L’intelligenza artificiale (AI) sta facendo il suo ingresso nelle operazioni di sicurezza in modo rapido, ma molti professionisti stanno ancora lottando per trasformare le prime sperimentazioni in valore operativo costante. Ciò avviene perché i SOC adottano l’AI senza un approccio intenzionale all’integrazione operativa. Alcuni team la trattano come una scorciatoia per processi difettosi. Altri tentano di applicare l’apprendimento automatico a problemi che non sono ben definiti.
Il Ruolo dell’AI nei SOC
I risultati di un’indagine SANS SOC 2025 rafforzano questo disconnetto. Una parte significativa delle organizzazioni sta già sperimentando con l’AI, ma il 40% dei SOC utilizza strumenti AI o ML senza renderli parte definita delle operazioni, e il 42% si affida a strumenti AI/ML out-of-the-box senza personalizzazioni. Il risultato è un modello familiare. L’AI è presente all’interno del SOC ma non è operazionalizzata. Gli analisti la utilizzano in modo informale, spesso con affidabilità mista, mentre la leadership non ha ancora stabilito un modello coerente per capire dove appartenga l’AI, come il suo output debba essere convalidato o quali flussi di lavoro siano abbastanza maturi da trarre beneficio dall’augmentazione.
Applicazioni dell’AI nei SOC
L’AI può realisticamente migliorare la capacità del SOC, la maturità, la ripetibilità dei processi, nonché la capacità e la soddisfazione dello staff. Funziona solo quando i team restringono l’ambito del problema, convalidano la loro logica e trattano l’output con lo stesso rigore che ci si aspetta da qualsiasi sforzo di ingegneria. L’opportunità non consiste nel creare nuove categorie di lavoro, ma nel raffinare quelle che già esistono e consentire test, sviluppo e sperimentazione per l’espansione delle capacità esistenti. Quando l’AI viene applicata a un compito specifico e ben definito e abbinata a un processo di revisione chiaro, il suo impatto diventa più prevedibile e più utile.
