOC cambia lavoro entro 2 anni per burnout).
Costo della tecnologia: 100.000-300.000 euro/anno
Le licenze SIEM enterprise (Splunk, IBM QRadar, Microsoft Sentinel) partono da 50.000 euro/anno per volumi di log moderati e possono superare i 200.000 euro per aziende con infrastrutture complesse. Le piattaforme SOAR aggiungono 30.000-80.000 euro/anno, i feed di threat intelligence premium 15.000-40.000 euro/anno, gli strumenti di analisi forense 10.000-25.000 euro/anno. Il totale tecnologico per un SOC minimale si attesta tra 100.000 e 300.000 euro annui.
Carenza di talenti: 3,5 milioni di posizioni cybersecurity scoperte
Il gap di competenze cybersecurity a livello globale ha raggiunto i 3,5 milioni di posizioni scoperte secondo ISC2. In Italia, la situazione è ancora più critica: le università italiane producono circa 2.000 laureati in cybersecurity all'anno contro una domanda di mercato di oltre 10.000 posizioni. Trovare e trattenere analisti SOC qualificati è una sfida che le grandi aziende affrontano con stipendi premium e benefit — una competizione in cui le PMI partono svantaggiate.
Complessità operativa: non basta comprare strumenti
Un SOC non è un prodotto che si installa e funziona: è un'organizzazione che va costruita, addestrata e migliorata continuamente. Servono procedure di escalation, playbook di risposta, metriche di performance, simulazioni periodiche (tabletop exercise), integrazione con i processi aziendali, coordinamento con le autorità (CSIRT Italia per NIS2). La maturità operativa richiede 12-18 mesi per essere raggiunta, durante i quali l'azienda resta parzialmente esposta.
La somma di questi fattori porta a un costo totale annuo per un SOC interno minimale che oscilla tra 700.000 e 1.200.000 euro — una cifra che per la maggior parte delle PMI italiane rappresenta una percentuale insostenibile del fatturato. Anche le medie imprese con fatturato tra 10 e 50 milioni di euro raramente riescono a giustificare un investimento di questa portata, soprattutto considerando che la cybersecurity è solo una delle tante voci del budget IT. È esattamente questo gap tra necessità di sicurezza e capacità di investimento che il modello SOC as a Service è nato per colmare.
3. Come Funziona il SOC as a Service
Il SOC as a Service (SOCaaS) è un modello di erogazione in cui un provider specializzato fornisce le capacità di un Security Operations Center completo come servizio gestito. Il cliente non deve costruire nulla internamente: il provider mette a disposizione la tecnologia (SIEM cloud, SOAR, threat intelligence), il personale (analisti di sicurezza certificati disponibili 24/7) e i processi (playbook, procedure di escalation, reportistica).
Il funzionamento si articola in quattro fasi principali. Nella fase di onboarding, il provider SOCaaS analizza l'infrastruttura del cliente, identifica le fonti di log da integrare (firewall, endpoint, server, applicazioni cloud, identity provider), configura i connettori e definisce le baseline di comportamento normale. Questa fase richiede tipicamente 2-4 settimane e include la definizione delle procedure di escalation personalizzate per il cliente: chi contattare, con quale priorità, attraverso quale canale.
La fase di raccolta e normalizzazione è continua: agenti software installati sugli endpoint e connettori API raccolgono i log in tempo reale e li inviano al SIEM cloud del provider. I log vengono normalizzati in un formato comune, arricchiti con informazioni di contesto (geolocalizzazione IP, reputazione domini, indicatori di compromissione noti) e indicizzati per la ricerca rapida. Un'azienda con 100 endpoint genera tipicamente tra 50 e 200 GB di log al giorno, che il SIEM processa in tempo reale.
La fase di rilevamento e analisi è il cuore del servizio. Il SIEM applica regole di correlazione, modelli di machine learning e indicatori di compromissione per identificare attività sospette. Ogni alert generato viene preso in carico da un analista che lo valida, elimina i falsi positivi e, in caso di minaccia reale, avvia l'investigazione. La correlazione tra eventi provenienti da fonti diverse è fondamentale: un singolo login fallito non è un alert, ma 50 login falliti da IP diversi verso lo stesso account in 5 minuti è un attacco brute force in corso.
La fase di risposta e remediation si attiva quando viene confermato un incidente. A seconda del livello di servizio contrattualizzato, il SOCaaS può limitarsi a notificare il cliente con raccomandazioni di azione (modello advisory) oppure eseguire direttamente le azioni di contenimento: isolare un endpoint compromesso, bloccare un IP sul firewall, disabilitare un account, avviare il ripristino da backup. Il modello più avanzato include la capacità di risposta automatizzata (SOAR) per le minacce note, riducendo il tempo di risposta da minuti a secondi.
4. I Tier di Servizio: Basic, Standard, Premium
Il mercato SOCaaS italiano offre tipicamente tre livelli di servizio, ciascuno progettato per un diverso profilo di rischio e budget. Comprendere le differenze è fondamentale per scegliere il livello adeguato senza pagare per funzionalità non necessarie o, peggio, sottodimensionare la protezione.
Basic: Log Monitoring & Alerting
Il livello base include la raccolta centralizzata dei log, la correlazione basata su regole predefinite e la notifica degli alert al team IT del cliente. Il provider gestisce la piattaforma SIEM, mantiene aggiornate le regole di rilevamento e produce report periodici (settimanali o mensili). La risposta agli incidenti resta in capo al cliente. Adatto per: aziende con un team IT interno capace di gestire gli incidenti ma che necessitano di visibilità centralizzata e monitoraggio 24/7. Range di prezzo: 500-1.000 euro/mese per 50-100 endpoint.
Standard: Threat Detection & Hunting
Il livello standard aggiunge il threat hunting proattivo: gli analisti del SOC cercano attivamente segni di compromissione nell'infrastruttura del cliente, anche in assenza di alert automatici. Include l'analisi delle vulnerabilità, la correlazione avanzata con feed di threat intelligence premium, la gestione degli incidenti fino al contenimento e la reportistica dettagliata con raccomandazioni di remediation. Adatto per: PMI senza team di sicurezza dedicato, aziende soggette a NIS2, settori con dati sensibili. Range di prezzo: 1.500-2.500 euro/mese per 100-200 endpoint.
Premium: Full Incident Response & SOAR
Il livello premium include tutto lo Standard più: risposta automatizzata tramite piattaforma SOAR, analisti dedicati (non condivisi con altri clienti), incident response on-site se necessario, analisi forense post-incidente, tabletop exercise trimestrali, reportistica per il CdA e supporto per audit di compliance. Include anche la gestione delle vulnerabilità con prioritizzazione basata su threat intelligence e contesto aziendale. Adatto per: aziende con requisiti normativi stringenti, infrastrutture critiche, settori finanziario e sanitario. Range di prezzo: 2.500-5.000+ euro/mese per 100-200 endpoint.
5. Lo Stack Tecnologico del SOCaaS
La potenza di un SOC as a Service risiede nell'integrazione sinergica di più tecnologie di sicurezza. Nessun singolo strumento può fornire visibilità completa sulle minacce: è la combinazione e la correlazione tra fonti diverse che consente di rilevare attacchi sofisticati che sfuggirebbero a sistemi isolati. Comprendere le componenti dello stack tecnologico aiuta le aziende a valutare la qualità dell'offerta di un provider SOCaaS.
SIEM (Security Information and Event Management)
Il SIEM è il cervello del SOC: raccoglie i log da tutte le fonti (firewall, endpoint, server, applicazioni, cloud), li normalizza in un formato comune, li correla in tempo reale e genera alert quando identifica pattern sospetti. Le piattaforme SIEM moderne utilizzano machine learning per stabilire baseline comportamentali e rilevare anomalie: un utente che accede alle 3 di notte da un paese da cui non si è mai connesso, un server che inizia a comunicare con un dominio appena registrato, un volume anomalo di query DNS. Le principali piattaforme SIEM cloud utilizzate dai provider SOCaaS includono Microsoft Sentinel, Google Chronicle, Elastic Security e Splunk Cloud.
EDR/XDR (Endpoint Detection and Response / Extended)
L'EDR opera direttamente sugli endpoint (PC, server, dispositivi mobili) e fornisce visibilità granulare su ogni processo, connessione di rete, modifica al filesystem e accesso al registro di sistema. A differenza di un antivirus tradizionale che cerca firme note di malware, l'EDR analizza i comportamenti: un processo che cifra file in massa, un PowerShell che scarica ed esegue codice da Internet, un processo legittimo che viene iniettato con codice malevolo (process injection). L'XDR estende questa visibilità a rete, email, cloud e identity, correlando gli eventi tra tutti questi vettori. Bitdefender GravityZone XDR, utilizzato da BullTech, offre capacità di rilevamento e risposta su endpoint, rete e cloud con una singola console.
SOAR (Security Orchestration, Automation and Response)
Il SOAR è lo strumento che permette al SOC di automatizzare le risposte alle minacce note e di orchestrare workflow complessi che coinvolgono più strumenti. Esempio: quando il SIEM rileva un tentativo di phishing, il SOAR può automaticamente estrarre gli indicatori di compromissione dall'email (URL, hash dell'allegato, IP del mittente), verificarli contro i feed di threat intelligence, bloccare l'URL sul proxy e sul firewall, mettere in quarantena l'email su tutti gli account che l'hanno ricevuta e creare un ticket di incidente — tutto in meno di 60 secondi, senza intervento umano. L'automazione SOAR riduce il MTTR (Mean Time to Respond) da ore a minuti per le minacce note, liberando gli analisti per le indagini che richiedono intelligenza umana.
Threat Intelligence
I feed di threat intelligence forniscono al SOC informazioni aggiornate sulle minacce attive: indicatori di compromissione (IoC) come hash di malware, IP e domini malevoli, URL di phishing; tattiche, tecniche e procedure (TTP) degli attori di minaccia mappate sul framework MITRE ATT&CK; vulnerabilità attivamente sfruttate (exploited in the wild). Un SOCaaS di qualità integra feed multipli — commerciali (Mandiant, CrowdStrike, Recorded Future), open source (AlienVault OTX, CIRCL), settoriali (FS-ISAC per il settore finanziario) e governativi (CSIRT Italia) — per avere la visione più completa possibile del panorama delle minacce.
6. Prezzi del SOC as a Service in Italia
Il costo di un SOC as a Service per il mercato italiano varia significativamente in base al numero di endpoint, al livello di servizio, alla complessità dell'infrastruttura e ai requisiti di compliance. A differenza di molti servizi IT dove il prezzo è standardizzato, il SOCaaS richiede quasi sempre un dimensionamento personalizzato. Tuttavia, è possibile fornire range indicativi basati sulla nostra esperienza con PMI italiane.
Range di prezzo per il mercato italiano
20-50 endpoint: 500-1.200 euro/mese (Basic/Standard)
50-100 endpoint: 1.000-2.000 euro/mese (Standard)
100-200 endpoint: 1.500-3.000 euro/mese (Standard/Premium)
200-500 endpoint: 2.500-5.000+ euro/mese (Premium)
I prezzi includono la piattaforma SIEM cloud, gli analisti 24/7 e la reportistica. Non includono le licenze EDR/XDR sugli endpoint, che vengono tipicamente fatturate separatamente (3-8 euro/endpoint/mese).
Il modello di pricing più comune nel mercato italiano è il canone mensile per endpoint, con una fee base fissa che copre la piattaforma e un costo variabile per dispositivo monitorato. Alcuni provider offrono anche un modello basato sul volume di log ingeriti (GB/giorno), che può essere più vantaggioso per aziende con pochi endpoint ma infrastrutture complesse (molti server, appliance di rete, applicazioni cloud). Il modello a volume di log presenta però il rischio di costi imprevedibili: un picco di attività (o un attacco in corso) può generare un aumento improvviso dei log e quindi dei costi.
Quando si confrontano i preventivi di diversi provider SOCaaS, è essenziale verificare cosa è incluso e cosa no. I costi nascosti più comuni sono: setup fee iniziale (1.000-5.000 euro una tantum), costi di integrazione per sorgenti di log non standard, costi aggiuntivi per incident response on-site, costi per la retention dei log oltre il periodo standard (tipicamente 90 giorni nel basic, 12 mesi nel premium), e costi per report personalizzati o audit di compliance.
7. SOCaaS e Compliance: NIS2, GDPR, ISO 27001
L'adozione di un SOC as a Service non è solo una scelta di sicurezza: per molte aziende italiane è diventata un obbligo normativo. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, richiede alle entità essenziali e importanti — che includono PMI in settori come energia, trasporti, sanitario, manifatturiero, servizi digitali e alimentare — di implementare misure di sicurezza proporzionate al rischio, inclusa la capacità di rilevamento degli incidenti entro 24 ore e la notifica alle autorità competenti.
L'articolo 21 della Direttiva NIS2 richiede esplicitamente "politiche di analisi dei rischi e di sicurezza dei sistemi informativi", "gestione degli incidenti" e "monitoraggio continuo". Un SOCaaS soddisfa direttamente questi requisiti: il monitoraggio 24/7 garantisce la capacità di rilevamento continuo, i playbook di incident response assicurano una gestione strutturata degli incidenti, e la reportistica fornisce evidenza documentale per le autorità di vigilanza. Senza un SOC — interno o in outsourcing — dimostrare la conformità NIS2 diventa estremamente difficile.
Anche il GDPR (Regolamento UE 2016/679) impone obblighi rilevanti: l'articolo 33 richiede la notifica di un data breach all'Autorità Garante entro 72 ore dalla scoperta. Per rispettare questa scadenza, l'azienda deve prima scoprire il breach — e senza un sistema di monitoraggio continuo, la scoperta avviene tipicamente dopo settimane o mesi (la media globale è di 197 giorni secondo IBM). Un SOCaaS riduce drasticamente questo tempo, portando il rilevamento a minuti o ore anziché giorni.
Per le aziende certificate ISO 27001 o in percorso di certificazione, il SOCaaS supporta il soddisfacimento di numerosi controlli dell'Annex A, in particolare: A.8.15 (Logging), A.8.16 (Monitoring activities), A.5.24 (Information security incident management planning and preparation), A.5.25 (Assessment and decision on information security events), A.5.26 (Response to information security incidents). Il provider SOCaaS può fornire evidenze pronte per l'audit (log di monitoraggio, report degli incidenti, metriche di performance) che semplificano significativamente il processo di certificazione.
8. Le Metriche che Contano: MTTD, MTTR, False Positive Rate
Valutare l'efficacia di un SOC as a Service richiede metriche oggettive e misurabili. Troppo spesso le aziende si affidano a impressioni soggettive ("il provider sembra competente") o a metriche vanity ("abbiamo analizzato 10 milioni di eventi questo mese"). Le metriche che realmente indicano la qualità di un SOCaaS sono tre.
MTTD
Mean Time to Detect
Il tempo medio tra l'inizio di un'attività malevola e la sua rilevazione. Un SOCaaS eccellente ha un MTTD inferiore a 15 minuti per minacce critiche. La media del settore è di circa 1 ora. Per confronto, le aziende senza SOC hanno un MTTD medio di 197 giorni.
MTTR
Mean Time to Respond
Il tempo medio tra il rilevamento e la prima azione di contenimento. L'obiettivo è sotto i 60 minuti per incidenti critici. Con automazione SOAR, le risposte a minacce note possono essere eseguite in meno di 5 minuti. Senza SOC, il MTTR medio supera le 70 ore.
FPR
False Positive Rate
La percentuale di alert che, dopo l'analisi, si rivelano falsi positivi. Un tasso accettabile è sotto il 30%. Sopra il 50%, gli analisti sviluppano 'alert fatigue' e iniziano a ignorare gli alert — rendendo il SOC inefficace. Il tuning continuo delle regole è essenziale.
Oltre a queste tre metriche fondamentali, un buon SOCaaS dovrebbe fornire reportistica su: numero di alert generati vs. investigati vs. confermati come incidenti (il funnel degli alert), tempo medio di escalation dal Tier 1 al Tier 2, numero di threat hunt condotti e risultati ottenuti, copertura MITRE ATT&CK (percentuale di tecniche rilevabili rispetto al totale del framework), e trend temporali di tutte queste metriche per dimostrare il miglioramento continuo del servizio.
Quando valutate un provider SOCaaS, chiedete sempre di vedere report di esempio con queste metriche. Un provider che non è in grado o non è disposto a condividere le proprie metriche di performance è un red flag significativo. Le metriche devono essere verificabili e basate su dati reali, non su dichiarazioni generiche. Durante il periodo di prova o i primi mesi di servizio, concordate obiettivi misurabili (SLA) per MTTD e MTTR e verificate periodicamente il loro rispetto.
9. La Soluzione BullTech: SOC/MDR con Bitdefender
BullTech Informatica offre un servizio di SOC/MDR (Managed Detection and Response) basato sulla partnership con Bitdefender, uno dei leader globali nella cybersecurity con oltre 500 milioni di endpoint protetti nel mondo. Il nostro approccio combina la tecnologia Bitdefender GravityZone XDR con il supporto del SOC Bitdefender operativo 24/7/365, integrato dalla nostra competenza locale nella gestione delle infrastrutture IT delle PMI italiane.
La piattaforma Bitdefender GravityZone XDR fornisce visibilità unificata su endpoint, rete, cloud e applicazioni SaaS (Microsoft 365, Google Workspace). Le capacità di machine learning proprietarie di Bitdefender, addestrate su un dataset di oltre 500 milioni di endpoint, garantiscono un tasso di rilevamento superiore al 99% nei test indipendenti (AV-Comparatives, AV-TEST) con un tasso di falsi positivi estremamente basso. Questo si traduce in meno rumore per gli analisti e più focus sulle minacce reali.
Il valore aggiunto di BullTech risiede nella nostra funzione di interfaccia locale tra il SOC Bitdefender e il cliente. Conosciamo le infrastrutture dei nostri clienti, le loro applicazioni business-critical, i loro pattern di utilizzo normali. Quando il SOC Bitdefender rileva un'anomalia, il nostro team può contestualizzarla immediatamente: un accesso notturno a un server può essere un attacco o può essere la procedura di backup schedulata — noi lo sappiamo perché gestiamo l'infrastruttura con il nostro servizio di monitoraggio proattivo. Questa integrazione tra SOC e gestione IT riduce drasticamente i falsi positivi e accelera la risposta agli incidenti reali.
Il servizio include: deployment degli agenti Bitdefender su tutti gli endpoint, configurazione delle policy di sicurezza personalizzate, monitoraggio 24/7 da parte del SOC Bitdefender con analisti certificati, threat hunting proattivo basato su intelligence Bitdefender Labs, risposta agli incidenti con contenimento automatizzato, reportistica mensile con metriche MTTD/MTTR e raccomandazioni di miglioramento. Il tutto integrato nel nostro contratto di assistenza IT gestita, senza fornitori multipli da coordinare.
Perché integrare SOC e gestione IT
Il 67% degli alert SOC richiede contesto infrastrutturale per essere valutato correttamente (Gartner, 2025). Un SOC isolato che non conosce l'infrastruttura del cliente genera più falsi positivi e risponde più lentamente agli incidenti reali. BullTech, come Managed Service Provider, combina la gestione quotidiana dell'IT con il monitoraggio SOC/MDR, creando un ciclo virtuoso: la conoscenza dell'infrastruttura migliora il rilevamento, e il rilevamento migliora la gestione dell'infrastruttura.
Domande Frequenti
Qual è la differenza tra SOC e SIEM?
Il SIEM (Security Information and Event Management) è uno strumento tecnologico che raccoglie, correla e analizza i log provenienti da diverse fonti (firewall, endpoint, server, applicazioni) per identificare pattern sospetti. Il SOC (Security Operations Center) è invece un'organizzazione composta da persone, processi e tecnologie — di cui il SIEM è solo una componente. Un SOC utilizza il SIEM come piattaforma principale, ma aggiunge analisti di sicurezza qualificati che interpretano gli alert, conducono indagini approfondite, eseguono threat hunting proattivo e gestiscono la risposta agli incidenti. Avere un SIEM senza analisti dedicati è come avere un cruscotto di allarmi senza nessuno a monitorarlo: gli alert si accumulano, i falsi positivi generano alert fatigue, e le minacce reali passano inosservate. Per una PMI, il SOC as a Service fornisce sia la tecnologia SIEM che il team di analisti, senza dover investire in entrambi separatamente.
Quanto costa un SOC as a Service rispetto a un SOC interno?
Un SOC interno richiede un investimento significativo: il solo costo del personale per garantire copertura 24/7/365 parte da circa 500.000 euro all'anno, considerando che servono minimo 5-6 analisti (per coprire turni, ferie e malattie), un SOC manager e un tier 3 engineer. A questo vanno aggiunti i costi della tecnologia — licenze SIEM (da 50.000 a 200.000 euro/anno), piattaforme SOAR, feed di threat intelligence, strumenti di analisi forense — e i costi infrastrutturali (sala operativa, schermi, ridondanza). Il totale per un SOC interno minimale supera i 700.000-800.000 euro/anno. Un SOC as a Service per una PMI con 50-200 endpoint costa invece tra 500 e 3.000 euro/mese (6.000-36.000 euro/anno), con un risparmio del 90-95%. Inoltre, il provider SOCaaS ammortizza i costi su centinaia di clienti, potendo offrire tecnologie e competenze altrimenti inaccessibili alla singola PMI.
Qual è la dimensione minima dell'azienda per un SOC as a Service?
Non esiste una dimensione minima rigida: il SOC as a Service è scalabile per definizione. Tuttavia, nella pratica, il servizio diventa economicamente sensato per aziende con almeno 20-30 endpoint (PC, server, dispositivi di rete). Sotto questa soglia, un servizio MDR (Managed Detection and Response) più leggero — come Bitdefender MDR integrato nell'antivirus — può offrire una protezione adeguata a costi inferiori. Per le aziende con 50-200 endpoint, il SOCaaS standard rappresenta il miglior rapporto costo-efficacia. Oltre i 200 endpoint, si giustificano piani premium con analisti dedicati e threat hunting personalizzato. Il fattore determinante non è solo la dimensione, ma anche il settore: aziende in ambito sanitario, finanziario, manifatturiero critico o soggette a NIS2 hanno l'obbligo normativo di dotarsi di capacità di rilevamento e risposta agli incidenti, indipendentemente dalle dimensioni.
Quali sono i tempi di risposta (SLA) tipici di un SOC as a Service?
Gli SLA di un SOC as a Service si misurano principalmente con due metriche: MTTD (Mean Time to Detect) e MTTR (Mean Time to Respond). Un SOCaaS di qualità garantisce un MTTD inferiore a 15 minuti per gli alert critici — il tempo che intercorre tra l'evento di sicurezza e la sua identificazione da parte degli analisti. Il MTTR, ovvero il tempo per la prima azione di contenimento, dovrebbe essere inferiore a 1 ora per gli incidenti critici (P1) e inferiore a 4 ore per quelli ad alta priorità (P2). Per il contesto, la media globale del MTTD per le aziende senza SOC è di 197 giorni (dato IBM Cost of a Data Breach 2025). Lo SLA di notifica — il tempo entro cui il cliente viene informato dell'incidente — è tipicamente di 30 minuti per incidenti critici. Questo è particolarmente importante per la compliance NIS2, che richiede la notifica alle autorità entro 24 ore dall'identificazione dell'incidente significativo.
Cosa succede esattamente durante un incidente di sicurezza?
Quando il SOC identifica un incidente di sicurezza, si attiva un processo strutturato in fasi. Fase 1 — Rilevamento e Triage (0-15 minuti): il SIEM genera un alert, l'analista L1 lo valida, classifica la severità (P1-P4) ed esclude i falsi positivi. Fase 2 — Analisi e Investigazione (15-60 minuti): l'analista L2 indaga l'alert, correla gli eventi con altri indicatori di compromissione (IoC), determina la portata dell'incidente e identifica i sistemi coinvolti. Fase 3 — Contenimento (1-4 ore): si isolano i sistemi compromessi dalla rete (network containment), si bloccano gli IP/domini malevoli sul firewall, si disabilitano gli account compromessi. Il cliente viene notificato con un rapporto preliminare. Fase 4 — Eradicazione e Recovery: si rimuove la minaccia, si ripristinano i sistemi da backup puliti, si applicano le patch mancanti. Fase 5 — Post-Incident: report dettagliato con timeline, root cause analysis, lezioni apprese e raccomandazioni per prevenire incidenti simili.
Dove vengono archiviati i dati del SOC as a Service? C'è un problema di residenza dei dati?
La residenza dei dati è un tema critico per le aziende italiane ed europee soggette a GDPR. I dati raccolti dal SOC includono log di sistema, metadati di rete, eventi di sicurezza e, in alcuni casi, campioni di malware o frammenti di traffico di rete. Un SOCaaS conforme al GDPR deve garantire che questi dati siano archiviati e processati all'interno dell'Unione Europea, idealmente in data center in Italia o in paesi UE con decisioni di adeguatezza. Prima di scegliere un provider, verificate: la localizzazione dei data center del SIEM cloud (AWS eu-south-1 Milano, Azure West Europe, ecc.); le clausole contrattuali standard (SCC) per eventuali sub-processori extra-UE; la policy di data retention (tipicamente 12-13 mesi per i log, 90 giorni per i dati di analisi forense); la crittografia dei dati at rest e in transit. BullTech, tramite la partnership con Bitdefender MDR, garantisce che i dati di sicurezza dei clienti siano processati in data center europei con piena conformità GDPR e possibilità di DPA (Data Processing Agreement) dedicato.
La sicurezza informatica della tua azienda non può aspettare. Se stai valutando un SOC as a Service per la tua PMI, contattaci per un assessment gratuito della tua postura di sicurezza. Il nostro team analizzerà la tua infrastruttura, valuterà il livello di rischio e ti proporrà la soluzione SOC/MDR più adeguata alle tue esigenze e al tuo budget. Scopri anche il nostro servizio di SOC/MDR con Bitdefender per una protezione completa e gestita della tua azienda.