L’approccio Zero Trust sta diventando uno dei fondamenti della cybersicurezza, almeno nei ragionamenti degli esperti e degli addetti ai lavori. Ma è davvero possibile trasformarlo, in tempi brevi, nell’opzione predefinita per tutte le infrastrutture? Una problematica complessa, che passa sia per aspetti economici, sia culturali e formativi. Per capire meglio questo scenario, la redazione di ZeroUno ha intervistato Emma Carpenter, Vice President, Global Security Specialist Organization di Cisco, che ci ha raccontato come l’azienda vede l’evoluzione di questo scenario.
Aspetti economici dell’approccio Zero Trust e della sicurezza in generale
Già in una conferenza tenutasi lo scorso novembre, Cisco aveva sottolineato più volte come uno degli snodi principali intorno alla cybersecurity sia mettere le aziende in condizione di potersi permettere la sicurezza. Emma Carpenter, adesso, sposta l’attenzione su uno sguardo più complessivo: “Oltre a chiedersi quali sono i costi per implementare la sicurezza, le aziende dovrebbero chiedersi quali sono i costi per non implementarla, ovvero quali sono i costi che un’azienda deve affrontare nel caso in cui il proprio network è stato violato e i suoi dati diffusi sul Web”. Un tema che coinvolge anche la reputazione: sia nel caso di attacchi, sia, in termini più generali, sulla considerazione che gli utenti possono avere sapendo che un’azienda ha standard di sicurezza molto bassi.
Il problema del budget è sicuramente rilevante per le imprese di dimensioni più ridotte, ma la problematica riguarda le realtà di tutte le categorie, che non sempre hanno risorse, capacità o visione per mettersi al sicuro dai rischi, anzi. Secondo una ricerca interna di Cisco, ci ricorda Carpenter, solo il 18% delle aziende si sente sicura e molti sono alla ricerca di soluzioni che concilino esigenze economiche, semplicità e sicurezza.
Semplificare uno scenario complesso
Uno dei temi più interessanti è l’idea ricorrente che, pur spostando il focus dagli aspetti strettamente tecnici, illustra molto bene quale dovrebbe essere l’approccio moderno alla cybersecurity: Carpenter sottolinea più volte quanto sia importante “mettere al sicuro gli utenti dove si trovano: oggi sono molti i dispositivi che cercano di ottenere accesso alle reti aziendali. Identificarli e metterli in sicurezza è una parte fondamentale del lavoro”.
Questo significa prima di tutto concertazione, in uno scenario in cui alcune aziende hanno decine di fornitori di sicurezza, molti dei quali MSP (Managed Services Provider). Rimane comunque fondamentale, soprattutto per le aziende di dimensioni più ridotte, mettere in sicurezza il punto di ingresso indipendentemente che si tratti di un accesso a un ambiente Cloud o On Premise.
La sicurezza, tuttavia, è una tematica complessa e non sempre è possibile semplificarla, o quantomeno non è possibile semplificarla del tutto. Soprattutto quando, come accennato, ci sono in gioco molti attori diversi. Cisco si sforza di rendere i suoi prodotti e servizi più semplici, cercando di assicurarsi di guardare al futuro. Per questo motivo ha stanziato risorse specifiche per costruire soluzioni di interconnessione e permettere alle aziende di garantirsi una sicurezza in modo più semplice.
L’accesso alla sicurezza non è automatico, ma è semplificabile
Semplificare la complessità, pur essendo un mantra ricorrente oggi, non è quindi sempre possibile. Ma c’è qualcosa che, invece, è sempre possibile fare: innalzare il livello delle competenze. Cisco è attiva da molti anni nel campo della formazione, a numerosi livelli diversi, ed è uno degli argomenti che abbiamo voluto affrontare con Carpenter, che apre raccontandoci la sua giornata: “Oggi ho avuto tre diversi meeting, tutti con realtà preoccupate per le competenze”. Non si tratta, insomma, di un problema solo italiano. La ricetta di Cisco in questo senso è coerente con quanto si è già potuto vedere negli anni passati anche, per esempio, nel campo del networking: intercettare i talenti, anche molto giovani, per portarli verso la cybersecurity, creando organizzazioni sempre più strutturate.
Un esempio virtuoso di questo arriva proprio dall’Italia, dove Cisco, il Politecnico di Milano e l’Università Bocconi, hanno realizzato il Master in Cyber Risk che si pone come obiettivo la creazione di figure professionali in grado di conciliare i diversi aspetti della cybersecurity, dalla governance all’implementazione. L’importante, a tutti i livelli è che “le persone devono appassionarsi a quello che fanno” chiude Carpenter.
Zero Trust: ci saranno risvolti normativi a breve?
Sono diversi i tavoli in cui si discute se sia necessario, e opportuno, arrivare a una vera e propria regolamentazione dell’approccio Zero Trust a livello normativo. Emma Carpenter non esclude risvolti in questo senso in futuro, anche se per ora nessuno ne ha contezza. “Al momento troviamo differenti regole a seconda degli stati e una normalizzazione sarebbe una grande sfida perché gli scenari sono frammentati”. Pensiamo, per esempio, al caso abbastanza comune di una persona in trasferta di lavoro, che si alterni fra l’hotel e diversi clienti o sale conferenze. Conservare il trust, attraverso tutti i provider e i vendor, non è affatto semplice. Ma, per mettere in sicurezza le persone dove sono, è necessario.
Una possibile soluzione sarebbe quella di creare un set di standard regolamentati, che possano agire da fondamento universale sia per eventuali risvolti normativi, sia per semplificare gli scenari multi vendor e multi provider. “Gli attaccanti si muovono in fretta, i governi dovrebbero imparare a fare altrettanto” ci ricorda Carpenter.
Quello che è certo che lo Zero Trust Network Access diventerà sempre più infrastrutturale e, in molti scenari, predefinito. La manager di Cisco ci ricorda come “dovrebbe essere uno standard per il trasferimento dei dati” già oggi. Aggiungendo che le piacerebbe poter vedere, a breve, maggiori possibilità di controllo e gestione in questo senso. “Cisco sta evolvendo i suoi prodotti, ma trovare una strade non è così semplice: servirebbe una soluzione universale, un multi vendor environment caratterizzato da standard, per ridurre la complessità”.
Avvicinarsi all’approccio Zero Trust, anche per gradi
La strada verso un’adozione universale dell’approccio Zero Trust, insomma, non si presenta particolarmente semplice. Per questo abbiamo chiesto due consigli per le aziende che vi si vogliano avvicinare con il piede giusto. Il primo è quello di dotarsi di un SOC, anche attraverso partner, che permetta di creare un primo livello di sicurezza il più possibile orchestrato e ragionato.
Il secondo, più vicino all’approccio Zero Trust vero e proprio, è quello di prevedere accessi autenticati ovunque, in modo da creare un primo livello di difesa il più possibile diffuso. Affrontare tematiche complesse ma necessarie, insomma, è possibile, anche avvicinandosi gradualmente. L’importante è farlo con la giusta cultura e la consapevolezza che si tratta di passaggi indispensabili per mettere in sicurezza il futuro dell’azienda.