La Zero Trust Strategy (ZTS) si è affermata come un modello di sicurezza innovativo e proattivo in grado di proteggere le risorse aziendali in modo efficace. E’ importante che i C-Levels e i Board Members (ovvero tutti coloro che a livello aziendali hanno responsabilità apicali) comprendano i vantaggi di un approccio Zero Trust, che non si limitano ai soli aspetti tecnici di Cyber Security.
Negli ultimi anni, il mondo del lavoro ha subito una profonda trasformazione, con l’avvento dello Smart Working che ha portato ad un aumento considerevole del numero di persone che lavorano da remoto. È innegabile che la pandemia di COVID-19 abbia avuto un impatto significativo sul mondo del lavoro, accelerando l’adozione di modelli lavorativi flessibili, tra cui lo Smart Working. Al di là dell’emergenza pandemica, lo Smart Working ha dimostrato di essere un modello di lavoro efficace e vantaggioso sia per le aziende che per i lavoratori.
È ipotizzabile, pertanto, che la sua adozione continuerà anche nel prossimo futuro con la necessità di trovare un equilibrio tra flessibilità e gestione delle sfide ad esso associate. Lo Smart Working ha inevitabilmente ampliato il perimetro di attacco delle aziende, con un numero crescente di dispositivi e utenti che accedono alle risorse aziendali da reti non sicure. Questo ha reso più facile per gli hacker intrufolarsi nei sistemi aziendali e sottrarre dati sensibili.
Secondo un’indagine del Politecnico di Milano, nel 2023 il 40% delle aziende italiane ha adottato lo Smart Working, con un aumento del 20% rispetto al 2020. Questo cambiamento porta con sé nuove sfide in termini di sicurezza informatica, rendendo la strategia Zero Trust un elemento fondamentale per la protezione delle aziende. La strategia Zero Trust, infatti, è un elemento fondamentale per la sicurezza informatica delle aziende che adottano lo Smart Working. Implementando correttamente questa strategia, le aziende possono proteggere i propri dati sensibili e ridurre il rischio di intrusioni informatiche.
In un mondo digitale sempre più complesso e minacciato da cyberattacchi sempre più sofisticati, la sicurezza informatica è diventata una priorità fondamentale per le aziende di tutte le dimensioni. La Zero Trust Strategy (ZTS) si è affermata come un modello di sicurezza innovativo e proattivo in grado di proteggere le risorse aziendali in modo efficace. E’ importante che i C-Levels e i Board Members (ovvero tutti coloro che a livello aziendali hanno responsabilità apicali) comprendano i vantaggi di un approccio Zero Trust, che non si limitano ai soli aspetti tecnici di Cyber Security:
- riduzione del rischio di violazioni: la ZTS aiuta a prevenire le violazioni dei dati e a minimizzare i danni in caso di attacco. Secondo un report di Gartner, le aziende che adottano la ZTS possono ridurre il rischio di violazioni del 90%;
- protezione dei dati sensibili: la ZTS aiuta a proteggere i dati sensibili, come le informazioni finanziarie e i dati dei clienti, da accessi non autorizzati;
- migliore conformità: la ZTS può aiutare le aziende a soddisfare i requisiti di conformità alle normative in materia di sicurezza informatica;
- aumento della fiducia: la ZTS può aumentare la fiducia dei clienti e dei partner nella capacità dell’azienda di proteggere i propri dati;
- migliore vantaggio competitivo: le aziende che adottano la ZTS possono ottenere un vantaggio competitivo rispetto ai concorrenti che non lo fanno.
Per prendere decisioni strategiche consapevoli, i C-Levels e i Board Members devono avere ben chiari alcuni concetti basilari della ZTS:
- i 3 principi chiave della ZTS:
- “non fidarsi mai, verificare sempre”;
- “limitare l’accesso al minimo indispensabile”;
- “assumersi la responsabilità della sicurezza”.
- i vantaggi della ZTS: maggiore sicurezza, migliore conformità e aumento della fiducia;
- le sfide dell’implementazione della ZTS: l’implementazione della ZTS può essere complessa e richiedere tempo e risorse;
- il ruolo dei C-Level e dei Board Member: i C-Levels e i Board Members hanno un ruolo fondamentale nel supportare l’implementazione della ZTS e nel garantirne il successo.
Per meglio comunicare con i C-Levels e i Board Members, i responsabili delle funzioni aziendali di cyber security devono adottare alcune accortezze in termini di comunicazione e presentazione:
- semplificare il linguaggio tecnico: utilizzare un linguaggio chiaro e conciso che sia comprensibile anche a chi non ha familiarità con la sicurezza informatica;
- fornire esempi concreti: illustrare i concetti della ZTS con esempi concreti di come può essere applicata in un contesto aziendale;
- sottolineare i benefici per il business: evidenziare i vantaggi della ZTS in termini di riduzione dei costi, aumento della produttività e crescita del business;
- includere una call to action: invitare i decisori ad approfondire l’argomento anche con sessioni di induction dedicate.
L’implementazione della strategia Zero Trust richiede un approccio olistico che coinvolga diverse tecnologie e processi. Alcune delle best practice includono:
- utilizzare un’architettura di rete Zero Trust: questa architettura segmenta la rete aziendale in micro-perimetri, limitando l’accesso alle risorse solo agli utenti autorizzati;
- adottare l’autenticazione multi-fattore (MFA): la MFA richiede agli utenti di fornire più fattori di autenticazione per accedere alle risorse aziendali, rendendo più difficile per gli hacker rubare le loro credenziali;
- effettuare regolarmente audit e penetration test: è importante monitorare continuamente la sicurezza della rete aziendale e identificare eventuali vulnerabilità.
La strategia Zero Trust si basa sull’assunto che nessun utente o dispositivo, sia esso interno o esterno all’azienda, debba essere considerato automaticamente affidabile. Questo approccio richiede di verificare continuamente l’identità e l’autorizzazione di tutti gli utenti che accedono alle risorse aziendali, indipendentemente da dove si trovano o da quale dispositivo stanno utilizzando.
Secondo il Cybersecurity and Infrastructure Security Agency (CISA), i sette pilastri della strategia Zero Trust sono:
- Identità
- Verifica rigorosa dell’identità e autenticazione multi-fattore (MFA) per tutti gli utenti e i dispositivi;
- gestione centralizzata delle identità e dei privilegi di accesso.
- Dispositivi
- Protezione dei dispositivi endpoint con software antivirus, anti-malware e firewall;
- crittografia dei dati su dispositivi aziendali e personali;
- aggiornamenti software e patch di sicurezza installati tempestivamente.
- Applicazioni e Workload
- Controllo rigoroso dell’accesso alle applicazioni e ai dati sensibili;
- microsegmentazione per isolare le applicazioni e i dati a rischio;
- monitoraggio e analisi del comportamento delle applicazioni.
- Rete
- Segmentazione della rete in micro-perimetri per limitare l’accesso alle risorse;
- ispezione approfondita del traffico di rete per identificare minacce e anomalie;
- VPN e reti private virtuali per l’accesso remoto sicuro.
- Dati
- Crittografia dei dati a riposo e in transito;
- controllo dell’accesso ai dati basato sul principio del minimo privilegio;
- monitoraggio e analisi dei dati per identificare minacce e anomalie.
- Visibilità e monitoraggio
- Monitoraggio centralizzato di tutti i log e gli eventi di sicurezza;
- analisi avanzata delle minacce per identificare potenziali intrusioni e attacchi;
- correlazione degli eventi di sicurezza per una visione completa della minaccia.
- Governance, Risk Management e Compliance
- Definizione di politiche di sicurezza chiare e coerenti con la strategia Zero Trust;
- formazione e sensibilizzazione degli utenti sui rischi informatici e sulle best practice di sicurezza;
- misurazione e reporting dell’efficacia della strategia Zero Trust.
Esempio di come i pilastri della Zero Trust possono essere applicati in pratica:
- un’azienda sanitaria utilizza l’MFA e la microsegmentazione per proteggere i dati sensibili dei pazienti;
- un’azienda di telecomunicazioni utilizza la crittografia e la VPN per proteggere le comunicazioni dei propri clienti;
- un’amministrazione pubblica utilizza la governance, il risk management e la compliance per garantire la conformità alle normative sulla sicurezza informatica.
L’implementazione di tutti e sette i pilastri è fondamentale per creare un’architettura di sicurezza Zero Trust completa e resiliente. Nei prossimi articoli vedremo il dettaglio di ogni pilastro.
- Report “Smart Working in Italia 2023” realizzato da Osservatorio Smart Working del Politecnico di Milano: https://www.osservatori.net/it/ricerche/comunicati-stampa/smart-working-italia-numeri-trend
- Sito web del CISA: https://www.cisa.gov/
- Sito web del Cloud Security Alliance: https://cloudsecurityalliance.org
- Guida di Gartner sulla strategia Zero Trust: https://www.gartner.com/reviews/market/zero-trust-network-access