Secondo una ricerca condotta da Kaspersky, la maggior parte delle aziende italiane ha già intrapreso, o prevede di intraprendere, un percorso di esternalizzazione parziale del Security Operations Center (SOC). La crescente complessità delle minacce informatiche e la necessità di garantire una protezione continua 24 ore su 24 stanno spingendo le organizzazioni verso modelli operativi più flessibili, capaci di integrare risorse interne e competenze specialistiche esterne.
Dallo studio emerge che il 67% delle aziende in Italia prevede di esternalizzare almeno una parte del proprio SOC, adottando un modello ibrido che combina team interni e fornitori specializzati. Un ulteriore 22% dichiara l’intenzione di adottare un modello completamente SOC-as-a-Service (SOCaaS), mentre solo l’11% prevede di costruire e gestire un SOC interamente in-house. Questo dato riflette le difficoltà strutturali legate al monitoraggio continuo, alla gestione degli incidenti su base 24/7 e alla carenza di professionisti altamente qualificati nel mercato della cybersecurity.
L’outsourcing del SOC consente alle aziende di delegare singole funzioni operative o l’intero ciclo di rilevamento, analisi e risposta agli incidenti a un partner esterno di fiducia. In questo scenario rientrano attività come la progettazione dell’architettura del SOC, l’implementazione e la manutenzione delle tecnologie di sicurezza, il monitoraggio continuo da parte di analisti specializzati e i servizi di consulenza e formazione. In alcuni casi, il fornitore gestisce direttamente tutte le fasi operative, garantendo una copertura costante e processi di risposta strutturati.
I dati indicano che le aziende italiane tendono a mantenere internamente le attività strategiche, affidando invece all’esterno i carichi di lavoro più tecnici e operativi. Tra le funzioni più spesso esternalizzate figurano l’installazione e l’implementazione delle soluzioni di sicurezza, la progettazione del SOC e lo sviluppo delle piattaforme tecnologiche. Questa scelta permette di ottimizzare le risorse interne e di ridurre la pressione sui team IT, senza rinunciare a livelli elevati di controllo e governance.
Un ulteriore elemento rilevante riguarda i ruoli professionali richiesti ai fornitori SOC esterni. Le aziende italiane mostrano una forte domanda di analisti di sicurezza di seconda linea, seguiti dagli analisti di prima linea. La priorità riguarda quindi il rafforzamento delle attività di monitoraggio avanzato, analisi degli eventi e risposta agli incidenti, considerate centrali per contrastare minacce sempre più sofisticate.
Le motivazioni alla base dell’outsourcing del SOC risultano chiare. La principale riguarda la necessità di garantire una protezione continua 24/7, un requisito che molti team interni faticano a sostenere in autonomia. A questo si affianca la volontà di ridurre il carico operativo sugli specialisti interni, consentendo loro di concentrarsi su attività a maggiore valore strategico. Un ruolo rilevante lo giocano anche l’accesso a tecnologie avanzate e il supporto nella conformità normativa e agli standard di settore, aspetti sempre più critici nel contesto europeo.
L’ottimizzazione dei costi, pur presente, non rappresenta il principale driver. Solo una parte delle aziende indica il budget come fattore prioritario, a conferma del fatto che il valore dell’outsourcing del SOC risiede soprattutto in una maggiore efficacia della protezione e nella capacità di reagire in modo tempestivo agli incidenti di sicurezza.
“La tendenza all’esternalizzazione, totale o parziale, delle funzioni SOC è guidata principalmente dalla necessità di maggiore focalizzazione operativa e agilità strategica. Affidando a partner esterni le attività tecniche e di routine, le aziende possono concentrarsi su iniziative ad alto valore, come il processo decisionale strategico e il coordinamento delle risposte alle minacce più sofisticate”, ha dichiarato Sergey Soldatov, Head of Security Operations Center di Kaspersky. “Questo approccio consente spesso anche un’allocazione più efficace delle risorse, trasformando il SOC in una capacità strategica a supporto diretto della continuità operativa”.
Per le organizzazioni che intendono realizzare o potenziare il proprio SOC, Kaspersky indica l’importanza di affiancare servizi di consulenza specializzata nelle fasi di progettazione e ottimizzazione, di adottare piattaforme SIEM con funzionalità avanzate di analisi e intelligenza artificiale, di integrare soluzioni EDR e XDR per una protezione estesa e di utilizzare servizi di Threat Intelligence in grado di fornire informazioni contestualizzate lungo l’intero ciclo di gestione degli incidenti. Un approccio integrato che risponde alle esigenze di sicurezza attuali e future delle aziende italiane.
