Qualys opera da anni nella gestione del rischio e delle vulnerabilità con un modello che punta a fornire alle organizzazioni una visione chiara dell’esposizione dei propri asset digitali. L’azienda mette al centro un approccio che non si limita all’analisi tecnica, ma che collega in modo diretto la sicurezza ai processi aziendali. In Italia questa strategia è supportata anche da un’infrastruttura cloud locale certificata, utile per rispondere alle esigenze di protezione, sovranità e conformità che riguardano i dati critici.
In questo perimetro si colloca il modello del Risk Operations Center, che sposta l’attenzione dall’evento di sicurezza in sé al modo in cui quel singolo evento modifica la postura complessiva di rischio abilitando una collaborazione inter-funzionale tra le operazioni di sicurezza, finanza e compliance. Componente centrale di questo modello è la piattaforma Enterprise TruRisk che abilita una lettura della sicurezza come un tema di impatto sul business anziché come insieme di indicatori isolati.
Abbiamo incontrato Emilio Turani managing director oltre che per l’Italia anche per il sud est europeo di Qualys.
Qual è oggi la proposta di Qualys sulla gestione del rischio?
Qualys presenta l’evoluzione della propria piattaforma, che è basata fondamentalmente su tre direttrici fondamentali: la misurazione, la comunicazione e l’eliminazione del rischio. L’insieme di queste attività si traduce nell’Enterprise TruRisk Management (ETM), che fornisce una vera e propria analisi e gestione del rischio, permettendo di attribuire un valore di business agli asset aziendali. I CISO oggi non possono limitarsi a riportare solo dati tecnici, ma devono fornire a tutti gli stakeholder un valore realistico della complessità dei dati e di quanto sia importante proteggerli.
In che modo si inserisce il modello che voi chiamate ROC?
L’approccio porta a considerare il rischio non più come il risultato di incidenti puntuali, ma come un elemento che evolve in funzione dell’impatto prodotto dai singoli eventi. Il ROC ovvero il Risk Operations Center nasce proprio da questa esigenza: non guardare all’evento, ma alla sua influenza sulla gestione del rischio favorendo una visione proattiva. Qualys , considera la proattività e la gestione del rischio come parte fondante della sua strategia.
Quindi non solo tecnologia, ma anche tanto business nella vostra proposta?
Assolutamente sì, perché il ruolo del business sta diventando sempre più rilevante. Tra gli stakeholder coinvolti nell’aspetto decisionale del cyber-risk compaiono sempre più frequentemente figure come il CFO e il COO proprio perché il valore del business è parte fondante e fondamentale nel definire le priorità di intervento in funzione del valore degli asset e della loro importanza per le attività aziendali. La gestione delle vulnerabilità diventa, di conseguenza, un processo in cui la dimensione “business critical” è centrale.
Molte aziende italiane sono preoccupate per la gestione dei dati critici. Come risponde Qualys a questa esigenza?
Per rispondere ai requisiti della Pubblica amministrazione e dei diversi segmenti di mercato privato Qualys ha recentemente rinnovato la qualifica QC2 da parte dell’Agenzia per la Cybersecurity Nazionale (ACN) che garantisce proprio i più elevati standard di sicurezza e affidabilità nella gestione dei dati critici.
Come valutate l’evoluzione del mercato italiano della sicurezza?
Evoluzione è il termine giusto. Se, fino a pochi anni fa, l’attenzione e la cultura di sicurezza erano appannaggio esclusivo delle grandi aziende, oggi l’interesse per la cyber security si è esteso a tutti i segmenti di mercato incluse le PMI che mostrano un’attenzione crescente verso la gestione delle vulnerabilità e cercano servizi più strutturati. È una trasformazione che coinvolge sia il settore privato sia la Pubblica Amministrazione e che emerge con chiarezza dai segnali raccolti da Qualys attraverso i propri clienti.
Guarda LA VIDEO INTERVISTA A EMILIO TURANI di QUALYS
