La tua azienda riceve attacchi informatici tutti i giorni, anche se non lo sai. Il problema è che senza qualcuno che guarda i log 24 ore su 24, te ne accorgi solo quando è troppo tardi. Un SOC as a Service (SOCaaS) è un team di analisti di sicurezza che monitora i tuoi server, PC e rete giorno e notte, al posto tuo. Senza che tu debba assumere nessuno. In questa guida ti spiego cos'è un SOC, perché costruirne uno interno costa troppo per una PMI, come funziona il modello in outsourcing, quanto costa davvero e come scegliere il provider giusto.
Indice dei Contenuti
- 1. Cos'è un Security Operations Center (SOC)
- 2. Perché le PMI Italiane Non Possono Costruire un SOC Interno
- 3. Come Funziona il SOC as a Service
- 4. I Tier di Servizio: Basic, Standard, Premium
- 5. Lo Stack Tecnologico del SOCaaS
- 6. Prezzi del SOC as a Service in Italia
- 7. SOCaaS e Compliance: NIS2, GDPR, ISO 27001
- 8. Le Metriche che Contano: MTTD, MTTR, False Positive Rate
- 9. La Soluzione BullTech: SOC/MDR con Bitdefender
- 10. Domande Frequenti
1. Cos'è un Security Operations Center (SOC)
Pensa al SOC come alla guardia notturna della tua azienda, ma digitale e attiva 24 ore su 24. È un centro che combina persone, processi e tecnologie per monitorare tutto quello che succede sui tuoi server, PC e rete, rilevare le minacce e reagire prima che facciano danni. Ogni evento sospetto viene osservato, classificato e gestito secondo procedure predefinite.
Al centro del SOC ci sono gli analisti di sicurezza, organizzati su tre livelli. Il Tier 1 (Triage) tiene gli occhi sugli schermi, filtra i falsi allarmi e segnala quelli sospetti. Il Tier 2 (Investigation) indaga in profondità: correla gli eventi, incrocia le informazioni con le minacce conosciute e determina quanto è grave la situazione. Il Tier 3 (Threat Hunting) va a caccia di minacce avanzate che i sistemi automatici non hanno trovato, sviluppa nuove regole di rilevamento e gestisce gli incidenti più complessi.
Per ogni tipo di attacco esiste una procedura scritta, un playbook: dal phishing al ransomware, dal data breach alla comunicazione con le autorità. Così la risposta è rapida e coerente, indipendentemente da chi è di turno. Un SOC ben rodato ha centinaia di playbook pronti.
Lato tecnologia, il SOC usa un SIEM (la piattaforma che raccoglie e correla tutti i log), soluzioni EDR/XDR sui PC e server, piattaforme SOAR per automatizzare le risposte, feed di threat intelligence per capire il contesto delle minacce, e strumenti di analisi forense per le indagini dopo un incidente. Il punto chiave: non sono strumenti separati, ma un ecosistema dove ogni pezzo alimenta gli altri.
2. Perché le PMI Italiane Non Possono Costruire un SOC Interno
Non è questione di volontà: i numeri semplicemente non tornano. Costruire un SOC interno è fuori portata per la stragrande maggioranza delle aziende italiane con fatturato sotto i 50 milioni di euro. Ecco perché.
Costo del personale: minimo 500.000 euro/anno
Per coprire 24 ore su 24, 365 giorni, servono almeno 5-6 analisti (tre turni, weekend, ferie, malattie), un SOC Manager e un senior analyst. Con stipendi tra i 35.000 e i 55.000 euro lordi, solo il personale ti costa 350.000-500.000 euro all'anno. Poi aggiungi la formazione continua (certificazioni SANS, GIAC, CompTIA da 5.000-8.000 euro l'una) e il fatto che il 30% degli analisti SOC cambia lavoro entro 2 anni per burnout.
Costo della tecnologia: 100.000-300.000 euro/anno
Le licenze SIEM enterprise (Splunk, QRadar, Microsoft Sentinel) partono da 50.000 euro/anno e superano facilmente i 200.000 per ambienti complessi. Aggiungi piattaforme SOAR (30.000-80.000), feed di threat intelligence (15.000-40.000), strumenti forensi (10.000-25.000): il conto tecnologia per un SOC base sta tra 100.000 e 300.000 euro all'anno.
Carenza di talenti: 3,5 milioni di posizioni cybersecurity scoperte
Nel mondo mancano 3,5 milioni di professionisti cybersecurity (dati ISC2). In Italia e' ancora peggio: le universita' sfornano circa 2.000 laureati in cybersecurity all'anno, ma le aziende ne cercano piu' di 10.000. Risultato: le grandi aziende se li accaparrano con stipendi premium. Per una PMI, trovare (e trattenere) analisti SOC qualificati e' una battaglia persa in partenza.
Complessità operativa: non basta comprare strumenti
Un SOC non e' un software che installi e funziona da solo: e' un'organizzazione da costruire, addestrare e migliorare giorno dopo giorno. Servono procedure, playbook di risposta, metriche, simulazioni, integrazione con i tuoi processi aziendali, coordinamento con le autorita' (CSIRT Italia per la NIS2). Per raggiungere una maturita' operativa decente servono 12-18 mesi, durante i quali resti esposto.
Metti tutto insieme e il conto per un SOC interno parte da 700.000 euro all'annoe arriva facilmente a 1.200.000. Per la maggior parte delle PMI italiane, è semplicemente fuori scala. Anche aziende con fatturato tra 10 e 50 milioni raramente riescono a giustificarlo, visto che la cybersecurity è solo una delle tante voci del budget IT. Ed è proprio qui che nasce il SOC as a Service: colmare il gap tra la necessità di essere protetti e la capacità di investire.
3. Come Funziona il SOC as a Service
Il SOC as a Service (SOCaaS) è un modello di erogazione in cui un provider specializzato fornisce le capacità di un Security Operations Center completo come servizio gestito. Il cliente non deve costruire nulla internamente: il provider mette a disposizione la tecnologia (SIEM cloud, SOAR, threat intelligence), il personale (analisti di sicurezza certificati disponibili 24/7) e i processi (playbook, procedure di escalation, reportistica).
Il funzionamento si articola in quattro fasi principali. Nella fase di onboarding, il provider SOCaaS analizza l'infrastruttura del cliente, identifica le fonti di log da integrare (firewall, endpoint, server, applicazioni cloud, identity provider), configura i connettori e definisce le baseline di comportamento normale. Questa fase richiede tipicamente 2-4 settimane e include la definizione delle procedure di escalation personalizzate per il cliente: chi contattare, con quale priorità, attraverso quale canale.
La fase di raccolta e normalizzazione è continua: agenti software installati sugli endpoint e connettori API raccolgono i log in tempo reale e li inviano al SIEM cloud del provider. I log vengono normalizzati in un formato comune, arricchiti con informazioni di contesto (geolocalizzazione IP, reputazione domini, indicatori di compromissione noti) e indicizzati per la ricerca rapida. Un'azienda con 100 endpoint genera tipicamente tra 50 e 200 GB di log al giorno, che il SIEM processa in tempo reale.
La fase di rilevamento e analisi è il cuore del servizio. Il SIEM applica regole di correlazione, modelli di machine learning e indicatori di compromissione per identificare attività sospette. Ogni alert generato viene preso in carico da un analista che lo valida, elimina i falsi positivi e, in caso di minaccia reale, avvia l'investigazione. La correlazione tra eventi provenienti da fonti diverse è fondamentale: un singolo login fallito non è un alert, ma 50 login falliti da IP diversi verso lo stesso account in 5 minuti è un attacco brute force in corso.
La fase di risposta e remediation si attiva quando viene confermato un incidente. A seconda del livello di servizio contrattualizzato, il SOCaaS può limitarsi a notificare il cliente con raccomandazioni di azione (modello advisory) oppure eseguire direttamente le azioni di contenimento: isolare un endpoint compromesso, bloccare un IP sul firewall, disabilitare un account, avviare il ripristino da backup. Il modello più avanzato include la capacità di risposta automatizzata (SOAR) per le minacce note, riducendo il tempo di risposta da minuti a secondi.
4. I Tier di Servizio: Basic, Standard, Premium
Il mercato SOCaaS italiano offre tipicamente tre livelli di servizio, ciascuno progettato per un diverso profilo di rischio e budget. Comprendere le differenze è fondamentale per scegliere il livello adeguato senza pagare per funzionalità non necessarie o, peggio, sottodimensionare la protezione.
Basic: Log Monitoring & Alerting
Il livello base include la raccolta centralizzata dei log, la correlazione basata su regole predefinite e la notifica degli alert al team IT del cliente. Il provider gestisce la piattaforma SIEM, mantiene aggiornate le regole di rilevamento e produce report periodici (settimanali o mensili). La risposta agli incidenti resta in capo al cliente. Adatto per: aziende con un team IT interno capace di gestire gli incidenti ma che necessitano di visibilità centralizzata e monitoraggio 24/7. Range di prezzo: 500-1.000 euro/mese per 50-100 endpoint.
Standard: Threat Detection & Hunting
Il livello standard aggiunge il threat hunting proattivo: gli analisti del SOC cercano attivamente segni di compromissione nell'infrastruttura del cliente, anche in assenza di alert automatici. Include l'analisi delle vulnerabilità, la correlazione avanzata con feed di threat intelligence premium, la gestione degli incidenti fino al contenimento e la reportistica dettagliata con raccomandazioni di remediation. Adatto per: PMI senza team di sicurezza dedicato, aziende soggette a NIS2, settori con dati sensibili. Range di prezzo: 1.500-2.500 euro/mese per 100-200 endpoint.
Premium: Full Incident Response & SOAR
Il livello premium include tutto lo Standard più: risposta automatizzata tramite piattaforma SOAR, analisti dedicati (non condivisi con altri clienti), incident response on-site se necessario, analisi forense post-incidente, tabletop exercise trimestrali, reportistica per il CdA e supporto per audit di compliance. Include anche la gestione delle vulnerabilità con prioritizzazione basata su threat intelligence e contesto aziendale. Adatto per: aziende con requisiti normativi stringenti, infrastrutture critiche, settori finanziario e sanitario. Range di prezzo: 2.500-5.000+ euro/mese per 100-200 endpoint.
5. Lo Stack Tecnologico del SOCaaS
La potenza di un SOC as a Service risiede nell'integrazione sinergica di più tecnologie di sicurezza. Nessun singolo strumento può fornire visibilità completa sulle minacce: è la combinazione e la correlazione tra fonti diverse che consente di rilevare attacchi sofisticati che sfuggirebbero a sistemi isolati. Comprendere le componenti dello stack tecnologico aiuta le aziende a valutare la qualità dell'offerta di un provider SOCaaS.
SIEM (Security Information and Event Management)
Il SIEM è il cervello del SOC: raccoglie i log da tutte le fonti (firewall, endpoint, server, applicazioni, cloud), li normalizza in un formato comune, li correla in tempo reale e genera alert quando identifica pattern sospetti. Le piattaforme SIEM moderne utilizzano machine learning per stabilire baseline comportamentali e rilevare anomalie: un utente che accede alle 3 di notte da un paese da cui non si è mai connesso, un server che inizia a comunicare con un dominio appena registrato, un volume anomalo di query DNS. Le principali piattaforme SIEM cloud utilizzate dai provider SOCaaS includono Microsoft Sentinel, Google Chronicle, Elastic Security e Splunk Cloud.
EDR/XDR (Endpoint Detection and Response / Extended)
L'EDR opera direttamente sugli endpoint (PC, server, dispositivi mobili) e fornisce visibilità granulare su ogni processo, connessione di rete, modifica al filesystem e accesso al registro di sistema. A differenza di un antivirus tradizionale che cerca firme note di malware, l'EDR analizza i comportamenti: un processo che cifra file in massa, un PowerShell che scarica ed esegue codice da Internet, un processo legittimo che viene iniettato con codice malevolo (process injection). L'XDR estende questa visibilità a rete, email, cloud e identity, correlando gli eventi tra tutti questi vettori. Bitdefender GravityZone XDR, utilizzato da BullTech, offre capacità di rilevamento e risposta su endpoint, rete e cloud con una singola console.
SOAR (Security Orchestration, Automation and Response)
Il SOAR è lo strumento che permette al SOC di automatizzare le risposte alle minacce note e di orchestrare workflow complessi che coinvolgono più strumenti. Esempio: quando il SIEM rileva un tentativo di phishing, il SOAR può automaticamente estrarre gli indicatori di compromissione dall'email (URL, hash dell'allegato, IP del mittente), verificarli contro i feed di threat intelligence, bloccare l'URL sul proxy e sul firewall, mettere in quarantena l'email su tutti gli account che l'hanno ricevuta e creare un ticket di incidente — tutto in meno di 60 secondi, senza intervento umano. L'automazione SOAR riduce il MTTR (Mean Time to Respond) da ore a minuti per le minacce note, liberando gli analisti per le indagini che richiedono intelligenza umana.
Threat Intelligence
I feed di threat intelligence forniscono al SOC informazioni aggiornate sulle minacce attive: indicatori di compromissione (IoC) come hash di malware, IP e domini malevoli, URL di phishing; tattiche, tecniche e procedure (TTP) degli attori di minaccia mappate sul framework MITRE ATT&CK; vulnerabilità attivamente sfruttate (exploited in the wild). Un SOCaaS di qualità integra feed multipli — commerciali (Mandiant, CrowdStrike, Recorded Future), open source (AlienVault OTX, CIRCL), settoriali (FS-ISAC per il settore finanziario) e governativi (CSIRT Italia) — per avere la visione più completa possibile del panorama delle minacce.
6. Prezzi del SOC as a Service in Italia
Il costo di un SOC as a Service per il mercato italiano varia significativamente in base al numero di endpoint, al livello di servizio, alla complessità dell'infrastruttura e ai requisiti di compliance. A differenza di molti servizi IT dove il prezzo è standardizzato, il SOCaaS richiede quasi sempre un dimensionamento personalizzato. Tuttavia, è possibile fornire range indicativi basati sulla nostra esperienza con PMI italiane.
Range di prezzo per il mercato italiano
20-50 endpoint: 500-1.200 euro/mese (Basic/Standard)
50-100 endpoint: 1.000-2.000 euro/mese (Standard)
100-200 endpoint: 1.500-3.000 euro/mese (Standard/Premium)
200-500 endpoint: 2.500-5.000+ euro/mese (Premium)
I prezzi includono la piattaforma SIEM cloud, gli analisti 24/7 e la reportistica. Non includono le licenze EDR/XDR sugli endpoint, che vengono tipicamente fatturate separatamente (3-8 euro/endpoint/mese).
Il modello di pricing più comune nel mercato italiano è il canone mensile per endpoint, con una fee base fissa che copre la piattaforma e un costo variabile per dispositivo monitorato. Alcuni provider offrono anche un modello basato sul volume di log ingeriti (GB/giorno), che può essere più vantaggioso per aziende con pochi endpoint ma infrastrutture complesse (molti server, appliance di rete, applicazioni cloud). Il modello a volume di log presenta però il rischio di costi imprevedibili: un picco di attività (o un attacco in corso) può generare un aumento improvviso dei log e quindi dei costi.
Quando si confrontano i preventivi di diversi provider SOCaaS, è essenziale verificare cosa è incluso e cosa no. I costi nascosti più comuni sono: setup fee iniziale (1.000-5.000 euro una tantum), costi di integrazione per sorgenti di log non standard, costi aggiuntivi per incident response on-site, costi per la retention dei log oltre il periodo standard (tipicamente 90 giorni nel basic, 12 mesi nel premium), e costi per report personalizzati o audit di compliance.
7. SOCaaS e Compliance: NIS2, GDPR, ISO 27001
L'adozione di un SOC as a Service non è solo una scelta di sicurezza: per molte aziende italiane è diventata un obbligo normativo. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, richiede alle entità essenziali e importanti — che includono PMI in settori come energia, trasporti, sanitario, manifatturiero, servizi digitali e alimentare — di implementare misure di sicurezza proporzionate al rischio, inclusa la capacità di rilevamento degli incidenti entro 24 ore e la notifica alle autorità competenti.
L'articolo 21 della Direttiva NIS2 richiede esplicitamente "politiche di analisi dei rischi e di sicurezza dei sistemi informativi", "gestione degli incidenti" e "monitoraggio continuo". Un SOCaaS soddisfa direttamente questi requisiti: il monitoraggio 24/7 garantisce la capacità di rilevamento continuo, i playbook di incident response assicurano una gestione strutturata degli incidenti, e la reportistica fornisce evidenza documentale per le autorità di vigilanza. Senza un SOC — interno o in outsourcing — dimostrare la conformità NIS2 diventa estremamente difficile.
Anche il GDPR (Regolamento UE 2016/679) impone obblighi rilevanti: l'articolo 33 richiede la notifica di un data breach all'Autorità Garante entro 72 ore dalla scoperta. Per rispettare questa scadenza, l'azienda deve prima scoprire il breach — e senza un sistema di monitoraggio continuo, la scoperta avviene tipicamente dopo settimane o mesi (la media globale è di 197 giorni secondo IBM). Un SOCaaS riduce drasticamente questo tempo, portando il rilevamento a minuti o ore anziché giorni.
Per le aziende certificate ISO 27001 o in percorso di certificazione, il SOCaaS supporta il soddisfacimento di numerosi controlli dell'Annex A, in particolare: A.8.15 (Logging), A.8.16 (Monitoring activities), A.5.24 (Information security incident management planning and preparation), A.5.25 (Assessment and decision on information security events), A.5.26 (Response to information security incidents). Il provider SOCaaS può fornire evidenze pronte per l'audit (log di monitoraggio, report degli incidenti, metriche di performance) che semplificano significativamente il processo di certificazione.
8. Le Metriche che Contano: MTTD, MTTR, False Positive Rate
Valutare l'efficacia di un SOC as a Service richiede metriche oggettive e misurabili. Troppo spesso le aziende si affidano a impressioni soggettive ("il provider sembra competente") o a metriche vanity ("abbiamo analizzato 10 milioni di eventi questo mese"). Le metriche che realmente indicano la qualità di un SOCaaS sono tre.
MTTD
Mean Time to Detect
Il tempo medio tra l'inizio di un'attività malevola e la sua rilevazione. Un SOCaaS eccellente ha un MTTD inferiore a 15 minuti per minacce critiche. La media del settore è di circa 1 ora. Per confronto, le aziende senza SOC hanno un MTTD medio di 197 giorni.
MTTR
Mean Time to Respond
Il tempo medio tra il rilevamento e la prima azione di contenimento. L'obiettivo è sotto i 60 minuti per incidenti critici. Con automazione SOAR, le risposte a minacce note possono essere eseguite in meno di 5 minuti. Senza SOC, il MTTR medio supera le 70 ore.
FPR
False Positive Rate
La percentuale di alert che, dopo l'analisi, si rivelano falsi positivi. Un tasso accettabile è sotto il 30%. Sopra il 50%, gli analisti sviluppano 'alert fatigue' e iniziano a ignorare gli alert — rendendo il SOC inefficace. Il tuning continuo delle regole è essenziale.
Oltre a queste tre metriche fondamentali, un buon SOCaaS dovrebbe fornire reportistica su: numero di alert generati vs. investigati vs. confermati come incidenti (il funnel degli alert), tempo medio di escalation dal Tier 1 al Tier 2, numero di threat hunt condotti e risultati ottenuti, copertura MITRE ATT&CK (percentuale di tecniche rilevabili rispetto al totale del framework), e trend temporali di tutte queste metriche per dimostrare il miglioramento continuo del servizio.
Quando valutate un provider SOCaaS, chiedete sempre di vedere report di esempio con queste metriche. Un provider che non è in grado o non è disposto a condividere le proprie metriche di performance è un red flag significativo. Le metriche devono essere verificabili e basate su dati reali, non su dichiarazioni generiche. Durante il periodo di prova o i primi mesi di servizio, concordate obiettivi misurabili (SLA) per MTTD e MTTR e verificate periodicamente il loro rispetto.
9. La Soluzione BullTech: SOC/MDR con Bitdefender
BullTech Informatica offre un servizio di SOC/MDR (Managed Detection and Response) basato sulla partnership con Bitdefender, uno dei leader globali nella cybersecurity con oltre 500 milioni di endpoint protetti nel mondo. Il nostro approccio combina la tecnologia Bitdefender GravityZone XDR con il supporto del SOC Bitdefender operativo 24/7/365, integrato dalla nostra competenza locale nella gestione delle infrastrutture IT delle PMI italiane.
La piattaforma Bitdefender GravityZone XDR fornisce visibilità unificata su endpoint, rete, cloud e applicazioni SaaS (Microsoft 365, Google Workspace). Le capacità di machine learning proprietarie di Bitdefender, addestrate su un dataset di oltre 500 milioni di endpoint, garantiscono un tasso di rilevamento superiore al 99% nei test indipendenti (AV-Comparatives, AV-TEST) con un tasso di falsi positivi estremamente basso. Questo si traduce in meno rumore per gli analisti e più focus sulle minacce reali.
Il valore aggiunto di BullTech risiede nella nostra funzione di interfaccia locale tra il SOC Bitdefender e il cliente. Conosciamo le infrastrutture dei nostri clienti, le loro applicazioni business-critical, i loro pattern di utilizzo normali. Quando il SOC Bitdefender rileva un'anomalia, il nostro team può contestualizzarla immediatamente: un accesso notturno a un server può essere un attacco o può essere la procedura di backup schedulata — noi lo sappiamo perché gestiamo l'infrastruttura con il nostro servizio di monitoraggio proattivo. Questa integrazione tra SOC e gestione IT riduce drasticamente i falsi positivi e accelera la risposta agli incidenti reali.
Il servizio include: deployment degli agenti Bitdefender su tutti gli endpoint, configurazione delle policy di sicurezza personalizzate, monitoraggio 24/7 da parte del SOC Bitdefender con analisti certificati, threat hunting proattivo basato su intelligence Bitdefender Labs, risposta agli incidenti con contenimento automatizzato, reportistica mensile con metriche MTTD/MTTR e raccomandazioni di miglioramento. Il tutto integrato nel nostro contratto di assistenza IT gestita, senza fornitori multipli da coordinare.
Perché integrare SOC e gestione IT
Il 67% degli alert SOC richiede contesto infrastrutturale per essere valutato correttamente (Gartner, 2025). Un SOC isolato che non conosce l'infrastruttura del cliente genera più falsi positivi e risponde più lentamente agli incidenti reali. BullTech, come Managed Service Provider, combina la gestione quotidiana dell'IT con il monitoraggio SOC/MDR, creando un ciclo virtuoso: la conoscenza dell'infrastruttura migliora il rilevamento, e il rilevamento migliora la gestione dell'infrastruttura.
Domande Frequenti
Qual è la differenza tra SOC e SIEM?
Il SIEM è un software che raccoglie i log da firewall, PC, server e applicazioni e cerca pattern sospetti. Il SOC è il team di persone che usa quel software, interpreta gli allarmi e interviene quando serve. Avere un SIEM senza analisti è come avere un antifurto collegato al nulla: gli allarmi suonano, ma nessuno risponde. Con il SOC as a Service, la tua azienda ha sia la tecnologia SIEM sia il team che la monitora, senza dover assumere nessuno.
Quanto costa un SOC as a Service rispetto a un SOC interno?
Costruire un SOC tutto tuo significa almeno 5-6 analisti di sicurezza (per coprire turni, ferie e malattie), un manager, licenze SIEM da 50.000-200.000 euro/anno, e tutta l'infrastruttura: parliamo di 700.000-800.000 euro/anno minimo. Un SOC as a Service per una PMI con 50-200 PC e server costa tra 500 e 3.000 euro/mese, cioè il 90-95% in meno. Come? Il provider divide i costi tra centinaia di clienti, quindi tu accedi a tecnologie e competenze che da solo non potresti mai permetterti.
Qual è la dimensione minima dell'azienda per un SOC as a Service?
Non c'è una soglia rigida, ma nella pratica conviene a partire da 20-30 tra PC, server e dispositivi di rete. Sotto quella soglia, un servizio MDR (rilevamento e risposta gestiti) piu' leggero -- come Bitdefender MDR integrato nell'antivirus -- ti protegge bene a costi inferiori. Da 50 a 200 dispositivi il SOCaaS standard e' la scelta migliore per rapporto costo-protezione. Oltre i 200, ha senso un piano premium con analisti dedicati. Attenzione: se lavori in sanita', finanza, manifattura critica o rientri nella NIS2, il monitoraggio e' praticamente obbligatorio, a prescindere dalla dimensione.
Quali sono i tempi di risposta (SLA) tipici di un SOC as a Service?
Ci sono due numeri da guardare: il MTTD (tempo per accorgersi della minaccia) e il MTTR (tempo per la prima azione di contenimento). Un buon SOCaaS rileva le minacce critiche in meno di 15 minuti e reagisce entro 1 ora. Per capire quanto fa differenza: senza un SOC, la media per accorgersi di un attacco e' di 197 giorni (dato IBM 2025). La notifica a te come cliente arriva tipicamente entro 30 minuti per gli incidenti critici, fondamentale anche per rispettare i tempi della NIS2 che richiede la segnalazione alle autorita' entro 24 ore.
Cosa succede esattamente durante un incidente di sicurezza?
Funziona cosi': nei primi 15 minuti il SIEM lancia un allarme, un analista lo verifica e decide se e' una minaccia reale o un falso positivo. Se e' reale, un analista senior indaga: da dove arriva, cosa ha colpito, quanto e' esteso (15-60 minuti). Entro 1-4 ore si isolano i sistemi compromessi, si bloccano IP e domini malevoli e si disabilitano gli account a rischio. Tu ricevi una notifica con un rapporto preliminare. Poi si pulisce tutto, si ripristina dai backup e si installano le patch mancanti. Alla fine ricevi un report completo: cosa e' successo, come e' successo, cosa fare per evitare che ricapiti.
Dove vengono archiviati i dati del SOC as a Service? C'è un problema di residenza dei dati?
Domanda giusta, soprattutto con il GDPR. Il SOC raccoglie log di sistema, metadati di rete e eventi di sicurezza: tutti dati che devono restare in Europa. Prima di scegliere un provider, controlla dove stanno i data center (meglio se in Italia o UE), per quanto conservano i log (di solito 12 mesi) e se i dati sono crittografati sia in archivio sia in transito. Con BullTech e Bitdefender MDR, i tuoi dati vengono elaborati in data center europei, con piena conformita' GDPR e possibilita' di firmare un DPA (accordo sul trattamento dati) dedicato.
Se stai pensando a un SOC as a Service per la tua azienda, scrivici o chiamaci: facciamo un checkup gratuito dei tuoi server, PC e rete, valutiamo il livello di rischio e ti proponiamo la soluzione SOC/MDR giusta per le tue esigenze e il tuo budget. Dai un'occhiata anche al nostro servizio di SOC/MDR con Bitdefender per capire come funziona nella pratica.