Idc valuta oltre 6 miliardi di dollari il mercato della gestione della sicurezza e delle vulnerabilità e all’interno di questo settore riconosce Qualys come punto di riferimento nella ‘valutazione’ delle vulnerabilità infrastrutturali e delle applicazioni. Al centro della proposta la Qualys Cloud Platform, piattaforma in grado di offrire una valutazione continua e costante sulla sicurezza aziendale e sulla conformità, in una manciata di secondi, di tutte le risorse IT, ovunque esse siano (on-premise e in cloud). Con un assunto di fondo: nulla può essere sicuro e al sicuro, se non è visibile.
Qualys, visibilità e controllo sulle operation
Da qui inizia il confronto con Emilio Turani, Managing Director per Italia, Iberia, Central Eastern Europe, Turchia e Grecia, che esordisce: “Sono evidenti alcuni trend che riguardano la parte infrastrutturale, potenzialmente in grado di rendere complessa la gestione delle minacce: proprio la mancanza di visibilità è il primo problema da affrontare, soprattutto in uno scenario in cui i perimetri sono ‘eterogenei’ e la ‘biodiversità’ digitale è in continua crescita”.
Basta pensare agli ambienti IT odierni che comprendono: datacenter, ambienti cloud e multicloud, enterprise mobility, risorse containerizzate. Oggi lo stesso terminale mobile può essere sfruttato come testa di ponte per eventuali attacchi, ma bisogna pensare anche a tutta la parte di operational technology e ancora a dati e informazioni che transitano dall’edge al core al cloud, in ambito IoT. Per questo Qualys propone Global IT Asset Inventory un servizio che garantisce la visibilità necessaria sulle risorse (anche quelle applicative) per comprendere poi come proteggersi.
“Oltre alla piena visibilità – prosegue Turani – è necessario avere la necessaria accuratezza nella detection”. Oggi la difficoltà di identificare le reali minacce è sentita in modo particolare in relazione al bisogno di precisione. Viene chiesto di garantire scalabilità, flessibilità e immediatezza (per reagire tempestivamente), ma anche preservando l’interoperabilità per far sì che i diversi ambienti restino in “correlazione”. Qualys in questo ambito con Global IT Asset Inventory può garantire un livello di maturità elevato, ed offrire un approccio corretto ai fondamentali per la sicurezza.
Spiega Turani: “Ai Ciso, oggi, non basta acquistare il best of breed di ogni soluzione, ma devono saper scegliere le soluzioni basate sull’approccio single pane of glass (un unico cruscotto) per organizzare i processi aziendali in modo che sia possibile sfruttare flussi di dati consumabili e al contempo garantire il pieno controllo sulle security operation”.
IT, security e compliance, nell’approccio di Qualys devono essere quindi del tutto armonizzate. Spieghiamo: il dato è sempre quello, ma chi lo utilizza nell’ambito della compliance (Gdpr) lo fa all’interno di un percorso specifico, chi lo protegge punta la propria attenzione nella direzione della sicurezza e chi deve valorizzarlo con gli strumenti IT è chiamato a sfruttarlo secondo altre logiche ancora.
Turani: “Ecco, Qualys è chiamata ad omogeneizzare le possibilità di esperienza sul dato nei tre ambiti rendendolo disponibile e visibile attraverso Global IT Asset Inventory – funzionalità gratuita in forma illimitata – e protetto con applicazioni e soluzioni che vanno dalla gestione delle vulnerability, al Web Application Scanning, alla Compliance, etc.etc. (sono in tutto una ventina)”.
Go to market
La proposta Qualys è basata sul concetto di subscription secondo il modello pay per use o – ancora meglio – pay per growth. Il Global IT Asset Inventory – integrabile su qualsiasi tipologia di risorsa (anche le applicazioni ovviamente) – fotografa la dotazione (dandone piena visibilità), la geolocalizza, fornisce una mappatura completa. Da qui è possibile assumere consapevolezza del processo di discovery (per individuare eventuali gap), comprendere come impostare i processi di difesa e quindi di quali applicazioni si ha bisogno. “La subscription – per esempio – può prevedere la protezione di un numero limitato di IP (si pensa al data center) per poi crescere nel tempo. Il cliente quindi può gestire a livello di host i propri File Integrity Monitor, gli indicatori di compromissione e così via”.
I pilastri della proposta Qualys sono quindi: visibilità, scalabilità (a seconda di esigenze ed ambienti), immediatezza (capacità di reagire in tempi rapidi al riscontro delle minacce), granularità e accuratezza del dato (per ridurre il falso positivo e negativo), e infine orchestrazione trasparente (la capacità di interoperare con le terze parti già esistenti).
Turani spiega in proposito: “Significa che se il cliente dispone già di una parte dello stack strategico per la sicurezza, lo incontriamo lì dove è. I Ciso oggi devono poter utilizzare le risorse salvaguardando i costi di possesso ed amministrazione. La proposta di integrare Qualys quindi permette di integrare le risorse già disponibili, per abilitare al meglio l’efficacia dei processi”.
Si intende: la proposta di Qualys copre, al bisogno, tutti gli stack: discovery, alerting, remediation e patching management. Resta che l’obiettivo finale è l’automatizzazione dei processi, perché questo consente di liberare risorse per la gestione manuale e operativa.
Il modello operativo di go to market tramite subscription si rivela virtuoso, e per Qualys è un modello del tutto “dinamico”. Turani: “Si acquista quello che serve, si concordano i piani con i clienti secondo il concetto della crescita sostenibile, impostando l’idea di un progetto futuro, anche di upselling, ma con un rigoroso approccio consulenziale attraverso il mantra Poc (Proof of Concept) – meglio ancora –Proof of Value (Pov)“. Vendendo un servizio, la proposta Qualys non prevede costi nascosti. Quindi i clienti dispongono della piattaforma in test operativa sugli IP da proteggere per il periodo che serve e decidono poi di acquistare in base ad una pianificazione concordata.
Turani: “Questo lo facciamo sia attraverso il canale e i system integrator del nostro Paese, che con noi condividono l’approccio, sia direttamente, affiancando il Ciso che è chiamato a comprendere i ‘fondamentali’, l’impatto sulle risorse, i benefici che la piattaforma Qualys offre nel medio e lungo periodo”. Il Ciso che ritiene strategica la proposta ingaggia il dipartimento tecnico che con le competenze di Qualys (attraverso i Technical Account Manager) realizza appieno la Pov, dimensionando la proposta senza errori.
Qualys Cloud Platform nasce alla fine degli anni ’90, ma già come proposta nativa in cloud e questo è un vantaggio architetturale non indifferente. L’azienda abbraccia del tutto questa tecnologia e ne riconosce i benefici nello sviluppo e la spinta positiva che è in grado di offrire nei progetti di digital transformation.
Turani specifica: “L’approccio negli Usa e in Uk è consolidato, ma anche in Italia si registra oggi una forte crescita e, nel nostro Paese, gli ambiti Finance e Assicurativo, ma anche Government, contano una serie di importanti aziende sposare la proposta. Il servizio di Qualys poi ha il vantaggio di poter essere erogato attraverso la nostra piattaforma Shared Platform Public Cloud, oppure come Private Cloud, consentendo ai clienti di mantenere il dato nella propria sede, mantenendo però la natura As a Service”.
“In Italia – prosegue Turani – alcuni segmenti di mercato restano più sensibili, ma quello che è cambiato è che oggi la sicurezza non è più vista come un costo, ma in un’ottica di gestione e integrazione in un processo di digital transformation. La sicurezza quindi è letta dai Ciso come fattore abilitante dei processi aziendali e questa è anche la chiave di volta per fare bene. La Pmi è forse ancora poco sensibile, ma noi indirizziamo questo mercato con soluzioni ad hoc con licenze particolari, Express, tagliate per il settore. In ambito Small & Medium Business oggi vediamo inoltre tante realtà chiedere aiuto ai cosiddetti Managed Security Service Provider (Mssp)“.
Il cliente strutturato che con Qualys può gestire il progetto in toto lo fa, ma anche il piccolo cliente può appoggiarsi ai Mssp riconoscendo ad essi il servizio.
Qualys si preoccupa di fare training e corsi gratuitamente sia ai clienti finali sia ai partner (con cadenza bimestrale e in lingua, sia onsite, sia da remoto). Il servizio garantisce corsi di certificazione di una giornata per applicazione che consentono di avere completa autonomia nella gestione. Gli utenti finali possono decidere di gestire l’applicazione in autonomia o farsi aiutare, ma in ogni caso Qualys punta molto sulla semplicità d’uso della soluzione.
La strategia in Italia è supportata da una struttura che contempla, oltre a Turani, una figura di responsabilità per le vendite che va sul mercato finale a portare la parte di demand creation e un responsabile di canale a curare l’approccio con il canale di vendita che è fondamentale per Qualys perché il partner non è solo l’anello conclusivo ma interagisce con il vendor in tutte le fasi progettuali condividendone l’approccio consulenziale.
Ovviamente il vendor fa conto sulla struttura tecnica di supporto al canale, come agli utenti finali, per le Poc e le Pov che rappresentano il valore aggiunto di poter “provare” sul campo la proposta, “non solo – specifica Turani – la piattaforma si sviluppa proprio in base ai feedback che registriamo dal mercato e da qui capiamo come migliorarci. Quando parliamo di ‘automazione’ intendiamo che l’ottica nell’utilizzo di Qualys è disporre di una soluzione che renda effettivamente fruibile, intuitiva e veloce la gestione dei meccanismi di sicurezza proprio perché automatizzati”.
Qualys oggi in Italia conta oltre 200 clienti che rinnovano, con un tasso di redemption prossimo al 100%. La retemption è di circa il 94% anno su anno per chi dispone di una sola applicazione, ma già tra i clienti che hanno scelto due applicazioni la percentuale supera il 97% e per chi ha tre o più applicazioni praticamente la retemption è del 100%.
Chiosa Turani: “Più il cliente abbraccia la proposizione più ci riconosce un ruolo strategico”. Lo confermano i numeri. Da quando è stata aperta la filiale italiana, quattro anni fa, oggi Qualys conta tra i clienti la maggior parte delle aziende enterprise italiane suddivise tra finance (il 70-80% degli istituti bancari), assicurativo, government, telco e manufacturing.
Conclude Turani: “Quando un responsabile della sicurezza comprende di dover entrare in una logica di gestione e di processo, allora si può dire di essere a buon punto. L’approccio ad un’idea della sicurezza stand-alone, non in grado di interagire con terze parti e processi, non ha un futuro”.
© RIPRODUZIONE RISERVATA