Il modello Zero Trust è un approccio alla sicurezza informatica che si basa sull’idea di non fidarsi implicitamente di nulla o di nessuno all’interno o all’esterno di un’organizzazione. In sostanza implica che nessuna parte, utente o dispositivo debba essere considerato automaticamente attendibile o degno di fiducia. Si basa su una serie di principi da seguire e ha l’obiettivo di ridurre al minimo il rischio di una violazione della sicurezza, oltre che di limitarne l’impatto, riducendo la superficie di attacco e controllando puntualmente gli accessi. Perché Zero Trust è oggi così importante? quali sono i suggerimenti per l’adozione? Ne parliamo in questa intervista con Francesco Di Maio, Direttore Cybersecurity di Gruppo Buffetti-Dylog.

Quali sono oggi i criteri alla base di una scelta Zero Trust, che è sempre più spesso suggerita anche dalle norme?

Quando perseguiamo una trasformazione digitale che non riguarda solo il mondo IT ma anche quello OT, in industrie che richiedono questi sviluppi, o ovunque si debba considerare il rischio legato alle terze parti, che sempre di più sono player implementativi principali o partner dell’azienda nell’esercizio, non si può prescindere dall’applicare logiche Zero Trust. Queste partono da un presupposto fondamentale, in particolare nella fase in cui le organizzazioni pubbliche e private non hanno più i tradizionali confini delle reti e dei sistemi on premises e diventa perciò indispensabile proteggere sempre di più l’informazione.

Oggi la dimensione del networking e la crescita dei dati è sempre più rapida e veloce, tanto che la stessa ACN, l’Agenzia di Cybersicurezza Nazionale, ha sentito la necessità di presidiare in maniera forte i processi del cloud, che diviene esso stesso centro di rilevanza per gli assetti strategici del Paese. Definita quindi la necessità di un modello Zero Trust, che necessariamente si basa su un approccio scalare e crescente, è però indispensabile svilupparne la sua attuazione in maniera sostenibile, comprendendone logiche di identificazione e considerando eventuali fattori che potrebbero impedirne lo sviluppo, a partire dalla necessità di un supporto convinto da parte dell’alta dirigenza.

Fin dall’inizio, quindi, fin da quanto si comincia ad approcciare in azienda il tema Zero Trust, è molto importante il supporto del vertice. Quali sono poi gli errori da evitare perché l’intero processo non si blocchi?

Ci dobbiamo interrogare su quali elementi possono rallentare l’adozione di politiche e logiche Zero Trust. Uno dei primi problemi risiede nella complessità dell’approccio stesso. Nessuno nega che iniziare un’implementazione Zero Trust sia veramente una rifondazione dei concetti fondamentali a partire dall’identità. Da sempre la gestione delle identità digitali si basa sui concetti dello IAM (Identity e Access Management) con un’evoluzione verso il PAM (Privileged Access Management): ci si è basati in passato su un criterio unitario. Oggi però, non lo si afferma mai abbastanza, abbiamo Zero Trust che non è semplicemente un prodotto che sostituisce uno precedente: si tratta invece di un modello organizzativo che tocca tutti, che comprende elementi sia legati alle persone sia alle tecnologie, con una forte componente di sviluppo culturale a tutti i livelli.

Il primo punto dell’adozione è quindi capire bene “cosa è Zero Trust”.

A monte, è fondamentale. Anche perché, una domanda che uno potrebbe farsi è: “Quanto mi costa? E qual è il ritorno di un investimento così oneroso per un’attività che non ho ancora capito bene?” Abbiamo bisogno di un “evangelista di Zero Trust”, con la capacità di far capire all’alta dirigenza, a CFO e altri dirigenti dell’organizzazione, sia essa pubblica o privata, che si tratta di un processo vitale, con costi d’implementazione iniziali probabilmente notevoli, ma che nel medio e lungo periodo porta a una radicale modifica degli approcci di sicurezza ed una capacità di preservazione del patrimonio informativo che si ripaga nel tempo.

Prima o poi, dovremo tutti confrontarci con scelte diverse dall’uso di soluzione tradizionali on premises, avremo logiche di diffusione sempre più ampia dei dati del business, dovremo abbandonare la tradizionale protezione fisica di reti e hardware e passare alla protezione del dato in sé, elemento essenziale e critico per tutte le organizzazioni che oggi si confrontano con una notevole “esposizione tecnologica”.

Un secondo aspetto critico, che indirizza la complessità d’implementazione di Zero Trust (ZT in seguito), è l’ancora perdurante esistenza di sistemi legacy. Le aziende hanno a livello infrastrutturale una stratificazione di oggetti, non sempre nati con logiche di security by design. Su questi, potrebbe risultare molto complesso applicare logiche di verifica e controllo ZT oriented. Il rischio potrebbe diventare quello di essere in grado di proteggere solo una parte dell’infrastruttura, qualcosa che alla fine vanifica gli sforzi fatti.

Un ulteriore problema è che affrontando ZT, inseriamo nella catena di produzione del business vincoli che possono risultare pesanti. Le persone spesso chiedono accesso alle informazioni, non voglio trovare vincoli, lacci e lacciuoli che rallentano il processo. La MFA, Multi Factor Authentication, ad esempio, è una tecnologia che, anche se spesso introdotta con fatica, comunque fa parte di una strategia complessiva che converge verso ZT. Quando si fa questa operazione su ambienti operativi della produzione, del business, si possono generare conflitti (come il rifiuto dell’utente di essere identificato più volte), talvolta frutto di compromessi o di processi di ingegneria della security non agili e non sempre amichevoli verso l’esperienza dell’utente.

Questo elemento di complessità va superato, ancora una volta, con una virata culturale: oggi anche i produttori di sistemi che convergono verso ZT cercano di ridurre gli impatti sull’esperienza utente e questo richiede un’attenta valutazione iniziale dei requisiti, che sono il cuore di qualsiasi iniziativa progettuale, creando capitolati chiari, determinati, comprensibili, attuabili. Da una prospettiva diametralmente opposta, questo permette alle aziende, chiamate a confrontarsi sui bandi, di crescere e migliorarsi, creando una competizione di qualità.

Abbiamo poi, come ulteriore freno, il tema dei costi. Affrontare logiche ZT significa molto spesso ristrutturare completamente i processi IT di un’organizzazione. E questo è uno degli elementi più critici della logica di sviluppo di un processo ZT: quando abbiamo piccole imprese che hanno difficoltà a trovare risorse per implementare l’ordinario nell’IT, il problema diventa assolutamente serio.

Infine, deve essere chiaro che implementare ZT non assicura una completa sicurezza: la sicurezza assoluta, ricordiamolo, non esiste. Piuttosto, lo vedrei come elemento che compone un piano di cybersecurity più complesso, indirizzato sia alle minacce esterne, sia alle vulnerabilità interne. In altri termini, se siamo tutti d’accordo che la sicurezza delle informazioni non si esaurisce solo su una specifica tecnologia, ma su attività organizzative, di processo e di fattore umano che si avvalgono di tecnologie abilitanti, è indispensabile tenere sempre a mente che la sicurezza delle informazioni è un’attività continuativa nella quale tutte le componenti vanno continuamente mantenute e aggiornate. Dall’altro lato, oggi per contrastare in modo efficace gli attaccanti, bisogna basare le attività di prevenzione e risposta su una Cyber threat intelligence intesa in senso evolutivo. Ossia, bisogna essere in grado di contrastare gli attori malevoli con la capacità di identificarne TTP (Tattiche, Tecniche e Procedure), ad esempio, utilizzando i processi di identificazione Mitre Att&ck ed automatizzando i processi di identificazione, per essere in grado di reagire velocemente: affiancando a questo la strategia ZT come elemento di prevenzione e di anticipazione della soglia di rilevamento, i livelli di sicurezza “di punto” e “di sistema” sono necessarialente destinati ad aumentare. 

In conclusione, quali sono le tue raccomandazioni per l’introduzione di ZT in azienda e quali sono i benefici di questo modello per chi lo adotta?

È fondamentale far comprendere bene la filosofia ZT quale elemento privilegiato, attraverso il convinto supporto dell’alta direzione e delle strutture di business per ottenere una reale sicurezza del patrimonio informativo con benefici progressivi, molto evidenti nel medio e lungo periodo. Nella transizione da architetture tradizionali a modelli basati su cloud, il modello ZT risulta perfettamente allineato a questi obiettivi, e permette, proprio in sede di progettazione, economie di scala, efficienze di sistema, di applicare in maniera agile i criteri applicativi della strategia.

Ulteriori benefici nell’adozione di ZT è la gestione sicura della Supply chain. Oggi le organizzazioni, semplici o complesse che siano, devono far fronte a processi di interrelazione tra soggetti diversi, con modelli molto innovativi, ad esempio, di telecontrollo per la manutenzione degli apparati industriali o processi di outsourcing. Sono aspetti che devono tener conto di un’evoluzione ZT per contenere rischi emergenti anche di rilevante portata.

Un terzo e non marginale aspetto è l’opportunità di far crescere il mercato: è interesse di tutti che anche i fornitori di beni e servizi ICT intraprendano un percorso verso le logiche ZT, elemento di crescita professionale di qualità per il miglioramento complessivo della sicurezza cibernetica delle persone, delle imprese, delle organizzazioni, sia in termini di “security by design”, sia nei processi di esercizio IT e di continuità operativa.