C’è una conversazione che avviene raramente nelle sale conferenze dove si discute di cyber security: quella sull’impatto umano del lavoro nel SOC. Si parla di strumenti, di framework e di metriche di rilevamento, ma raramente si parla delle persone che stanno davanti agli schermi, spesso di notte, gestendo flussi di migliaia di alert al giorno sapendo che uno di quei segnali potrebbe essere l’inizio di un attacco devastante.
Il burnout nei team di sicurezza è un problema strutturale e documentato, con tassi di turnover che nel settore superano regolarmente il 20% annuo e costi di sostituzione stimati tra uno e due anni di stipendio per analista.
Eppure, le organizzazioni continuano a trattare il benessere degli analisti SOC come una questione di HR secondaria rispetto agli investimenti tecnologici.
Questa prospettiva è sbagliata non solo eticamente, ma strategicamente. Un analista esausto che lavora nel terzo turno notturno consecutivo non è semplicemente meno produttivo: è un rischio operativo.
La fatica da allerta, cioè la progressiva desensibilizzazione di fronte a volumi di alert non gestibili, è una delle cause più documentate di incidenti mancati. Gli attaccanti lo sanno: alcune tecniche di attacco avanzate sono progettate esplicitamente per sfruttare la fatica degli analisti, saturando i sistemi di monitoraggio con rumore prima di portare l’attacco reale.
Investire nel benessere del team SOC significa, letteralmente, investire nella capacità di rilevamento delle minacce.
L’impatto del fattore umano sulla reattività del SOC
Un Security Operations Center è, nella sua essenza, un sistema sociotecnico: la sua efficacia dipende dall’interazione tra gli strumenti tecnologici e le persone che li operano.
Quando la componente tecnologica funziona male, si compra un nuovo strumento o si riconfigura quello esistente. Quando la componente umana funziona male, ossia quando gli analisti sono esausti, demotivati o in procinto di lasciare l’organizzazione, la soluzione è molto più complessa e richiede un investimento di tempo, attenzione manageriale e risorse che molte organizzazioni non sono ancora pronte a fare.
La ricerca sul fattore umano nella sicurezza informatica ha prodotto negli ultimi anni evidenze convincenti sull’impatto dello stress sulla qualità del lavoro degli analisti SOC.
Uno studio del Ponemon Institute del 2023 ha rilevato che il 65% degli analisti SOC considera il proprio lavoro difficile o molto difficile, e che il 51% ha piani di lasciare la propria posizione entro l’anno successivo. Un’altra ricerca, condotta da Tines nel 2022, ha rilevato che il 71% degli analisti considera l’automazione insufficiente come principale fonte di frustrazione, mentre il 64% cita il volume eccessivo di alert.
Questi numeri non sono statistiche astratte: sono il profilo di un settore con una crisi di sostenibilità umana che si manifesta in ogni incidente mal gestito e in ogni talento perso verso il settore privato o verso la concorrenza.
Origine dello stress operativo e dinamiche del burnout tra gli analisti
Lo stress nel SOC ha origini multiple che si rinforzano a vicenda. Il primo fattore è il volume: i SOC moderni gestiscono migliaia di alert al giorno, generati da una combinazione di SIEM, EDR, IDS, threat intelligence feed e decine di altre sorgenti.
Non è fisicamente possibile analizzare con attenzione ogni segnale, il che porta gli analisti a sviluppare euristiche di selezione (“questo tipo di alert è quasi sempre un falso positivo, lo chiudo”) che riducono il carico cognitivo ma aumentano il rischio di perdere segnali reali camuffati da alert routinari.
Il secondo fattore è la responsabilità asimmetrica: ogni mancato rilevamento è potenzialmente catastrofico e visibile, mentre ogni attacco correttamente identificato e bloccato passa spesso inosservato.
Gli analisti SOC lavorano in un contesto in cui il successo è invisibile e il fallimento è pubblico: una struttura psicologica che genera ansia cronica e senso di inadeguatezza anche in professionisti competenti.
Il terzo fattore è la discontinuità strutturale dei turni: i SOC che operano 24 ore su 24 e 7 giorni su 7 richiedono lavoro notturno, nei weekend e nei giorni festivi, con i conseguenti impatti sulla salute, sulle relazioni personali e sul ritmo circadiano che la letteratura medica associa a rischi di salute significativi nel lungo termine.
Come la fatica da allerta compromette la capacità di identificare le minacce
L’alert fatigue (la fatica da allerta) è il fenomeno per cui l’esposizione prolungata a un elevato volume di notifiche porta gli analisti a desensibilizzarsi progressivamente, riducendo la qualità dell’attenzione dedicata a ogni singolo segnale.
Non è un problema di competenza: è un problema di capacità cognitiva umana.
Il cervello umano non è progettato per mantenere un’attenzione sostenuta su flussi di informazioni ad alto volume per turni di 8-12 ore; il deterioramento dell’attenzione è inevitabile e documentato dalla ricerca neuroscientifica.
Le conseguenze operative sono concrete: gli analisti in stato di fatica da allerta tendono a chiudere più rapidamente gli alert senza approfondimento, a sottostimare la gravità dei segnali anomali e ad essere meno reattivi agli indicatori di compromissione sottili.
Questo è esattamente il contesto in cui le minacce alla supply chain trovano il terreno più fertile: gli attacchi supply chain avanzati si muovono lentamente, generano segnali deboli e distribuiti nel tempo, e richiedono esattamente il tipo di attenzione analitica che la fatica da allerta erode sistematicamente.
Le ricerche sul MTTD (Mean Time to Detect) in funzione delle condizioni operative degli analisti mostrano un pattern consistente: il tempo di rilevamento aumenta significativamente nelle ore di punta del turno (le ultime 2-3 ore), nei turni notturni rispetto a quelli diurni e dopo periodi di lavoro intenso senza adeguato riposo.
Un’organizzazione che accetta questo deterioramento come inevitabile sta accettando implicitamente un aumento del rischio di incidenti non rilevati nelle finestre temporali di maggiore affaticamento, che sono esattamente le finestre che gli attaccanti sofisticati tendono a sfruttare.
Strategie organizzative per ridurre il carico di lavoro nei team di sicurezza
Le soluzioni organizzative allo stress nel SOC non sono sofisticate: sono principalmente questioni di buon senso manageriale che spesso vengono sacrificate alla pressione di coprire il maggior numero possibile di ore con il minor numero possibile di persone.
La difficoltà non è identificare cosa fare (la letteratura sul benessere lavorativo nei settori ad alto stress (medicina d’urgenza, controllo del traffico aereo, trading ad alta frequenza) offre decenni di ricerca applicabile, ma trovare le risorse e il supporto organizzativo per implementarlo in un settore che tende a valorizzare la dedizione illimitata come virtù professionale piuttosto che come indicatore di un problema strutturale.
Definizione di turni sostenibili e bilanciamento delle responsabilità
I turni nei SOC 24/7 sono spesso progettati per massimizzare la copertura con il minimo del personale, risultando in strutture che la ricerca ergonomica considera ad alto rischio di deterioramento cognitivo: turni di 12 ore, rotazioni rapide tra turni mattutini e notturni, copertura dei weekend senza compensazione adeguata.
La progettazione di turni sostenibili non è un lusso: è un investimento nella qualità del rilevamento e nella retention del personale.
I principi di ergonomia dei turni applicati al SOC indicano alcune pratiche ottimali: turni non superiori alle 10 ore per le attività di monitoraggio ad alta concentrazione, rotazione dei turni in direzione progressiva (mattina-pomeriggio-notte) piuttosto che regressiva (notte-pomeriggio-mattina), almeno 11 ore di riposo tra un turno e il successivo e limitazione delle rotazioni notturne consecutive a non più di 3-4 per ogni analista.
Per i SOC di dimensioni più ridotte, dove il rispetto di questi principi è più difficile, il ricorso a servizi MSSP (Managed Security Service Provider) per la copertura notturna può essere una soluzione economicamente e operativamente più efficiente del mantenimento di turni interni insostenibili.
Percorsi di carriera e formazione continua per mantenere alta la motivazione
Il lavoro di analista SOC di livello 1, triage degli alert, classificazione iniziale ed escalation, è per sua natura ripetitivo e offre limitata soddisfazione professionale nel lungo termine.
La mancanza di percorsi di carriera chiari è uno dei fattori di turnover più frequentemente citati nelle exit interview dei professionisti della sicurezza: l’analista che dopo due anni di lavoro diligente non vede prospettive di crescita verso ruoli di maggiore responsabilità o specializzazione tende a cercare altrove le opportunità che non trova internamente.
Un programma di sviluppo professionale strutturato per il SOC prevede percorsi di crescita chiari – da analista L1 a L2 a L3, da analista a threat hunter a incident responder a CISO – con criteri di avanzamento definiti e comunicati, budget dedicato alla formazione (minimo 40 ore/anno per analista come benchmark di settore), supporto per le certificazioni professionali rilevanti (CEH, GCIH, GCIA, OSCP, CompTIA Security+) e partecipazione a programmi come CTF (Capture The Flag) e threat hunting camp che mantengono alta la motivazione attraverso sfide tecniche stimolanti.
La formazione non è solo un benefit: è un investimento che riduce il turnover, aumenta la qualità del lavoro e costruisce le competenze interne che riducono la dipendenza da consulenti esterni.
Il ruolo della tecnologia nel mitigare lo stress degli operatori
La tecnologia non risolve i problemi organizzativi anche perché un SOC sottodimensionato con turni insostenibili rimane un SOC sottodimensionato anche con la migliore tecnologia disponibile, ma può ridurre significativamente il carico cognitivo degli analisti eliminando il lavoro ripetitivo e a basso valore aggiunto che costituisce la parte più frustrante e meno stimolante del lavoro quotidiano.
L’obiettivo non è sostituire gli analisti con l’automazione, ma liberarli dal lavoro meccanico per concentrarsi su ciò che richiede genuinamente il giudizio umano: l’analisi contestuale, la valutazione dell’impatto, le decisioni in condizioni di incertezza.
Automazione dei processi ripetitivi tramite sistemi SOAR e intelligenza artificiale
I sistemi SOAR (Security Orchestration, Automation and Response) sono la categoria di strumenti progettata specificamente per automatizzare i workflow ripetitivi nel SOC.
Un playbook SOAR per la gestione di un alert di phishing, ad esempio, può automatizzare: la raccolta delle informazioni sull’email sospetta (header, allegati, URL), la verifica degli indicatori di compromissione contro i threat intelligence feed, la quarantena automatica del messaggio nelle caselle degli altri utenti che lo hanno ricevuto, la creazione del ticket nel sistema di incident tracking e l’invio di una notifica all’utente.
Tutto questo accade in secondi, senza intervento umano, liberando l’analista per i casi che richiedono effettivamente la sua valutazione.
L’intelligenza artificiale applicata al triage degli alert rappresenta la frontiera più avanzata della riduzione del carico cognitivo nel SOC.
I modelli di ML addestrati sui dati storici del SIEM imparano a classificare gli alert in funzione della probabilità che siano veri positivi, riducendo significativamente il numero di segnali che richiedono l’attenzione umana.
I sistemi di User and Entity Behavior Analytics (UEBA), come Splunk UBA, Microsoft Sentinel con UEBA, Exabeam, costruiscono baseline comportamentali per ogni utente e entità e rilevano automaticamente le anomalie statisticamente significative, filtrandole dal rumore di fondo prima che raggiungano la coda di analisi degli analisti.
Ottimizzazione del filtraggio degli eventi per eliminare i falsi positivi
Il false positive rate elevato è la causa più diretta dell’alert fatigue e uno degli indicatori più affidabili di un SIEM mal configurato.
Un SIEM che genera 10.000 alert al giorno con un false positive rate dell’80% non sta aumentando la sicurezza: sta degradando sistematicamente la capacità degli analisti di rilevare le minacce reali.
La regola d’oro della gestione degli alert è che ogni alert deve avere un tasso di true positive sufficientemente alto da giustificare il tempo che richiede per essere analizzato: una soglia pragmatica è che almeno il 20-30% degli alert di una specifica regola dovrebbe portare a un’azione concreta prima che quella regola venga considerata ben calibrata.
L’ottimizzazione del filtraggio richiede un processo continuo di tuning delle regole SIEM, non un’attività da fare una volta all’anno.
Per ogni categoria di alert, è necessario analizzare periodicamente il rapporto true positive/false positive, identificare i pattern che generano falsi positivi (specifici utenti, specifici sistemi, specifici orari) e aggiungere eccezioni o modificare le soglie di conseguenza.
I modelli di ML per il triage automatico degli alert, disponibili nativamente nei SIEM più moderni o come add-on, possono apprendere dalle decisioni degli analisti (questo alert è stato chiuso come falso positivo 200 volte di fila senza azione) e applicare automaticamente lo stesso giudizio ai casi futuri simili, riducendo progressivamente il volume di alert che raggiungono la coda umana.
Indicatori di performance aziendali per monitorare il benessere del team
Il benessere degli analisti SOC non è misurabile direttamente, ma si manifesta attraverso indicatori proxy che un management attento può monitorare e su cui può intervenire prima che il deterioramento raggiunga il punto critico delle dimissioni o dell’incidente mancato.
La difficoltà è che molti di questi indicatori non sono monitorati sistematicamente: il tasso di turnover viene calcolato a consuntivo, l’assenteismo viene gestito dall’HR senza connessione con i dati operativi del SOC, la soddisfazione lavorativa viene misurata – se viene misurata – con survey annuali che arrivano troppo tardi per intervenire in modo preventivo.
| KPI | Soglia di attenzione | Azione consigliata |
| Tasso di turnover annuo | >20% annuo | Analisi exit interview, revisione carichi di lavoro, piani di retention |
| Tasso di assenteismo per stress | >5% giorni lavorativi/anno | Programma EAP (Employee Assistance Program), revisione turni |
| Alert fatigue index (false positive rate) | >40% falsi positivi sul totale alert | Ottimizzazione regole SIEM, implementazione ML per triage automatico |
| MTTD post-turno notturno vs diurno | Scostamento >30% tra turno notturno e diurno | Revisione staffing notturno, automazione triage, rotazione turni |
| Score engagement survey trimestrale | <6/10 sulla soddisfazione lavorativa | Focus group con team, revisione percorsi di carriera, 1:1 manageriali |
| Ore di formazione erogate/analista/anno | <40 ore/anno | Piano formativo strutturato, budget dedicato, obiettivi certificazione |
Misurazione del tasso di turnover e impatto sui costi di gestione del SOC
Il costo del turnover in un SOC è significativamente più elevato che in molte altre funzioni aziendali, per due ragioni specifiche: la rarità delle competenze richieste (il mercato del lavoro della cyber security è strutturalmente deficitario di personale qualificato, il che significa che il tempo per trovare un sostituto è lungo e il costo è elevato) e la perdita di conoscenza contestuale (un analista esperto conosce l’infrastruttura dell’organizzazione, le sue anomalie fisiologiche, i pattern di traffico normali: una conoscenza che non si trasferisce con un manuale di onboarding e richiede mesi per essere ricostruita da un nuovo analista).
Le stime del costo di sostituzione di un analista SOC variano tra 50.000 e 150.000 euro, includendo il costo del recruiting, del periodo di onboarding, della formazione, e del deterioramento della performance operativa durante il periodo di transizione.
Per un SOC con 10 analisti e un tasso di turnover del 25% annuo, non insolito nel settore, questo si traduce in un costo nascosto di 125.000-375.000 euro/anno che raramente appare nei budget della sicurezza ma che erode silenziosamente la capacità operativa del team.
Ogni investimento nelle condizioni di lavoro degli analisti che riduce il tasso di turnover di qualche punto percentuale si ripaga rapidamente in termini puramente economici, prima ancora di considerare l’impatto sulla qualità del rilevamento delle minacce.
Creazione di una cultura aziendale orientata alla resilienza psicologica
La resilienza psicologica non è una caratteristica innata che alcune persone hanno e altre no: è una capacità che si può sviluppare e che dipende in misura significativa dal contesto organizzativo in cui si lavora.
Un SOC con una cultura che valorizza la cura di sé, che normalizza la comunicazione sullo stress, che riconosce i successi oltre a sanzionare i fallimenti e che tratta gli analisti come professionisti con una vita al di fuori del lavoro, costruisce team intrinsecamente più resilienti di uno che richiede disponibilità illimitata e tratta i segnali di esaurimento come debolezze da nascondere.
Il primo elemento di una cultura della resilienza è la leadership per esempio: i manager del SOC che prendono le loro ferie, che lasciano il lavoro all’orario concordato, che comunicano apertamente quando stanno attraversando un periodo difficile, trasmettono implicitamente che questi comportamenti sono accettabili e attesi anche dai propri collaboratori.
Un CISO o un SOC manager che lavora sistematicamente 70 ore a settimana e risponde alle email a mezzanotte non sta dimostrando dedizione: sta normalizzando un modello di lavoro insostenibile che il team percepirà come aspettativa implicita.
Il secondo elemento è la psicological safety, il concetto introdotto da Amy Edmondson che descrive la percezione che non ci siano conseguenze negative nel comunicare problemi, fare domande o ammettere errori.
Nei SOC, la psicological safety è particolarmente critica: un analista che teme conseguenze negative nel segnalare un potenziale incidente di cui non è certo tende a ritardare l’escalation, aumentando il MTTD.
Un team in cui il principio «meglio un falso allarme che un incidente mancato» è genuinamente applicato e non solo dichiarato reagisce molto più rapidamente e in modo più efficace.
Il terzo elemento è il riconoscimento del lavoro ben fatto. Nel SOC, la narrazione dominante è costruita intorno agli incidenti – cosa è andato male, cosa poteva essere fatto meglio.
Gli attacchi bloccati, le minacce rilevate in anticipo, le vulnerabilità identificate prima dello sfruttamento: questi successi raramente ricevono la stessa visibilità degli incidenti.
Costruire rituali di riconoscimento, come un report mensile dei «threat blocked», un momento di briefing settimanale in cui i successi vengono comunicati al team, un sistema di peer recognition in cui gli analisti si nominano reciprocamente per lavoro eccellente, è un investimento a basso costo con impatto significativo sulla motivazione e sul senso di efficacia professionale.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link





