Perché un SOC gestito invece di uno interno
Costruire un SOC interno H24 richiede 5+ analisti senior, SIEM, infrastruttura e anni di rodaggio: oltre un milione di euro l'anno, in un mercato dove il talento cyber è scarso e cambia spesso. Un SOC gestito offre la stessa copertura 24·7·365 a una frazione del costo, operativo in settimane. La domanda non è 'interno o esterno' in astratto: è se potete davvero garantire qualità e continuità 24·7 con risorse vostre.
Non è una questione di controllo, è di continuità
La scelta tra SOC interno e gestito viene quasi sempre posta come una questione di controllo: «i nostri dati, le nostre persone, la nostra rete». È una cornice rassicurante ma fuorviante. La domanda vera è un’altra: potete davvero garantire, ogni notte e ogni weekend dell’anno, un presidio 24·7·365 con analisti senior svegli, competenti e con il mandato di agire? Pochissime organizzazioni possono, e non per mancanza di volontà, ma per la matematica dei turni e per la scarsità di talento cyber sul mercato.
Il punto non è «interno o esterno» in astratto. È il costo della continuità e la qualità della copertura nelle ore in cui contano davvero. Tre numeri inquadrano il confronto, e il presidio Fortgale è la prova del modello gestito.
- 24·7·365copertura garantita · SOC italiano, stesso fuso
- ~30%del costo di un SOC interno equivalente
- 2-4 settavvio · vendor-agnostic (6-8 con sensori)
La matematica del fai-da-te
Un SOC H24 non è «qualche tool e un analista». È innanzitutto un problema di turni: per coprire 168 ore a settimana senza mai lasciare la console scoperta servono almeno 5-6 analisti senior, perché un singolo turnista non può presidiare la notte, il giorno dopo e il weekend successivo. A questo si somma un SIEM da licenziare, alimentare e governare, l’infrastruttura, la formazione continua, e l’intelligence da costruire da zero. Il conto supera il milione di euro l’anno, e questa è la parte facile.
La parte difficile è il turnover. Il talento cyber è scarso e conteso: quando un analista senior se ne va, non lo si sostituisce in due settimane. Restano mesi di copertura ridotta, proprio mentre il SIEM continua a generare alert che qualcuno deve verificare. Un SOC interno sottodimensionato non è un mezzo SOC: è un presidio che lascia buchi esattamente nelle ore preferite dagli attaccanti.
Cosa fornisce di unico il gestito
Il SOC gestito non è «il vostro SOC ma fuori». Cambia la natura del rischio: ciò che internamente è una sfida di hiring, retention e turni, esternamente è una garanzia di servizio.
- Copertura 24·7·365 garantita dal primo giorno · non dipende dalle ferie o dalle dimissioni di un singolo analista.
- Intelligence proprietaria inclusa · profilazione degli attori e TTP osservate sul campo, non un feed da costruire e mantenere internamente.
- Response inclusa (nel modello MDR) · non solo detection, ma contenimento operato dagli analisti.
- Canone prevedibile · a una frazione del costo interno, operativo in settimane invece che in anni.
Il valore di tutto questo si vede nel momento peggiore, quando l’attacco arriva fuori orario. In Operation Storming Tide il SOC ha rilevato e contenuto un’intrusione multi-stadio proprio fuori dall’orario d’ufficio: è lì che un presidio interno non H24, semplicemente, non c’è.
La continuità non si improvvisa. Gli attacchi non aspettano l'orario d'ufficio: maturano di notte e nei weekend, quando un SOC interno sottodimensionato è scoperto. Il gestito rende la presenza 24·7·365 un dato di servizio, non un rischio che dipende dal turno di una singola persona.
«Esterno» non significa «scatola nera»
L’obiezione legittima è la perdita di controllo. Ma un SOC gestito fatto bene non vi toglie governance: ve la restituisce ripulita dalla gestione operativa. Le condizioni che distinguono un’estensione del vostro team da un fornitore opaco:
- Reportistica trasparente e dashboard live. Vedete cosa viene rilevato, verificato e contenuto, in tempo reale.
- Le decisioni di rischio restano vostre. Il presidio opera, ma la governance del rischio non si delega.
- Stesso fuso orario, stesse regole. Un SOC italiano 24·7·365 rende la conformità (NIS2, GDPR) un sottoprodotto dell'operatività.
- Continuità detection→response. Chi rileva è chi contiene, senza handover verso un secondo fornitore.
- Briefing periodici e procedure concordate. Il modello è un'integrazione, non un appalto cieco.
Quando serve davvero (e quando basta meno)
Onestamente: un SOC interno ha senso, e a volte è la scelta giusta. Quando avete grande scala, un budget stabile capace di reggere il 24·7 nel tempo, un team già maturo, o vincoli di sovranità così stringenti da imporre il presidio in casa. In quei casi il controllo pieno vale il costo.
Per tutti gli altri, il gestito o un modello ibrido (team interno di giorno a governare il rischio, SOC gestito a coprire notti, weekend e festività con intelligence e response) offre più copertura a meno costo. La verità scomoda è questa: se oggi non avete già un presidio strutturato, partire interno significa pagarlo caro, costruirlo lentamente, e restare scoperti proprio negli anni di rodaggio. Il gestito compra il tempo che gli attaccanti non vi concedono.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: e fermarlo richiede qualcuno sveglio alle 3 di notte, ogni notte dell'anno.
SOC interno vs SOC gestito
| SOC interno H24 | SOC gestito (SOCaaS) | |
|---|---|---|
| Costo annuo | Oltre 1 M€ | Canone, ~30% del costo interno |
| Avvio | Mesi/anni | 2-4 settimane |
| Copertura 24·7·365 | Difficile (turni, ferie, turnover) | Inclusa e garantita |
| Threat intelligence | Da costruire | Proprietaria, inclusa |
Nell'Operation Storming Tide il SOC Fortgale ha rilevato e contenuto un'intrusione multi-stadio fuori dall'orario d'ufficio: è il momento preferito dagli attaccanti, dove il 76% degli attacchi avviene di notte o nei weekend. Un SOC interno non H24 lì non c'è.
Leggi l'analisi →Domande frequenti.
Davvero un SOC interno costa così tanto?
Un presidio H24 reale richiede almeno 5-6 analisti su turni, più SIEM, infrastruttura, formazione e intelligence. Tra stipendi e licenze si supera il milione l'anno, prima ancora di considerare il turnover e i mesi di copertura scoperta quando un analista se ne va.
Perdo controllo affidando il SOC all'esterno?
No, se il modello è giusto: reportistica trasparente, dashboard live, briefing periodici e procedure concordate. Il SOC gestito è un'estensione del vostro team, non una scatola nera. Le decisioni di rischio restano vostre.
Quando conviene un SOC interno?
Quando avete scala e budget per sostenere stabilmente 24·7 con talento senior, requisiti di sovranità molto stringenti, o un team già maturo. Per la grande maggioranza delle aziende, però, il gestito offre copertura migliore a costo inferiore.
Si può fare un modello ibrido?
Sì, ed è comune: il team interno presidia l'orario d'ufficio e governa il rischio, il SOC gestito copre notti, weekend e festività e porta intelligence e response. Si paga la continuità dove l'interno non arriva.
Un SOC gestito esterno è compatibile con NIS2 e GDPR?
Sì. Un presidio che opera nello stesso fuso e sotto le stesse regole del cliente facilita la conformità: monitoraggio continuo, capacità di notifica dell'incidente, evidenze pronte per il CSIRT. Nel modello Fortgale il SOC è italiano, 24·7·365, e la titolarità del dato e delle decisioni di rischio resta vostra.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: SOC gestito Fortgale.
Risorse correlate: Cos'è un SOC · Cos'è un SIEM · Cos'è un MDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.