I rischi per la cyber sicurezza determinati dai cambiamenti portati dalla pandemia e dalla crescente complessità delle reti non sono certo passati inosservati ai top manager delle aziende. In una recente indagine condotta da Deloitte su manager C-level, il 72% degli intervistati ha affermato che la propria organizzazione ha subito da 1 a 10 incidenti e violazioni lo scorso anno.
Questo tipo di minaccia continua – e l’impossibilità da parte delle organizzazioni di prevenire questi attacchi – è più che sufficiente per alimentare un profondo senso di sfiducia tra i manager.
Zero Trust Security: cos’è, quali sono i principi cardine e i fondamenti applicativi
Indice degli argomenti
Fidarsi o non fidarsi
Tale senso di sfiducia è probabilmente una delle ragioni per cui il termine Zero Trust gode di tanto appeal tra CEO e CFO, che hanno infatti perso fiducia in tutti e tutto nella loro rete.
Ai manager IT e ai professionisti della sicurezza, però, Zero Trust spesso evoca un sentimento diverso: l’odio. I CEO amano il concetto per la sua relativa semplicità e vogliono procedere, ma la realtà è che capire come implementare Zero Trust è un’impresa tutt’altro che facile. Richiede un passaggio fondamentale dal considerare esclusivamente il perimetro della rete a un modello di sicurezza in cui utenti interni ed esterni sono ripetutamente controllati e autenticati prima di poter avere accesso a una data risorsa. È molto più un cambio di filosofia che l’incorporazione di una nuova tecnologia.
Indipendentemente dal fatto che Zero Trust generi sentimenti di conforto o di disperazione, non c’è dubbio che rappresenti il futuro della sicurezza di rete.
Viviamo in un mondo iperconnesso in cui il concetto di perimetro per molte aziende moderne si è sostanzialmente dissolto. Inoltre, le minacce sono sempre più sofisticate: i singoli soggetti esterni all’azienda che mettevano alla prova i firewall esterni cercando un modo per entrare sono stati soppiantati da attacchi di phishing mirati, malware e altre tecniche che possono essere usate per trasformare un insider – un utente fidato o un’applicazione – in uno strumento di attacco.
Anche il perimetro di sicurezza esterna più impenetrabile può fare poco nei confronti di queste minacce.
Città, non castelli
In passato, le reti erano come castelli, ma nell’era dell’IoT e del lavoro remoto le reti sono più paragonabili a città in cui i team di sicurezza devono ragionare come fossero i sindaci, non dei signorotti feudali. Mappatura, coordinamento e preparazione ora hanno la precedenza sulla costruzione di muri di pietra. Questo è il senso della sfida che le aziende che intendono compiere il passaggio devono affrontare.
Per quanto Zero Trust abbia valore per tutti i settori, non esiste una soluzione adatta a tutti. Zero Trust richiede un impegno pluriennale per identificare i principali driver di business, le capacità esistenti e i casi d’uso più rilevanti. Comporta il lavorare su molteplici livelli, dalla sicurezza e fiducia dei lavoratori ai dispositivi, ai dati e alle applicazioni e alla rete stessa.
A differenza di una soluzione puramente tecnologica, Zero Trust richiede anche una diffusa cultura del cambiamento. Per questa ragione, le organizzazioni devono guardare alle tecnologie passate e considerare fattori soft come la comunicazione, la formazione, i programmi, l’awareness e gli aggiustamenti ai processi operativi. Le strategie devono inoltre essere allineate al business e supportate totalmente dalla leadership e dai principali stakeholder.
Parallelamente al crescente interesse e all’accettazione della necessità dello Zero Trust sono arrivati nuovi strumenti e soluzioni progettati per rendere più semplice l’ingresso in un mondo Zero Trust. Gli strumenti più recenti possono estendere la protezione a tutti i livelli – dagli utenti ai workload – e coprire sia il cloud sia le reti on-premise. Il duro lavoro necessario per conoscere le applicazioni e gli utenti non viene eliminato, ma almeno gli aspetti relativi all’implementazione iniziano ad essere più snelli. In definitiva, l’obiettivo è che visibilità e applicazione delle policy siano estese a ogni punto di connessione della rete.
Sebbene Zero Trust sia un concetto all’apparenza semplice – non fidarsi di alcun utente, dispositivo o applicazione – la creazione dell’architettura di supporto è tutt’altro che semplice. Che lo si ami o lo si odi, Zero Trust indica la direzione per una rete più sicura.
