In questo articolo, Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks, evidenzia i motivi per cui le aziende italiane optano per un modello di sicurezza Zero Trust.
Gli attacchi informatici diventano sempre più complicati
Il panorama delle minacce aziendali si sta evolvendo rapidamente, portando a un aumento della portata e della complessità dei rischi che molte aziende si trovano ad affrontare quotidianamente. Man mano che le organizzazioni spostano la loro sicurezza di rete nel cloud diventa ancor più difficile implementare controlli olistici.
Il modello Zero Trust, ossia un approccio strategico alla sicurezza informatica che protegge le organizzazioni attraverso l’eliminazione della fiducia implicita e la convalida continua di ogni passaggio di un’interazione digitale, non è più una novità per gli esperti del settore. Da diversi anni viene indicato come una best practice da implementare in qualsiasi strategia di difesa, con il semplice assunto che una minore libertà equivale a meno rischi per l’utente e, di conseguenza, per l’azienda.
Perché le aziende scelgono il modello Zero Trust
In una recente indagine di Palo Alto Networks, “What’s Next in Cyber”, sono emersi i principali motivi per cui le aziende italiane desiderano adottare un’architettura Zero Trust: adattarsi al crescente ecosistema di vendor all’interno della supply chain (40%), difendersi dalla crescente sofisticazione degli attacchi (40%) e tenere il passo con la digital transformation aziendale (44%). L’ordine delle priorità è simile alla media globale, ma la percentuale è inferiore. Infatti, la media globale per gli stessi temi è rispettivamente del 52%, 49% e 46%.
Un dato che può confermare questo leggero ritardo italiano sul modello Zero Trust viene confermato dalla percentuale di aziende che non ha ancora in programma di adottare questo approccio: con una media globale dell’1%, l’Italia si ritrova fanalino di coda con il 4%.
I benefici del Zero Trust
Nonostante questo dato possa essere preoccupante, le aziende italiane sono ben consapevoli dei vantaggi offerti da un framework Zero Trust. Alla domanda sui benefici, le aziende italiane hanno risposto in modo convincente, con il 32% che identifica lo Zero Trust come il modo migliore per garantire alti livelli di sicurezza, il 28% per proteggere le iniziative di trasformazione digitale e il 24% per soddisfare i requisiti di conformità o le normative governative (la percentuale più alta dopo la Germania con il 28%), mentre il 16% ritiene che sia utile per rimediare alle minacce più pericolose.
Gli ostacoli di implementazione
Se quindi i benefici del modello Zero Trust appaiono chiari, quali sono i problemi che ne frenano l’implementazione? Secondo le aziende italiane sono due gli aspetti principali:
- La necessità di dover prendere in esame troppi vendor e soluzioni puntuali (24%)
- La difficoltà di capire come iniziare e a cosa dare priorità (22%)
Con l’uso diffuso da parte della forza lavoro ibrida di applicazioni basate su cloud, dispositivi mobili e Internet of Things (IoT), sta diventando sempre più difficile per i professionisti della sicurezza di rete definire e proteggere il “perimetro” della propria organizzazione. Questo mondo senza perimetro rende più complesso controllare l’accesso a dati e sistemi sensibili, rendendo le organizzazioni più vulnerabili agli attacchi di soggetti esterni e interni.
Le aziende si stanno trasformando e, in risposta, molti fornitori di sicurezza hanno iniziato a consigliare il modello Zero Trust, rimandando però a soluzioni puntuali. Consigli di amministrazione e responsabili aziendali preferirebbero però un approccio sistematico alla cybersecurity per ricostruire la gestione del rischio.
La Zero Trust Enterprise è un approccio alla sicurezza IT che semplifica la gestione del rischio a un unico caso d’uso: la rimozione di tutta questa fiducia implicita. Indipendentemente dalla situazione, dall’utente, dalla sua posizione o metodo di accesso, la sicurezza diventa un unico caso d’uso con controlli di cybersecurity più stringenti.
Zero Trust non dovrebbe mai concentrarsi su una tecnologia specifica. Dovrebbe invece considerare l’intero ecosistema di controlli – rete, endpoint, cloud, applicazioni, IoT, identità e altro ancora – su cui molte organizzazioni fanno affidamento per la protezione.
Il concetto del modello Zero Trust
L’implementazione di questo approccio non è semplice, ma un approccio strategico supportato dall’intera catena del valore nella cybersecurity è inevitabile. Si può partire considerando quale serie di controlli attuali può essere immediatamente sfruttata e, una volta stabilite le fondamenta di Zero Trust, si potrà passare agilmente alle fasi successive.
Zero Trust non è un servizio, ma un concetto, per di più semplice: non fidarsi di nulla. Non è necessario spiegare soluzioni specialistiche in linguaggio tecnico, è facile da trasmettere a dirigenti anche non tecnici. Non fidarsi di nulla, convalidare tutto. Sempre. È destinato a tutte le aziende che necessitano di una rete sicura. Quindi, per chi sta affrontando una trasformazione di rete o SecOps o spostando il data center nel cloud, rappresenta l’approccio più adeguato a ottenere una protezione elevata ed efficace.
di Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks