Cosa fa un Managed Security Service Provider (MSSP)?

Un MSSP gestisce in outsourcing la sicurezza informatica di un'azienda. I servizi tipici includono: monitoraggio 24/7 degli eventi di sicurezza tramite SIEM, gestione di firewall, endpoint detection, risposta agli incidenti, vulnerability management e reportistica periodica. L'MSSP agisce come il team di sicurezza esterno dell'azienda cliente.

Qual è la differenza tra MSSP, MDR e SOC as a Service?

L'MSSP è il termine generale per un fornitore di sicurezza gestita. Il SOC as a Service indica specificamente la disponibilità di un Security Operation Center esterno con analisti 24/7. L'MDR (Managed Detection and Response) è una forma avanzata di SOC as a Service che include non solo il rilevamento ma anche la risposta attiva agli incidenti, con capacità di contenimento autonomo senza aspettare l'approvazione del cliente.

Il SOC as a Service soddisfa i requisiti NIS2?

Sì, se strutturato correttamente. Il D.Lgs. 138/2024 richiede la gestione degli incidenti, il monitoraggio continuativo e la capacità di notifica tempestiva ad ACN. Un servizio MDR/SOC esterno con SLA documentati, procedure di notifica incluse e log retention adeguata soddisfa questi requisiti. È necessario un contratto che specifichi la copertura normativa.

SOC as a Service per PMI: guida completa

Cos'è un Managed Security Service Provider (MSSP)

Un Managed Security Service Provider (MSSP) è un'azienda specializzata che gestisce in outsourcing la sicurezza informatica dei propri clienti. A differenza di un fornitore IT generico, l'MSSP ha competenze specifiche di cybersecurity, team dedicati e infrastrutture per il monitoraggio continuo delle minacce.

I servizi offerti da un MSSP tipicamente includono:

Monitoraggio 24/7 degli eventi di sicurezza (SIEM)
Rilevamento e risposta agli incidenti (MDR)
Gestione degli endpoint (EDR/XDR)
Vulnerability management periodico
Gestione di firewall, proxy e sistemi di filtraggio
Threat intelligence e analisi delle minacce
Reportistica periodica per il management e per la compliance

Perché le PMI hanno bisogno di un MSSP

Il 65% delle PMI italiane non ha personale dedicato alla sicurezza informatica. Gli attaccanti lo sanno: le PMI sono considerate bersagli facili perché hanno dati sensibili (clienti, brevetti, dati finanziari) comparabili alle grandi aziende, ma difese dieci volte inferiori. Un MSSP riequilibra questo svantaggio strutturale.

MSSP, SOC as a Service e MDR: le differenze

I termini vengono spesso usati in modo intercambiabile ma indicano livelli di servizio diversi. Ecco la distinzione pratica:

MSSP

Termine generico. Copre qualsiasi outsourcing della sicurezza: da firewall management e patch management fino a monitoraggio avanzato. La qualità varia enormemente tra i provider.

SOC as a Service

Specificamente un Security Operation Center erogato come servizio. Include analisti di sicurezza 24/7, SIEM, triage degli alert, escalation. Non necessariamente include la risposta attiva agli incidenti.

MDR

Managed Detection and Response: la forma più avanzata. Include rilevamento, analisi e risposta attiva agli incidenti. Gli analisti MDR possono contenere autonomamente una minaccia (isolare un endpoint, bloccare un account) senza attendere l'approvazione del cliente.

Per una PMI italiana, il servizio più efficace è l'MDR: il rilevamento senza risposta rapida ha un valore limitato quando un ransomware completa la cifratura in 45 minuti e il tuo responsabile IT non è raggiungibile alle 3 di notte.

Perché una PMI non può permettersi un SOC interno

Un SOC interno di livello enterprise richiede:

Team di almeno 6-8 analisti per garantire copertura 24/7 su 3 turni (2 analisti per turno, ferie, malattie incluse)
Costo personale: 60.000-90.000€/anno per analista junior in Italia → 360.000-720.000€/anno solo di personale
Infrastruttura SIEM: licenze SIEM enterprise (Splunk, Microsoft Sentinel, IBM QRadar) partono da 50.000-200.000€/anno
Formazione continua: le certificazioni (GCIA, GCIH, OSCP) e l'aggiornamento sulle minacce richiedono investimenti continui
Threat intelligence: feed di intelligence commerciali costano 20.000-100.000€/anno

Totale stimato per un SOC interno minimale: 500.000 – 1.200.000 €/anno. Fuori portata per qualsiasi PMI italiana. Un servizio MDR esterno di qualità costa invece tra 1.000 e 5.000€/mese per una PMI media — con livelli di protezione comparabili.

Cosa cercare in un MSSP: la checklist

Non tutti gli MSSP sono uguali. Prima di scegliere un managed security service provider per la tua PMI, valuta questi criteri:

Copertura oraria e MTTR

Il servizio è realmente 24/7/365? Qual è il Mean Time to Respond (MTTR) garantito contrattualmente? Qualsiasi MTTR superiore a 30 minuti per incidenti critici è troppo lento per contenere un ransomware. Chiedi referenze di clienti con incidenti gestiti fuori orario.

Tecnologie utilizzate

Quali tecnologie usa il provider? Un buon MDR usa EDR di livello enterprise (CrowdStrike, SentinelOne, Microsoft Defender XDR), SIEM di qualità e correlazione con feed di threat intelligence aggiornati. Diffida di chi usa solo antivirus tradizionali o SIEM home-made.

Integrazione con la tua infrastruttura

Il servizio si integra con il tuo stack esistente? Riesce a ingestire log da firewall, cloud provider, VPN, Active Directory? Un SOC che vede solo gli endpoint ma non la rete ha una visibilità parziale.

SLA e penali

Gli SLA sono contrattualmente vincolanti con penali in caso di mancato rispetto? Un provider serio mette nel contratto i tempi di risposta garantiti. "Faremo del nostro meglio" non è uno SLA.

Compliance NIS2 e GDPR

Il provider supporta le notifiche obbligatorie ad ACN e al Garante? Include log retention conforme ai requisiti normativi? La reportistica è strutturata per soddisfare i requisiti di documentazione NIS2?

SOC as a Service e NIS2: come soddisfare i requisiti

Il D.Lgs. 138/2024 (NIS2) richiede alle entità soggette di implementare la gestione degli incidenti e il monitoraggio continuativo (art. 21). Un servizio MDR esterno strutturato correttamente soddisfa questi requisiti, ma il contratto deve specificare:

Copertura del monitoraggio (24/7, sistemi coperti, log retention);
Procedure di escalation e notifica all'entità obbligata;
Supporto alla notifica ACN entro 24 ore (early warning);
Reportistica periodica adeguata per la documentazione NIS2;
Responsabilità chiare in caso di incidente non rilevato.

Consiglio

Non firmare un contratto MDR che non menzioni esplicitamente NIS2 e GDPR. La responsabilità della conformità rimane sull'entità obbligata, non sul provider. Il contratto deve garantire che il provider ti supporti nell'adempimento degli obblighi normativi, non solo che ti protegga tecnicamente.

Domande frequenti

Cosa fa concretamente un MSSP ogni giorno?
Monitora in tempo reale gli eventi di sicurezza provenienti da endpoint, firewall, cloud e applicazioni. Analizza gli alert, distingue i falsi positivi dagli incidenti reali, interviene per contenere le minacce. Produce report periodici sull'attività e sulle tendenze delle minacce. Gestisce le vulnerabilità e supporta le operazioni di patching.

Il SOC as a Service può davvero rispondere in 7 minuti?
Sì, se il contratto include capacità di risposta autonoma (MDR). FrameSec garantisce contrattualmente un MTTR inferiore a 7 minuti per incidenti critici — questo è possibile perché gli analisti hanno accesso diretto agli strumenti di contenimento (isolamento endpoint, blocco account, quarantena file) e non devono aspettare l'approvazione del cliente per agire in caso di minaccia attiva.

Devo sostituire il mio IT interno con un MSSP?
No. L'MSSP è complementare all'IT interno, non sostitutivo. L'IT interno gestisce l'infrastruttura quotidiana, gli aggiornamenti e il supporto agli utenti. L'MSSP porta competenze di sicurezza specializzate e copertura 24/7 che l'IT interno non può sostenere. La collaborazione tra i due team aumenta la maturità complessiva dell'organizzazione.