Per molte PMI la sicurezza resta una corsa contro il tempo: minacce in crescita e risorse limitate. Un SOC leggero risolve il dilemma concentrandosi su controlli essenziali automazione mirata e servizi gestiti. L’obiettivo è vedere ciò che conta, reagire entro minuti e misurare i risultati con pochi indicatori chiari. Nessun progetto monolitico, ma una roadmap pragmatica che parte dai log giusti, definisce alert utili e standardizza le risposte con playbook brevi.
La chiave è combinare un SIEM/SOAR gestito con processi leggeri: ingestion prioritaria dei log ad alto valore, alerting con soglie realistiche, triage disciplinato e risposta guidata da playbook pre-approvati. In parallelo, scelte di outsourcing trasparenti, un budget sostenibile e pochi KPI di maturità permettono di governare il servizio e scalarlo senza sprechi.
Architettura minima: SIEM/SOAR gestito e log essenziali
Il perimetro iniziale privilegia un SIEM per la correlazione e un SOAR per l’automazione operativa, entrambi in modalità managed per ridurre tempi di avvio e costi di competenze. Strato dati: connettori per endpoint directory e email; strato logico: regole predefinite e case management strato azione: playbook con approvazione a uno o due livelli. La governance resta interna: proprietà dei casi, definizione delle policy e accettazione del rischio; l’operatività H24 può essere esternalizzata con Service Level Objectives vincolanti su presa in carico e notifica.
Tre principi guidano la configurazione: 1) visibilità prima della profondità; 2) automazioni solo dove riducono tempi di low-value tasks 3) integrazioni “prima i big rocks”, evitando collezioni di connettori non utilizzati. In pratica, si parte con pochi casi d’uso ad alto impatto e si estende per iterazioni controllate.
Ingestion dei log: priorità e normalizzazione
La sequenza di ingestion deve massimizzare il segnale e minimizzare il rumore. Ordine consigliato: 1) Identity (Active Directory/Azure AD, SSO, MFA) per tracciare autenticazioni, privilegi e anomalie; 2) Endpoint (EDR/antivirus) per esecuzioni sospette e quarantene; 3) Email (gateway, M365/Google) per phishing e regole malevole; 4) Firewall/VPN per accessi remoti; 5) SaaS critici (CRM, ERP, fatturazione) con eventi di admin. Ogni sorgente va mappata in un schema coerente: campi come user, host, action, outcome, geo, severity, per abilitare correlazioni stabili.
Impostare retention e cost control conservazione a 30-90 giorni online, più archiviazione fredda per compliance; filtraggio dei log verbosi con sampling o esclusioni; metriche di qualità come percentuale eventi parse-ati, tasso errori dei connettori, latenza di ingest. Un data dictionary condiviso evita ambiguità e accelera le indagini.
Alerting e triage: soglie, code e tempi
Un SOC leggero vive di pochi use case ben tarati. Priorità iniziali: compromissione account (impossible travel senza MFA, forwarder sospetti), esecuzioni malevole su endpoint (script, LOLBins), ransomware early signs (spike di cifrature, kill dei servizi), data exfiltration anomale da SaaS. Ogni regola deve avere rationale fonti, runbook e severità. Soglie conservative nella fase 1, poi affinate con dati reali per abbassare i falsi positivi senza perdere copertura.
Il triage si struttura in tre livelli: L1 convalida e arricchisce (utente, asset, criticità), L2 correla e decide l’azione, L3 gestisce casi complessi e threat hunting. Tempi guida: MTTD (Mean Time To Detect) < 15 minuti per gli alert critici, MTTA (acknowledgement) < 10 minuti, MTTR iniziale < 4 ore per contenimento su endpoint e account. Un’unica coda di casi con SLA visibili e escalation automatiche riduce le incertezze operative.
Playbook essenziali: dal phishing al ransomware
I playbook di incident response devono essere brevi, approvati e testati. Quattro “starter” ad alto impatto: 1) Phishing confermato isolare messaggio, rimuovere da mailbox, reimpostare credenziali se compromesse, educare l’utente; 2) Account takeover forzare sign-out reset MFA, bloccare forwarding rules rivedere accessi privilegiati; 3) Ransomware isolare endpoint via EDR, bloccare account sospetti, disabilitare job di backup compromessi, avviare ripristini; 4) Data leak SaaS revocare token, limitare condivisioni, avvisare proprietari dei file, avviare legal hold se necessario.
Ogni playbook include precondizioni, passi automatizzabili, approvazioni e rollback. Il SOAR gestisce le azioni ripetitive (enrichment, quarantena, estrazione di indicatori), mentre le decisioni rischiose richiedono consenso interno. Un calendario di tabletop exercise trimestrali mantiene i flussi aggiornati e fa emergere gap di processo o di strumenti.
Risposta agli incidenti: contenimento e comunicazione
Nel contenimento valgono due regole: bloccare il movimento laterale e preservare evidenze. Sequenza tipica: 1) isolamento host o sospensione account; 2) acquisizione artefatti (log, volatile memory se previsto); 3) verifica estensione; 4) ripristino controllato da immagini pulite e chiavi MFA rigenerate. La root cause analysis produce azioni correttive chiare: patch, hardening, revisioni delle policy.
La comunicazione è parte della risposta: un war room leggero con IT, sicurezza e responsabile di business; aggiornamenti orari nei casi critici; post-incident report entro 48 ore con timeline, impatti e next step. Dove applicabile, prevedere canali per privacy/compliance e assicurazione cyber; modelli di notifica precompilati riducono errori sotto pressione.
Outsourcing, budget e KPI: come governare il SOC light
Per l’outsourcing criteri minimi: coverage 24×7 reale, tempi di presa in carico contrattuali, reportistica mensile con MTTD/MTTR, capacità di integrazione con i vostri strumenti, e dati archiviati nel vostro tenant. Valutare un modello ibrido: L1/L2 gestiti dal provider, L3 e decisioni di rischio in capo all’azienda. Attenzione alle exit clause e alla portabilità dei log, con formati aperti e documentazione dei playbook.
Budget orientativo per una PMI: licenze SIEM/SOAR a consumo (priorità al controllo dell’ingest volume), servizio di monitoraggio 24×7 con pacchetti a numero di casi d’uso, e un fondo per IR on demand. KPI di maturità: 1) copertura fonti log critiche (% connesse e sane); 2) tasso di false positive per caso d’uso; 3) MTTD/MTTR mediani; 4) percentuale di playbook con successo senza intervento manuale; 5) tempo di onboarding per nuove integrazioni. Una semplice scorecard trimestrale guida investimenti mirati e consolida la disciplina operativa.



