“Tre anni fa nessuno avrebbe previsto il cambiamento così profondo in così poco tempo portato dall’AI. Questo insegna che non sappiamo quale tecnologia sarà davvero dirompente nei prossimi anni. Ma c’è una domanda che per ogni azienda rimarrà sempre la stessa: quanto denaro dobbiamo spendere in cybersecurity per gestire il rischio dell’organizzazione?”
Sumedh Thakar, CEO di Qualys, riporta la conversazione sul terreno che interessa al board e alla direzione finanziaria. La sicurezza, spiega, è essenzialmente un esercizio di risk management: si investe una certa cifra per ridurre una certa probabilità di perdita dovuta ad attacchi digitali. È un linguaggio di business, non di tecnologia, mentre lo scenario da affrontare diventa sempre più critico.
Se vent’anni fa, infatti, si scansionava la rete ogni trimestre e si dava all’IT tre mesi per sistemare tutto, oggi gli attacchi si succedono alla velocità delle ore, non dei mesi. Oggi la cybersecurity coinvolge sempre più stakeholder, incluso il CFO, e il tema chiave, secondo Thakar, è quanto velocemente si correggono i problemi perché la sola scansione, in assenza di remediation, non riduce il rischio.
Oltre l’attack surface verso la risk surface
Il mercato resta concentrato sul tema della gestione della superficie di attacco, ma per Thakar non basta.
“Occorre spingersi oltre, verso ciò che chiamiamo risk surface management. L’errore tipico è spendere mezzo milione di dollari per coprire una superficie d’attacco che, magari, tradotta in perdita attesa, ne vale 50mila. È qui che CFO e consiglio di amministrazione incalzano chiedendo qual è il modo corretto di pensare alla sicurezza e come allineare ogni cosa al risk management in termini economici. Questo è l’aspetto su cui si focalizza Qualys”.
Il punto, insiste il CEO di Qualys, è accettare che l’infrastruttura IT si è molto espansa, il codice distribuito è esploso e il numero di vulnerabilità scoperte ogni giorno cresce più in fretta dei budget.
“In qualunque momento, solo una piccola parte dei problemi rilevati, spesso meno del 5%, genera un rischio economico per l’azienda. La priorità deve essere quella di individuare questa frazione e ridurla prima degli attaccanti”.
Misurare, comunicare, mitigare
Thakar sintetizza il ruolo che deve avere il partner tecnologico in gestione del rischio in tre verbi: misurare, comunicare, mitigare; con il secondo che appare il più trascurato.
“Molti strumenti misurano, alcuni aiutano a correggere. Quasi nessuno ti aiuta a comunicare il rischio. Eppure è decisivo. Se dici alle persone IT ‘ecco migliaia di vulnerabilità da correggere’, ti detesteranno perché hanno altre priorità; ma sono costretti a farlo, impiegano enormi energie, sistemano tutto e l’unico ‘grazie’ che ricevono è un nuovo elenco altrettanto lungo. Se invece la conversazione fosse ‘se risolvete queste 50 criticità riducete dell’80% il rischio di perdere 500 milioni di euro’, il messaggio cambia completamente ed è infinitamente più efficace”.
La stessa logica vale con il CFO. “Il CFO non vuole sentir parlare di sigle tecniche come MFA o ZTNA, vuole Euro. Se una business unit fattura 500 milioni l’anno e un attacco può costare 10 milioni al giorno, ciò che conta è quanto possiamo abbassare la probabilità di quell’evento e a quale costo. Se con 300mila dollari portiamo un rischio su scala 0-100 da 80 a 40 questo sblocca i budget”.
Nella comunicazione con il board, aggiunge, non esiste il rischio zero. Va chiarito cosa si mitiga con tecnologia e processi, cosa si accetta e quale quota si trasferisce all’assicurazione cyber: questa deve essere la grammatica del rischio, che va resa operativa nella sicurezza come in qualunque altra area aziendale.
Dalla visibilità alla remediation continua
La strategia di Qualys nasce da una convinzione semplice: la conoscenza del rischio da sola non rende più sicuri.
“La differenza la fa la capacità di remediation prima degli attaccanti. Se arrivano prima loro, hai una compromissione; se arriviamo prima noi, difendiamo l’azienda”.
In linea con questo principio Qualys ha introdotto da tempo nel vulnerability management il collegamento tra detection e patching automation portando nella cybersecurity un tema considerato appannaggio dell’IT e arrivando a distribuire, nel solo 2024, 113 milioni di patch negli ambienti dei clienti, tramite i propri agent.
Oggi Qualys serve oltre 10mila clienti con circa 2.600 dipendenti nel mondo, ma la sfida, sottolinea Thakar, è soprattutto metodologica: spostare il baricentro delle metriche dalla conta di vulnerabilità e configurazioni errate alla riduzione di rischio quantificata in termini economici.
Nasce il Risk Operations Center (ROC)
“Il concetto di SOC (Security operations center) è ben formalizzato nel mercato per correlare segnali e rilevare le violazioni post-attacco, ovvero dopo che un aggressore è riuscito a entrare nel perimetro aziendale. Mancava l’equivalente pre-breach, capace di orchestrare persone, processi e strumenti per un esercizio ripetibile di risk management operativo”.
Per questo Qualys ha introdotto il ROC, il Risk Operations Center: un modello operativo che parte da un inventario degli asset affidabile, aggregazione dei fattori di rischio dai diversi tool (anche non Qualys), contestualizzazione con threat intelligence e, soprattutto, contestualizzazione di business.
“Se una business unit ha un risk score pari a 900 su una scala di 1000 e un’altra di 750, si è soliti partire dalla prima per eliminare il rischio. Ma se la prima business unit fattura 2 milioni e la seconda 500 milioni, la priorità va, invece, invertita. Da ciò si comprende come portare la quantificazione economica nel flusso decisionale cambi la remediation”.
Ultimo tassello, la compliance: il rischio di fermo per non conformità fa parte del rischio d’impresa e in larga misura nasce da lacune cyber.
Il ROC punta, dunque, a unire le componenti tecniche, la quantificazione economica e la remediation in un unico workflow.
“In Qualys abbiamo creato la nostra versione di ROC che viene messa a disposizione tramite il cloud. Lo chiamiamo Enterprise True Risk Management perché si tratta di gestire il rischio reale e non solo di individuare i problemi. La nostra piattaforma è aperta ed è in grado di acquisire dati provenienti non solo da Qualys, ma anche da altri strumenti di terze parti inclusi i nostri competitor, da Tenable, a Rapid7 a ServiceNow. Perché i clienti non vogliono stravolgere il loro stack, ma chiedono invece di valorizzare ciò che hanno in modo più automatizzato e orientato al rischio”.