Tra le aziende di cybersecurity in grado di proporre soluzioni in modalità SaaS, Qualys si è presentata al mercato, tra le prime, con una proposta di piattaforma, Qualys Enterprise Trurisk Platform il suo nome, che utilizza un unico singolo agente per offrire continuamente e in tempo reale le informazioni sulla sicurezza critiche dei sistemi. Questo permette alle organizzazioni clienti di automatizzare tutti i passaggi di rilevamento delle vulnerabilità e le procedure di conformità per la protezione dei sistemi IT, siano essi deputati a far girare i workload, siano applicazioni Web locali o in cloud, endpoint, server, risorse di public o private cloud. Proprio per le caratteristiche intrinseche di queste tecnologie, Qualys è cresciuta stringendo partnership strategiche ed integrando le capacità di gestione delle vulnerabilità nelle offerte di sicurezza dei fornitori di servizi di public cloud, tra cui Aws, Google Cloud Platform e Microsoft Azure.
A metà aprile Londra ha ospitato la Qualys Security Conference 2024 per l’area Emea, cui hanno partecipato Cio, Cso e Cto, insieme ad amministratori e responsabili di rete, sicurezza e cloud, agli sviluppatori e ai professionisti DevSecOps, oltre all’ecosistema di partner e consulenti. L’azienda conta circa 10mila clienti con attiva una sottoscrizione tra cui la maggior parte delle aziende Forbes Global e Fortune 100 e la conference ha rappresentato l’occasione per il Ceo, Sumedh Thakar, di fronte a circa 600 partecipanti, di mettere a fuoco il tema del ‘divide’ tra esigenze di security ed esigenze di business.
Entriamo nel vivo: con un numero sempre più elevato di strumenti diversi usati per misurare e gestire il rischio, molte grandi organizzazioni si trovano a dover gestire e dover operare con soluzioni disgiunte, e quindi riscontrano importanti difficoltà nel quantificare l’impatto del rischio.
Il tema chiave infatti è che, oltre la semplice individuazione ed enumerazione delle criticità riscontrate, servirebbe quantificare in modo concreto il possibile impatto del rischio informatico sulle aziende, per concentrarsi solo sull’identificazione e la misurazione delle vulnerabilità più rilevanti ed accorciare i tempi di intervento nell’eliminazione totale del rischio informatico, a vantaggio di migliori risultati di business.
Rischi di perdita di dati, di non conformità, danni reputazionali e di disponibilità e continuità di servizio, sono tutte criticità che implicano ripercussioni di business e operative, ma non è possibile orientarsi se non si è in grado di identificare, misurare, comunicare e rimediare in primis a partire dalle criticità rilevanti. Prioritizzare è quindi imperativo.
Ed è possibile farlo solo se si dispone di piena visibilità – ma ben il 45% delle risorse nelle aziende non è classificato correttamente in base alla criticità proprio per mancanza di visibilità sugli asset esterni e interni – e oltre il 30% degli asset non risulta del tutto visibile e/o catalogato.
Tante soluzioni di sicurezza poi non sono in grado di contestualizzare le informazioni sulle minacce, per attribuirne il corretto livello di gravità, mentre la piattaforma di Qualys su 2,6 miliardi di rilevazioni analizzate ha contribuito ad assegnare il livello di priorità ad “alto rischio” solo a 603 milioni, rispetto ai 2,1 miliardi dei normali programmi di sicurezza, consentendo così una maggiore focalizzazione degli sforzi dove effettivamente servono. In particolare le oltre 20 app che fanno parte di Enterprise Trurisk Platform – proprio perché completamente integrate ed in grado di condividere in modo nativo i dati raccolti – sono poi anche in grado di poter quantificare l’impatto finanziario del livello di sicurezza in tempo reale.
Un punto centrale questo, per la cybersecurity, e che Thakar illustra rimarcando come sia crescente la tendenza che vede i Ciso chiamati a riportare direttamente al Ceo (quasi uno su due negli Usa) e a dover riferire al board ed ai diversi stakeholder aziendali.
Davvero la cybersecurity sta diventando punto nevralgico in seno alle dinamiche di business. Su questo stesso tema i rilievi, calati sulla nostra realtà locale da Emilio Turani, managing director per l’Italia ed il Sud Est Europa di Qualys.
Anche per Turani la cybersecurity sta diventando un elemento abilitante nei processi di business, e la necessità di ottenere una predicibilità del budget aziendale nel medio e lungo periodo è tendenza rivelante.
Per i Ciso, quindi, una gestione basata su una reale gestione del rischio coadiuva l’intereporabilità con le terze parti semplificandone la gestione e riducendo, al contempo, il costo di possesso e di amministrazione. Ecco che anche in Italia allora si nota “una crescente richiesta in questa direzione che interessa l’ecosistema e tutti i segmenti di mercato, soprattutto in contesti dove bisogna necessariamente razionalizzare le risorse per poterle poi includere nei processi di business aziendali”.
© RIPRODUZIONE RISERVATA