Il primo argomento trattato nelle tavole rotonde organizzate da ChannelCity in occasione del mese del canale non poteva che essere la sicurezza informatica. Un argomento sempre più centrale sia per i vendor che per i system integrator, chiamati a soddisfare le esigenze pressanti di security di tutti i clienti, dalle enterprise alle PMI. Lo scenario è ormai ben noto: l’emergenza sanitaria prima e il conflitto ucraino dopo, hanno imposto alle aziende di ogni dimensione e settore di affrontare problemi inediti quali la dissoluzione dei perimetri, la migrazione cloud e il cyberwarfare. Tutto quello che funzionava in uno scenario noto, con una evoluzione altamente controllabile e prevedibile, ha smesso improvvisamente di fare il suo dovere, e le aziende si sono trovate impreparate nella difesa, nella risposta e nella remediation degli attacchi cyber. Per contro, gli attaccanti hanno innovato repentinamente tattiche, tecniche e procedure (TTP) per approfittare il più possibile della situazione, e delle debolezze delle potenziali vittime. ChannelCity ha coinvolto nella discussione i manager di alcuni dei più prestigiosi vendor e di alcuni importanti system integrator che operano in Italia, per comprendere le conseguenze di questo scenario inedito, che cosa sta comportando nei modelli di business e nel go to market, e la posizione del canale al riguardo. Sul fronte dei vendor sono intervenuti Denis Valter Cassinerio, Regional Sales Director Acronis per l'Europa meridionale; Fabio Buccigrossi, Country Manager di ESET Italia; Cesare Radaelli, Sr Director Channel Account di Fortinet; Marco D’Elia, Country Manager di Sophos. Hanno rappresentato i system integrator Nicolò Ceribelli, CyberSercurity Advisor presso Lutech, e Massimo Brugnoli, Business Development Manager di Project Informatica.

Lo scenario attuale della cyber security

Il punto di vista dei relatori sullo scenario attuale è sintetizzabile in tre punti: deperimetrizzazione, cultura della security, importanza degli MSSP. Sono tre filoni di discussione che concorrono a delineare una situazione complessiva preoccupante, in cui da una parte c’è un incremento esponenziale di elementi esposti (a partire dall’individuo) a prescindere dall’infrastruttura, dall’altra una mancanza di reattività data dalla scarsa cultura di security delle imprese e dal conseguente posticipo degli interventi di security che potrebbero (e avrebbero già potuto) porre rimedio alla situazione. I prodotti non mancano, le tecnologie nemmeno; scarseggiano le competenze per la loro selezione, adozione, installazione e gestione. Ed è qui che scendono in campo gli MSSP, ruolo a cui sono sempre più spesso e sempre più fortemente chiamati i system integrator. Denis Valter Cassinerio, Regional Sales Director Acronis per l'Europa meridionale Denis Valter Cassinerio sottolinea anche un importante elemento di vulnerabilità delle aziende: “il fattore umano e la difficoltà dell’individuo di stare al passo in un momento di decentralizzazione e transizione cloud, come dimostra per esempio la crescita degli attacchi di phishing e di Business Email Compromise”. Fabio Buccigrossi si spinge oltre su questo argomento: è vero che mancano cultura e sensibilizzazione dei dipendenti sulla security, ma manca anche e soprattutto il concetto di base che “le stesse regole di cyber hygiene adottate in ufficio debbono essere mantenute a casa, perché con il lavoro ibrido non esiste più una distinzione fra la sicurezza professionale e quella privata”.Cesare Radaelli si concentra maggiormente sul “concetto di cyber security, che è ormai un elemento imprescindibile di business, un elemento strutturale che dev’essere considerato ed evoluto come qualsiasi altro”. Soprattutto in un momento in cui si registra un’impennata della complessità, le soluzioni di ultima generazione possono fornire visibilità e controllo, che sono ormai indispensabili sia on-premises che in cloud, così come negli ambienti eterogenei. Su questo aspetto intervengono Buccigrossi e Marco D’Elia: le tecnologie sono cambiate, ma oggi sono necessari anche “i servizi ad esse legati, che hanno un costo elevato perché parliamo di una competenza umana che va ben al di là di un prodotto pacchettizzato”. “Oltre l’80% degli attacchi è unico – sottolinea D’Elia - costruito appositamente per espugnare certe realtà. È fondamentale spostare l’attenzione della security da prodotto a servizio”. Per comprenderlo basta analizzare la qualità e il calibro delle aziende attaccate durante il Covid, nonostante avessero acquistato il miglior prodotto in assoluto. Questo conferma che “scegliere il miglior prodotto è necessario, ma non è più sufficiente. Ci si deve spostare sul servizio, e dove non c’è un’adeguata maturità dei clienti, bisogna virare verso l’outsourcing. Chi ragiona ancora sulla logica di prodotto e sulla convenienza economica sarà penalizzato”. Da qui l’esortazione ai system integrator da parte di Buccigrossi: “innalzare la cultura sulla security presso i clienti e far comprendere loro il valore dei servizi”. Nicolò Ceribelli e Massimo Brugnoli non si lasciano sfuggire il gancio: “la parte consulenziale – sottolinea Ceribelli - è fondamentale per far comprendere ai clienti le complessità, il panorama delle minacce in evoluzione, l’approccio alla visibilità e alla cyber security […] quello degli MSSP è l’approccio che fa la differenza perché permette di migliorare sia la security posture del cliente, sia l’offerta del vendor tramite servizi”. Brugnoli conferma l’importanza del ruolo di MSSP dei system integrator, che vivono “ogni giorno l’importanza della security, soprattutto per aziende non strutturate come le PMI. Il servizio gestito eleva i servizi di sicurezza senza alzare il conto economico ed evitando di acquisire expertise di cui difficilmente le aziende dispongono”. Per questo motivo i system integrator si pongono sempre nel modo più efficace possibile, dispensando cultura informatica e sensibilizzando le aziende sull’ABC della security.
Fabio Buccigrossi, Country Manager di ESET Italia

Il ruolo di vendor e system integrator

Dalla prima parte della discussione è emerso in modo preponderante che la stretta collaborazione fra vendor e system integrator è il potenziale game changer per l’adozione di una difesa di security efficace e al passo con i tempi. I relatori sono quindi stati esortati a definire meglio questo ruolo. L’esito del dibattito è corale: il vendor deve creare un prodotto a valore che sia utile. L’MSSP deve scegliere le tecnologie adeguate da proporre al cliente. Un compito, quest’ultimo, che secondo Buccigrossi è tutt’altro che semplice, dato che “non ci sono molti system integrator capaci di svolgerlo. La maggior parte dei clienti global preferisce rivolgersi direttamente al vendor, ma la soluzione più efficiente è l’adozione della tecnologia di un vendor insieme ai servizi di un partner”. Sul fronte vendor, Cassinerio puntualizza che “per gestire al meglio il rischio cyber, la catena che deve mettere al sicuro il cliente deve gestire gli asset più disparati e favorire la mitigazione del rischio (renderlo visibile, gestibile ed economicamente accettabile). L’obiettivo del vendor è quindi mettere gli operatori nelle condizioni di fruire di un beneficio tecnologico a livello molto alto e supportare i service provider in tutti gli aspetti dei servizi ai clienti”. Radaelli aggiunge il tassello della complessità, che “è l’elemento fondamentale da contenere. Troppe console e il concetto di best-of-breed hanno creato problemi”. Per questo il vendor deve mettere a disposizione del cliente un’offerta integrata che comprenda “decine di soluzioni differenti che devono dialogare e armonizzarsi tramite una console di management unica, così da permettere un intervento unico, che metta i partner nelle condizioni di costruirci attorno una soluzione di gestione”.La mediazione proposta da D’Elia consiste “nell’attenzione dal prodotto al servizio” da parte del vendor. In questa visione spetta quindi al “vendor mettere a disposizione del cliente e/o del partner un portafoglio di servizi che sia il più flessibile possibile […] una infrastruttura tecnologica il più aperta possibile, che raccolga informazioni e segnali derivanti da tecnologie anche concorrenti”.
Cesare Radaelli, Sr Director Channel Account di Fortinet Ovviamente il punto di vista dei system integrator è differente. Brugnoli chiede ai vendor di “non vincolare i partner nelle scelte, per lasciargli modo di comporre offerte adeguate alla situazione, valorizzando quello che c’è e aggiungendo quello che manca, perché gli investimenti dei clienti devono essere profittevoli”. Ceribelli invece rimarca l’importanza delle attività di awareness e di security assessment, che devono essere il punto di partenza per capire come configurare la security; a quel punto il partner deve essere libero di scegliere il vendor più adatto all’esigenza del cliente.

Servizi e skill

Appare chiaro da quanto emerso fin qui che i servizi e le competenze sono il valore aggiunto ai prodotti, che da soli non sono più sufficienti per garantire un adeguato livello di security. Lo sottolineano praticamente tutti i relatori: “la security è un ciclo di servizi – chiosa Cassinerio - La semplificazione dei servizi su tutta la filiera è un mantra che dev’essere costante su tutto il perimetro di fornitura: tutto dev’essere facilmente integrabile”. In quest’ottica il system integrator ha un ruolo indubbiamente centrale: come fa notare Ceribelli, “il system integrator fa comprendere al cliente il valore aggiunto rispetto al servizio proposto. Per ottenere una security posture che funzioni occorre offrire più servizi, proposti con un ciclo di vita prestabilito”. Questa posizione è condivisa anche da Brugnoli, che fa notare come “i servizi consolidati siano fondamentali non solo per il system integrator ma anche per cliente. Il servizio è inoltre un mezzo per avvicinare gli utenti alla cybersecurity e coinvolgere le aziende che non sarebbero accessibili con il prodotto puro. Non ultimo, tramite i servizi permettiamo alle aziende di piccole dimensioni di fruire di indubbi benefici”.
Marco D’Elia, Country Manager di Sophos Se la missione dei system integrator è offrire servizi, quella dei vendor è supportare i partner, come puntualizza Radaelli: “i vendor devono aiutare clienti e partner e industrializzare i servizi, ossia a formulare un’offerta basata su integrazione, visibilità e controllo. Questo perché più il vendor facilita la vita a chi deve erogare il servizio, più è vincente”. In questo paradigma, tuttavia, non si deve dimenticare l’industrializzazione, come rimarca anche Buccigrossi: “personalizzare ogni servizio ad hoc non è la strada. Meglio una base pronta da proporre per far capire ai clienti di che cosa si parla”. Il nodo delle competenze è invece una nota dolente. Buccigrossi denuncia che molte realtà italiane che si presentano come SOC in realtà non solo tali; Cassinerio fa notare che “le skill mancano a tutti, non solo ai clienti finali, anche a livello accademico e di specializzazione. Nonostante questo, Brugnoli insiste sul fatto che “bisogna coltivare i talenti da far crescere”, senza dimenticare di “combattere la presunzione - come sottolinea D’Elia - sia da parte di alcuni system integrator, sia da parte di alcuni clienti. La nostra visione è fornire education, insieme alla tecnologia abilitante dei servizi”.

Il nodo della formazione

Il discorso della formazione è troppo ampio per poter essere liquidato con qualche battuta. Nell’approfondimento sul tema è emerso un mea culpa collettivo: i vendor possono e devono fare di più. Lo denuncia D’Elia, sottolineando però che tutta la responsabilità formativa non può essere delegata solo alle aziende, in una situazione in cui “l’università chiede a noi di fare i corsi ai ragazzi, quando dovrebbe essere il contrario”. Non concorda del tutto Cassinerio, che ricorda come “la cyber security e le tecnologie nascono dalle industrie. Ci sono poli, come la Silicon Valley e l’Est europeo, con un tessuto di base che ha generato l’iniziativa privata e trainato la formazione. Quello che occorre in Italia è alimentare un percorso virtuoso come nazione, fiscalizzando gli investimenti in cyber e favorendo la creazione di poli”.
Nicolò Ceribelli, CyberSercurity Advisor presso Lutech Anche una volta seguita questa strada, tuttavia, bisognerebbe attirare i giovani verso la formazione. Un’impresa non facile secondo Radaelli, che fa notare come “i ragazzi di oggi non si avvicinano alla formazione cyber perché sono utilizzatori nativi. Non si chiedono come funziona per esempio uno smartphone, non lo studiano, non si fanno domande, si limitano ad usarne le funzioni. È necessario creare la curiosità del capire quello che stanno usando e come funziona davvero”. Su questo punto concorda Brugnoli: “un conto è la formazione interna di un system integrator, che è una realtà strutturata. Altro conto è il discorso di scuole e università: serve una spinta emotiva per motivare i ragazzi e sensibilizzarli, perché in assenza di interesse è difficile creare delle competenze vere”. Una volta motivati, tuttavia, serve l’insegnamento giusto, perché secondo Ceribelli oggi “purtroppo la scuola abbonda di teoria ma manca di pratica”, per questo Lutech predilige “un processo formativo interno, capire quali sono le certificazioni necessarie e come costruire un percorso che dia la possibilità di gestire il turnover. Così facendo è possibile mantenere uno zoccolo duro di dipendenti senior in affiancamento ai talenti, con una formazione continua per tutti”.

Coma cambia il rapporto fra vendor e system integrator

Dopo avere appurato l’importanza imprescindibile di una stretta collaborazione fra vendor e system integrator, manca da mettere a fuoco un aspetto centrale di questa collaborazione: che cosa vuole un vendor da un system integrator e viceversa. Radaelli di Fortinet individua tre temi: “competenza, affidabilità, flessibilità”, ricordando che è il cliente a decidere chi è il miglior system integrator, ossia colui che risponde nel miglior modo possibile alle esigenze del cliente stesso. Una volta che il cliente ha operato questa scelta, va da sé che per il vendor quello stesso system integrator è la scelta migliore con cui presentarsi al cliente”. Secondo Cassinerio di Acronis ciascun system integrator ha suo modello organizzativo e porta benefici al proprio segmento di mercato. Tuttavia, “il rapporto migliore è quello con il partner curioso che fa della curiosità la crescita aziendale. Il dialogo genera valore sul mercato, servizi ottimizzati, valutazioni di novità molto importanti”. In Italia esistono “realtà aperte a questo tipo di innovazione, e realtà che non attuano questo processo di innovazione, perdendo l’occasione di introdurre processi innovativi che possono portare resilienza cyber al mercato. In questo secondo caso il vendor finisce per guardare altrove”.
Massimo Brugnoli, Business Development Manager di Project Informatica Ma esiste un system integrator ideale? Non secondo D’Elia di Sophos, che ricorda come i system integrator siano “aziende che hanno la missione di disporre nella propria realtà di risorse e intelligenze capaci di integrare sistemi eterogenei. Hanno competenze in grado di capire che cosa può dare un vendor, e offrirlo ai clienti che ne hanno l’esigenza”. Occorrono quindi fiducia e comprensione da entrambe le parti perché il rapporto funzioni. In quest’ottica, “il vendor deve accettare l’apertura [del system integrator], altrimenti rischia di fallire, perché non esiste un vendor capace di coprire tutti gli ambiti della security”. Su questo punto concorda anche Radaelli: “avere competenza significa anche saper fare delle scelte sui vendor e sui prodotti che offrono, per evitare discrepanze nel messaggio al cliente”. Buccigrossi di ESET va oltre e propone ai system integrator di sfruttare i vendor come una business unit aggiuntiva a loro disposizione. Così facendo, a suo avviso, “la percentuale di fatturato della security per i system integrator aumenterebbe esponenzialmente” grazie al migliore servizio di security che riuscirebbero ad erogare ai propri clienti. Anche che cosa vuole un system integrator da un vendor è molto chiaro: collaborazione e affidabilità. Secondo Ceribelli di Lutech, solo con il lavoro congiunto di system integrator e vendor si può definire con grande precisione “la migliore soluzione tecnologica per soddisfare le esigenze di un cliente, e si ottengono grandi vittorie. Per questo motivo system integrator e vendor devono lavorare insieme, collaborando per formulare offerte tecniche ed economiche con l’obiettivo unico di fare business, in un clima di fiducia reciproca”. È della stessa idea Brugnolidi Project Informatica, che ricorda come l’unica contrapposizione che ha motivo di esistere è quella fra “il team dei buoni, che comprende vendor, system integrator e cliente, e che devono lavorare insieme, e quello dei cattivi da combattere, ossia chi scatena gli attacchi”. Affinché il lavoro del team dei buoni funzioni è necessario che i vendor siano affidabili nel tempo, che passino messaggi coerenti e congrui e che comprendano la necessità del system integrator di garantire ai clienti una modalità di lavoro priva di quei blocchi che ostacolano la security o il passaggio a nuove tecnologie di sicurezza informatica”. Detto questo, spetta poi al system integrator creare un ecosistema cucito in maniera sartoriale sul cliente per far fronte alle sue specifiche esigenze.