Perché il canale non deve ignorare la validazione della sicurezza
Il mercato della Breach and Attack Simulation (BAS) cambia le regole del gioco nella cybersecurity. Per il canale distributivo IT si apre una finestra di opportunità.
Il canale IT ha sempre avuto un rapporto complicato con la cybersecurity offensiva.
Strumenti come il BAS, nati per simulare attacchi reali e validare l’efficacia dei controlli di sicurezza, sono stati a lungo percepiti come tecnologie da specialisti, difficili da proporre, difficili da implementare, difficili da far capire al cliente medio.
Risultato: per oltre un decennio il mercato BAS è rimasto un territorio di nicchia, frequentato più da consulenti d’élite che dal canale mainstream.
Oggi qualcosa si sta rompendo in modo strutturale, e gli analisti Elvia Finalle e Andrew Braunberg di Omdia lo documentano nel loro ultimo blog dedicato all’evoluzione del BAS verso l’exposure management.
Per il canale distributivo IT, capire questa trasformazione non è un esercizio culturale: è una questione di rilevanza commerciale nei prossimi anni.
Perché il BAS diventa una conversazione mainstream
Il punto di partenza è l’adozione crescente dei modelli di processo CTEM, Continuous Threat Exposure Management. Le organizzazioni che vogliono costruire una postura di sicurezza davvero proattiva non possono più limitarsi a sapere quali vulnerabilità esistono: devono sapere se i loro controlli di sicurezza funzionano davvero contro un attacco reale.
Questo step di validazione tecnica è esattamente ciò che il BAS fornisce e nessuna altra categoria di prodotto riesce a replicare in modo equivalente.
Il problema, che Omdia analizza è che i deployment BAS sono storicamente troppo complessi e resource-intensive per la maggior parte delle organizzazioni. La curva di apprendimento è alta, l’integrazione con i sistemi esistenti richiede sforzo, e mantenere una cadenza di simulazione sufficiente a garantire un monitoraggio davvero continuo è operativamente impegnativo.
Qui entra in gioco il canale. Perché se il prodotto da solo non riesce a esprimere il suo valore, è la componente di servizio, gestione, integrazione, interpretazione dei risultati, a fare la differenza. Ed è esattamente la competenza che un buon partner di canale può e deve portare al tavolo.
L’opportunità: dal prodotto al processo
Il cambiamento più rilevante che Omdia registra è di natura concettuale prima ancora che tecnologica: il BAS sta smettendo di essere uno strumento di validazione tecnica a uso degli specialisti di sicurezza per diventare un componente strutturale dei programmi di exposure management, con implicazioni dirette sulla reportistica verso board e top management.
I vendor stanno sviluppando analytics sempre più sofisticate per tradurre i risultati delle simulazioni in metriche di rischio finanziario comprensibili al C-level. Dashboard con security grade percentuali, report orientati al business risk, integrazione con i framework di risk management aziendali: il BAS sta imparando a parlare la lingua del business, non solo quella del SOC.
Per il canale, questo è un cambio di interlocutore. La vendita non passa più solo dall’IT manager o dal CISO tecnico: passa dal CFO che vuole capire l’esposizione finanziaria al rischio cyber, dal board che chiede metriche misurabili, dal CEO che deve rispondere agli azionisti in caso di breach.
Chi nel canale sa costruire questa conversazione ha un vantaggio competitivo enorme rispetto a chi vende ancora “per feature”.
La pressione competitiva: capire il campo di battaglia
Il canale deve anche saper navigare una dinamica competitiva complessa.
I vendor di exposure management hanno costruito le loro proposizioni di valore proprio sminuendo la necessità della validazione tecnica: i loro risk score e le loro capacità di prioritizzazione della remediation, sostengono, non richiedono la complessità del BAS.
La validazione tecnica, ovvero la capacità di confermare attraverso una simulazione d’attacco reale se un determinato controllo regge o meno, rimane un requisito critico che nessuna piattaforma di exposure management riesce oggi a soddisfare in modo equivalente.
Le due tendenze che ridisegnano la go-to-market del canale
Omdia individua due macro-tendenze strutturali su cui il canale deve impostare la propria strategia.
La prima è il passaggio dalla compliance alla quantificazione del rischio di business. I clienti non comprano più BAS per “stare a norma” o per superare un audit. Lo comprano, o dovrebbero comprarlo, per sapere quanto sono esposti finanziariamente a un breach e per dimostrarlo in modo misurabile verso l’alto. Questo significa che il canale deve spostare il proprio pitching dalla feature list alla business conversation: quanto costa un incidente? Qual è il gap tra la sicurezza percepita e quella reale? Quanto vale poter rispondere a queste domande con dati invece che con stime?
La seconda è la convergenza con le piattaforme di security orchestration. Il BAS si sta integrando sempre più profondamente con i SOAR, con i SIEM e con le piattaforme di exposure management, in un’architettura a ciclo chiuso che va dal testing automatizzato alla remediation.
Per il canale questo significa due cose concrete: primo, che le opportunità di progetto si allargano ben oltre la licenza del prodotto BAS, includendo integrazione, configurazione e gestione continuativa; secondo, che il partner che sa costruire e gestire questo ecosistema integrato diventa difficilmente sostituibile dal cliente.
Il modello di business per il canale: dove si fa margine
Tradizionalmente il margine sulla licenza software di sicurezza è stato sempre più compresso dalla pressione sui prezzi e dalla vendita diretta dei vendor. Il BAS non fa eccezione ma offre al canale qualcosa di più interessante della marginalità sulla licenza: la recurring revenue sui servizi.
Le organizzazioni che adottano il BAS hanno bisogno di qualcuno che gestisca la complessità operativa: configurazione degli scenari di simulazione, interpretazione dei risultati, prioritizzazione della remediation, integrazione con il resto dello stack, aggiornamento continuo delle librerie di attacco.
Tutto questo è servizio, non prodotto — e il servizio non si compra direttamente dal vendor.
Il modello più promettente per il canale è quello del managed BAS: un’offerta mensile ricorrente che include licenza, gestione, reporting e advisory.
Omdia stessa evidenzia come la complessità di implementazione e la curva di apprendimento siano tra le barriere principali all’adozione barriere che il canale può abbattere meglio di chiunque altro, trasformando un ostacolo di mercato in un’opportunità di servizio.
Esperto nel campo del software e dell’hosting cloud, Pulvermueller è subentrato a Serguei Beloussov, che ha fondato l’azienda nel 2003 e ricoperto il ruolo di CEO a partire dal 2013, dal 1 luglio scorso.
Alessandro Papini, Presidente di Accademia Italia Privacy: “Purtroppo la raccolta dei dati personali in relazione alla pandemia di Covid-19 non si è limitata a Immuni e le zone d’ombra sono numerose”.
