Spencer Pitts, EMEA Chief Digital Workspace Technologist, VMware, illustra un nuovo approccio alla sicurezza: passare dallo Zero Trust al “Tailored Trust”.
Con le persone che lavorano in modalità sempre più distribuite, le minacce informatiche, nuove ed esistenti come gli attacchi di phishing di social engineering e i ransomware, continuano a svilupparsi e a colpire. Per proteggersi, le organizzazioni devono rimanere vigili e mantenere una postura di sicurezza sana e robusta. Tuttavia, così facendo, qual è stato l’impatto sulle aziende e sul loro personale? La domanda che sorge spontanea è: negli ultimi anni, le pratiche di sicurezza si sono evolute per consentire una maggiore libertà ai lavoratori o sono tornate all’approccio “blocca tutto”, di un tempo, ma con un nuovo nome, “Zero Trust“?
Le aziende hanno sicuramente dovuto mettere in discussione le pratiche di sicurezza più consolidate per mantenere la flessibilità, soprattutto nello scenario ibrido di oggi. La metodologia di sicurezza Zero Trust è emersa come l’approccio desiderato per proteggere le aziende e le modalità con cui operano oggi. Il fulcro del principio Zero Trust, dal punto di vista dell’accesso degli utenti, è che essi – insieme ai loro dispositivi – vengono trattati come ostili dal principio, fino a quando la verifica e l’autenticazione non dimostrano il contrario (e in modo continuo), stabilendo così la fiducia. Questo principio è noto anche come “mai fidarsi, verificare sempre” (“never trust always verify “) o come concetto di “privilegio minimo”.
In teoria, possiamo applicare questo concetto in modo da soddisfare le esigenze delle persone che accedono alle informazioni e alle applicazioni indipendentemente dal luogo in cui si trovano, dentro o fuori gli uffici. La domanda successiva è: lo stiamo facendo nel modo giusto?
A ben vedere, lo Zero Trust può essere percepito come un approccio uguale per tutti, “one-size-fits-all”, e rappresentare fonte di attrito, soprattutto se non viene implementato tenendo conto del comportamento dei dipendenti.
Cosa c’è di sbagliato nell’approccio Zero Trust, quindi?
Innanzitutto, è importante sottolineare che il problema non è lo Zero Trust in sé, ma il modo in cui molte organizzazioni hanno affrontato il modello in relazione alla propria forza lavoro. Bloccare tutto è l’approccio corretto, ma non ci si può di certo fermare lì.
Il modello Zero Trust è stato concepito per aiutare le organizzazioni a adottare un approccio granulare e basato sul rischio alla sicurezza, fornendo così una maggiore flessibilità alla forza lavoro e bilanciando al contempo le esigenze di sicurezza, ad esempio consentendo ai dipendenti un maggiore accesso alle applicazioni e ai dati a basso rischio sui dispositivi personali, oppure consentendo l’accesso alle informazioni più sensibili solo attraverso metodi altamente protetti, come i dispositivi aziendali completamente gestiti su reti conosciute.
In realtà, ciò che accade è che spesso il modello viene implementato in modo tale che le organizzazioni impongono le stesse rigide regole a tutti i dipendenti, indipendentemente dal fatto che accedano regolarmente a dati aziendali sensibili o meno. Nella mappatura del rischio, molti non tengono conto delle singole funzioni lavorative, con l’imperativo di non fidarsi di nessuno. Ciò può limitare la produttività di coloro che svolgono ruoli notevolmente “più sicuri o meno rischiosi”. Ad esempio, ha senso sottoporre la persona addetta alla consegna dei pacchi agli stessi standard di sicurezza aziendale di un vicepresidente di un’azienda che lavora in ufficio, soprattutto se il processo di accesso richiede molto tempo?
Una gestione scorretta dell’approccio Zero Trust può significare anteporre la sicurezza a qualsiasi altro aspetto dell’azienda, comprese le singole funzioni lavorative e l’esigenza generale dell’organizzazione di concentrarsi sull’esperienza dell’utente, sull’agilità e sull’innovazione.
Da un punto di vista meramente quotidiano, se le organizzazioni saranno più drastiche nell’implementazione dello Zero Trust, potranno subire maggiormente il contraccolpo dei dipendenti. È comprensibile che se le attività lavorative di un dipendente vengono continuamente interrotte da rigidi controlli di sicurezza questi troverà il modo di aggirarli, creando con alta probabilità una serie di nuovi problemi.
Veniamo poi al termine stesso “Zero Trust”. La spiegazione del termine e della metodologia ha di certo senso, ma mettiamoci per un attimo nei panni di un dipendente che, magari, non ha mai sentito parlare di questo linguaggio informatico prima d’ora e sente che l’azienda sta implementando un’iniziativa “Zero Trust” per tutti i lavoratori. Dal suo punto di vista, si potrebbe pensare a una connotazione negativa del modo in cui le aziende si “fidano” del loro lavoro. È una lezione per tutti i reparti IT, che devono riflettere sulla denominazione dei progetti e pensare a come questa scelta possa influire sulle persone che saranno coinvolte.
Passare dallo Zero Trust al “Tailored Trust”
Avendo a mente tutto questo, quale può essere la giusta modalità per abbracciare i principi dello Zero Trust, bilanciando al contempo le esigenze delle persone che svolgono il loro lavoro sotto il suo paradigma? Le organizzazioni dovrebbero cercare di adottare un approccio personalizzato o su misura allo Zero Trust, sfruttandone i principi ma combinandoli con la profilazione del rischio, trattando gli utenti e i dispositivi con un controllo che rifletta la loro funzione lavorativa e i dati a cui devono accedere. Si tratta di un approccio orientato alla persona che pone l’individuo – anziché solo l’organizzazione – al centro del processo, per offrire un’esperienza più flessibile, senza compromettere la sicurezza.
In questo approccio si devono considerare diversi elementi chiave. Il primo consiste nel comprendere la funzione lavorativa del singolo dipendente e quindi il rischio associato in relazione alle applicazioni e ai dati a cui è necessario accedere nell’ambito della giornata lavorativa di quella determinata persona. Questi rischi possono essere rappresentati dall’ubicazione, dalla sensibilità dei dati, dal dispositivo utilizzato e da altre variabili. Il modello Zero Trust prevede cinque pilastri principali del contesto di rischio, e il contesto stesso, in questo scenario, è fondamentale.
L’altra componente importante del modello Zero Trust è il concetto a cui ho fatto riferimento prima, ovvero verificare sempre (“always verify“). Questa parte, se mal eseguita, può avere un impatto enorme sull’esperienza dell’utente. Immaginate di voler cenare in un ristorante, aver prenotato a vostro nome e vedervi chiedere un documento d’identità all’ingresso. Sembra ragionevole, ma immaginate poi che ogni cinque minuti il personale di sala vi chieda nuovamente di mostrare il documento…
Vogliamo riservare lo stesso trattamento ai nostri dipendenti che desiderano semplicemente fare il loro lavoro, ma a cui viene costantemente chiesta l’autenticazione? Ci deve essere un equilibrio, uno specifico livello che viene applicato in base al rischio e, soprattutto, viene applicato ad ogni cambiamento. Fino a poco tempo fa, era difficile raccogliere le informazioni, valutarne la tempestività e quindi applicare il contesto in termini di rischio. Oggi, la tecnologia è progredita e l’avvento del machine learning anche in questo ambito ci consente di prendere decisioni più rapidamente, contribuendo al successo dell’”always verify” tipico dello Zero Trust. Tornando all’esempio del ristorante, in questo caso il personale chiederà di nuovo a qualche cliente di mostrare un documento d’identità solo se nota che il suo aspetto è completamente diverso da quello delle persone che sono entrate. In altre parole, è importante rilevare i cambiamenti, ciò che appare fuori posto, verificando ogni singolo fattore ma in modo tale che non abbia un impatto sull’utente finale.
Un ottimo esempio di un nostro cliente che sta lavorando a questo approccio Zero Trust è Rentokil Initial, azienda leader nella disinfestazione e nei servizi di igiene commerciale con 36.000 dipendenti che lavorano in 80 Paesi. I suoi team di sicurezza utilizzano una piattaforma di intelligence per aiutare a identificare le vulnerabilità e i rischi in base al comportamento degli utenti, che può essere utile per la profilazione.
Infine, come estensione del “Tailored Trust”, l’approccio delle aziende alla formazione sulla sicurezza dovrebbe riflettere la loro posizione complessiva in materia. Come per qualsiasi altra competenza, anche quella sulla sicurezza dovrebbe essere personalizzata per una specifica funzione o livello lavorativo. Non mi sorprenderei se i dipendenti non prestassero attenzione dopo ore e ore di formazione sulla sicurezza assolutamente non rilevanti per loro, con il risultato di creare ulteriori problemi ai team IT. In Rentokil Initial, l’azienda suddivide la propria forza lavoro in diverse figure in base alle conoscenze esistenti in materia di cybersecurity, aiutando a identificare quali lavoratori hanno bisogno di un determinato tipo di formazione.
In definitiva, come accade per la maggior parte delle cose nella vita, ci deve essere equilibrio. Il nostro recente rapporto ha rilevato che il lavoro distribuito ha portato a un numero maggiore di violazioni della sicurezza informatica nel 2022, rispetto al 2021, in tutta l’area EMEA. Tuttavia, c’è qualcosa che non va se viene data priorità a tutto il resto ma non alla capacità dei dipendenti di svolgere il proprio lavoro. È necessaria un’evoluzione da parte delle aziende per consentire ai dipendenti di svolgere al meglio il proprio lavoro senza compromettere la sicurezza dell’ambiente online. Scegliere di adottare un approccio Zero Trust non è una decisione scorretta, ma può essere quella sbagliata se non viene implementata correttamente.
