Il modo di fare business è cambiato radicalmente nel corso degli ultimi anni. Per continuare a essere agili e competitive, le organizzazioni devono intraprendere la trasformazione digitale; per farlo in modo sicuro, è necessario uscire dai vecchi schemi basati sulla creazione di un perimetro di rete, sulla sua protezione e sul considerare attendibile tutto ciò che si trova al suo interno. Fare le cose come sono sempre state fatte non consente di supportare ambienti di lavoro ibridi, dove il perimetro non è definibile. I leader aziendali devono avere la flessibilità e la capacità di supportare l'evoluzione delle esigenze aziendali di oggi e del prossimo futuro.

Per garantire che i dipendenti possano continuare a lavorare da qualsiasi luogo e che l'azienda sia agile e sicura, è necessario rivoluzionare radicalmente la rete e la sicurezza adottando un'architettura basata sullo zero trust. La dirigenza si affida ai propri architetti di rete, sicurezza e infrastruttura e ai responsabili IT per comprendere e condurre dal punto di vista tecnico questo percorso di trasformazione. Tuttavia, la trasformazione digitale richiede molto più della sola competenza tecnica; tocca infatti tutti gli aspetti di un'organizzazione e richiede un cambiamento culturale e della mentalità che può essere avviato solo dall'alto.

Per sostenere l'organizzazione nel suo percorso di trasformazione, è essenziale che il team al vertice, da CEO e CFO a CTO, CIO e CISO, cerchi di comprendere appieno il concetto di zero trust. Senza fare domande e chiarire la confusione che potrebbe sorgere, questo viaggio si rivelerà arduo e pieno di insidie.

"Nella vita non c'è nulla da temere, solo da capire". Marie Curie, fisica e chimica

Negli ultimi anni, lo zero trust è passato dall'essere un concetto vago a diventare un fattore di trasformazione per le organizzazioni. Tuttavia, la sua crescente popolarità ha creato una sorta di disorientamento su cosa è (o cosa non è), su come funziona (o come non funziona) e sul perché è importante. Sanjit Ganguli, Nathan Howe e Daniel Ballmer hanno cercato di aiutare i CXO a chiarire la confusione sullo zero trust nel loro nuovo libro: "Sette domande che ogni CXO dovrebbe porsi sullo zero trust". Scopriamo insieme cosa contiene questa guida pensata per supportare i dirigenti nel loro percorso di trasformazione digitale sicura.

Che cos'è lo zero trust e perché è fondamentale per una trasformazione digitale sicura?

Le organizzazioni stanno adottando lo zero trust per tutelarsi e supportare gli ambienti di lavoro ibridi. Tuttavia, a causa di una pubblicità talvolta ingannevole, è probabile che ci sia una sorta di confusione sul significato esatto di "zero trust" e sul motivo per cui è necessario.

Lo zero trust rappresenta una strategia, una base su cui costruire l'ecosistema di sicurezza aziendale. Questo concetto si fonda sul principio dell'accesso a privilegi minimi e sull'idea che nulla debba essere ritenuto automaticamente attendibile. Ma in che modo tutto questo può favorire la trasformazione digitale? E perché è necessaria una trasformazione?

La guida analizza il modo in cui un'architettura zero trust si differenzia dal vecchio modello basato su una rete piatta con segmenti definiti, dove tutto ciò che si trova all'interno del perimetro è considerato attendibile. Illustra il modo in cui questa architettura esclusiva sia in grado connettere in modo sicuro, rapido e fluido le varie entità (utenti, app, computer o dispositivi IoT) alle risorse.

Quali sono i principali casi d'uso dello zero trust?

Quali sono i fattori che portano le organizzazioni ad adottare lo zero trust? Per la maggior parte delle organizzazioni, si tratta di uno tra i seguenti tre casi d'uso principali o di una combinazione di essi. Questo libro li esplora nel dettaglio:

Lavoro sicuro da qualsiasi luogo: per garantire la produttività dei dipendenti, sia che lavorino dalla sede centrale, dall'ufficio di casa, da un bar o mentre sono in viaggio, è necessario fornire un accesso rapido e sicuro alle applicazioni su qualsiasi dispositivo e da qualsiasi luogo. Invece di utilizzare le VPN per connettere gli utenti a una rete aziendale, una vera architettura zero trust impiega le policy per determinare a cosa possono accedere e il modo in cui sono autorizzati a farlo, per poi fornire in modo sicuro una connettività veloce, fluida e diretta a tali risorse.
Trasformazione della WAN: i vecchi metodi di estendere la rete piatta instradabile hub-and-spoke a ogni filiale, ufficio domestico e utente in viaggio rendono le organizzazioni esposte e vulnerabili agli attacchi. Un'architettura zero trust consente alle organizzazioni di trasformare la rete passando da un'architettura hub-and-spoke a un approccio direct-to-cloud, che riduce MPLS e backhauling del traffico verso il data center e migliora l'esperienza degli utenti.
Migrazione sicura sul cloud: lo zero trust non si applica solo a utenti e dispositivi, ma garantisce anche che i workload possano comunicare in modo sicuro con Internet e altri workload. L'implementazione di una vera architettura zero trust fornisce inoltre una configurazione sicura dei workload e solide funzionalità per il controllo del profilo di sicurezza.

Quali sono i vantaggi aziendali del passaggio allo zero trust?

Innanzitutto, la persona con il ruolo di CXO deve comprendere perché è necessaria una trasformazione zero trust e quali sono i benefici che l'azienda può ottenere da questa iniziativa. Il libro approfondisce questo aspetto ed esplora i diversi vantaggi che un'architettura zero trust può offrire alle aziende.

Ottimizzazione dei costi per la tecnologia: un'architettura zero trust connette in modo sicuro utenti, dispositivi, workload e applicazioni, senza creare connessioni alla rete aziendale. Offre una connettività veloce, sicura e diretta alle applicazioni, che elimina la necessità di effettuare il backhauling del traffico e riduce al minimo la spesa per l'MPLS. Gli autori illustrano il modo in cui una piattaforma zero trust distribuita sul cloud consente di consolidare l'hardware evitando l'accumulo di dispositivi ed eliminare la necessità di investimenti in CapEx per firewall, VPN, VDI e altro ancora. Tutto ciò si traduce in un risparmio sui prodotti di rete e di sicurezza e nell'incremento del ROI.

Risparmi operativi: oltre ad abbattere i costi per la tecnologia, lo zero trust consente alle organizzazioni di ridurre anche le complessità, le spese e i tempi relativi alla gestione di una rete hub-and-spoke e delle numerose soluzioni non integrate necessarie per proteggerla. Un'architettura zero trust realmente fornita sul cloud consente inoltre di centralizzare la gestione delle policy di sicurezza, è in grado di gestire l'implementazione di modifiche sul cloud, come patch e aggiornamenti, e automatizza le attività ripetibili. La semplificazione delle operazioni consente agli amministratori di concentrarsi su progetti più strategici che apportano valore all'organizzazione.

Riduzione del rischio: in quanto fondata sul passaggio da un modello basato sul perimetro a un modello direct-to-cloud, un'architettura zero trust offre maggiore protezione a utenti, dati e applicazioni. Se implementato correttamente, un approccio zero trust elimina la superficie di attacco e riduce il rischio, in quanto gli utenti vengono collegati direttamente alle applicazioni anziché alla rete aziendale. I dati sensibili vengono protetti attraverso il blocco delle connessioni pass-through e l'ispezione di tutto il traffico; inoltre, sfruttando i principi dello zero trust, le organizzazioni possono connettere in modo sicuro qualsiasi entità a qualsiasi applicazione o servizio, ovunque.

Maggiore agilità e produttività: lo zero trust agisce come uno strumento di supporto invisibile, consentendo all'azienda di potenziare la collaborazione, migliorare l'agilità e la produttività e offrire un'esperienza utente ottimale. Lo zero trust consente ai dipendenti di lavorare in sicurezza da qualsiasi luogo e dispositivo, e dato che gli utenti vengono collegati direttamente alle applicazioni (in base all'identità, al contesto e alle policy aziendali), la latenza si riduce, il livello di frustrazione diminuisce e la produttività aumenta. Ma non sono solo gli utenti finali a beneficiarne: questo approccio consente di semplificare anche le integrazioni derivanti da fusioni e acquisizioni, permettendo alle organizzazioni di ridurre le complessità operative, i rischi e i costi singoli e ricorrenti per accelerare il Time to value.

In che modo lo zero trust può supportare il successo di un'organizzazione?

Si può essere tentati di agire secondo il motto: "Non riparare ciò che non è rotto" o di usare la frase introduttiva di questo articolo: "Lo abbiamo sempre fatto così". Tuttavia, preservare lo status quo è spesso la posizione assunta da individui e team che hanno un interesse personale a proteggere l'infrastruttura esistente o che sono semplicemente incerti su come procedere senza che l'intero sistema crolli. Esaminando le difficoltà affrontate da varie organizzazioni nel loro viaggio verso lo zero trust, il modo in cui le hanno superate e i vantaggi che hanno ottenuto, è possibile facilitare questo percorso per tutte le aziende.

Come viene distribuito e adottato lo zero trust? Quali sono gli ostacoli più comuni?

Quando si decide di implementare un'architettura zero trust, spesso ci si chiede in che modo si riuscirà a raggiungere questo obiettivo. Come per ogni viaggio importante, è utile suddividere questa impresa in passaggi più piccoli e concreti. Gli autori suddividono la trasformazione zero trust in quattro fasi e forniscono alcune indicazioni per rendere più agevole l'intero percorso:

Supportare la sicurezza della forza lavoro: molte organizzazioni scoprono che partire da questo aspetto consente di ottenere benefici immediati per l'azienda, in quanto la sicurezza del personale contribuisce anche a supportare il resto del percorso. Sostituendo la tecnologia di rete e di sicurezza legacy con un'architettura zero trust nativa del cloud, le organizzazioni possono consentire ai dipendenti di accedere a Internet, alle app SaaS e alle applicazioni private senza problemi e in modo sicuro, in qualsiasi luogo e senza stabilire connessioni con la rete aziendale. Questo approccio impedisce il movimento laterale e protegge dalle minacce avanzate e dalla perdita di dati. Monitorando le esperienze digitali degli utenti finali, i team IT possono ottimizzare le prestazioni e migliorare la produttività dell'intera organizzazione.
Proteggere i dati sul cloud: con l'incremento del volume di dati che risiedono nelle applicazioni private e nelle applicazioni SaaS, come M365, Salesforce o ServiceNow, appare evidente che la fase successiva consiste nel garantire la protezione dei dati sul cloud. Questo significa proteggere l'accesso a Internet e alle app SaaS per i workload, garantire comunicazioni sicure tra i workload sul cloud e abilitare il controllo del profilo di sicurezza per i wokload generati internamente e nativi del cloud in esecuzione su qualsiasi cloud; in questo modo si semplifica la sicurezza dei workload cloud, che diventa più facile da gestire.
Supportare clienti e fornitori: proprio come i dipendenti, anche i partner e i collaboratori terzi necessitano di un accesso continuo e sicuro alle applicazioni aziendali autorizzate. La separazione dell'accesso alle applicazioni dalla rete aziendale e l'applicazione dei principi dello zero trust consentono alle organizzazioni di controllare in modo rigoroso gli accessi dei partner, collegando gli utenti alle applicazioni private da qualsiasi dispositivo, in qualsiasi luogo e in qualsiasi momento, senza mai fornire l'accesso alla rete. I partner non devono più affrontare innumerevoli difficoltà per connettersi alle applicazioni, e l'organizzazione può incrementare la sicurezza e ridurre i rischi delle VPN e degli altri approcci tradizionali per consentire l'accesso di terzi.
Modernizzare la sicurezza IoT e OT: l'ultima fase consiste nel fornire una connettività zero trust ai dispositivi IoT e un accesso remoto sicuro ai sistemi OT. L'accesso rapido, sicuro e senza interruzioni alle apparecchiature, senza una VPN, consente di effettuare operazioni di manutenzione rapide e sicure. Inoltre, dato che le reti e i sistemi OT non sono più visibili su Internet, gli aggressori non sono più in grado di lanciare attacchi informatici per interrompere la produzione. Il risultato è un incremento dei tempi di attività e un potenziamento della sicurezza dei dipendenti e delle operazioni degli stabilimenti produttivi.

Quali sono le considerazioni non tecnologiche che consentono di adottare con successo lo zero trust?

Lo zero trust non è semplicemente un rinnovamento della tecnologia gestito dall'IT. La trasformazione zero trust rappresenta un cambiamento radicale, che tocca tutti gli aspetti dell'azienda. Gli autori sottolineano infatti la necessità di un rinnovamento della cultura e della mentalità dell'organizzazione affinché l'implementazione dello zero trust abbia successo. Un percorso di questo tipo richiede anche collaborazione tra team, sviluppo di nuove competenze, semplificazione e riallineamento dei processi e adeguamento della struttura organizzativa, per supportare l'implementazione stessa e il suo funzionamento. Per ottenere i risultati attesi, la trasformazione zero trust deve essere avviata dall'alto e coinvolgere tutti, dai senior leader, agli operatori IT, agli utenti finali interni e non solo.

Cosa va (e cosa non va) ricercato in una soluzione zero trust?

La maggior parte dei dirigenti aziendali dirà che la trasformazione digitale è un percorso, non una destinazione. Un singolo progetto o prodotto non può infatti portare a questo risultato, ma sapere cosa ricercare in una soluzione può fare la differenza, e aiuta le organizzazioni a evitare potenziali insidie. Gli autori illustrano i sette elementi principali di una soluzione zero trust per favorire il successo della trasformazione digitale.

Deve essere una soluzione testata che risponda a tutte le esigenze specifiche dell'azienda;
Deve fondarsi sui principi fondamentali dello zero trust;
Deve disporre di un'infrastruttura nativa del cloud, che ispezioni tutto il traffico, compresi SSL/TLS, su scala;
Deve essere flessibile, diversificata e scalabile per tutti gli utenti, le app e le risorse, indipendentemente dalla posizione degli stessi;
Deve offrire un'esperienza ottimale all'utente finale;
Deve disporre di forti integrazioni con l'ecosistema;
Deve essere facile da gestire e da distribuire, per favorire l'implementazione nell'ambiente di produzione con la massima semplicità.

"Se affronti il problema nel modo giusto, otterrai la risposta". Katherine Johnson, matematica

La trasformazione digitale rende le aziende più agili e produttive, ma affinché abbia successo è fondamentale iniziare gettando solide fondamenta basate sui principi dello zero trust. La breve introduzione fornita qui tocca appena la superficie di quelli che sono gli elementi essenziali di cui ogni CXO deve essere a conoscenza per riuscire a intraprendere con successo il viaggio verso lo zero trust della propria organizzazione.

Scarica subito l'e-book gratuito "Sette domande che ogni CXO dovrebbe porsi sullo zero trust" se desideri approfondire le strategie messe in atto dai CXO e analizzare i vantaggi, l'implementazione e i potenziali ostacoli di un percorso di trasformazione zero trust. Per scoprire come Zscaler può aiutare la tua azienda nel suo percorso di trasformazione zero trust, leggi il nostro white paper, "Accelera la trasformazione digitale sicura con Zero Trust Exchange: la piattaforma One True Zero Trust''.