Le metodologie impiegate nelle Cyber Operations di ambito militare, quando applicate al contesto civile, introducono una nuova consapevolezza sulla natura socio-tecnica della sicurezza, perché, come noto, la sicurezza informatica non è mai solo una questione tecnologica anche se ben “assemblata”, ma riguarda l’interazione profonda e complessa tra persone, processi decisionali e sistemi di incentivi.

Nel 2025 il concetto di perimetro nella cybersecurity non esiste più. Le difese tradizionali presuppongono confini di rete stabili ma la realtà è fatta di SaaS, accessi esterni, supply chain e workforce distribuite. L’ipotesi operativa sana non è “teniamo fuori chi non deve entrare”, bensì “consideriamo compromessa qualsiasi credenziale prima o poi” e progettiamo controlli che rendano breve e rumoroso il cammino dell’attaccante: rotazione automatica dei segreti, sessioni corte e revocabili, continuità del controllo post autenticazione, segnali di rischio che incidono in tempo reale sulle autorizzazioni.

In questo scenario, la qualità dell’asset inventory e della mappatura delle dipendenze non è burocrazia, è il fondamento della manovrabilità in stato di crisi, non puoi contenere ciò che non sai di avere, non puoi ripristinare ciò di cui non conosci le interdipendenze.

Le minacce si muovono lungo la kill chain con una velocità brutale, impietosa ed il “dwell time” (che indica quanto a lungo un attaccante rimane inosservato nell’ambiente) si misura in ore, non in mesi. In questo contesto, difendersi con controlli statici o con un SOC puramente reattivo è come presidiare un castello senza mura… è inutile. Serve una sala di comando “always-on” che unisca telemetria e decisioni, persone e automazione.

Cosa sono le Cyber Operations e perché sono strategiche per le organizzazioni

Questo, in sintesi, sono le Cyber Operations. Parliamo di una metodologia per gestire un processo organizzativo continuo che integra SIEM/XDR ed EDR, threat intelligence e threat hunting, playbook orchestrati via SOAR, vulnerability & patch management, incident response strutturata e governance conforme ad es. a NIS2, ISO 27001, GDPR, etc..

L’obiettivo non è “spegnere incendi”, ma ridurre l’ MTTD (Mean Time To Detect) e l’ MTTR (Mean Time To Respond), prevenire il movimento laterale, garantire business continuity e trasformare la sicurezza in una leva di resilienza e fiducia per clienti e partner.

Le Cyber Operations vanno oltre il “monitorare e rispondere”: collegano KPI (Key Performance Indicators) di sicurezza agli obiettivi aziendali, allineano l’IT, la parte legale, la compliance, la comunicazione e rendono misurabile ogni decisione, dall’isolamento di un endpoint al ripristino di un servizio critico. Uno degli aspetti fondamentali è capire che il punto di controllo non è dove si trova il centro operativo, ma come lo si governa, con processi chiari, automazione intelligente e miglioramento continuo. Perché oggi non basta difendersi, bisogna “operare” la sicurezza. E la risposta operativa alle odierne minacce digitali, continue, mirate e sempre in evoluzione, non possono essere strumenti “a isola”, non bastano più, serve un approccio proattivo, coordinato e misurabile.

Le Cyber Operations, in ambito civile, sono l’insieme integrato di attività, processi, tecnologie e competenze dedicati alla gestione quotidiana della sicurezza, con l’obiettivo di prevenire, rilevare e rispondere agli incidenti, minimizzando l’impatto sul business.

Le Cyber Operations orchestrano le risorse attraverso i processi e le tecnologie con un presidio operativo continuo, sono sempre più essenziali per le organizzazioni, siano esse imprese o enti governativi, per diversi aspetti:

• Evoluzione delle minacce: serve visibilità in tempo reale e detection engineering continuo.
• Protezione del valore: gli impatti toccano ricavi, reputazione, supply chain e compliance, non solo l’IT.
• Conformità normativa: framework e regolamenti (es. GDPR, NIS2) richiedono processi strutturati, tracciabilità e accountability.
• Riduzione di costi e tempi: MTTD/MTTR più bassi limitano il danno e i costi di recovery.
• Vantaggio competitivo: sicurezza dimostrabile rafforza la fiducia di clienti, partner e investitori.

Il ruolo del Security Operations Center (SOC) nelle Cyber Operations

Le cyber operations si articolano quindi su quattro componenti chiave strettamente integrate: persone, processi, tecnologie e risk governance. Il modello operativo che meglio incarna le esigenze delle cyber operations è senza dubbio il Security Operations Center (SOC), in quanto struttura organizzativa e tecnologica dedicata alla rilevazione, analisi e risposta agli incidenti di sicurezza in modo continuo e coordinato. Il SOC può assumere diverse forme, ciascuna adatta a contesti e livelli di maturità differenti: un SOC interno è indicato per realtà complesse, con requisiti stringenti di controllo, forte disponibilità di risorse e capacità di garantire copertura h24, mediante un investimento solido in personale specializzato, piattaforme avanzate ed una governance strutturata.

Al contrario, un SOC esterno, come i modelli gestiti o MDR (Managed Detection and Response), risponde bene alle esigenze di piccole e medie imprese o di organizzazioni che cercano un’adozione rapida, costi certi e una gestione delegata, mantenendo tuttavia trasparenza operativa attraverso SLA definiti e runbook condivisi.

Ai fini di una maggiore comprensione di questo articolo, specifico che nelle operazioni cyber (come la cybersecurity e la risposta agli incidenti), i termini “runbook” e “playbook” si riferiscono a documenti o guide operative per gestire processi e incidenti. Sono spesso usati in modo intercambiabile ma presentano alcune differenze fondamentali che vale la pena specificare:

I Runbook sono una guida lineare e dettagliata, simile a una checklist passo-passo, per eseguire compiti specifici e tecnici. È più tattico, spesso automatizzato per ridurre errori umani, e si concentra su procedure operative routinarie, come il ripristino di un sistema o l’esecuzione di un controllo di sicurezza.

I Playbook sono un approccio strategico e adattabile per gestire processi complessi o imprevedibili, come la risposta a incidenti di sicurezza. Include informazioni contestuali, obiettivi, diagrammi organizzativi e può incorporare più runbook per compiti specifici. Ad esempio, un playbook per un attacco ransomware delineerebbe la strategia complessiva, inclusi ruoli del team e le decisioni ad alto livello.

A metà strada si colloca il modello ibrido, sempre più diffuso, che permette di mantenere internamente la governance e la gestione degli incidenti critici, affidando ad un provider specializzato la componente operativa e la sorveglianza continua, con il vantaggio di una maggiore flessibilità e scalabilità.

Qualunque sia il modello scelto, è fondamentale adottare un approccio graduale e pragmatico all’implementazione del SOC. Si parte con un assessment che mappa gli asset critici, identifica i principali scenari di minaccia e valuta i gap nei controlli, per poi focalizzarsi su un set iniziale di use case ad alto impatto (come phishing, ransomware, abusi di privilegi o esfiltrazioni di dati). L’implementazione operativa comincia poi con la definizione dei playbook, l’integrazione progressiva di capacità di automazione tramite piattaforme SOAR, l’allineamento delle attività operative ai dati di Cyber Threat Intelligence rilevanti per il settore specifico.

È essenziale concepire il SOC come una catena del valore, in cui l’adozione delle metodologie delle cyber operations amplifica l’efficacia e moltiplica l’efficienza complessiva. Dal segnale grezzo alla decisione e all’azione, chiedendosi ad ogni passaggio dove si perde energia, dove si generano attriti e dove una piccola automazione o una scelta di design può restituire velocità senza scaricare complessità a valle.

Il SOC non deve essere visto come un privilegio riservato a grandi aziende, ma come un modello operativo accessibile a tutti, scalabile per fasi e adattabile al contesto: con una visione chiara, priorità definite e un ciclo continuo di miglioramento, anche realtà meno strutturate possono costruire nel tempo un presidio di sicurezza efficace e sostenibile.

Implementare un SOC efficace: persone, processi, tecnologie e governance

Le persone costituiscono il cuore operativo delle cyber operations di un SOC, comprendono analisti di primo, secondo e terzo livello (L1–L3), incident responder, threat hunter, detection engineer e analisti di Cyber Threat Intelligence (CTI), tutti organizzati secondo una turnazione continua per garantire copertura h24 e sottoposti ad un percorso strutturato di formazione continua, che include certificazioni, simulazioni realistiche e aggiornamenti sulle minacce emergenti.

Sul piano dei processi, l’operatività è guidata da playbook e da runbook dettagliati, focalizzati sulle principali use case come phishing, ransomware, compromissioni identitarie e data exfiltration. A questi si affiancano procedure consolidate per la gestione delle vulnerabilità, del change management e del crisis management, assicurando una risposta coordinata, tempestiva ed efficace agli incidenti di sicurezza.

L’ecosistema tecnologico è composto da strumenti avanzati e integrati: SIEM o piattaforme XDR per la raccolta, normalizzazione e correlazione degli eventi; EDR sugli endpoint per monitoraggio e contenimento delle minacce; NDR per la visibilità sulla rete e l’individuazione dei movimenti laterali; e soluzioni SOAR per l’automazione dei flussi operativi e l’orchestrazione delle risposte. Completano l’infrastruttura gli scanner di vulnerabilità, i sistemi di gestione dei log e piattaforme di ticketing e segnalazione integrate, che consentono una tracciabilità completa delle attività e una risposta tempestiva e documentata.

La dimensione della governance e gestione del rischio assicura infine l’allineamento del modello operativo ai principali framework internazionali di riferimento, come il NIST Cybersecurity Framework e la ISO/IEC 27001, e le compliance normative come la NIS2, GDPR, etc… Attraverso la definizione di un risk register aggiornato (un documento centrale e dinamico che cataloga tutti i rischi identificati), il monitoraggio continuo tramite KPI e KRI ed un sistema strutturato di reporting verso il management ed il board, viene garantita una supervisione strategica ed una continua evoluzione della postura di sicurezza.

Misurare l’efficacia: KPI essenziali

Misurare l’efficacia delle cyber operations richiede un set di KPI essenziali che traducano attività tecniche in indicatori gestionali e azionabili: MTTD (Mean Time To Detect) e MTTR (Mean Time To Respond) forniscono la prima fotografia della velocità con cui il SOC individua e mitiga le minacce, mentre il “dwell time” rappresenta un indicatore diretto dell’esposizione residua; la copertura e la fidelity delle detection, insieme al tasso di falsi positivi, misurano l’efficacia e l’efficienza dell’insieme delle regole e sensori, una bassa fidelity o un alto tasso di falsi positivi consumano risorse e rallentano i processi di triage, rendendo necessario calibrare soglie, arricchimenti CTI e logiche di correlazione; le metriche di patch & exposure (tempo medio di remediation, percentuale di asset coperti, e tempo di esposizione noto) traducono lo stato dell’asset management e della riduzione della superficie d’attacco in numeri concreti utilizzabili per priorizzare interventi; infine, drill & readiness (risultati delle esercitazioni, tempi di esecuzione dei playbook e grado di aderenza ai runbook) valutano la preparazione operativa e la capacità di rispettare procedure in scenari reali.

Questi KPI vanno segmentati per criticità degli asset, normalizzati su baseline storiche e presentati con trend e SLO/SLA per guidare decisioni di investimento, continui miglioramenti e reportistica verso il management, trasformando dati operativi in leva per ridurre rischio e tempi di esposizione.

Ma (come in tutte le cose d’altronde) è necessario non eccedere nella misurazione fine a sé stessa, perché a volte gli indicatori rischiano di compromettere il rapporto tra velocità e accuratezza. L’ossessione per l’MTTR, se non è bilanciata da un ragionamento sul rischio, può portare ad interventi affrettati che interrompono servizi critici o generano regressioni di sicurezza.

La variabile da massimizzare non è il “tempo medio” in astratto, ma la riduzione dell’area sotto la curva dell’esposizione: quanto rapidamente e quanto a fondo riusciamo a comprimere la finestra utile dell’attaccante, senza creare danni collaterali superiori al rischio che intendiamo mitigare. In quest’ ottica una metrica davvero preziosa diventa il “time to innocence”, cioè la capacità di assolvere rapidamente un asset o un team per concentrare energie dove serve, perché ogni minuto speso a difendere un falso problema è un minuto regalato all’avversario, e ogni ora di un analista spesa su falsi positivi non è solo uno spreco, è un investimento mancato in detection engineering, formazione o hardening.

Ogni integrazione trascurata, o verticalizzata al mero controllo tecnologico, perché “non prioritaria”, si traduce in minuti in più durante un incidente reale, esattamente quando i minuti valgono di più. La stessa detection, se vista come un “prodotto”, vive o muore della qualità dei suoi feedback loop. Senza la retroazione rapida degli analisti, senza una disciplina di versioning e deprecazione delle regole, senza retrospettive che trasformino gli errori in conoscenza condivisa, un SOC accumula rapidamente “debito operativo”.

È un debito subdolo perché non appare in bilancio, ma si manifesta sotto forma di tempi di triage dilatati, incidenti sfuggiti e sfiducia reciproca tra team. La maturità, in questo senso, non è la somma delle feature ma la velocità con cui l’organizzazione apprende.

Implementare le Cyber Operations in un’organizzazione significa accettare che la sicurezza non si vince per accumulo, ma per coerenza, tra ciò che si teme e ciò che si misura, tra ciò che si vede e ciò che si decide, tra ciò che si automatizza e ciò che si è disposti a spiegare. È in quella coerenza, pazientemente costruita, che la velocità diventa precisione, la complessità diventa manovrabilità e la difesa smette di inseguire per tornare a dettare il ritmo.

C’è poi il tema dei dati, spesso trattato come un prerequisito tecnico e non come un atto di progettazione intenzionale. Una pipeline di telemetria incoerente, con duplicati, campi mancanti o timestamp non affidabili, vanifica anche il miglior motore di correlazione. L’allineamento a schemi comuni non è un esercizio accademico, ma un modo per negoziare un linguaggio condiviso tra strumenti e team, così che un allarme non sia una “notizia” ma un fatto verificabile.

Qui il concetto di “osservabilità” entra con forza: non si tratta solo di vedere tutto, ma di vedere in modo spiegabile. Un allarme che non porta con sé il contesto necessario alla decisione non accelera la risposta, la rallenta; un playbook che non annota perché una decisione è stata presa, impedisce di migliorarla in futuro.

In questo ambito automazione ed intelligenza artificiale aggiungono potenza ma anche nuovi rischi. Automatizzare è giusto ma quando c’è chiarezza su precondizioni, confini d’azione e reversibilità. I copiloti basati su modelli linguistici possono ridurre la fatica cognitiva nel triage, riassumere telemetrie e suggerire passi operativi, ma devono essere incastonati in un sistema di “human in the loop” con audit trail, limiti di azione e difese contro input avversari e contaminazioni del contesto.

Il valore vero non sta nel delegare il pensiero, ma nel liberare attenzione per i casi in cui il pensiero è indispensabile: i pattern rari, i segnali deboli, le ambiguità che un modello addestrato sul passato tende a smussare.

E’ importante diffidare dai modelli di SOC che offrono funzionalità esclusivamente informative, in quanto non garantiscono una protezione efficace né una reale capacità di supporto alla risposta degli incidenti. Un SOC che si limita a notificare eventi senza possibilità di orchestrazione o contenimento rischia di trasformarsi in un centro di monitoraggio passivo, incapace di incidere concretamente sulla riduzione del rischio.

È invece fondamentale disporre di un servizio SOC integrato, che abbia il pieno controllo e visibilità su ciò che accade sia a livello informativo (dati, log, threat intelligence) sia a livello operativo (asset, identità, rete, endpoint), con la capacità di agire in modo tempestivo, coordinato e misurabile. In quest’ottica, l’integrazione all’interno di un ecosistema tecnologico solido e certificato rappresenta un valore strategico aggiunto.

Sovranità digitale e resilienza: il valore strategico del SOC nazionale

Nel contesto italiano, disporre di un Security Operations Center (SOC) realizzato da aziende nazionali, localizzato interamente sul territorio e gestito esclusivamente da personale operante dall’Italia, rafforza in modo significativo l’affidabilità normativa, la sovranità digitale e la garanzia di riservatezza nella gestione delle informazioni.

Una riflessione finale riguarda proprio la gestione e la riservatezza delle informazioni, in relazione ai concetti di sovranità e fiducia. Scegliere un ecosistema tecnologico integrato, conforme e affidabile a livello locale non è semplicemente una decisione di procurement: è una scelta strategica che determina dove risiedono i dati sensibili, chi può accedervi e con quale trasparenza e capacità di controllo nei momenti critici.

Ed è proprio in quei momenti che si misura l’efficacia reale di un SOC: nei frangenti peggiori, quando la pressione è massima, serve una struttura progettata per mantenere lucidità operativa, dotata di strumenti interoperabili, persone consapevoli del proprio ruolo e processi che guidano senza ostacolare. Tutto il resto, dashboard accattivanti, report impeccabili, è solo un vuoto luccichio di superficie, se manca questa struttura di base.

Le Cyber Operations sono oggi un abilitatore di resilienza: proteggono il valore aziendale, garantiscono continuità, supportano la conformità e rafforzano la fiducia nel brand. Sul piano culturale, la resilienza nasce da una relazione matura con l’errore. Gli incidenti non sono solo fallimenti che si tende a minimizzare nella reportistica, sono esperimenti costosi che abbiamo già pagato e da cui è doveroso estrarre il massimo apprendimento. Le post-incident review efficaci non cercano colpevoli, cercano meccanismi: quali segnali non abbiamo visto? Quale informazione mancava al momento giusto? Quale decisione era razionale con i dati disponibili ma poteva essere resa migliore con poco sforzo progettuale?

Quando questa mentalità attecchisce, la curva di apprendimento di un SOC cambia pendenza e i KPI diventano effetti a valle, non obiettivi in sé. Investire in un modello operativo chiaro, basato su persone competenti, processi codificati e tecnologie integrate, significa costruire un futuro digitale più sicuro, misurabile e sostenibile.

https://www.ictsecuritymagazine.com/notizie/cyber-operations/