Home » Il modello Zero Trust: l’evoluzione della cyber security

Il modello Zero Trust: l’evoluzione della cyber security

Il contesto attuale delle aziende è sempre più mutevole e più veloce a causa di oscillazioni di mercato ed evoluzione dei comportamenti delle persone. Ciò vale anche per le minacce informatiche: ecco perché la classica “cyber security” si è evoluta ed ha trovato forma oggi nell’approccio “Zero Trust”. Ma in cosa consiste?

Zero Trust, letteralmente “zero fiducia”. Perché sì, le tecnologie sono importanti, ma sono soltanto un lato della medaglia.

Le aziende sono fatte di persone. Ciò non vale soltanto per il valore di un’organizzazione, ma rappresenta anche un anello debole. Tutti noi abbiamo sentito parlare di Cyber attack, e, di conseguenza, dell’importanza della cyber security all’interno di un’azienda. Tuttavia, spesso non viene esplicitato lo stretto legame con l’essere umano.

Gli esseri umani come problema e soluzione: Zero Trust

Nella sicurezza informatica, gli esseri umani sono al centro di molti problemi, e a loro volta di molte soluzioni. Un ambiente “cyber sicuro” dipende infatti da processi, tecnologie, ma soprattutto dalle persone, al centro di ogni decisione e azione di sicurezza informatica che si prende in un’azienda. Per costruire le basi della sicurezza informatica sono quindi fondamentali alcuni passaggi: formazione continua, consapevolezza globale, aggiornamenti regolari e un approccio Zero Trust.

La consapevolezza risulta particolarmente importante: il modo in cui le persone vengono avvicinate dai cyber criminali determina l’esposizione ad attacchi informatici dell’azienda a cui appartengono. Le persone devono essere innanzitutto consapevoli dei possibili attacchi informatici, che sfruttano le debolezze umane. Per questo è necessaria una formazione sulla consapevolezza di bias cognitivi, fallacie di ragionamento e debolezze cognitive. L’approccio da attivare è quello del modello “Zero Trust”.

Il modello Zero Trust: non fidarsi è meglio

Il modello Zero Trust si basa sulla convinzione che nulla, sia all’interno che all’esterno del perimetro di rete di un’azienda, sia automaticamente affidabile. L’obiettivo principale di tale modello è quello di mitigare il rischio di cyber-attacchi. In primis, si delinea un perimetro aziendale di rete, nel quale includere persone ed informazioni. Si richiede dunque che qualsiasi cosa e chiunque stia cercando di collegarsi al sistema di un’azienda debba essere verificato prima di accedere. Questo approccio deve partire, però, da un atteggiamento delle persone all’interno dell’organizzazione: non fidarsi di nessuno e di nulla. Per sfociare, poi, su tecnologie che permettano l’accesso sia agli utenti, che agli agenti software, di accedere in modo sicuro solo ai dati e alle informazioni di cui abbiano effettivamente l’autorizzazione, nel momento esatto in cui ve ne sia la puntuale necessità. L’accesso è quindi limitato e le informazioni vengono fornite in modo sicuro, al fine di ridurre al massimo il rischio di esfiltrazione di dati.

Il modello Zero Trust, tuttavia, non è costituito da un’unica tecnologia: per una difesa completa ci si può avvalere di tecnologie ed approcci differenti. Bisogna però porre l’accento sull’importanza dei processi e sulla maturità formativa che le persone necessitano. Una tecnologia avanzata, senza processi solidi ben definiti e senza la consapevolezza umana, non potrà che dare risultati parziali.

Una nuova cultura aziendale per contrastare gli attacchi

La cultura organizzativa di un’azienda, ovvero il legame che lega le persone, risulta rilevante ai fini della difesa da attacchi informatici: inevitabilmente, essa determina l’efficacia di intere organizzazioni.

Le nuove minacce informatiche e gli attacchi si sono però evoluti e raffinati rispetto al passato, per cui le organizzazioni devono adeguare le loro tecniche di prevenzione per potersi difendere. La percezione della sicurezza deve cambiare verso un approccio collettivo e proattivo, in modo da garantire una consapevolezza superiore all’interno dell’azienda e in ogni persona che la compone.

Questa consapevolezza deve innanzitutto indirizzarsi verso lo sviluppo della conoscenza delle nostre vulnerabilità biologiche e dell’importanza dei fattori cognitivi, per fornire gli strumenti più adatti per non cadere nelle trappole cognitive, dette anche “bias cognitivi”.

La cultura da attivare diventa collettiva: una vera e propria “cultura della sicurezza”. Inanzitutto, cambia la percezione dell’azienda: l’orientamento dei dipendenti è verso un approccio collettivo con l’obiettivo principale di garantire la sicurezza dell’azienda. Questa cultura affonda le radici nella consapevolezza di tutti i dipendenti, perché le best practice nate da approcci squisitamente “legisltativi”, da sole, non bastano; sono solo un (seppure importante) punto di partenza. Forte di queste conoscenze, ogni persona all’interno dell’organizzazione deve contribuire proattivamente a far attivare dei meccanismi di prevenzione e di diffidenza (la così detta “sana paranoia”) verso possibili minacce. Questi sono i fondamenti che fanno la differenza: una cultura della sicurezza è responsabilità di tutti e il lavoro di squadra è una parte essenziale della sua formazione.

Vulnerabilità biologiche e come superarle

I bias cognitivi sono delle percezioni errate della nostra mente che si “attivano” in determinate situazioni, a seguito di determinati stimoli. Possono ingannarci e, se sfruttati dai cyber criminali, farci cadere in trappola. Spesso vengono enfatizzati quando c’è necessità di velocità di reazione, quando abbiamo poco tempo per rispondere o quando c’è fretta o stress. In questi casi, infatti, siamo maggiormente suscettibili ad errori di ragionamento. Non a caso, una delle tipologie di attacchi è quella creare urgenza di risposta ad una email, creando ad esempio le circostanze che prevedano un pronto intervento ad un’azione.

In tema di cyber security, bisognerebbe cercare di riconoscere i bias cognitivi ed evitare soprattutto i falsi positivi (minacce sopravvalutate oppure opportunità sottovalutate) ed i falsi negativi (minacce sottovalutate oppure opportunità sopravvalutate). L’esposizione al rischio informatico dipende anche dall’influenza dei fattori sociali, dalle attitudini personali e dalle abilità cognitive nella gestione del rischio. La relazione tra le abilità cognitive e la gestione del rischio è, infatti, molto stretta: le persone, anche esperte, sono soggette a fenomeni simili alle illusioni ottiche che inducono a valutare erroneamente le probabilità delle situazioni alla nostra attenzione se presentate in particolari forme. Così, ad esempio, circostanze informali come gruppi di Facebook, chat di WhatsApp o Telegram, o email da colleghi, ci fanno abbassare la guardia e possono indurci a compiere azioni progettate ad hoc da cyber criminali.

Il perimetro aziendale e lo smartworking

Lo Zero Trust può essere inteso come un perimetro sicuro in cui inserire determinate persone che, ovunque esse si trovino, potranno accedere a contenuti autorizzati seguendo specifiche procedure di riconoscimento sfruttando fattori di autenticazione “forti” (strong authentication). Nel contesto attuale, caratterizzato dallo Smart working, diviene quindi priorità per un’azienda definire tali confini. Parallelamente, è evidente come la formazione delle persone sia essenziale in termini di consapevolezza per capire a cosa credere o su cosa cliccare. Ma come si imposta un approccio a livello Zero Trust?

Per iniziare ad approcciarsi al paradigma Zero Trust si può iniziare col seguire le indicazioni indicate dal NIST (National Institute of Standards and Technology) che risulta di facile implementazione nei processi aziendali. Si tratta di una serie di linee guida riconosciute come standard e best practice atte a gestire in modo strutturato e organizzato i rischi legati alla sicurezza informatica tout court. Ovvio che il solo framework NIST da solo non basta, ci vuole una cultura della sicurezza informatica ben radicata a tutti i livelli nell’organizzazione.

Attraverso l’inserimento nei processi aziendali di un framework strutturalmente solido come quello del NIST accompagnato con l’affiancamento dell’approccio zero trust, l’organizzazione dovrebbe porsi gli obiettivi di:

  • razionalizzare che nessun ente in ingresso nell’infrastruttura aziendale può essere considerato intrisecamente sicuro
  • considerare che non vi sono canali di ingresso più sicuri e affidabili di altri
  • sensibilizzarsi sugli eventi di rete e informatici tracciando ciascuno di essi senza mai considerare a priori un evento come irrilevante
  • capire che gli incidenti informatici portano sempre ad un impatto e che da essi si può e si deve sempre imparare qualcosa di cui fare tesoro

Per concludere

Giungere ad un modello “Zero Trust” inerente alla cyber security non è semplice. È una commistione tra processi solidi definiti e contributo degli utenti. Le persone, a tutti i livelli, devono essere il motore del cambiamento culturale all’interno dell’azienda, consapevoli delle resistenze tipiche degli esseri umani e in grado di affrontarle per non cadere nei “trucchi” degli attacchi informatici. Attraverso la formazione aziendale, le persone diventano consapevoli per poter riconoscere, ed affrontare, le vulnerabilità biologiche.

21.06.2021 Tech & Cybersecurity

Letture consigliate

Esternalizzare la gestione del data center si può, e conviene. Vediamo come

Esternalizzare la gestione del data center si può, e conviene. Vediamo come

09.04.2024 Tech & Cybersecurity
Adotta e Valorizza il modern workplace di Microsoft 365 con i 3 capisaldi dell’approccio Horsa

Adotta e Valorizza il modern workplace di Microsoft 365 con i 3 capisaldi dell’approccio Horsa

11.12.2023 Tech & Cybersecurity
Power Platform: il lato nascosto di O365

Power Platform: il lato nascosto di O365

18.05.2023 Tech & Cybersecurity
Il processo di on-boarding in Office365

Il processo di on-boarding in Office365

16.03.2023 Tech & Cybersecurity
La sicurezza informatica come una dieta: nel menù non può mancare la fase di mantenimento!

La sicurezza informatica come una dieta: nel menù non può mancare la fase di mantenimento!

19.01.2023 Tech & Cybersecurity
Adoption e change management con Microsoft365: le best practice per le aziende

Adoption e change management con Microsoft365: le best practice per le aziende

13.12.2022 Tech & Cybersecurity
L’importanza del risk assessment per la definizione della security posture aziendale

L’importanza del risk assessment per la definizione della security posture aziendale

18.11.2022 Tech & Cybersecurity
Postura di sicurezza aziendale: perché il punto di partenza è il risk assessment

Postura di sicurezza aziendale: perché il punto di partenza è il risk assessment

03.11.2022 Tech & Cybersecurity
EDR e XDR: prevenire il Data Breach

EDR e XDR: prevenire il Data Breach

30.11.2021 Tech & Cybersecurity
Data Breach: come evitare la violazione dei dati

Data Breach: come evitare la violazione dei dati

23.11.2021 Tech & Cybersecurity
Contrastare lo spear phishing: la cyber security secondo Horsa

Contrastare lo spear phishing: la cyber security secondo Horsa

08.09.2021 Tech & Cybersecurity
Reagire al phishing: come proteggersi dagli attacchi informatici

Reagire al phishing: come proteggersi dagli attacchi informatici

06.07.2021 Tech & Cybersecurity