Quando si parla di servizi di Managed Detection and Response (MDR), è naturale pensare subito alla componente tecnologica: piattaforme di analisi avanzata, motori di correlazione, algoritmi e integrazioni con sistemi EDR, SIEM o NDR. Ed è comprensibile: la tecnologia rappresenta la base operativa che consente di rilevare, analizzare e rispondere in tempo reale alle minacce, ma anche lo strumento che ottimizza il lavoro dei team di sicurezza, rendendo i processi più efficaci ed efficienti.

Ma — e questo è un “ma” importante — la tecnologia, per quanto sofisticata, da sola non basta. Senza l’intuito, l’esperienza e la capacità di giudizio delle persone, anche le piattaforme più avanzate rischiano di restituire solo dati, non risposte.

Un servizio MDR è davvero efficace quando il valore delle tecnologie è affiancato da un team di professionisti esperti, capace di interpretare i segnali, distinguere un falso positivo da un attacco reale e prendere decisioni tempestive nei momenti critici. In definitiva, l’MDR migliore è quello in cui l’intelligenza delle tecnologie incontra la competenza delle menti più preparate.

Esperienza: anni vissuti sul campo, non solo di servizi

Nel mondo della cybersecurity, l’esperienza non è un numero: è un patrimonio.

Un SecOps team che opera da anni nel campo ha affrontato attacchi reali di natura diversa: ransomware, intrusioni APT, compromissioni cloud, data breach, etc. Ha imparato a riconoscere schemi ricorrenti, a creare playbook di risposta e ha sviluppato la sensibilità per individuare ciò che ancora non è documentato.

Più anni di attività significano anche maggiore esposizione alla ricerca di nuove minacce: analisi di malware emergenti, reverse engineering di payload sconosciuti, studio di nuove tecniche di evasione e persistence, osservazione dei comportamenti dei cybercriminali e adattamento continuo delle strategie di difesa. Tutto questo forma un bagaglio di conoscenze che nessun software può sostituire.

Quando valuti un provider MDR analizza la struttura e la maturità del suo Security Operations Team. Chiediti da quante persone è composto il team, quante di queste hanno un profilo senior o specialistico e quante ore-uomo di analisi vengono gestite ogni. Un altro indicatore importante è il numero di incidenti reali affrontati e risolti e la capacità di eseguire post-incident review, perché ogni esperienza sul campo contribuisce ad affinare la capacità di risposta e a migliorare i processi interni.

Certificazioni: la garanzia di competenze verificate

Le certificazioni internazionali sono un segnale tangibile di qualità. Non si tratta solo di “bollini”, ma di attestazioni ottenute attraverso percorsi rigorosi di formazione, verifica e aggiornamento continuo. Un team di Security Operations ben strutturato dovrebbe annoverare tra le proprie competenze alcune delle certificazioni più riconosciute nel settore, come ad esempio:

• ISC2 Certified Information Systems Security Professional (CISSP)
• GIAC Cloud Security Automation (GCSA)
• GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• GIAC Penetration Tester (GPEN)
• ISECOM OSSTMM Professional Security Tester (OPST)

Quando valuti un provider MDR, chiedi quanto investe nella formazione del proprio team: quante ore-uomo vengono dedicate ogni anno all’aggiornamento professionale, quante certificazioni vengono conseguite o rinnovate, e come viene monitorata la crescita delle competenze interne.

Verifica anche se l’azienda segue framework di riferimento come MITRE ATT&CK, NIST o ISO 27035 nei processi di detection e incident response.

Un provider MDR che investe costantemente in questo ambito dimostra una cosa fondamentale: la sicurezza è una cultura, non solo un servizio.

Diversi ruoli e competenze: la forza di un team eterogeneo

Un Security Operations Center (SOC) efficace non è composto solo da analisti di cybersecurity.

Le minacce moderne richiedono un mix di competenze complementari, in grado di coprire ogni fase della catena d’attacco — dalla prevenzione alla risposta, fino all’analisi post-evento — supportate da una consulenza continua che accompagna il cliente nel miglioramento e nell’adattamento costante delle difese, oltre che nella piena valorizzazione del servizio.

Oltre agli analisti di primo e secondo livello, un team di Security Operations dovrebbe includere:

• Incident Responder, in grado di coordinare e contenere un attacco attivo, gestendo la crisi con tempestività;
• Threat Researcher, che studiano nuove campagne malevole, creano signature di detection e aggiornano costantemente i playbook;
• Digital Forensic Analyst, specializzati nell’individuare tracce digitali, analizzare artefatti di memoria e ricostruire la dinamica di un attacco;
• Detection Engineer, che sviluppano regole di correlazione, alert tuning e automazioni nei sistemi EDR e SOAR per ridurre i falsi positivi;
• Threat Hunter, che non aspettano gli alert, ma li anticipano cercando indicatori di compromissione (IOC) e comportamenti anomali all’interno dei sistemi aziendali.
• Customer Service Specialist, che rappresentano il punto di contatto continuo con il cliente, facilitando la comunicazione, coordinando le attività operative e assicurando che le esigenze specifiche siano comprese e trasformate in azioni concrete per migliorare la postura di sicurezza.

Un team eterogeneo è un team capace di osservare la minaccia da più prospettive — tecnica, strategica, investigativa — e di rispondere con rapidità, precisione e visione proattiva, fornendo indicazioni preziose per rafforzare costantemente le difese aziendali.

Conclusione

La forza di un servizio MDR risiede nell’equilibrio tra tecnologia all’avanguardia e competenze umane di alto livello. Un provider che investe nelle persone, nella formazione continua e in processi di detection ingegnerizzati secondo standard internazionali non offre solo reattività, ma resilienza. Perché, alla fine, anche nell’era dell’automazione, la differenza la fanno ancora le persone — quelle che sanno leggere un log come un indizio, e un allarme come un’opportunità per migliorare la difesa.