Nel suo nuovo report State of Security 2025, Splunk traccia un quadro chiaro ma allarmante delle difficoltà sempre più evidenti affrontate dai Security Operations Center (SOC). In un panorama dove le minacce informatiche si moltiplicano e si fanno più sofisticate, soprattutto con l’ingresso delle tecniche di attacco basate sull’intelligenza artificiale, le organizzazioni si trovano spesso impreparate, intrappolate in infrastrutture inefficienti e sovraccariche di lavoro.

Troppa manutenzione, poca protezione

Uno dei dati più significativi del report riguarda la gestione degli strumenti tecnologici:

  • Il 46% degli intervistati ha dichiarato di passare più tempo a mantenere i tool in funzione che a difendere attivamente l’organizzazione
  • Il 78% lamenta una dispersione e scollegamento degli strumenti di sicurezza e il 69% considera questa frammentazione una sfida critica. Questo disallineamento tecnico ostacola non solo l’efficienza operativa, ma anche la capacità di reazione tempestiva alle minacce
  • Oltre la metà degli analisti SOC (57%) indica di perdere tempo prezioso a causa di lacune nella gestione dei dati
  • Il 59% riceve un numero eccessivo di allarmi e il 55% è costretto a gestire un alto numero di falsi positivi

Il risultato è una paralisi operativa nota come alert fatigue, che può lasciare spazio a violazioni reali non rilevate o sottovalutate.

Splunk_State of Security Report_11

Sicurezza sotto stress: il lato umano della crisi

Il report mette inoltre in luce il pesante tributo che questo sistema inefficiente richiede ai team umani. Il 52% degli operatori dichiara di essere oberato dal carico di lavoro e un altro 52% ha ammesso di aver considerato l’idea di abbandonare il settore a causa dello stress. Il 43% lamenta inoltre aspettative irrealistiche da parte dei dirigenti, elemento che contribuisce ulteriormente al burnout.

Questa situazione evidenzia come la crisi del personale nel mondo della cybersecurity non sia solo una questione di carenza di competenze, ma anche di sostenibilità lavorativa. Mantenere i talenti diventa sempre più difficile in un contesto segnato da pressione costante, strumenti poco efficienti e aspettative crescenti.

GenAI: una risorsa emergente, ma non autosufficiente

A fronte di tali criticità, il report segnala una crescente adozione dell’intelligenza artificiale generativa come strumento per potenziare le capacità dei team SOC. Sebbene solo l’11% delle organizzazioni si affidi completamente all’AI per le attività mission-critical, il 59% ha riscontrato un miglioramento (moderato o significativo) nell’efficienza grazie alla sua implementazione.

Più della metà degli intervistati (56%) ha dato priorità all’integrazione dell’AI nei flussi di lavoro di sicurezza per l’anno in corso e il 33% intende colmare le lacune di competenze attraverso automazione e strumenti basati sull’intelligenza artificiale. Tuttavia, come sottolineato da Michael Fanning, CISO di Splunk, l’intelligenza artificiale non è destinata a sostituire l’uomo, bensì a supportarlo: “La supervisione umana resta cruciale per un’efficace sicurezza informatica”, ha dichiarato Fanning.

I casi d’uso dell’AI nei SOC si stanno già consolidando: il 33% degli intervistati la utilizza per l’analisi dell’intelligence sulle minacce, il 31% per interrogare i dati di sicurezza e il 29% per redigere o modificare le policy. Un impiego mirato, dunque, che evidenzia l’utilità dell’AI come acceleratore decisionale e strumento di alleggerimento operativo, ma non come sostituto delle competenze umane.

Splunk_State of Security Report_5

Verso un SOC unificato e integrato

Il vero cambiamento prospettato dal report si fonda su una visione integrata della sicurezza, ovvero costruire un SOC unificato che combini sinergicamente risorse umane e AI, ottimizzando i flussi operativi e superando la frammentazione tecnologica. Le organizzazioni che hanno già avviato un percorso in questa direzione stanno registrando benefici concreti: il 78% riporta maggiore velocità nel rilevamento degli incidenti e il 66% tempi di risposta più rapidi, con risultati che vanno da miglioramenti moderati a trasformazioni significative.

Questo approccio unificato si basa sulla riduzione delle attività di manutenzione, sull’automazione intelligente e sulla condivisione di dati tra funzioni di sicurezza e observability, un aspetto che oggi risulta ancora poco sviluppato ma dal potenziale evidente.

(Immagine in apertura: Shutterstock)