La sicurezza informatica è una sfida sempre più complessa e urgente per le organizzazioni che operano in un mondo sempre più digitale (e digitalizzato). Le minacce come il phishing, il ransomware e altri attacchi di ingegneria sociale sono in costante evoluzione e si adattano alle nuove modalità di lavoro. Come possono le aziende proteggere i propri dati, i propri dispositivi e i propri dipendenti da queste minacce? Una possibile soluzione è adottare il modello di sicurezza Zero Trust, che si basa sul principio di “mai fidarsi, verificare sempre” o “privilegio minimo”. Questo significa che ogni utente e ogni dispositivo devono essere verificati e autenticati in modo continuo prima e durante l’accesso alle risorse aziendali, indipendentemente dalla loro posizione o dal loro ruolo. In questo modo, si riduce il rischio di accessi non autorizzati o compromessi.
Ce ne ha parlato con competenza Spencer Pitts, Chief Digital Workspace Technologist EMEA di VMware. Pitts ritiene che lo Zero Trust non sia una soluzione universale che si applica allo stesso modo a tutti i casi d’uso e a tutte le situazioni. Se implementato in modo troppo rigido può infatti creare frizioni e ostacoli alla produttività e alla collaborazione dei dipendenti. Difatti non tutti i dipendenti hanno le stesse esigenze di accesso o lo stesso livello di rischio associato alle loro funzioni.
Spencer Pitts: “Bloccare tutto è giusto, ma non basta”
Pitts ritiene che il modello Zero Trust debba essere adattato al contesto e al comportamento dei dipendenti, tenendo conto del livello di rischio delle applicazioni e dei dati a cui accedono.
Se da un lato l’approccio Zero Trust aiuta ad ottimizzare la sicurezza, dall’altro può creare dei disagi ai dipendenti, che possono sentirsi ostacolati nel loro lavoro quotidiano. Come si può quindi trovare un equilibrio tra sicurezza e user experience?
Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity
Secondo Pitts un possibile modo è quello di personalizzare lo Zero Trust in base al contesto di rischio di ogni utente e dispositivo, tenendo conto della funzione lavorativa, dell’ubicazione, della sensibilità dei dati, del tipo di dispositivo e di altre variabili. In questo modo, si può applicare un livello di controllo adeguato alla situazione, senza essere troppo invasivi o restrittivi. Si tratta di un approccio centrato sulla persona, che mira a offrire una maggiore flessibilità e una migliore esperienza, senza rinunciare alla sicurezza.
Per realizzare questo approccio, è fondamentale sfruttare le potenzialità del Machine Learning, che permette di raccogliere e analizzare le informazioni in tempo reale e di adattare il contesto di rischio a ogni cambiamento. In questo modo, si può verificare sempre l’accesso ai dati e alle applicazioni, ma solo quando è necessario e in modo non invasivo.
Zero Trust si, ma con un modello orientato al Tailored Trust
Per fare un paragone con il mondo reale, Pitts ci fa l’esempio di una cena fuori. Se il personale di un ristorante chiedesse a ogni cliente di mostrare un documento d’identità prima di entrare, questo creerebbe lunghe code e frustrazione. Inoltre, non garantirebbe che tutti i clienti siano affidabili e rispettosi delle regole.
Al contrario Pitts propone un approccio orientato al Tailored Trust: il personale del ristorante potrebbe chiedere il documento solo se nota qualcosa di anomalo nel comportamento di determinati clienti. In altre parole, si tratta di riconoscere ciò che è normale e ciò che non lo è, verificando i diversi fattori ma senza disturbare l’utente finale.
- Roveda, Federico (Autore)