Il SIEM è uno degli strumenti più discussi della cybersecurity aziendale: citato in ogni audit, raccomandato da qualsiasi fornitore, raramente capito davvero da chi lo deve approvare in azienda.
In questo articolo spieghiamo cos’è un Security Information and Event Management, come funziona nella pratica, quali vantaggi concreti porta e — soprattutto — quando ne avete davvero bisogno. Perché un SIEM non serve a tutte le aziende, e capire questo prima di acquistarlo può evitarvi spese importanti.
Cos’è un SIEM, in breve
SIEM è l’acronimo di Security Information and Event Management. Si tratta di una piattaforma software che centralizza l’attività di monitoraggio della sicurezza informatica aziendale, raccogliendo i log da tutti i sistemi e analizzandoli per identificare comportamenti sospetti o pattern di attacco.
In pratica, è la sala di controllo della cybersecurity aziendale.
Differenza tra SIM, SEM e SIEM
L’acronimo SIEM nasce dalla convergenza di due tecnologie precedenti
| Tecnologia | Funzione principale |
|---|---|
| SIM (Security Information Management) | Raccolta storica dei log, archiviazione, reportistica a posteriori |
| SEM (Security Event Management) | Monitoraggio in tempo reale, correlazione, allarmi immediati |
| SIEM | Combina le due: archivia, analizza e correla in tempo reale e a posteriori |
Come funziona un SIEM
Il funzionamento di un SIEM si articola in quattro fasi.
Fase 1 — Connessione alle sorgenti dati. Vengono configurati log forwarder o agent sui sistemi aziendali: firewall, EDR, identity provider, sistemi cloud, applicazioni custom.
Fase 2 — Parsing e normalizzazione. I log arrivano in formato grezzo e vengono tradotti in un formato comune che permette di analizzarli insieme.
Fase 3 — Correlazione e detection. Il SIEM applica regole predefinite (use case) e modelli di machine learning per identificare comportamenti sospetti.
Fase 4 — Risposta. Quando viene generato un allarme, viene inoltrato al team SOC. Nei SIEM moderni una parte delle azioni è automatizzata tramite SOAR (Security Orchestration, Automation and Response).
Le 5 funzioni principali di un SIEM
- Raccolta dei log da tutti i sistemi aziendali in una posizione centralizzata
- Normalizzazione dei log in un formato comune analizzabile
- Correlazione tra eventi diversi per identificare pattern d’attacco
- Allerta in tempo reale quando vengono rilevati comportamenti sospetti
- Reportistica e indagine forense grazie all’archiviazione di lungo periodo.
SIEM nel 2026: XDR, AI/ML e cloud-native
Il SIEM esiste da circa quindici anni, e fino al 2021 sembrava una categoria stabile.
Negli ultimi anni quattro cose sono cambiate in fretta.
XDR e SIEM si stanno fondendo.
L’XDR (Extended Detection and Response) era nato come categoria parallela, focalizzata su endpoint e network. Oggi le linee si sono confuse: i SIEM moderni hanno assorbito le funzioni XDR e viceversa.
I SIEM cloud-native hanno cambiato il mercato.
Splunk, IBM QRadar e ArcSight (i tradizionali on-prem) sono affiancati da Microsoft Sentinel, Google Chronicle e altri concorrenti nativamente cloud. Per molte aziende mid-market è oggi la scelta più sensata: scalabilità elastica, costi prevedibili, meno infrastruttura interna.
L’AI è ovunque, ma con dosi diverse di sostanza.
Tutte le piattaforme attuali includono machine learning per ridurre i falsi positivi, identificare anomalie comportamentali (UEBA) e suggerire risposte. Alcune funzionalità sono sostanza, altre sono marketing. La differenza la vedete dopo sei mesi d’uso reale, non in demo.
Il pricing si sta evolvendo.
Storicamente i SIEM si pagavano per volume di log ingeriti — incentivo perverso: meno mandi, meno paghi ma anche meno vedi. I nuovi modelli si stanno spostando verso pricing per casi d’uso o ore di analista.
I vantaggi del SIEM per le aziende
Tralasciando il marketing dei vendor, un’implementazione fatta bene porta cinque vantaggi concreti.
Riduzione del tempo di rilevamento. Senza monitoraggio centralizzato una breccia viene scoperta in media dopo 200+ giorni (dati IBM Cost of a Data Breach Report). Con un SIEM ben configurato si scende a settimane, in alcuni casi a giorni.
Visibilità centralizzata. Una sola console invece di dieci. Per team IT piccoli è la differenza tra fare detection e non farla affatto.
Conformità dimostrabile. NIS2, ISO 27001, GDPR e PCI-DSS richiedono logging e monitoraggio dimostrabili. Senza SIEM ci si arrangia con report manuali che in audit non reggono cinque minuti.
Capacità forense. In caso di incidente, log centralizzati e ricercabili significano ricostruire l’attacco in ore invece che in settimane.
Riduzione dei falsi positivi. Controintuitivo ma vero: un SIEM ben configurato riduce il rumore percepito dal team IT invece di aumentarlo. Pochi allarmi consolidati con contesto, invece di centinaia di allarmi sparsi sui singoli sistemi.
In sintesi, i 5 vantaggi di un SIEM
- Riduzione drastica del tempo di rilevamento (MTTD)
- Visibilità centralizzata su tutta l’infrastruttura
- Conformità dimostrabile a NIS2, ISO 27001, GDPR, PCI-DSS
- Capacità forense in caso di incidente
- Riduzione del rumore e dei falsi positivi
Quando un’azienda ha bisogno di un SIEM
Veniamo al dunque. Il SIEM è uno strumento serio per quello che fa e per quello che costa. Proprio per questo non ha senso per tutti.
Ha senso quando gestite dati regolamentati (sanità, finanza, pagamenti), siete soggetti a NIS2 o ISO 27001 che pretendono logging dimostrabile, avete un’infrastruttura distribuita su più sedi o cloud ibrido, o un cliente enterprise vi ha messo la clausola di monitoraggio 24/7 nei contratti. C’è poi la situazione meno raccontata: avete avuto un incidente e vi siete accorti, troppo tardi, di non avere la visibilità per intercettarlo prima.
Non ha senso (almeno non ancora) se siete una piccola azienda con poche risorse IT, se i sistemi sono pochi e tutti su Microsoft 365, se non avete un team capace di rispondere agli allarmi che il SIEM produrrà. Soprattutto, se avete priorità più urgenti aperte — firewall moderni, EDR, MFA — partite da lì. Il SIEM è cinque passi avanti rispetto a dove dovreste essere.
E poi c’è la regola che vale per tutti: un SIEM senza un team che lo gestisca è solo un costo. Migliaia di allarmi che nessuno guarderà. State pagando per illudervi di fare cybersecurity
Come scegliere un SIEM
Cinque domande da farsi prima di firmare un contratto.
- Quanto volume di log produrremo? Il pricing tradizionale si basa sui dati ingeriti. Sottostimare porta a sorprese in fattura. Stimate generosamente, e includete margine per crescita.
- Chi gestirà la piattaforma? Internamente, in outsourcing a un MSSP, o ibrido? La risposta cambia il vendor: piattaforme diverse hanno ergonomie diverse per modelli di gestione diversi.
- Quali sono i casi d’uso prioritari? Servono 5-10 use case concreti (esfiltrazione, account compromessi, accessi privilegiati, movimenti laterali). Senza casi d’uso, qualsiasi SIEM vi sembrerà perfetto in demo e inadeguato in produzione.
- Quanto siete disposti a investire nei primi 12 mesi? Un SIEM non porta valore dal giorno uno. Servono mesi di tuning prima di vedere ROI reale.
- Tradizionale o cloud-native? I tradizionali offrono massima flessibilità ma alto effort gestionale. I cloud-native offrono meno flessibilità ma meno sforzo. La scelta dipende dal team.
FAQ sul SIEM
Quanto costa un SIEM?
Dipende dal volume di log e dal vendor. PMI con SIEM cloud-native: da qualche migliaio di euro all’anno. Mid-market con Splunk on-prem: 80-150k all’anno di sole licenze, più il costo del team. Enterprise: oltre il mezzo milione. Aggiungete sempre il costo delle persone.
Esistono SIEM open source?
Sì: Wazuh, Security Onion, Elastic SIEM (versione gratuita di Elastic Stack). Riducono i costi di licenza ma richiedono un team capace di gestirli. Per piccole realtà senza competenze SOC, il “gratis” diventa rapidamente costoso in ore-uomo.
Qual è la differenza tra SIEM e MDR?
L’MDR (Managed Detection and Response) è un servizio gestito che include SIEM più persone che lo operano 24/7. Se non avete un team SOC, l’MDR è spesso più sensato che comprare un SIEM e cercare disperatamente analisti sul mercato.
Un SIEM rileva tutti gli attacchi?
No. Rileva solo gli attacchi per cui esistono regole di detection configurate, o le anomalie che i modelli ML riescono a identificare. Un SIEM mal configurato perde la maggior parte degli attacchi avanzati — e “mal configurato” è lo stato di default di buona parte dei SIEM in produzione.
Quali SIEM sono più usati nelle aziende italiane?
Microsoft Sentinel (in forte crescita grazie all’integrazione Microsoft 365), Splunk (storico leader enterprise), IBM QRadar (gruppi finanziari), e sul mercato MSSP molte piattaforme custom basate su Elastic.
Il SIEM è uno degli strumenti più potenti del cybersecurity stack. È anche uno dei più frequentemente acquistati senza una vera necessità o senza un piano di gestione adeguato.
Due regole pratiche che fanno la differenza nei progetti riusciti: definite i casi d’uso prima di scegliere il vendor — senza casi d’uso, qualsiasi piattaforma vi sembrerà perfetta in demo e inadeguata in produzione — e pianificate la gestione prima dell’acquisto, perché un SIEM è uno strumento, non una soluzione. Senza un team che lo gestisca, non genera valore.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.