Quando si parla di sicurezza informatica, forse la prima immagine che viene in mente a molti è quella dell'antivirus informatico o delle catene di spam nelle email. Man mano che il mercato tecnologico si è evoluto e le soluzioni ICT sono diventate trasversali e strategiche, la necessaria sicurezza è diventata uno dei punti più importanti per le organizzazioni e per gli stessi utenti.
L'aumento della digitalizzazione ha significato comodità per gli utenti, ma ha anche rappresentato una sfida significativa per le organizzazioni. con un mondo in cui i dati diventano il nuovo petrolio, dove i cloud privati e pubblici diventano essenziali e dove sono previsti anche modelli di lavoro remoti e ibridi, la posizione o il perimetro non sono più una garanzia di protezione. La grande sfida è sapere esattamente come proteggere i dati e l'infrastruttura tecnologica delle organizzazioni senza sacrificare convenienza e vantaggi, e senza dipendere dal perimetro.
In questo contesto, il concetto di Zero Trust -Zero Confidence- è diventato enormemente popolare. Nonostante questo modello esistesse da diversi anni, la pandemia ha accelerato la Trasformazione Digitale delle organizzazioni e aumentato i rischi e le minacce alla sicurezza, quindi oggi più che mai risaltano i punti di forza del modello Zero Trust.
Per approfondire questo argomento, in Impacto TIC organizziamo un videoritrovo supportato da BeyondTrust con referenze non solo dal settore della sicurezza informatica, ma anche con i principali portavoce IT del settore aziendale colombiano che hanno trovato valore in questo modello.
Versatilità e agilità
Forse uno degli elementi più sorprendenti di Zero Trust è che si concentra chiaramente sulla versatilità dei sistemi già esistenti. Segun Fernando Fontao, Channel Account Manager di BeyondTrust, questo modello non è nuovo, ma si è costantemente evoluto nel corso degli anni e con il mutare delle esigenze dei clienti. Oggi, dice Fontao, l'unica realtà è quella Abbiamo raggiunto la fine del tradizionale perimetro di sicurezza che conoscevamo. "L'unico perimetro è l'identità, e con l'identità derivano privilegi estremamente importanti", indicò
In Zero Trust non esiste un'unica soluzione a tutti i problemi di sicurezza informatica di un'azienda, piuttosto consiste nel creare un insieme di strumenti per raggiungere il miglior equilibrio tra sicurezza ed esperienza dell'utente finale. "La sfida sta nella necessità di proteggere gli ambienti aziendali che sono ormai digitali, moderni, che includono sempre più l'incorporazione di cloud pubblici e privati, applicazioni SaaS e un numero infinito di tecnologie", ha spiegato Kelly Quintero, responsabile delle vendite territoriali presso BeyondTrust.
Quando si parla di Zero Trust occorre fare una precisazione importante: Non si tratta di implementare uno strumento tecnologico, né funziona come un pacchetto standard che viene implementato e distribuito, né consente di premere un pulsante per rispondere a tutte le esigenze di sicurezza informatica di un'organizzazione. Per questo si parla di modello di sicurezza o metodologia Zero Trust.
Ad esempio, può darsi che per un'azienda la cosa più importante sia mantenere i propri dipendenti remoti al sicuro da minacce esterne, mentre per un'altra la cosa più importante sia la protezione dei propri clienti finali.
Ciò, di conseguenza, significa che i modelli Zero Trust a volte rappresentano un importante cambiamento di paradigma nel modo in cui viene gestita la sicurezza informatica di un'organizzazione. Con ambienti mutevoli, connessi e ibridi, il perimetro di sicurezza del passato è scomparso e anche tecnologie come VPN (reti private virtuali) e altre reti private sono scomparse.
Più che tecnologia, un paradigma
Mario Botina Tovar, Vice President of Technological Infrastructure di Banco Davivienda, ha sottolineato che Zero Trust non può essere inteso semplicemente come una 'scatola' che si installa e basta, ma piuttosto è un ecosistema che si adatta alle esigenze e ai rischi di ogni azienda. Per Banco Davivienda, ad esempio, questo si è concretizzato nella necessità di semplificare e unificare i processi.
Le VPN, così popolari durante la pandemia, si sono rivelate un'opzione inadatta per Davivienda, un'azienda con 20.000 dipendenti. A causa delle sue esigenze di sicurezza, la banca disponeva di centinaia di regole VPN, che influiscono non solo sul funzionamento del sistema, ma anche sulla produttività dei suoi dipendenti remoti.
Grazie all'implementazione di un sistema di accesso remoto sicuro, queste regole sono ora decine di profili semplici e facili da gestire. Secondo lui, la base di tutto è dentro "Scopri dove si trovano i dati, cosa è importante e come e perché i miei dipendenti accedono a queste informazioni".
Gran parte di questa trasformazione è arrivata anche con nuovi modelli di business. A Jorge Edoardo Pinzón, direttore dei rischi aziendali e delle informazioni presso AFP Protección, il passaggio a strutture ibride ha anche evidenziato con forza uno spostamento verso strutture aziendali sempre più liquide e collaborative.
In questo tipo di struttura, una strategia di sicurezza informatica non può basarsi solo sui ruoli di ciascun dipendente, ma piuttosto sugli ambienti e le esigenze quotidiane.
“È un insieme di paradigmi in continua evoluzione. Non è qualcosa di fisso, non è qualcosa di statico”.
Fernando Fontao, Channel Account Manager di BeyondTrust.
“La questione Zero Trust deve essere estesa non solo ai dipendenti a domicilio, ma anche a terze parti e produttori. Dobbiamo tutti entrare nella filosofia dell'essere protetti”.
Mario Botina Tovar, Vice Presidente delle Infrastrutture Tecnologiche del Banco Davivienda.
“La filosofia è la stessa. Garantire la cybersecurity, migliorare l'agilità all'interno delle imprese e ridurre i costi”.
Jaime Barreto, responsabile della sicurezza IT presso Summa SCI.
“Non si parte da zero. Quello che devi fare è adattare ciò che è già stato implementato a questo nuovo schema Zero Trust”.
Jorge Eduardo Pinzón, Direttore dei rischi aziendali e della protezione delle informazioni.
Le nuove strutture liquide
Pinzón spiega che, date le strutture offerte da tecnologie come il cloud e la digitalizzazione, anche i ruoli all'interno delle stesse aziende sono diventati più dinamici. L'idea di modelli come Zero Trust è di consentire a questi ambienti collaborativi di continuare ad essere possibili in ambienti ibridi, ma senza sacrificare la sicurezza dei dati dei dipendenti e dell'azienda. “Non abbiamo più una funzione piramidale”, osservato.
a Jaime Barrett, leader della sicurezza IT di Summa SCI, tutta questa ricerca di flessibilità, dinamismo e agilità deriva dalla ricerca di fornitori di sicurezza per diventare abilitatori tecnologici. L'implementazione di servizi di sicurezza informatica ingombranti e complicati non è un metodo efficace per attirare più aziende verso la nuova era della sicurezza informatica.
Come molti altri settori, la sicurezza informatica è diventata una necessità quotidiana per utenti e aziende e Barreto afferma che l'importante è migliorare il linguaggio e la comunicazione di questi nuovi modelli per far veramente capire meglio le tecnologie del futuro.
Immagine principale: Lewis Kang'ethe Ngugi (Unsplash)
