Che cosa serve per una efficace gestione del rischio cyber? L’incontro organizzato per la stampa a Milano con il presidente e Ceo di Qualys, Sumedh Thakar, è servito a fare il punto sulla strategia della società californiana, fondata nel 1999, che sta sempre più indirizzando il proprio percorso innovativo in ottica di gestione del rischio. Tramite lo sviluppo di un framework complessivo, Qualys rivolge un’attenzione particolare non solo all’eliminazione delle vulnerabilità ma anche alla prioritizzazione degli investimenti e quindi a indirizzare il tema classico di una cybersecurity efficace e “su misura”. Elemento centrale di questa strategia è l'introduzione dell'Agentic AI e del Risk Operation Center, soluzioni utili per automatizzare la mitigazione del rischio e affrontare la carenza di talenti nella sicurezza informatica.
Thakar ha descritto un approccio che supera i tecnicismi e definisce un modello olistico di gestione del rischio aziendale, dove le decisioni di sicurezza sono direttamente allineate con gli obiettivi di business e quantificate in termini finanziari. Il fil rouge nel suo intervento è infatti la necessità di trattare la cybersecurity non primariamente come una questione tecnologica, ma come un esercizio di gestione del rischio. Un esercizio fondamentale per le aziende, che va quantificato in termini economici e poi trattato in modo risolutivo.
“La domanda che ogni azienda deve porsi rimarrà sempre: quanto devo spendere in cybersecurity per affrontare correttamente il rischio?”, ha detto Thakar. Il Ceo di Qualys ha osservato che oggi nella cybersecurity viene costantemente sottolineata l’importanza della visibilità, ma bisogna ricordare che la mera conoscenza del rischio non rende un’azienda più sicura. Più dati, più scansioni, più dashboard sembrano essere la risposta a ogni problema, mentre sapere di avere una vulnerabilità è solo il primo passo per risolverla. “A renderci più sicuri è la nostra capacità di porre rimedio ai rischi prima degli attaccanti", ha detto Thakar, utilizzando poi un'analogia efficace: "Se ti pesi quattro volte al giorno ma non vai in palestra, i risultati saranno gli stessi".
La vera efficacia risiede quindi nella capacità di risolvere i problemi (remediation) prima che un aggressore possa sfruttarli, tenendo conto di un fatto: "Oggi la velocità con cui arrivano gli attacchi cyber richiede un cambio di paradigma", ha sottolineato il Ceo. Se vent’anni fa le aziende eseguivano scansioni di vulnerabilità ogni tre mesi, oggi eseguire questi processi ogni quattro ore potrebbe non essere sufficiente. Inoltre, oggi le aziende non possono più permettersi di inseguire ogni singola segnalazione. Un'infrastruttura IT moderna genera un numero enorme di avvisi e vulnerabilità: tuttavia, si stima che solo il 5% di essi, o anche o meno, sia un segnale di rischio reale per l'organizzazione.
Per affrontare tutto ciò, Qualys spinge sul concetto di Risk Surface Management (gestione della superficie di rischio), superando il tradizionale Attack Surface Management (gestione della superficie di attacco). Per anni, il settore ha parlato di gestione della superficie di attacco, ovvero l'identificazione di tutti i possibili punti di ingresso per un hacker ma oggi questo concetto è superato. Qual è la differenza?
Immaginate di avere una casa e di spendere mezzo milione di dollari per installare sensori, telecamere termiche e allarmi su ogni singola porta e finestra. Un investimento enorme. Ma se poi il valore massimo di ciò che un ladro potrebbe rubare è di soli 50.000 dollari, quell'investimento è stato intelligente? Assolutamente no. Eppure questo è ciò che accade in molte aziende. Si sprecano enormi risorse per proteggere asset di scarso valore, mentre magari si trascurano vulnerabilità critiche su sistemi che, se compromessi, potrebbero causare perdite milionarie. La priorità non deve essere determinata dal numero di vulnerabilità, ma dall'impatto sul business di una potenziale perdita.
Parlare la lingua della finanza
Uno dei maggiori ostacoli al raggiungimento di una cybersecurity efficace è il divario di comunicazione tra i team tecnici (guidati dal Ciso, il chief information security officer) e la leadership aziendale (il direttore finanziario, il board). Il Ciso presenta metriche come "numero di vulnerabilità corrette", termini che per il management non significano assolutamente nulla. C'è una ragione strategica per cui questo deve cambiare: sempre più, oggi i Ciso riportano direttamente al Cfo, adl momento che la cybersecurity è una funzione di gestione del rischio per l'azienda.
La conversazione dev’essere, quindi, tradotta in termini finanziari. Invece di chiedere un budget per una nuova tecnologia, l'approccio vincente è quantificare il rischio. Per esempio: "Se spendo 300.000 dollari, riduco dell'80% la probabilità di perdere 10 milioni di dollari al giorno a causa di un attacco". Questa è una comunicazione che il Cfo non solo capisce, ma apprezza: permette, infatti, di prendere decisioni di investimento basate su un calcolo del rischio di business, non su astratti concetti tecnici.
Dal SOC al ROC, il Risk operations center
Per strutturare il nuovo approccio e rendere operativa la gestione del rischio, Qualys identifica tre pilastri fondamentali. Il primo è la misurazione del rischio: raccogliere dati e segnali da varie fonti per quantificare il livello di esposizione ai pericoli. Il secondo pilastro è la comunicazione del rischio, per cui è necessario tradurre i dati tecnici in informazioni contestualizzate e comprensibili per i diversi stakeholder (team IT, Cfo, board). Questo pilastro è considerato da Qualys un elemento distintivo e cruciale. Infine, l’eliminazione o la mitigazione del rischio, che richiede azioni concrete (patching, disinstallazione di software, riconfigurazione) in una corsa contro il tempo con gli aggressori.
Con questo schema, Qualys introduce il concetto di Risk Operations Center (Roc). Si tratta di un insieme di capacità e di un framework che combina persone, processi e tecnologia per gestire il rischio in modo proattivo e continuativo. A differenza di un Soc, focalizzato sulla risposta agli incidenti, il Rocsi concentra sulla prevenzione. I blocchi costitutivi di un Risk Operations Center sono cinque. Si comincia dall'’inventario degli asset, partendo dal fatto che non si può proteggere ciò che non si conosce. C'è poi la Risk Factor Aggregation, cioè la capacità di raccogliere segnali di rischio da strumenti diversi, inclusi quelli della concorrenza, per avere una visione unificata.
Il terzo elemento è la threat intelligence: molto importante, serve a contestualizzare il rischio in base alle minacce attive e all'ambiente circostante. Quarto pilastro è il contesto di business, per cui serve quantificare il rischio in termini finanziari. Il quinto aspetto è la remediation, in cui sono richiesti automazione e processi per risolvere rapidamente i problemi prioritari. Infine la compliance: bisogna gestire il rischio di non conformità, che può avere conseguenze aziendali gravi quanto un attacco.
La piattaforma Enterprise TruRisk Management, già disponibile sul mercato, è l'implementazione di questo concetto. Si tratta di una soluzione progettata per integrarsi con gli strumenti già in uso e per aggiungere valore, anziché richiedere una sostituzione completa. Di fronte ad ambienti IT sempre più complessi e a sempre più numerose esposizioni potenziali al rischio, il vantaggio di una piattaforma di gestione della cybersecurity olistica e proattiva è il fatto di raccogliere tutti i dati in un solo punto, unificando i punteggi di rischio e semplificando la prioritizzazione e il reporting. Grazie alla capacità di analizzare e visualizzare in un colpo d’occhio tutti i fattori di rischio (come la “sfruttabilità” della vulnerabilità, il particolare contesto di un’azienda, le informazioni sulle minacce e l'impatto finanziario) Enterprise TruRisk Management consente di creare strategie “azionabili” e in linea con gli obiettivi aziendali.
Il ruolo dell'intelligenza artificiale agentica
Il futuro della cybersecurity non si costruisce solo assumendo più esperti, ma anche mettendo all’opera una nuova forza lavoro: l'AI agentica. Questo approccio è, secondo Qualys, una risposta diretta alla cronica carenza di talenti specializzati nel settore. La società californiana sta sviluppando un marketplace di agenti AI specializzati che possono essere usati per “aumentare” i team umani, per automatizzare i processi di analisi e remediation e per migliorare drasticamente l'efficacia e scalabilità della gestione del rischio. Non si tratta semplicemente di un'AI integrata in una piattaforma, ma di un vero e proprio marketplace di agenti AI specializzati che le aziende possono aggiungere al proprio team.
L'esempio di “Agent Sarah” è emblematico. “Sarah” è un'agente AI esperta nel "Patch Tuesday" di Microsoft. In modo completamente autonomo, può analizzare la situazione attuale dell'azienda, proporre un piano di rimedio, eseguirlo e infine riportare i risultati ottenuti. Un processo che a un team di professionisti richiederebbe giorni, se non settimane, può essere svolto in poche ore. Secondo l’amministratore delegato di Qualys, il team di sicurezza del futuro seguirà un modello ibrido, composto da "esperti umani che lavorano insieme a sette agenti AI". Questo modello permette di “scalare” le competenze istantaneamente per affrontare nuove minacce. “Quando la quantum security diventerà una preoccupazione concreta, non dovrete aspettare mesi per assumere un esperto: potrete assumere un agente AI specializzato in pochi minuti”, ha detto Thakar.
Risultati di Qualys in Italia
Qualys ha dimostrato una crescita significativa in Italia: dai pochi, quattro o cinque clienti che aveva nel 2015, la società ha raggiunto il traguardo dei 500 clienti, coprendo tutti i principali segmenti di mercato, ovvero finanza, assicurazioni, manifatturiero, telecomunicazioni e settore pubblico. Come spiegato da Emilio Turani, managing director per Italia e Sud-Est Europa, l'azienda opera con un modello indiretto, affidandosi a un ecosistema di partner. “All’inizio è stata una scommessa audace: introdurre la sicurezza cloud in un Paese che la guardava con diffidenza", ha dichiarato Turani. "Oggi, la visione di Qualys si è concretizzata in una piattaforma unificata e cloud-native, progettata per semplificare la gestione della sicurezza e ridurre i costi”.
Un elemento chiave per il mercato italiano è stato il rinnovo della certificazione Acn (Agenzia per la Cybersicurezza Nazionale) di secondo livello, che ha permesso a Qualys di proporsi ad aziende che operano in ambiti regolamentati e nel settore pubblico. Ora si continuerà a calibrare sull’Italia quella che è la strategia globale di Qualys, declinandola nel contesto locale, rispettando l'ecosistema e raccogliendo feedback dai clienti. Inoltre si punta sulle competenze: negli ultimi tre anni, Qualys ha formato 800 persone, tra partner, clienti e prospect.