Il segmento middle-enterprise, oggi target di riferimento per Gruppo Impresoft, si caratterizza in genere con aziende che hanno creduto nella digitalizzazione, a volte di più di quanto poi i team interni riescano a presidiare sul piano della sicurezza. Si tratta di realtà in cui applicazioni, dati e accessi si sono moltiplicati, complicando l’infrastruttura e di conseguenza ampliando superfici di esposizione che gli attaccanti sfruttano con continuità. In questo contesto, l’attenzione crescente al tema della protezione dei sistemi e della sua evoluzione ha portato, all’interno del gruppo, a un rafforzamento progressivo dell’offerta di cybersecurity, fino alla definizione di servizi strutturati e gestiti in modo continuativo attraverso un SOC. All’interno del Gruppo, che comprende realtà focalizzate nello sviluppo software e in generale di servizi digitali evoluti alle aziende, è Impresoft 4Ward a prendersi carico di questi aspetti, mettendo in campo le proprie competenze nel presidio operativo della sicurezza e nel supporto alle aziende nella gestione dei rischi digitali. Il lavoro di 4ward si articola su una visione che integra cybersecurity, cloud, intelligenza artificiale e digital workplace, interconnessi in un’unica architettura strutturata per accompagnare l’evoluzione dei modelli operativi.
La sicurezza, quindi, non è un elemento separato, ma si inserisce all’interno di una visione che comprende aspetti tecnologici, organizzativi e di competenza. “Il SOC è l’elemento su cui si articola gran parte della nostra offerta di sicurezza, perché rende operative, continuative e misurabili le scelte architetturali e organizzative previste nei progetti che proponiamo”, spiega Paolo Heuer, cybersecurity director di Impresoft 4ward.
Un SOC flessibile, con cuore Microsoft, per servizi modulari e personalizzabili
La decisione di Impresoft di dotarsi di un SOC proprietario è del 2020 dopo una valutazione attenta del mercato italiano il cui tessuto produttivo è composto da realtà con esigenze molto specifiche, spesso difficilmente inquadrabili in modelli standard. Da qui la scelta di progettare un SOC che fosse flessibile, scalabile e integrabile anche nei contesti più articolati, mantenendo un controllo diretto su architettura, processi e competenze.
Dal punto di vista tecnologico, il SOC di Impresoft 4Ward si basa principalmente sull’ecosistema Microsoft, con Microsoft Sentinel come piattaforma SIEM e Microsoft Defender XDR per la protezione estesa degli endpoint, delle identità e degli ambienti cloud. A questa base si affianca un motore SOAR sviluppato internamente, che consente di adattare l’automazione alle esigenze specifiche dei clienti, oltre a fonti di Threat Intelligence integrate e a una serie di tecnologie complementari. L’obiettivo è raccogliere e correlare qualunque dato rilevante, senza vincoli legati a singoli vendor o a perimetri rigidi.
“Avere un SOC di proprietà ci permette di modellare il servizio sui processi e sulle priorità del cliente, senza dover forzarlo dentro schemi predefiniti -sottolinea Heuer-. Un approccio che si estende anche ai servizi sistemistici, ai progetti di sviluppo e alla consulenza, in cui la sicurezza non è un elemento separato ma è integrata in tutte le attività”.
Si sviluppa così una relazione che segue il cliente lungo l’intero ciclo di vita delle soluzioni, dalla progettazione alla gestione operativa, con un livello di integrazione che sarebbe difficile ottenere appoggiandosi a un SOC di vendor. Ovviamente una scelta di questo tipo comporta investimenti importanti, soprattutto sul piano delle risorse umane, dal momento che un presidio continuo e di qualità richiede l’impostazione di percorsi di formazione e di continuo aggiornamento sia per la crescita professionale del team sia per la sostenibilità dei turni di lavoro. “Ogni alert può rappresentare l’inizio di una procedura di risposta a un incidente, e questo significa operare spesso in condizioni di forte pressione -osserva Heuer-. E le persone devono essere pronte e responsabilizzate. Chi lavora in un SOC è mosso prima di tutto da una grande passione per la sicurezza informatica, ma anche la consapevolezza di proteggere i clienti e di costruire con loro un rapporto di fiducia duraturo è parte integrante di questo lavoro”.
L’organizzazione del SOC Impresoft 4Ward
Il SOC di Impresoft 4ward è organizzato su più livelli e garantisce una copertura H24, sette giorni su sette. Il Livello 1 si occupa del triage degli alert, dell’analisi iniziale e della gestione degli incidenti noti o ricorrenti, seguendo playbook condivisi sia con i clienti sia con i team interni. Il Livello 2 entra in gioco nei casi più complessi, occupandosi di threat hunting, tuning delle regole e gestione di incidenti non standard. In presenza di attacchi avanzati o situazioni di particolare criticità, il modello prevede la possibilità di scalare verso il CSIRT (Computer Security Incident Response Team), che riunisce competenze verticali su identità, network, infrastrutture, cloud e applicazioni.
Dal punto di vista geografico, il SOC è distribuito sul territorio europeo, con analisti che operano da diverse sedi per garantire continuità operativa e rapidità di risposta. Il servizio viene erogato in italiano e in inglese, a supporto sia di clienti nazionali sia di realtà con una presenza internazionale.
Le competenze del team sono confermate da un ampio insieme di certificazioni, che riguardano sia le tecnologie sia i metodi di lavoro. Sul fronte vendor, si segnalano le certificazioni Microsoft legate alla sicurezza di Microsoft 365, Azure, identity e security operations, affiancate da certificazioni Elastic e Cisco. A queste si aggiungono numerosi titoli vendor-neutral, come EC-Council Certified SOC Analyst ed Ethical Hacker, certificazioni in ambito penetration testing, vulnerability assessment e security fundamentals, oltre a percorsi accademici e master in cybersecurity conseguiti presso università italiane e internazionali.
I livelli di servizio del SOC di Impresoft
Le attività del SOC si articolano lungo tutto il percorso di gestione della sicurezza. Il presidio parte dal monitoraggio e dalla raccolta degli eventi a supporto della compliance e si estende alle fasi più articolate di risposta agli incidenti, dal triage al contenimento fino al ripristino dell’operatività. L’intervento interessa ambienti IT e OT, infrastrutture ibride cloud e on-premises e contesti interamente cloud. In linea con l’impostazione cloud-first di Impresoft 4Ward, una particolare attenzione è rivolta ai temi dell’identità e ai nuovi rischi legati ai modelli Zero Trust.
Accanto al presidio operativo, il SOC si inserisce in un modello più ampio che coinvolge le altre business unit del gruppo, estendendo le capacità di prevenzione e di risposta. A supporto delle attività di monitoraggio entrano così servizi come vulnerability assessment, penetration testing e simulazioni di attacco, affiancati da interventi mirati sulle architetture di rete e cloud, sull’hardening dei sistemi e su percorsi di formazione orientati alla resilienza informatica.
Questo approccio consente di adattare il servizio alle diverse realtà aziendali a partire da una fase iniziale di assessment e onboarding, utile a dimensionare il SOC in funzione del profilo di rischio e del livello di maturità del cliente. Un’impostazione che vale sia per le organizzazioni di medie dimensioni sia per le strutture più complesse, dove il grado di integrazione con i team interni assume un peso maggiore.
La flessibilità dei servizi SOC amplia il target di clienti
Il SOC si rivolge soprattutto ad aziende di medie dimensioni ed enterprise che vogliono rafforzare la protezione dei propri ambienti digitali, diventati nel tempo più articolati e difficili da presidiare. È proprio questa complessità, insieme a minacce come il phishing, spesso punto di ingresso per attacchi più strutturati come ransomware o compromissioni in ambito cloud, oggi veicolate anche tramite social network e piattaforme di collaboration, a spingere un numero crescente di realtà verso modelli di servizio più flessibili.
Ne deriva una protezione che evolve più lentamente rispetto agli ambienti digitali, un divario che può essere colmato ricorrendo a un SOC esterno, in grado di rendere più sostenibili gli investimenti e di compensare l’assenza di competenze interne dedicate attraverso un presidio continuo.
Per le aziende midsize, il modello proposto va oltre il solo presidio SOC e coinvolge anche i centri di competenza su AI, cloud e digital workplace. Onboarding, assessment iniziale, formazione e consulenza aiutano le aziende a sviluppare maggiore autonomia, anche senza un team interno strutturato. Il SOC supporta inoltre la gestione della compliance e la produzione della reportistica richiesta da assicurazioni e autorità. Per contro, nei grandi clienti l’integrazione avviene direttamente nei processi esistenti, con una collaborazione stretta con i team di sicurezza interni e un allineamento ai flussi operativi e alle policy aziendali. Anche qui, su richiesta, Impresoft 4ward è in grado di fornire dati ed evidenze richieste da assicurazioni cyber, garanti o forze dell’ordine.
La nuova vita dei SOC definita dall’AI
È un mondo in trasformazione quello dei centri per i servizi gestiti di sicurezza, nel quale l’introduzione dell’intelligenza artificiale ha aumentato la precisione, ampliato le capacità di monitoraggio e riorganizzato il lavoro degli operatori, sollevandoli dalle attività più ripetitive e permettendo loro di concentrarsi su interventi a maggiore valore. In Impresoft 4ward l’AI è già integrata nei flussi operativi, a supporto della prioritizzazione degli alert, della generazione automatica della reportistica e della risposta agli incidenti più critici.
“L’AI deve diventare una componente naturale e trasparente del processo operativo, riducendo i tempi di reazione, supportando il triage e l’analisi degli eventi e migliorando la qualità complessiva del servizio, senza sostituire il ruolo degli analisti – afferma Heuer –. La capacità di contestualizzare un incidente, dialogare con il cliente e prendere decisioni in situazioni complesse resta fondamentale, mentre l’automazione, attraverso SOAR e playbook, permette di gestire in modo rapido e uniforme gli eventi ricorrenti, liberando risorse e garantendo continuità operativa anche in scenari ad alto volume”.
Un uso sempre più esteso dell’AI che sta guidando l’evoluzione stessa dei SOC, pressati da un cybercrime sempre più strutturato e industrializzato, e che sta portando verso una maggiore automatizzazione di alcuni degli attuali processi, rafforzando le capacità di analisi e di adattamento. Modelli sempre più AI-driven, orientati a una capacità predittiva e adattiva che saranno in grado di anticipare le minacce e di evolvere insieme al contesto del cliente. Un percorso che, per Impresoft 4ward, passa dalla combinazione sempre più integrata tra tecnologia, automazione e competenze umane, mantenendo il SOC come centro operativo e strategico della sicurezza.
