Il principio guida della fiducia zero – “mai fidarsi, sempre verificare” – è diventato una pratica essenziale per garantire le complesse e diversificate reti cloud di oggi. Non molto tempo fa, si poteva bloccare la porta d'ingresso della vostra azienda, sicuri che tutte le vostre informazioni preziose erano al sicuro all'interno di quelle mura. Poi arrivavano computer portatili e dischi e memory stick, e ogni tanto si sentiva una storia di qualcuno che lasciava segreti di stato su un treno da qualche parte. Oggi, i dati della tua azienda sono disponibili potenzialmente ovunque ci sia connettività. E con l'aumento senza precedenti della forza lavoro remota e distribuita, questo "ovunque" può letteralmente essere "ovunque nel mondo".

In questi giorni, le migliori soluzioni software funzionano tutte nel cloud, per non parlare dei milioni di dispositivi e asset connessi nelle reti IoT industriali del mondo. E mentre le applicazioni cloud non sono in genere meno sicure di quelle on-premise, anzi, ci sono nuovi rischi nel mondo connesso di oggi. Le tecnologie digitali e cloud hanno ampliato quella che gli esperti di sicurezza chiamano la superficie di attacco di ogni organizzazione.

I protocolli di sicurezza informatica tradizionali sono stati modellati sull'idea che gli utenti attraversino la sicurezza presso la porta d'ingresso virtuale dell'azienda e poi abbiano la gestione del posto una volta entrati. In altre parole, sono stati sviluppati in un mondo pre-cloud. Ma ora ci sono più punti di accesso - il telefono personale di un dipendente o una stampante IoT potrebbe essere un potenziale portale - e le aziende hanno dovuto reprimere le loro strategie di sicurezza. Con attacchi informatici a livelli record, la sicurezza della rete dovrebbe essere in una posizione prioritaria in cima alla tua lista di cose da fare. L'implementazione senza fiducia richiede impegno e collaborazione in tutta l'azienda.

Zero trust: definizione e strategia

John Kindervag lavorava come analista presso Forrester Research nel 2010, in un momento in cui le applicazioni cloud e i dispositivi IoT stavano iniziando la loro rapida ascesa. Kindervag ha giustamente riconosciuto l’enorme sensibilità e valore dei dati e della proprietà intellettuale detenuti all’interno dei sistemi di Forrester. In risposta a questo rischio crescente, coniò il termine fiducia zero e guidò lo sviluppo di molti dei suoi principi fondamentali.

Zero trust può essere definito come un modello di sicurezza IT che richiede a ogni utente e dispositivo potenzialmente connesso di verificare rigorosamente la propria identità sia all’interno che all’esterno dei perimetri dell’azienda. L'architettura Zero Trust (ZTA) si basa su una serie di processi e protocolli, nonché su soluzioni e strumenti digitali dedicati per raggiungere il successo.

Zero trust network access (ZTNA) è l'applicazione dell'architettura zero trust che Gartner definisce come la creazione di "un confine di accesso logico basato sull'identità e sul contesto intorno a un'applicazione o un insieme di applicazioni". Ciò rimuove queste applicazioni dalla visualizzazione pubblica e consente solo agli utenti che sono verificati e che aderiscono a politiche di accesso predefinite.

Ma in realtà, la fiducia zero inizia come trasformazione culturale all'interno della tua organizzazione. Tendiamo a pensare alla sicurezza informatica in termini di cattivi attori che si sforzano intenzionalmente di causare danni, ma sfortunatamente, è spesso l’ignoranza piuttosto che la malevolenza che porta a rischi e perdite. Infatti, un recente rapporto mostra un aumento del 48% degli attacchi via e-mail solo nella prima metà del 2022, in cui i dipendenti sono stati attirati in truffe o divulgati dettagli a seguito del phishing. Ciò illustra il motivo per cui l'istruzione e il buy-in culturale sono una componente così critica dell'attuazione della fiducia zero.

Perché i principi di fiducia zero sono così necessari in questo momento?

Ci sono pochi dubbi sul fatto che gli attacchi informatici siano in aumento. Nel 2022 è stato condotto un importante sondaggio che ha coinvolto 1.200 grandi organizzazioni in 14 diversi settori e 16 paesi. Nonostante abbia dato priorità alla sicurezza informatica, molti degli intervistati hanno ammesso di avere una sicurezza inadeguata. I risultati hanno infatti evidenziato un allarmante rialzo del 20,5% del numero di violazioni materiali nei mesi compresi tra il 2020 e il 2021.

Di seguito sono riportate alcune delle altre sfide che le aziende di oggi si trovano ad affrontare in materia di sicurezza:

• Firewall preesistenti. Molte aziende fanno eccessivo affidamento sui firewall che precedono la proliferazione della connettività cloud. Le VPN sono un valido aiuto per aumentare i firewall, ma non sono una soluzione efficace a lungo termine a causa della loro portata limitata e della tendenza a rallentare le prestazioni delle app aziendali, che a sua volta influisce sulla produttività dei dipendenti.
• Complessità della verifica. Il software agnostico del dispositivo è ottimo per gli utenti ma aggiunge un livello complesso ai protocolli di sicurezza. Anche quando gli utenti hanno telefoni e laptop aziendali, sono sicuri solo come i protocolli di verifica e sicurezza che sono in atto per proteggerli.
• Dispositivi di terze parti. Con la pandemia, tutta la forza lavoro è stata mandata a lavorare da casa, quasi da un giorno all'altro. Molte aziende non avevano altra scelta che permettere ai dipendenti di utilizzare i propri computer e dispositivi. In molti casi, sono state stabilite soluzioni di sicurezza per mantenere l'attività in funzione e le luci accese. Ma per molte aziende devono ancora svelare queste misure temporanee e attuare misure più antiproiettile zero misure di fiducia per i loro lavoratori remoti.
• Applicazioni non autorizzate. L'uso delle app aziendali SaaS è in una traiettoria costante verso l'alto. Sfortunatamente, molti team IT sono sottili, spesso costringendo gli utenti a ricorrere all'acquisto delle proprie app e al loro utilizzo all'interno della rete aziendale, senza informare i propri team IT. Non solo queste app non sono soggette a rigide pratiche di fiducia zero, ma possono anche aver scavalcato del tutto le misure di sicurezza.

• Connettività IoT. Un dispositivo IoT industriale può essere semplice come un ventilatore o una saldatrice. Poiché questi dispositivi non sono considerati un “computer” di alcun tipo, gli utenti possono facilmente dimenticare che sono un potenziale punto di accesso nella rete aziendale. L'architettura Zero Trust mette in atto automazioni e processi che garantiscono la sicurezza di tutti gli endpoint, le macchine e gli asset IoT.
• Portali omnicanale. I dipendenti non sono gli unici nel tuo business cloud. Sempre più spesso, vediamo dispositivi connessi come gli scaffali intelligenti nei negozi e le app mobili "pay where". Ognuno di questi portali omnicanale rappresenta un rischio. Zero trust aiuta a proteggere questi rischi senza inconvenienti o ritardi indebiti per i tuoi clienti.
• Le sfide per la sicurezza dell'ERP. Negli anni passati, i sistemi ERP erano limitati a determinate attività di pianificazione e finanza e avevano un insieme limitato di utenti all'interno dell'azienda. I migliori sistemi ERP cloud di oggi, tuttavia, sono guidati dall'AI, dall'analisi avanzata e da potenti database scalabili. Hanno la capacità di integrarsi con applicazioni e sistemi disparati in tutta l'azienda e sono sempre più sfruttati per ottimizzare e snellire ogni area operativa. I moderni sistemi ERP hanno sistemi di sicurezza avanzati integrati ma, come qualsiasi sistema, presentano vulnerabilità che si integrano solo con una portata e un'accessibilità più ampie. I principi di zero fiducia, se applicati a una solida sicurezza dell'ERP cloud, contribuiscono a proteggere la tua azienda in ogni fase.

Come funziona la fiducia zero?

Zero trust combina un insieme di tecnologie e protocolli come l'autenticazione a più fattori, soluzioni di sicurezza degli endpoint e strumenti basati su cloud per monitorare e verificare una varietà di attributi e identità, dagli utenti agli endpoint. Zero trust richiede anche la crittografia di dati, e-mail e carichi di lavoro per garantire la loro sicurezza. Sostanzialmente, zero protocolli di trust:

• Controlla e limita l'accesso alla rete da chiunque, ovunque e tramite qualsiasi dispositivo o asset
• Verificare qualsiasi utente o asset che abbia o possa accedere a qualsiasi livello della rete
• Registra e ispeziona tutto il traffico di rete in tempo reale

Un modello di sicurezza di fiducia zero utilizza una politica di necessità di conoscenza. In sostanza, ciò significa che gli utenti hanno accesso solo ai dati e alle applicazioni di cui hanno bisogno per svolgere il proprio lavoro. E ancora una volta, la tecnologia è l'arma a doppio taglio nella corsa per una migliore sicurezza informatica. Man mano che le soluzioni digitali e la connettività migliorano, creano una superficie di attacco più grande, quindi per stare al passo sono necessarie tecnologie di sicurezza migliori e più rapide. E non solo tenere il passo, ma anche causare disagi e disagi minimi per l'utente. Ciò richiede politiche di sicurezza altamente agili e dinamiche, supportate da informazioni contestuali e dalla massima quantità di punti di dati disponibili, e in tempo reale. Chi è questa persona? Dove si trovano? A cosa stanno cercando di accedere? Perché hanno bisogno di tale accesso? Su quale dispositivo o punto finale stanno entrando?

Vantaggi di soluzioni senza fiducia

Al massimo della gravità, le violazioni dei dati possono essere catastrofiche. I dati privati dei tuoi clienti sono in gioco, così come le tue finanze, la tua proprietà intellettuale e, naturalmente, la tua buona reputazione. Come le assicurazioni, gli investimenti in sicurezza possono sembrare una grande spesa… fino a quando non ne avete bisogno. E poi sembrano un piccolo prezzo da pagare per proteggere la tua attività.

Alcuni dei numerosi vantaggi delle soluzioni a fiducia zero includono:

• Proteggere la forza lavoro ibrida e remota. Abbiamo discusso di come i lavoratori remoti e i dispositivi personali abbiano potenziato il gioco della sicurezza informatica. Ma non è solo la tua azienda a essere a rischio. I criminali informatici possono colpire i tuoi dipendenti personalmente, quindi è importante assicurarsi che siano in atto misure rigorose per ridurre il loro rischio e il vostro.
• Sostenere l'agilità e nuovi modelli di business. Per competere e gestire le turbolenze, le aziende devono essere in grado di orientare ed esplorare nuovi modelli di business. Ciò significa onboarding di nuove applicazioni, software e asset connessi. Garantire la sicurezza in queste circostanze è un compito scoraggiante se gestito manualmente. Fortunatamente, i migliori strumenti software di fiducia zero possono velocizzare le cose con l'automazione intelligente e soluzioni personalizzabili che assicurano che vengano intrapresi tutti i passi cruciali.
• Riduzione delle spese per le risorse IT. Chiedi a qualsiasi professionista IT quanto tempo dedicano alle attività di sicurezza manuali, la risposta è probabilmente "troppa". Man mano che le aziende spostano i propri sistemi aziendali principali nel cloud, le patch e gli aggiornamenti di sicurezza possono essere automatizzati ed eseguiti in background. Ciò vale anche per i protocolli di sicurezza di fiducia zero. Dagli utenti agli endpoint, molte delle attività di crittografia e verifica principali associate all'affidabilità zero possono essere automatizzate e pianificate.
• Fornire un inventario accurato. I principi di zero trust richiedono all'azienda di mantenere un inventario accurato di tutti gli asset, gli utenti, i dispositivi, le applicazioni e le risorse connesse. Con le soluzioni giuste, gli aggiornamenti dello stock possono essere impostati in modo da aggiornarsi automaticamente, garantendo la precisione in tempo reale. In caso di tentativo di violazione, si tratta di uno strumento investigativo inestimabile. Inoltre, le aziende spesso hanno milioni di asset vincolati in modo da un inventario accurato è anche un vantaggio finanziario.
• Offrire una migliore user experience. I processi di verifica tradizionali potrebbero essere lenti e difficili da gestire. Ciò ha portato gli utenti a cercare di aggirare i protocolli di sicurezza, o anche ad evitare l'uso di strumenti e applicazioni essenziali a causa della loro difficoltà di utilizzo. Le migliori soluzioni di zero trust sono costruite per essere poco invadenti e reattive, sollevando i dipendenti dal fastidio di inventare (e poi dimenticare) password e processi di verifica lenti da rispondere.

Best practice zero trust: nozioni introduttive

Ci sono diversi compiti che dovrai svolgere una volta iniziata la trasformazione della fiducia zero. Ciò include la catalogazione delle risorse, la definizione di segmenti all'interno dell'organizzazione e la classificazione dei dati per una transizione più fluida.

Zero trust inizia con un impegno e le seguenti fasi possono aiutarti a passare:

• Delega. Il team IT è già troppo occupato. Prendi in considerazione l'idea di introdurre o nominare un professionista dedicato alla gestione del cambiamento della sicurezza informatica che possa aiutarti a mitigare i rischi, individuare opportunità di miglioramento e creare una road map praticabile.
• Comunicare. Ammettiamolo, i tuoi dipendenti non saranno immediatamente entusiasti dalle notizie di misure di sicurezza più severe. Mentre investi in una migliore sicurezza, dovresti anche investire in messaggi e comunicazioni più coinvolgenti intorno a questa trasformazione. Ci sono molti esempi reali dei pericoli della criminalità informatica. Aiuta i tuoi team a capire che non sono solo i vertici aziendali a essere colpiti da una violazione dei dati: costano lavoro, colpiscono le persone e minacciano la sopravvivenza dell'azienda.
• Audit. Lavorando con uno specialista della sicurezza, stabilire una lista di controllo dei rischi per la sicurezza e controllare ogni area dell'azienda. Abbatti i silos e mettiti in contatto con gli specialisti in materia in tutto il tuo team. Conoscono meglio di chiunque altro dove le debolezze e le vulnerabilità si trovano nelle loro aree, in particolare nelle operazioni complesse e globali come le supply chain e la logistica.
• Assegnare priorità. Determinare l'importanza e l'urgenza relative di tutte le operazioni e le attività aziendali e attribuire una valutazione. Determinare una valutazione basata sui ruoli di chi ha bisogno criticamente di accedere alle cose e chi meno. Questa prioritizzazione iniziale ti aiuterà anche a prepararti alla microsegmentazione, che è una componente fondamentale della fiducia zero, impedendo il movimento laterale e la conseguente esposizione alle violazioni dei dati.

Nel mondo odierno degli eufemismi e del linguaggio attento, la fiducia zero può sembrare ai vostri dipendenti come un termine un po’ cinico. Quindi, esci di fronte a quello quando introduci zero fiducia ai tuoi team. Dite loro all’inizio che questo non significa in alcun modo che non vi fidate di loro. Sono i criminali informatici di cui nessuno dovrebbe fidarsi, perché possono far sembrare le cose come qualcosa che non sono. Possono intrufolarsi attraverso le lacune più piccole e una volta che sono dentro, non si preoccupano di chi danneggiano.