L’attività del cyber crime è incessante e mantiene una pressione costante sugli ambienti digitali delle aziende. Gli allarmi si moltiplicano e il flusso di eventi da monitorare cresce di pari passo con la difficoltà di distinguere ciò che conta davvero dal semplice rumore di fondo. Per orientarsi servirebbe un presidio continuo, capace di intercettare anche segnali deboli e qualificare rapidamente gli allarmi. Per molte aziende, però, questo significherebbe trasformare l’IT interno in una struttura H24 altamente specializzata, una scelta difficilmente sostenibile anche per realtà di grandi dimensioni. Kyndryl ha costruito in Italia un proprio Security Operations Center (SOC) per rispondere a queste esigenze, inserendone i servizi all’interno di una practice che unisce cyber security e resilience e che accompagna gli eventi lungo tutte le fasi operative, dalla rilevazione fino al ripristino.
Kyndryl nasce come spin-off dei Global Technology Services di IBM e prende forma a fine 2021. “Una startup, tra virgolette, molto ampia e con molta esperienza – la definisce Andrea Boggio, associate director per la security & resiliency practice di Kyndryl Italia, con responsabilità diretta sul Security Competence Center- dal momento che opera in oltre 60 Paesi e con un’organizzazione che porta in dote decine di migliaia di persone. In Italia, Kyndryl è uno dei presidi più rilevanti del gruppo, con una missione che ruota attorno alla gestione e alla trasformazione dei servizi critici dei clienti”.
Il punto di partenza sono stati i contratti transitati dallo spin-off, cioè servizi infrastrutturali, persone, piattaforme e, in alcuni casi, componenti già legate a funzioni di monitoraggio e sicurezza. L’eredità dei servizi di cyber security, invece, non è arrivata altrettanto direttamente.
Nel SOC di Kyndryl, campo libero per la definizione del team security
“Al momento dello spin-off, la security è rimasta in IBM, dandoci di fatto l’opportunità di partire prendendo persone dall’esterno e scegliendole in funzione della costituzione della nostra practice nella componente di security – spiega –. Una scelta che, in Italia, si è tradotta in un investimento umano molto marcato già nel 2022, con circa 200 ingressi sulla sola area security. Non si è trattato solo di rafforzare l’organico, ma di riposizionare il baricentro su competenze, metodi e velocità di apprendimento. Da qui la decisione di impostare fin dall’inizio un modello per practice, con aree di competenza estese e, per la cyber security, una practice che accosta resilienza e sicurezza”.
Un’impostazione che riflette anche il patrimonio di data center, backup, recovery e disaster recovery che Kyndryl si porta dietro. La resilienza è infatti parte del modo di operare dell’azienda, soprattutto sui clienti enterprise e sui settori dove la continuità operativa pesa quanto la protezione. Su questa base, la practice di cyber security e resilience è stata mappata direttamente sul Cybersecurity Framework del NIST, adottato dall’Agenzia per la Cybersicurezza Nazionale, così da integrare nei processi operativi anche requisiti come NIS2 e DORA. L’impostazione segue una logica per fasi, dalla detection fino al recovery in caso di evento avverso, così da mantenere una continuità operativa tra monitoraggio, risposta e ripristino, senza stacchi tra chi rileva l’incidente e chi interviene per rimettere in esercizio i sistemi.
Niente di regalato, un SOC costruito da zero, oggi certificato e con accessi blindati
Il SOC di Kyndryl in Italia è stato costruito da zero, sia come impianto fisico sia come insieme di strumenti, procedure e persone. La sede è a Roma, all’interno del Tecnopolo Tiburtino, che ospita anche un data center Kyndryl Tier IV. Una prossimità che non è solo logistica e che somma sicurezza fisica a quella digitale. L’accesso è volutamente disincentivante, con livelli successivi di controllo, badge, porte e, per l’ingresso nelle aree operative, ulteriori fattori come PIN dedicati. “Chi gestisce la sicurezza deve poter dimostrare di proteggere anche i propri spazi e i propri processi”, commenta Boggio.
Un impianto che si riflette anche sul piano delle certificazioni. Kyndryl ha certificato i propri servizi SOC con ISO 27001 e ISO 22301, riferibili rispettivamente alla sicurezza delle informazioni e alla continuità operativa. Non certificazioni generiche, ma riferite ai servizi effettivamente erogati, che tengono insieme persone, processi e tecnologie. Un aspetto che semplifica anche la partecipazione a gare complesse, comprese quelle pubbliche, dove questo tipo di requisiti è spesso richiesto.
Da sottolineare è il fatto che il SOC nasce durante la pandemia, quindi con una partenza in full remote, e con una prima fase dedicata alla reinternalizzazione dei clienti, dal momento che nei contratti ereditati, non esistendo ancora un SOC Kyndryl in Italia, molte attività erano svolte da terze parti. “Nei primi mesi, il team ha gestito una decina di migrazioni, riportando all’interno la gestione di clienti che formalmente erano già in casa, ma che operativamente erano seguiti da competitor – ricorda Boggio –. Una palestra intensa, con migrazioni ravvicinate, procedure da standardizzare, abitudini da cambiare, e una base di esperienza che si è costruita mentre il servizio era già in esercizio”.
Quando il SOC entra davvero a regime, nel 2022, l’operatività copre le 24 ore attraverso una ruota organizzata su circa 16 persone, affiancate da un SOC manager. È la fase che segue le migrazioni iniziali e l’ingresso del primo grande cliente nuovo, nel settore pubblico, legato a una delle principali regioni del Nord Italia. Da quel momento, nel giro di tre o quattro anni, la base clienti cresce di almeno cinque volte rispetto all’avvio. Una crescita che si accompagna alla capacità di creare modelli con i quali gestire profili diversi senza considerare ogni nuova attivazione un progetto a sé.
ù
Scelte tecnologiche “laiche” e aperte all’integrazione
Il modello scelto per sostenere la crescita del SOC si basa sulle piattaforme. Fin dall’inizio, Kyndryl ha investito su strumenti di orchestrazione e automazione, adottando una piattaforma SOAR, nello specifico Cortex XSOAR di Palo Alto. La scelta è stata guidata da una valutazione basata su requisiti funzionali e su una roadmap definita, con l’obiettivo di garantire efficienza e capacità di integrazione. In questo modo, playbook e workflow degli analisti possono essere codificati e riutilizzati, riducendo il lavoro ripetitivo e rendendo sostenibile l’erogazione del servizio anche verso clienti di dimensioni più contenute, dove standardizzazione e controllo dei costi hanno un peso maggiore rispetto ai grandi contratti enterprise.
La piattaforma utilizzata dal SOC non vuole sostituire gli strumenti già presenti presso i clienti. L’approccio è quello di collegarsi a quanto già esiste e di usare l’automazione per coordinare e rendere più efficiente il lavoro di analisi. Il che ha portato Kyndryl a maturare nel tempo esperienze su piattaforme diverse, da QRadar, presente in molti contratti storici, fino a Microsoft Sentinel, Splunk, Elastic e altre soluzioni.
“Lavorare in questo modo influisce anche sulla composizione dei team – sottolinea Boggio –. Insieme alle attività di monitoraggio, entrano in gioco competenze legate all’integrazione degli strumenti, alla gestione dei flussi di dati e all’evoluzione dei processi operativi. Nei SOC trovano spazio profili in grado di costruire collegamenti tra sistemi diversi, lavorare su grandi volumi informativi e adattare workflow e automazioni al contesto del cliente”.
È un passaggio che amplia la percezione comune del SOC come semplice monitoraggio, con modello dove entrano anche ingegneria del servizio, manutenzione dei playbook, qualità delle fonti, gestione del rumore e capacità di trasformare dati in decisioni operative. E non succede in un luogo astratto. Kyndryl fin dall’inizio ha voluto invitare i clienti a visitare il SOC, mostrando control room e flussi con schermate anonimizzate e favorendo il dialogo diretto con gli analisti, così che centro sia un luogo che “si può toccare”, non solo un servizio descritto in un capitolato.
Il SOC romano di Kyndryl, com’è composto e come agisce
La struttura interna del SOC italiano dispone di una control room che conta una quindicina di postazioni e un grande video wall, affiancata da una stanza dedicata al SOC manager per la gestione di informazioni riservate e colloqui one-to-one, oltre a una war room utilizzata quando serve coordinare rapidamente più funzioni, dal team tecnico fino a legal e comunicazione. È previsto a breve anche un ampliamento, con una seconda control room più grande e spazi pensati per accogliere i clienti, in una logica da customer briefing center.
Il SOC garantisce il monitoraggio continuo e la gestione degli allarmi. Quando si verificano incidenti più complessi, come i ransomware, il lavoro si allarga e richiede attività di contenimento, rimozione e ripristino in tempi molto stretti. In Kyndryl queste attività sono seguite da una struttura dedicata e interna al gruppo, il CSIRF (Computer Security Incident Response & Forensics), specializzata, come suggerisce il nome, in incident response e digital forensics. Nei contratti, le attività del SOC e le ore di CSIRF sono spesso previste insieme, così che, una volta dichiarato l’incidente, l’intervento parte secondo procedure ed escalation definite, mentre il SOC continua a fornire supporto e contesto all’analisi.
Il SOC come fulcro dell’offerta di cyber security e resilience
Il SOC è il punto in cui si concretizza l’approccio di Kyndryl alla sicurezza, intesa come capacità di governare gli eventi nel tempo e di mantenere operativi i sistemi anche in presenza di incidenti. Il centro assicura il monitoraggio continuo degli ambienti del cliente, che siano data center, cloud o architetture ibride e multicloud, coordinando gli strumenti già presenti attraverso automazione e orchestrazione, senza imporre sostituzioni.
All’osservazione di ciò che accade all’interno delle infrastrutture si affianca una visione esterna, basata su attività di threat intelligence che monitorano asset esposti, domini e possibili compromissioni di credenziali. L’incrocio tra queste informazioni aiuta a ridurre il rumore e a dare priorità agli eventi che richiedono un intervento.
Quando un incidente richiede un’azione più strutturata, il lavoro del SOC si integra con le attività di incident response e digital forensics, seguite da una struttura interna specializzata. Detection, contenimento e ripristino restano così parte di un flusso continuo, coerente con i servizi di resilienza che includono backup, disaster recovery e cyber incident recovery.
In questo modello trovano spazio anche le altre componenti dell’offerta di security di Kyndryl, dalla governance e compliance fino agli interventi di modernizzazione degli accessi e delle infrastrutture. Il SOC resta il centro operativo che collega prevenzione, monitoraggio e risposta all’interno di una practice unitaria.
Gestire il supporto dell’AI e investire sulle competenze
L’intelligenza artificiale si inserisce nel SOC come componente di supporto alle attività operative. Accanto a modelli già presenti nei prodotti di sicurezza, utilizzati per classificazioni e rilevazioni, Kyndryl sta lavorando anche su soluzioni più recenti legate alla Generative AI e agli approcci agentici. Nel SOC sono in sviluppo alcuni agenti AI per uso interno, pensati per gestire casi d’uso ricorrenti, aumentare il livello di automazione e migliorare la capacità di assorbire volumi crescenti di eventi. L’obiettivo è ridurre il carico delle attività di routine e lasciare alle persone più spazio per attività a maggiore valore, come il threat hunting e l’analisi di segnali precursori. Ma la crescita passa anche dal lavoro sulle competenze. Il mercato offre pochi profili specializzati e le persone cambiano spesso azienda. In più, formare nuove competenze richiede tempo e investimenti, soprattutto quando si tratta di imparare un modo di lavorare e non solo di usare degli strumenti. In Kyndryl, la crescita ha quindi portato a creare un percorso interno per far crescere nuove persone.
Si parte da stage e academy, dove si imparano gli strumenti e i processi del SOC. Chi prosegue entra in apprendistato e, in alcuni casi, viene assunto in modo stabile. Il lavoro è organizzato affiancando persone più esperte a colleghi più giovani, che crescono lavorando su casi diversi e seguendo modalità operative comuni.
