Cybersecurity, il successo di Sababa nasce dalle verticali di mercato

Alessio Aceti, Amministratore Delegato dell'azienda, racconta come Sababa in un paio di anni si è creata una solida posizione nella cybersecurity industriale.

cybersecurity Security

Sababa è un’azienda di cybersecurity giovanissima. Nasce infatti nell’ottobre del 2019 da un’idea di Alessio Aceti, che ora è l’Amministratore Delegato. Tale idea prende origine da un fatto pratico: “All’epoca – afferma Aceti – ero Vice President News Business di una grande azienda di cybersecurity e notavo che non c’erano problemi a trovare rivenditori per i prodotti. Tuttavia, quando si trattava di fornire servizi di integrazione complessa che prevedevano una componente tecnica spinta, praticamente tutti i rivenditori facevano un passo indietro. Mancavano le competenze, soprattutto verticali su alcuni ambiti industriali, come Scada, Plc e IoT e per il mondo automotive”.

Da tale constatazione ha preso appunto vita in Alessio Aceti l’idea di creare un’azienda che da un lato sapesse integrare soluzioni di terze parti e dall’altro lato avesse le competenze necessarie ad affrontare le problematiche di sicurezza IT legate al settore industriale, in particolare del mondo Iot e dell’automotive.

– Quali sono i principali servizi offerti da Sababa?

Attraverso degli audit aiutiamo le aziende a capire qual è il loro livello di resilienza e di postura di cybersecurity. Sono servizi che si collocano a metà strada tra l’assessment che può effettuare un consulente delle Big 4 (Deloitte, EY, KPMG e PwC) e il pen test che può eseguire un supertecnico, che però risulta avulso dal contesto. In questo modo, riusciamo a produrre una sorta di pagella con dei voti che mostra alle aziende cosa stanno facendo bene e cosa invece andrebbe perfezionata. A fronte di tale pagella, costruiamo una roadmap per aiutare le aziende stesse a migliorare nel tempo.

– Che modello di business avete adottato?

Non ci occupiamo di rivendita pura, non è il nostro obiettivo. Tipicamente acquistiamo soluzioni di terze parti, come prodotti per l’EDR o l’identity management, e le vendiamo tramite un servizio. In pratica il cliente paga un canone trimestrale ricorrente e noi gli forniamo un servizio, che può essere un MDR o l’amministrazione delle identità, basato sull’impiego di prodotti terzi.

Abbiamo anche una nostra tecnologia. È una soluzione di security awareness, prodotta e sviluppata interamente da noi, che integra sia la parte di formazione, quindi una serie di moduli su come riconoscere fishing, spam, ramsonware e così via, sia moduli verticali legati alla legislazione italiana in modo da consentire il rispetto delle normative previste dal sistema di sicurezza nazionale.

Un terzo tipo di servizio che offriamo è la continuous simulation. Eseguiamo molteplici simulazioni di attacchi, per esempio di falso phishing o spam, contestualizzando il servizio in base alle caratteristiche del cliente.

C’è poi la parte dei servizi gestiti. Uno dei cofondatori di Sababa è Enrico Orlandi, che è anche il ceo di Hwg. Loro hanno da tempo servizi SOC, che noi proponiamo anche ai nostri clienti.

In questo modo copriamo un po’ tutta la value chain della cybersecurity.

cybersecurity

– Com’è strutturata Sababa oggi?

Attualmente siamo più di 50 persone. La nostra sede è a Pero, nella periferia ovest di Milano. Abbiamo poi un ufficio a Roma, a Bari (per i servizi gestiti) e uno a Torino, che si occupa unicamente della cybersecurity in ambito industriale: possiamo soddisfare le necessità di clienti che ci coinvolgono su attività molto verticali nel settore come la gestione dei sistemi IoT o il pen test su sistemi Scada o PLC.

Abbiamo anche una sede in Uzbekistan: lì c’è un mercato molto interessante perché erano abituati a comprare da fornitori russi, ma oggi molte aziende li hanno banditi per una questione geopolitica, sociale e tecnica. Questo mercato rappresenta il 4% delle nostre revenue, ma riteniamo che crescerà nel futuro.

Abbiamo poi un ufficio in Spagna, a Madrid. Lo abbiamo aperto di recente perché alcuni dei nostri clienti italiani operano anche in Spagna e un anno e mezzo hanno iniziato a coinvolgerci in attività locali. Quindi, avevamo bisogno di una presenza nel Paese.

Ritengo che oggi le caratteristiche fondamentali che si devono avere per essere credibili sul mercato siano due: la prima è la capacità interna di fornire servizi avanzati, la seconda è di coprire delle verticali specifiche, come, per esempio, l’Iot o la security dell’automotive. Questo aiuta sia a differenziarsi dagli altri, sia a entrare in ambienti particolari. Per esempio, alcune importanti società di consulenza hanno comprato da noi dei servizi e li hanno rivenduti a loro grandi clienti che appartenevano a una nicchia che non riuscivano a coprire. Da lì è iniziata una collaborazione e ora dette società di consulenza ci coinvolgono spesso anche su altri tipi di clienti.

– Quali sono i vostri clienti? Come li raggiungete?

Siamo partiti pensando che una nuova società potesse avere più successo nel segmento SMB. Invece, ci siamo ritrovati a lavorare molto di più con le grandi aziende. Il nostro cliente tipico è una società che ha dai 2 mila ai 10 mila dipendenti.

Questo dipende dal fatto che proponiamo servizi tecnicamente avanzate che i grandi clienti, che spesso hanno un team interno dedicato alla sicurezza, riescono ad apprezzare.

Così oggi la maggior parte dei nostri clienti è costituita da aziende italiane di settori critici come utilities e multi-utilities, generazione di energia, automotive, società di mobilità, trasporto pubblico e smart mobility. Abbiamo anche clienti nel mondo finanziario, alcune banca di medie dimensioni e qualche TELCO.

Il nostro primo anno di attività è stato quasi tutto legato ai clienti enterprise. Dal secondo anno ci siamo spostati un po’ anche sulla fascia alta del segmento SMB, soprattutto con soluzioni come l’MDR e l’awareness.

Non abbiamo affrontato questo mercato in modo diretto perché il cliente di medie dimensioni non ama avere molti molteplici fornitori differenti. Abbiamo perciò cercato dei partner che a tale cliente vendono stampanti, cloud e server come R1, Gruppo Filippetti, Software One. Così se è necessario fare un assessment, un pen test o un security awareness chiamano Sababa. Lo scorso anno un terzo del nostro fatturato è arrivato dai partner e due terzi dai clienti di grandi dimensioni che per la maggior parte invece seguiamo direttamente.

cybersecurity

Nel caso acquisisca un cliente, solitamente il partner si limita a gestire le procedure di vendita. Questo perché spesso alla notevole competenza commerciale non associa un uguale livello di competenza sul versante tecnico. Quindi, per risultare comunque l’unico interlocutore per l’IT e la security, il partner ci ingaggia. Noi però non ci muoviamo a nome del partner, ma andiamo dal cliente come Sababa e l’attività tecnica la facciamo presso il cliente o da remoto. Il partner si occupa esclusivamente della transazione commerciale. L’unica eccezione riguarda la soluzione di security awareness: siccome è sviluppata da noi, alcuni partner comprano il prodotto in modalità MSP e lo erogano come servizio ai loro clienti.

– Che percezione c’è oggi del pericolo che può arrivare dalla sicurezza?

Ritengo che la consapevolezza sia diffusa, complice anche l’attualità, la guerra e i casi eclatanti di ransomware di cui si ha sempre più spesso notizia. Detto questo, esistono aziende più o meno mature nei confronti della sicurezza. Al contrario di quanto si potrebbe pensare, la discriminante però non è la dimensione. Un caso è il Mix (Milan Internet eXchange) dove lavora una ventina di persone e che connette i vari Internet provider a Milano. Nonostante sia una società molto piccola le persone oltremodo consapevoli dei rischi cyber e hanno un elevato livello di maturità nella protezione di quello che fanno.

Al di là del Mix, che è un caso di eccellenza, le aziende piccole oggi hanno una consapevolezza del rischio, ma spesso poi, all’atto pratico, fanno meno di quanto ci si aspetterebbe perché non hanno adeguate risorse interne. Di solito, si affidano a consulenti esterni che le seguono, le guidano e le aiutano a migliorare. Perciò molto spesso il livello di sensibilità verso la security dipende anche dal rapporto con il consulente e dalle attività che lui svolge. Così, ci sono aziende piccole che per settore di appartenenza sono più mature e altre magari grandi che avrebbero bisogno di fare tanto dal punto di vista cybersecurity e non lo fanno. Alcune aziende che sono nella filiera dell’automotive e producono componenti sono consapevoli del problema della sicurezza perché il gruppo per cui lavorano gli manda una serie di requisiti di cyber da rispettare.

Dal canto loro, le aziende grandi hanno gli strumenti oltre alla consapevolezza.

Tuttavia, prendono in carico la security dal lato dell’It ma non dal lato dell’impianto perché è troppo costoso. Quindi a volte c’è un problema sugli impianti che ancor prima di riguardare la cybersecurity riguarda la governance generale. Infatti, ci sono fornitori che entrano nella rete aziendale senza grandi controlli.

– Quai sono i consigli che darebbe a un’azienda per avere un buon livello di sicurezza?

Partirei dal non comprare a caso. La scatola magica che protegge dagli attacchi non esiste e quindi gli strumenti usati devono essere adatti alle necessità.

In secondo luogo, farei un assessment per valutare lo stato dell’azienda dal punto di vista della compliance. Ciò permette di stabilire dove l’azienda è già matura e dove invece ha delle lacune in termini di sicurezza e come vanno colmate.

Si vede avere una corretta gestione d’insieme. Questo si traduce nel mantenere tutta l’infrastruttura aggiornata, seguire le best practice di sicurezza nei processi e nelle procedure di gestione degli utenti. Mantenere un elevato livello di consapevolezza negli utenti facendo security awareness, formazione, simulazioni di attività. Si possono fare spesso anche sfruttando contributi sulla formazione.

Va infine considerato che la cybersecurity è un problema di tutta azienda e che quindi il management, per quanto gli compete, deve essere parte attiva in tutti i processi e le attività di cybersecurity.