La cybersecurity sta attraversando una fase di trasformazione senza precedenti. L’aumento della superficie di attacco, la crescente sofisticazione delle minacce e la diffusione dell’intelligenza artificiale stanno ridefinendo il ruolo della sicurezza informatica all’interno delle organizzazioni. In questo scenario, i Security Operations Center non sono più semplici strutture di monitoraggio, ma diventano centri nevralgici per la gestione della resilienza digitale, della continuità operativa e della capacità di risposta agli incidenti.
Ne parliamo con Cesare D’Angelo, General Manager di Kaspersky Italia, Francia e Mediterraneo, che analizza l’evoluzione dei SOC, il ruolo dell’intelligenza artificiale nella difesa cyber e le strategie che le aziende dovranno adottare per trasformare la sicurezza informatica in un vero fattore competitivo.
Negli ultimi anni il ruolo dei Security Operations Center si è trasformato profondamente, passando da semplici strutture di monitoraggio a veri hub strategici di cyber resilience. Come sta evolvendo la visione di Kaspersky rispetto al SOC del futuro e quale ruolo avrà l’intelligenza artificiale in questa trasformazione?
Negli ultimi anni abbiamo assistito a una trasformazione molto significativa del ruolo dei Security Operations Center. Fino a poco tempo fa i SOC erano strutture appannaggio quasi esclusivo di grandi organizzazioni, banche o pubbliche amministrazioni, perché richiedevano investimenti importanti e competenze altamente specializzate. Oggi, invece, anche le aziende di medie dimensioni stanno guardando con crescente interesse a modelli di SOC as a Service, che consentono di accedere a capacità avanzate di monitoraggio e risposta senza dover costruire internamente strutture complesse.
Questa evoluzione è stata determinata principalmente dall’aumento esponenziale delle minacce e dalla crescente sofisticazione degli attacchi. Le aziende si trovano oggi a gestire volumi enormi di dati e alert che devono essere analizzati, correlati e interpretati in tempi sempre più rapidi. In questo contesto, l’intelligenza artificiale rappresenta un abilitatore fondamentale perché consente di automatizzare l’analisi preliminare delle informazioni, accelerare l’identificazione delle minacce e supportare la capacità decisionale degli analisti.
Il SOC del futuro sarà quindi sempre più orientato alla prevenzione, alla threat intelligence e alla rapidità di risposta, integrando tecnologie avanzate e competenze umane per garantire una resilienza cyber efficace e sostenibile nel tempo.
Oggi anche i cybercriminali utilizzano strumenti di AI per automatizzare phishing, malware e attacchi avanzati. In questo scenario sempre più complesso, quali sono secondo lei le principali priorità per le aziende che vogliono rafforzare realmente la propria resilienza cyber senza limitarsi a una semplice automazione dei processi?
L’intelligenza artificiale ha introdotto un cambiamento profondo anche dal lato degli attaccanti. Oggi strumenti avanzati consentono di sviluppare malware, automatizzare campagne di phishing e individuare vulnerabilità con una velocità e una precisione che fino a pochi anni fa richiedevano competenze molto elevate. In pratica, l’AI ha ampliato il numero dei potenziali cybercriminali, abbassando significativamente le barriere di accesso.
Per le aziende la risposta non può limitarsi all’automazione. La vera priorità è costruire una strategia di resilienza che combini tecnologie, processi e competenze. L’intelligenza artificiale deve essere utilizzata per correlare grandi quantità di dati, individuare comportamenti anomali e portare all’attenzione degli specialisti quei segnali che potrebbero indicare una minaccia in corso.
Tuttavia, l’elemento decisivo resta la capacità umana di interpretare il contesto e prendere decisioni. Anche nel nostro approccio la tecnologia non sostituisce mai completamente l’analista: supporta la sua attività, accelera l’individuazione dei rischi e migliora la qualità delle informazioni disponibili, ma la strategia di remediation e la gestione degli incidenti richiedono ancora competenze specialistiche e capacità di valutazione umana.
Uno dei temi più critici emersi negli ultimi anni riguarda la frammentazione degli strumenti di sicurezza e la cosiddetta “alert fatigue” che colpisce i team SOC. Come può un approccio integrato, intelligence-driven e supportato dall’AI aiutare le organizzazioni a migliorare visibilità, velocità decisionale ed efficienza operativa?
La frammentazione rappresenta oggi una delle principali criticità per molte organizzazioni. Nel tempo le aziende hanno costruito la propria postura di sicurezza aggiungendo soluzioni diverse, spesso provenienti da fornitori differenti e integrate senza una visione complessiva. In molti casi fusioni, acquisizioni e trasformazioni organizzative hanno ulteriormente aumentato questa complessità.
Il risultato è una quantità enorme di alert, dati e informazioni che devono essere interpretati quotidianamente dai team di sicurezza. Questo genera il fenomeno della cosiddetta alert fatigue, che rischia di rallentare i processi decisionali e aumentare il rischio di errori o mancate identificazioni delle minacce reali.
Un approccio integrato e intelligence-driven consente invece di centralizzare le informazioni e utilizzare l’intelligenza artificiale per distinguere rapidamente i falsi positivi dagli eventi realmente critici. Per comprendere la scala del fenomeno basti pensare che la rete globale di Kaspersky riceve continuamente informazioni da circa un miliardo di dispositivi connessi nel mondo e che ogni giorno vengono individuati mediamente centinaia di migliaia di nuovi file malevoli.
Senza strumenti avanzati di correlazione e senza competenze adeguate sarebbe impossibile gestire una mole di dati di questa portata. L’obiettivo è quindi migliorare la visibilità complessiva, accelerare la capacità di risposta e ridurre significativamente i costi operativi legati alla gestione della sicurezza.
Lei guida una realtà che opera in un settore strategico e in continua evoluzione. Guardando ai prossimi anni, quali saranno secondo lei le competenze, le tecnologie e i modelli organizzativi che faranno davvero la differenza per le aziende che vogliono trasformare la cybersecurity da funzione tecnica a leva competitiva e di business continuity?
L’intelligenza artificiale sarà certamente una componente strutturale del futuro della cybersecurity, sia come opportunità sia come elemento di rischio da governare. Le organizzazioni dovranno imparare a convivere con questa tecnologia, sfruttandone il potenziale per migliorare capacità di analisi, rapidità decisionale e automazione delle attività a basso valore aggiunto.
Parallelamente, continuerà a crescere la domanda di professionisti qualificati. La carenza di competenze nel settore cyber rappresenta già oggi una delle principali sfide a livello globale e rende ancora più importante investire in modelli che combinino tecnologia avanzata e servizi gestiti. Soluzioni come MDR e MXDR consentono infatti alle aziende di accedere a competenze altamente specializzate e accelerare l’adozione di capacità avanzate di difesa senza sostenere interamente il peso organizzativo e operativo di una struttura interna.
Accanto a queste tecnologie, un ruolo sempre più rilevante sarà svolto dalla Cyber Threat Intelligence, ossia dalla capacità di analizzare in anticipo le strategie, le tecniche e i comportamenti dei gruppi criminali. Comprendere come si evolvono le minacce prima che si concretizzino permette alle aziende di intervenire in modo preventivo, rafforzando la propria postura di sicurezza e trasformando la cybersecurity da semplice funzione tecnica a elemento centrale di business continuity e vantaggio competitivo.



