Sono passati due anni da quando Qualys ha introdotto una Shared Cloud Platform (SCP) collocata in Italia per ospitare il portafoglio della sua offerta di risk management IT: una soluzione SaaS basata sulla Enterprise TruRisk Platform che sfrutta un unico agente per fornire costantemente informazioni critiche sulla sicurezza. Oggi questa infrastruttura cloud “sovrana” certificata QC2 dall’Agenzia per la Cybersicurezza Nazionale (ACN) rafforza la posizione dell’azienda come fornitore di “vulnerability management” e ne sancisce il passaggio a partner per le aziende che vogliono impostare il loro approccio alla sicurezza in base a modelli di gestione del rischio.
Emilio Turani, managing director di Qualys nel nostro Paese mette in fila numeri, roadmap e priorità della filiale italiana.
A distanza di due anni dal lancio della SCP italiana per un cloud “sovrano” qual è il bilancio?
Oggi sulla nostra piattaforma abbiano 500 clienti attivi, con un tasso di crescita rispetto al 2024 del 20% rispetto al fatturato e ancora superiore rispetto al numero dei clienti. Tutti i nostri nuovi clienti italiani sono collocati sula piattaforma localizzata sul territorio nazionale mentre quelli esistenti, soprattutto le pubbliche amministrazioni centrali e locali, stanno progressivamente compiendo la migrazione. Questi dati testimoniano la solidità e il ritorno generati di questa scelta e abbiamo appena rinnovato per altri tre anni l’accordo con il cloud provider.
Quali verticali stanno trainando la domanda?
Sanità ospedaliera e pubbliche amministrazioni locali rimangono strategiche, ma oggi è il finance a crescere più di tutti. Ci stanno aiutando le normative, in particolare NIS2 e gli audit collegati alla ISO/IEC 27001.
Come sta evolvendo la vostra piattaforma?
La nostra piattaforma Enterprise TruRisk Platform si è evoluta nel corso del tempo per intervenire in modo sempre più profondo sugli aspetti di gestione, mitigazione ed eliminazione del rischio. Il nostro sviluppo strategico punta ad avere una soluzione molto proattiva che, grazie alle informazioni provenienti da oltre 25 sorgenti di threat-intelligence e analisi approfondite, abiliti una reale gestione del rischio. Per noi è centrale il concetto di cyber resilienza e la nostra piattaforma si è evoluta in tal senso.
Come misurate il valore di business di un sistema?
Il punto di partenza è la definizione delle priorità perché se tutto è critico, niente lo è. Questo richiede una fase di analisi inziale che noi chiamiamo asset criticality, che significa valutare gli asset in relazioni ai processi di business su cui sono appoggiati.
Ma questo si riesce a fare automaticamente?
Si la nostra piattaforma lo riesce a fare in modo automatico assegnando agli asset un opportuno punteggio dinamico che è la base per definire le priorità di business. Questa è la chiave fondamentale per passare da un modello di sicurezza reattivo a uno proattivo.
Avete appena rilasciato una nuova soluzione denominata Policy Audit. Come si inserisce nella piattaforma di Qualys?
È una soluzione di policy-compliance che integra anche la componente di remediation: non ci limitiamo a dire dove non sei conforme, ma indichiamo e automatizziamo i passi correttivi. È la naturale estensione del nostro modello di Vulnerability Management Detection & Response (VMDR) verso la risk-based security.
Automazione, resilienza, scalabilità: come perseguite questi obiettivi?
Qualys da sempre sviluppa in-house le proprie soluzioni attraverso il suo team di Ricerca e sviluppo e, pertanto, le nostre soluzioni nascono nativamente integrabili. Altri vendor scelgono la strada delle acquisizione per disporre in tempi più rapidi di nuove funzionalità ma poi ci impiegano anni per farle funzionare correttamente in modo integrato.
Siamo abituati a sentire parlare di SOC (Security operation center) ma voi parlate anche di ROC. Di che si tratta?
Il concetto di Risk operation center o ROC nasce naturalmente dalla nostra piattaforma che è un collettore che fa “ingestion” dei dati di terze parti e li normalizza in una console unica. Questo permette di spostare il focus dalle operation di sicurezza alla misurazione del rischio. E per le aziende che non hanno risorse interne specializzate abbiamo appena lanciato l’M-ROC, il servizio gestito per la gestione del rischio offerto tramite i nostri partner e rivolto soprattutto alle realtà di media dimensione.
Come evolve il vostro rapporto con il canale?
Oggi la totalità del fatturato di Qualys arriva da abbonamenti SaaS venduti tramite i partner di Canale. Abbiamo un focus crescente sul Canale e rafforzato il nostro programma di canale con un channel manager dedicato.
E la relazione con i CISO?
Il CISO presto vedrà aggiungere una nuova lettera al suo acronimo: la R di risk. Oggi negli Stati Uniti sempre più CISO riportano direttamente al CEO, rivolgendosi quindi agli Stakeholder. Il loro ruolo è destinato a essere quello di gestori e guardiani della sicurezza digitale ma con un approccio di business improntato alla gestione del rischio.