L’utilizzo delle architetture cloud per indirizzare la trasformazione digitale delle aziende richiede alle stesse di ripensare con urgenza anche l’approccio al tema della cybersecurity. Anche solo in un rapido confronto tra gli scenari attuali e quelli pre-covid, l’accelerazione in corso nell’adozione delle proposte multicloud, e il passaggio al lavoro ibrido, demoliscono di fatto l’idea del perimetro aziendale e richiedono di abbracciare un approccio zero trust.
Significa basarsi sul principio secondo il quale nessun utente o applicazione debba essere intrinsecamente ritenuto affidabile comprendere che sia questo il modello ideale per proteggere gli utenti aziendali, i workload e gli ambienti IoT/OT in una realtà lavorativa ormai altamente distribuita a livello geografico e incentrata su cloud e mobile. La prospettiva zero trust, correttamente “interpretata” ha inoltre il vantaggio di sbloccare il potenziale e le opportunità di tutti i processi di digitalizzazione, dalla promozione dell’innovazione al supporto di un migliore coinvolgimento dei dipendenti, fino alla realizzazione di efficienze tangibili dal punto di vista dei costi.
Ne è convinto, in Italia, oltre il 97% dei responsabili IT (e nel resto del mondo il 90%) che ha avviato la migrazione verso il cloud e ha implementato, sta implementando o sta pianificando di implementare, un’architettura di sicurezza zero trust.
E lo dicono i numeri del report Zscaler, The State of Zero Trust Transformation 2023, sulla base dei dati raccolti a livello globale su 1.900 responsabili IT (Cio, Ciso, Cdo, responsabili delle architetture di rete) in aziende che hanno già avviato la migrazione di applicazioni e servizi verso il cloud.
Cloud, vantaggi e difficoltà
I responsabili IT identificano in sicurezza, accessi e complessità le principali preoccupazioni legate al cloud, e sono consapevoli che la trasformazione sicura del cloud sia impossibile con le infrastrutture di sicurezza di rete tradizionali (vale per il 64% del campione italiano), oltre a ritenere che le soluzioni Zero Trust Network Access (Ztna) presentino chiari vantaggi rispetto ai firewall e alle Vpn tradizionali per l’accesso da remoto alle applicazioni. Il 40% degli intervistati italiani ritiene poi che le Vpn o i firewall perimetrali siano inefficaci nel proteggere dagli attacchi informatici o che forniscano scarsa visibilità sul traffico delle applicazioni e sugli attacchi.
Di fatto i Cio/Cso, quando si parla di cloud computing, sono preoccupati per la privacy dei dati, la loro protezione, le difficoltà a scalare la sicurezza della rete che impediscono anche di sfruttare il pieno potenziale del cloud.
Lo spaccato italiano della ricerca evidenzia proprio come tra i principali ostacoli vi siano la privacy ma anche l’abilitazione all’accesso remoto per dispositivi e sistemi industriali e l’elevata complessità della rete; mentre riduzione dei costi, facilitazione nell’utilizzo delle tecnologie emergenti come il 5G e l’edge computing e la gestione del rischio informatico sono comunque motivi riconosciuti per indirizzare la trasformazione proprio con il cloud.
E’ quindi come se si percepissero i benefici ma si facesse fatica a conseguirli. Ed infatti, solo il 22% delle aziende è pienamente convinto di sfruttare appieno il potenziale della propria infrastruttura cloud. In questo caso con sostanziali differenze a livello geografico: il 42% delle aziende in America è pienamente fiducioso nell’utilizzo della propria infrastruttura cloud, mentre questa percentuale scende addirittura al 14% se si guarda alle aziende Emea fino a scendere al dettaglio per cui in Italia la percentuale arriva al 12%, pur davanti a Francia e Spagna (11%) e Germania (9%).
Allineare trasformazione e cybersecurity al business
E’ uno scenario, quello delineato dalla ricerca, che evidentemente rispecchia una fase di transizione che caratterizza le iniziative di trasformazione già da qualche anno, ed in cui l’approccio zero trust, come il cloud, potrebbe portare ad un benefico cambio di prospettiva secondo un virtuoso allineamento strategico della trasformazione digitale e delle scelte di cybersecurity con il business mentre ancora le aziende si focalizzano sulla sicurezza senza comprendere appieno i vantaggi anche per il business di un approccio zero trust.
Le aziende oggi non sembrano concentrarsi su risultati strategici estesi nella pianificazione delle iniziative riguardanti le tecnologie emergenti. Ed infatti i numeri della ricerca dicono che nell’implementazione di progetti riguardanti le tecnologie emergenti, il 37%, in Italia, cita proprio un’adeguata sicurezza, seguito dai requisiti di budget per l’ulteriore digitalizzazione (27% in Italia), ma solo il 15% in Italia cita come sfida la dipendenza da decisioni strategiche di business.
Tocca anche questi temi il commento di Nathan Howe, VP Emerging Tech, di Zscaler. ”]…[ I responsabili IT hanno ]…[ l’opportunità di educare i responsabili delle decisioni aziendali sull’approccio zero trust come fattore abilitante per l’azienda ad alto valore, soprattutto quando si trovano a dover fornire una nuova tipologia di ambienti di lavoro o di produzione ibridi e a fare affidamento su una serie di tecnologie emergenti come IoT e OT, 5G e persino il metaverso ]…[“. Una piattaforma zero trust ha il potere di ]…[ diventare un vero e proprio motore di business che non si limiti a consentire il modello di lavoro ibrido richiesto dai dipendenti, ma che permetta alle aziende di diventare completamente digitalizzate, beneficiando di agilità, efficienza e di un’infrastruttura a prova di futuro”. Il riferimento al lavoro ibrido di Howe introduce un ulteriore tema toccato nella ricerca. Entriamo nei dettagli.
Il modello zero trust ed i vantaggi per il lavoro ibrido
Ultimo, ma non ultimo, quindi, oltre ai cambiamenti dettati dall’adozione delle tecnologie emergenti e del cloud, come si accennava in apertura, è importante oggi inquadrare l’evoluzione nelle modalità di lavoro che caratterizzerà anche il prossimo anno. Per l’Italia, la proiezione della ricerca racconta che solo il 37% degli intervistati prevede lavoratori in ufficio a tempo pieno, mentre il 31% in Italia dipendenti completamente da remoto ed il 32% in modalità ibrida. Solo nel 30% dei casi però è già disponibile un’infrastruttura ibrida basata sul modello zero trust.
Significa che le aziende non sono pronte a gestire la sicurezza in ambienti di lavoro distribuiti su vasta scala. Mentre il 53% in Italia sta per implementare o sta pianificando una strategia ibrida basata su zero trust.
Alla base di questa scelta c’è soprattutto una migliore user experience per i dipendenti. Questo, secondo oltre la metà del campione italiano, aiuterebbe ad affrontare esperienze di accesso insufficienti per le applicazioni e i dati locali e basati su cloud, e per un terzo servirebbe ad affrontare la perdita di produttività dovuta a problemi di accesso alla rete. Con ancora un altro 30% che segnala come l’utilizzo del modello zero trust consentirebbe ai dipendenti di accedere ad applicazioni e dati da dispositivi personali in modo più agile ma sicuro.
I consigli di Zscaler
A valle dei rilievi della ricerca, Zscaler modella quattro raccomandazioni chiave per le aziende che desiderano sfruttare appieno il modello zero trust che è tale solo quando si basa sul principio per cui nessun utente o applicazione sia intrinsecamente affidabile. E’ indispensabile quindi indirizzare la corretta convalida dell’identità dell’utente, combinata con l’applicazione di policy aziendali basate su dati contestuali, così da fornire agli utenti e ai workload non certo l’accesso alla rete aziendale quanto piuttosto l’accesso diretto alle applicazioni e alle risorse strettamente indispensabili (1).
Questo approccio, con elevati livelli di sicurezza, visibilità e controllo contribuisce ad abbattere la complessità IT e consente alle aziende di concentrarsi sull’ottenimento di risultati migliori nell’ambito delle iniziative di trasformazione digitale per rimanere competitive (2). Risultati che Cio e Ciso dovrebbero sfruttare per contribuire a dissipare paure e dubbi sul significato di un approccio zero trust e per promuoverne il pieno impatto a livello di decisioni aziendali (3). In ultimo, appunto, le tecnologie emergenti devono essere considerate un vantaggio competitivo per l’azienda con zero trust a supporto dei requisiti di connettività sicura (4).
© RIPRODUZIONE RISERVATA