Come è nata l’idea di offrire servizi di sicurezza gestiti, quali sono le criticità, come comporre l’offerta: ne abbiamo parlato con Francesco Faenzi, Head of Customer Innovation & Success di Itway
Autore: Daniele Lazzarin
Le offerte di servizi gestiti di cybersecurity in Italia sono tutte molto recenti e in allestimento, e non è facile farsi un’idea di cosa stiano proponendo questi operatori (MSSP, Managed Security Service Provider), e delle sfide che stanno affrontando.
Itway è un nome conosciuto e consolidato nel mercato cybersecurity italiano, fondata quasi 30 anni fa e quotata in Borsa da 25, e da un paio d’anni ha appunto avviato un business MSSP. Ne abbiamo parlato a margine del recente Acronis TRU Security Summit con Francesco Faenzi (nella foto), già Head of Cyber Security & Resiliency e da poche settimane Customer Innovation & Success Director di Itway.
“Tre anni fa abbiamo fatto un “revamp” della business unit di sicurezza, che ora si chiama Cyber Security & Resiliency, e fa consulenza, system integration, e appunto managed services”, spiega Faenzi. “Come partner per questa attività abbiamo scelto Acronis per diversi motivi, tra cui alcune funzionalità come one-click recovery, particolarmente indicata per utenti con reparti IT poco strutturati, e l’approccio “partner-led”: le logiche di listino, l’impegno reciproco, l’assenza da parte loro di direct touch sui clienti sono tutte cose permettono di avviare il business MSP senza eccessive pressioni”.
Ma soprattutto, continua Faenzi, le tecnologie Acronis mettono insieme sicurezza e resilienza, e questo permette di proporre un’offerta dal triage al recovery. “Di solito i servizi gestiti MDR arrivano fino al contenimento dell'attacco, ma non al ripristino, mentre invece noi possiamo dire realisticamente al cliente che non si deve occupare di niente: questo per il target a cui puntiamo fa la differenza, parlo soprattutto di medie imprese di fascia alta, ma anche grandi o piccole, purché siano realtà mature che che vedono nella nostra proposta del valore aggiunto”.
Il 2025, soprattutto nella seconda parte dell’anno con la NIS2 e gli obblighi già noti e recentemente aggiunti, è stato decisivo per avviare il business MSSP in Itway: “Il piano, che abbiamo annunciato poco più di un anno fa, è di raggiungere un milione e mezzo di euro tra servizi e subscription in tre anni, e siamo al punto giusto del percorso”.
La decisione di partire con un’attività MSP è stata oggetto di lunghe valutazioni, spiega il manager di Itway: “I global system integrator in questo campo giocano una partita completamente diversa: per un MSP “locale” invece la logica è che devi essere molto bravo o costare molto poco”.
“Con questa premessa, il classico approccio di investire nella costruzione di un SOC, metterci dentro 7-8 specialisti e aspettare che il tutto decolli è molto rischioso. Oltretutto l'MSP non è un progetto dove ti implemento una tecnologia in certi tempi, poi me ne vado e auspicabilmente gli utenti la usano: deve fornire servizi in modo continuativo e garantire il funzionamento delle operation di un cliente. Per questo abbiamo scelto appunto la logica del ciclo completo fino al ripristino”.
"Solo che questo complicava ulteriormente le cose. Occorreva mettere insieme security e resiliency, cioè integrare le tecnologie di due fornitori diversi: trovare un vendor che fa entrambe le cose quindi è stato decisivo”.
Altro punto fermo di Itway era inserire nell’offerta un supporto di governance per il cliente: “Per questo insieme ai servizi gestiti di security e di resiliency proponiamo il “virtual CISO”: è un pacchetto con varie opzioni che si basa appunto su un service manager, coadiuvato da un team e da tecnologie di supporto, che si occupa di tutta la parte di ruoli e responsabilità organizzative per il cliente, policy, procedure, compliance e così via. È una figura che ora con NIS2 è fondamentale, perché aiuta il CIO e il CISO a dialogare con il board e il top management, anche per far capire le grandi responsabilità che la normativa assegna loro”.
Altre proposte di servizi gestiti sono poi la continuous assurance, cioè una continua sorveglianza delle esposizioni e visibilità su rischi e vulnerabilità, e l'incident response e crisis management, “cioè la gestione organizzativa della crisi e della business continuity da parte di un esperto che aiuta il CIO o CISO a capire come e quando comunicare con gli altri manager e con l’esterno, come relazionarsi con il Csirt e l’ACN, eccetera”.
L’inserimento nell’offerta di servizi a valore aggiunto come questi, continua Faenzi, è l’elemento decisivo per rendere un business MSSP sostenibile in uno scenario molto competitivo.
“Anzi l’MSP deve essere una piattaforma per fare upselling e cross-selling. Erogando questi servizi vediamo diversi problemi e vulnerabilità, vediamo tanti tentativi di attacco su un determinato asset e così via. Tutto questo può essere tradotto in opportunità commerciali. Si va dal cliente e si dice che dalle osservazioni che vedo nel SOC o dall'assessment del virtual CISO risulta per esempio che l'identity è un problema non gestito a livello governance, vulnerabilità e operation, e che possiamo risolverlo noi con un progetto, e magari poi prenderne in carico la gestione con un managed service”.
Escludendo altri servizi gestiti per help desk e aspetti infrastrutturali, alla parte puramente di security e resiliency Itway dedica una dozzina di specialisti. “Non troviamo particolari difficoltà nel reperimento delle risorse. Non siamo Milano-centrici, la sede storica è Ravenna, e questo ci permette di attingere a un bacino di scuole superiori e di università in Emilia, Romagna e nel Nord-est. Inoltre c’è un piano per aprire a breve sedi nel Sud, in particolare in Campania, per attingere da bacini di risorse dove c’è meno competizione”.
Oltretutto, sottolinea Faenzi, inserire neolaureati è più naturale su un’attività di MSP che su un progetto. “Un neolaureato su una consulenza può fare delle cose rimanendo in background, ma va gestito, mentre nell'MSP, se hai ingegnerizzato bene le operation, ci sono dei compiti che puoi assegnare tranquillamente”.
Questo porta naturalmente a qualche considerazione sull’intelligenza artificiale. “Nella quotidiana operatività dei managed services, tutta una serie di task possono essere automatizzati, questo è vero. Ma chi te le automatizza? Per una persona che prima prendevi per quella operatività, ne devi avere un’altra che la automatizza. E che poi verifica se funziona, la controlla e la fa evolvere. Quindi c’è una sorta di “switch” di competenze. Il tema della formazione sull’AI è un campo del tutto nuovo, ma per ora rimaniamo convinti di cercare prima di tutto menti analitiche ordinate e strutturate su cui costruire”.
Infine il tema degli attacchi agli MSP, sempre più visti come tramite per entrare nei sistemi dei loro clienti. “Per fortuna non abbiamo mai avuto questa esperienza, per due motivi. Uno è che la scelta, per la parte del software e anche per la parte di continuous exposure, di affidarsi fortemente a piattaforme cloud gestite direttamente dal vendor riduce il problema. I vendor non sono invulnerabili, però hanno una maturità e un focus importanti”.
“Il secondo è che la scelta fatta due anni fa, quando abbiamo iniziato l’attività MSP, è stata di impostare tutta la logica di servizio secondo un sistema di gestione integrato forte, vero, che abbiamo rapidamente “messo a terra” anche perché Itway è un'azienda dove il top management è nato sulla sicurezza”.