Nell’ambito della sicurezza, Qualys è un marchio storicamente legato ai servizi gestiti. Già alla fine degli anni ’90, infatti, offriva tramite cloud alle organizzazioni di livello enterprise un SaaS per il vulnerability management. Dopo 23 anni, il vulnerability management è ancora il punto forte dei suoi servizi pay-per-use per la sicurezza IT. Ma oggi l’offerta è più articolata e anche il target si è ampliato. Abbiamo incontrato Emilio Turani, Managing Director per Italia, South Eastern Europe, Turchia e Grecia, per saperne un po’ di più su chi è Qualys oggi e su quali sono i suoi progetti e obiettivi.
– Chi è Qualys? Può tracciare un breve profilo?
Qualys è stata fondata nel 1999 a San Francisco, dove risiede ancora l’head quarter. Globalmente presente in 130 Paesi, l’azienda annovera circa 2.000 dipendenti e oltre 10.000 clienti, ai quali offre servizi per la sicurezza IT. La soluzione per cui storicamente è conosciuta Qualys, e che genera ancora la maggior parte del fatturato, è Vulnerability Management, Detection and Response (VMDR).
Qualys è partita con il VM e rappresenta ancora un punto di riferimento nel VM. Tuttavia, oggi il vulnerability management non è l’unica nostra proposta. Abbiamo 20 applicazioni per la sicurezza, siamo diventati una sorta di cloud solution provider di IT security compliance. L’app di VM è quella che ancora ci contraddistingue, ma, gradualmente, stanno prendendo piede anche le altre applicazioni.
Abbiamo eseguito di recente una survey presso i nostri clienti e abbiamo notato che una subscription è rinnovata per il 95% dei casi se il cliente ha un’applicazione (tendenzialmente quella per il VM), si sale al 97% se ha due nostre applicazioni e si sfiora il 100% nel caso di tre o più nostre applicazioni. In questo giocano un ruolo importante i vantaggi che derivano dall’avere un’unica gestione centralizzata, inoltre offriamo un asset inventory che permette una completa visibilità sulle risorse da proteggere.
– Una volta si tendeva a diversificare…
Oggi invece la tendenza è a centralizzare, a lavorare sulla riduzione del costo di amministrazione, cioè di avere soluzioni che non consentono tanto di ricorrere a molteplici tecnologie quanto, invece, di utilizzare in modo più efficace le risorse disponibili.
Una recente indagine di IBM riporta che oltre il 73% delle aziende di livello enterprise usa più di 10 soluzioni di sicurezza contemporaneamente. Gestire 10 console non è certo semplice. La sfida sta quindi nel creare un ecosistema che, utilizzando le risorse a disposizione, riduca l’impatto sulle risorse stesse.
Questo amplia la platea degli interlocutori: i CISO rimangono il nostro riferimento, ma sempre più spesso ci interfacciamo anche le persone del finance e il CEO. Questo perché, offrendo una soluzione scalabile, forniamo la possibilità di avere la predicibilità dei costi nel lungo periodo. E ciò, non solo in termini di subscription delle applicazioni, ma anche dell’installazione e della gestione. Da problema totalmente a carico dell’IT, il security management si è esteso a tutta l’azienda.
– Cosa caratterizza la vostra offerta per il vulnerability management?
L’aspetto peculiare è che le scansioni sono eseguite tramite un agente, che viene installato sui dispositivi aziendali. Non serve uno scanner specifico, a cui invece si doveva ricorrere fino a due-tre anni fa, se si intendeva indagare nella rete interna di un’organizzazione. Usando l’agente, di fatto, si ha già uno scanner e non ne servono altri.
In più, oltre ad avere un’elevata granularità, si possono ottenere anche dei microservizi. Si inizia con il VM e aggiungendo un add-on si ha l’EDR, un altro add-on permette di avere il file integrity monitoring e così via. Come dicevo, ora abbiamo 20 applicazioni di sicurezza che possono essere affiancate al vulnerability management come add-on.
Di recente abbiamo lanciato la versione 2.0 del VMDR, che, in modo automatico, individua la vulnerabilità, seleziona la patch adeguata e la installa. Qualys è l’unico vendor a proporre tutte queste funzionalità incluse in un unico agente.
Il nuovo VMDR 2.0 introduce il calcolo del rischio (TruRisk) e un criterio di analisi basati sulla threat intelligence, sulle vulnerabilità e sull’infrastruttura. In pratica, a ogni vulnerabilità scoperta viene dato un certo “peso”, in funzione di una serie di fattori che ne stabiliscono il livello di criticità, tarandolo sulle caratteristiche della singola azienda, sul tipo di asset, di chi lo usa e per cosa lo usa. Questo consente di avere una soluzione molto granulare basata sulla risk mitigation: il risultato è un assessment preciso e dinamico.
Un altro aspetto importante è che le aziende che usano il nostro VM solitamente integrano l’asset inventory. Questo ha un particolare valore perché se non si sa da cosa è composta la propria rete non si può avere la certezza che sia protetta. E oggi, che con il BYOD il perimetro aziendale praticamente non esiste più, ogni device può potenzialmente rappresentare una vulnerabilità. Avere una chiara visibilità è fondamentale per capire come agire in termini di analisi di sicurezza.
Attraverso l’asset inventory, si può gestire da un’unica console centralizzata non solo l’intera dotazione IT, ma anche la security e la parte di compliance in modo da avere sempre tutto sotto controllo. Il nostro CSAM (Cybersecurity Asset Management) permette anche di sapere se si ha un software in scadenza o scaduto. La scansione è automatizzata e può essere effettuata con la frequenza desiderata.
Oggi, l’automazione svolge un ruolo fondamentale nella security perché per rispondere agli attacchi, che sono aumentati in modo esponenziale in quantità e qualità, una persona non può bastare. Non può agire con la tempestività necessaria per lanciare le scansioni, gestire la loro granularità e precisione, amministrare la threat intelligence e, soprattutto, fornire quella prioritizzazione che consente di capire davvero cosa fare e dove e con che tempi intervenire.
– Commercialmente, come approcciate i vostri clienti?
Storicamente, il cliente tipo di Qualys è l’azienda di grandi dimensioni e in quel segmento abbiamo conquistato la leadership all’interno delle soluzioni per il vulnerability management. Questo si traduce in clienti come le banche, il finance o le Telco. In Italia annoveriamo molte aziende di livello enterprise e SME, ma stiamo sviluppando anche il mercato SMB, grazie anche al servizio erogato attraverso i partner.
Un altro canale è quello dell’MSSP. Noi forniamo alle Telco il nostro software di sicurezza e loro lo propongono assieme alla connettività.
Come accennavo poc’anzi, stiamo avendo un ottimo riscontro anche dalle aziende di media dimensione, dove l’automazione, la semplificazione e la scalabilità sono un fattore vincente, poiché l’interazione nei processi aziendali comporta una tangibile riduzione dei costi di gestione e di possesso.
Per quanto riguarda il canale abbiamo grandi novità: stiamo lanciando un global partner program finalizzato a consolidare un rapporto strategico nel medio-lungo periodo.
Fino a un po’ di tempo fa avevamo solo pochi partner perché i clienti erano essenzialmente organizzazioni di livello enterprise. Ampliando li raggio d’azione sul segmento SME-SMB, tramite anche MSSP, abbiamo aumentato il numero di partner e abbiamo acquisito un distributore, Icos. È un’azienda che opera in modo propositivo e che ci fornisce un grande aiuto nel gestire il canale e a fare attività di training: noi crediamo molto nella formazione in cui investiremo ulteriormente in futuro.
– Da quanto tempo avete iniziato a puntare verso il segmento SME-SMB? Cosa vi aspettate?
L’apertura verso l’SME-SMB l’abbiamo sempre avuta, però abbiamo iniziato a focalizzarci in modo deciso su tale segmento un anno e mezzo fa. Ora sta crescendo molto bene e stiamo acquisendo nuovi clienti. Riteniamo sia un mercato in grande espansione e con un elevato potenziale, per questo vi stiamo dedicando delle persone.
Recentemente abbiamo assunto un solution architect e un responsabile commerciale per il centro-sud Italia. Ora stiamo cercando un responsabile commerciale per il centro-nord Italia che riporti al direttore vendite Marco Atzeni.