La difesa di nuova generazione: dentro la corsa ad alta posta in gioco per reinventare i Security Operations Center
Mentre le minacce informatiche evolvono e l’IA conquista il centro della scena, i CISO devono rinnovare i loro Security Operations Center o rischiano di restare pericolosamente indietro.
Sono le 3 del mattino e il cruscotto di sicurezza di una banca globale si illumina con una cascata di avvisi. Ma questa volta non è un analista stanco a scattare in azione: è una suite di modelli di IA che scompone, correla ed escalatesolo ciò che conta davvero. Benvenuti nel futuro del Security Operations Center (SOC), dove tecnologia e talento devono trasformarsi di pari passo per sopravvivere alla marea incessante del cybercrime.
IA: sia difensore sia bersaglio
Per anni, l’intelligenza artificiale ha promesso di tagliare il rumore degli infiniti eventi di sicurezza. Ora, con l’IA agentica-sistemi che imitano il processo decisionale umano-i team SOC possono finalmente concentrarsi su ciò che conta di più. “Gli esseri umani semplicemente non riescono a stare dietro a tutto”, afferma Charles Jacco di KPMG. “Un’IA che si auto-ottimizza e incrocia le minacce fa guadagnare tempo prezioso per la risposta.”
Ma mentre le organizzazioni implementano IA più intelligenti, si espongono anche a nuove minacce. Gli attacchi ai modelli di IA-come il data poisoning o la prompt injection-sono in aumento e richiedono difese dedicate. Grandi imprese, come Lloyds Banking Group, stanno ora assumendo responsabili la cui unica missione è mettere in sicurezza gli asset di IA, segno che la carenza di competenze non fa che intensificarsi.
La forza delle persone: riqualificazione o sorpasso?
Nonostante l’automazione, i SOC sono ancora perseguitati da lacune di talento, in particolare nella digital forensics e nella gestione degli incidenti. Il turnover resta un problema cronico, spesso dovuto a ruoli monotoni e alla mancanza di avanzamento. Gli esperti sostengono che, man mano che le attività ripetitive vengono automatizzate, i CISO debbano investire nella riqualificazione-trasformando gli analisti in specialisti di rischio, intelligence e analisi predittiva.
Secondo il gruppo di ricerca olandese TNO, entro il 2030 i ruoli SOC tradizionali saranno quasi estinti, sostituiti da un nucleo snello di esperti altamente qualificati. È arrivata l’era del SOC “follow-the-sun”-in cui team distribuiti su fusi orari diversi garantiscono una copertura continua degli alert-mettendo ulteriormente alla prova come e dove reperire i talenti.
Colmare il divario con il business
La cybersecurity non è più solo un silo tecnico. I CISO devono ora stringere alleanze con i responsabili legali, finanziari e di rete per garantire la conformità normativa, gestire le crisi e-cosa cruciale-guidare l’innovazione. “Il legale dovrebbe essere il migliore amico di un CISO”, consiglia l’autrice di cybersecurity Rebecca Blair. Il messaggio è chiaro: solo chi costruisce fiducia e visione in tutta l’azienda manterrà i propri SOC davanti agli avversari di domani.
Conclusione: adattarsi o essere superati
La corsa a reinventare il SOC è iniziata. L’IA è sia una spada sia uno scudo, e l’elemento umano è più vitale che mai-sebbene in nuove forme specializzate. Mentre le minacce si moltiplicano e i vecchi ruoli scompaiono, solo le organizzazioni che abbracciano trasformazione, apprendimento e collaborazione trasversale al business resteranno un passo avanti nella corsa agli armamenti informatici.
WIKICROOK
- Security Operations Center (SOC): Un Security Operations Center (SOC) è un team o una struttura che monitora, rileva e risponde alle minacce di cybersecurity 24/7 per proteggere un’organizzazione.
- IA agentica: I sistemi di IA agentica possono prendere decisioni e intraprendere azioni in modo indipendente, operando con una supervisione umana limitata e adattandosi a situazioni in cambiamento.
- Data Poisoning: Il data poisoning è un attacco informatico in cui gli aggressori aggiungono di nascosto dati dannosi al set di addestramento di un’IA, inducendo il sistema a commettere errori o a comportarsi in modo anomalo.
- Digital Forensics: La digital forensics consiste nella raccolta e nell’analisi di prove digitali per indagare sui crimini informatici, supportare le forze dell’ordine e garantire l’integrità dei dati in casi legali.
- Follow: In cybersecurity, “follow” significa tracciare le attività di utenti o sistemi per rilevare minacce, supportare la risposta agli incidenti e garantire la conformità alle policy di sicurezza.




