Nel mondo digitale di oggi, caratterizzato anche da criminalità informatica, IA e disinformazione, “Zero Trust, always verify” non è più solo un’opzione, ma una necessità per emergere come vincitori e non come perdenti dall’evoluzione sempre più dinamica della cybersecurity e dalla rivoluzione dell’IA nei prossimi anni.
La fiducia zero e l’eliminazione della “vecchia treccia” della fiducia implicita come parte essenziale della preparazione alla cybersecurity e all’IA
Nel mondo digitale di oggi, una cybersecurity completa non è più solo un’opzione, ma una necessità aziendale. Un principio centrale di Zero Trust è la completa eliminazione della fiducia implicita. Oltre alle misure tecniche, queste “vecchie abitudini” e paradigmi possono essere eliminati solo attraverso una formazione completa e un adattamento della mentalità degli utenti interessati. La strategia Zero Trust garantisce che nessun utente, dispositivo, software, app, accesso, autorizzazione, sistema o anche informazioni e contenuti multimediali in generale sia automaticamente attendibile, indipendentemente dal fatto che si trovi all’interno o all’esterno della rete tecnica o sociale attendibile, anche se lo era in precedenza. Questa strategia si basa sul principio “mai fidarsi, sempre verificare” e richiede un controllo, un monitoraggio e una convalida continui di tutti gli accessi, le autorizzazioni, gli stati e le attività rilevanti.
Più filosofia che tecnologia
Zero Trust non è solo una soluzione tecnologica, ma una filosofia di sicurezza completa. Per essere efficace, richiede una combinazione di tecnologia, processi e persone. Implementare Zero Trust significa che, oltre ai numerosi adeguamenti tecnici, le organizzazioni devono cambiare radicalmente la loro cultura della sicurezza e garantire che tutti i dipendenti comprendano l’importanza della sicurezza e agiscano di conseguenza.
Misure tecniche e organizzative (TOM), MFA, CA, PAM, PIM, XDR
Le misure tecniche e organizzative (TOM) sono fondamentali per l’implementazione di architetture a fiducia zero (ZTA). Queste includono misure quali l’autenticazione a più fattori (MFA), l’accesso condizionato, la gestione di tutti gli endpoint/dispositivi mediante soluzioni di rilevamento e risposta estesa agli entpoint (XDR, EDR), la gestione degli accessi privilegiati e delle identità (PAM, PIM), la crittografia, l’applicazione di speciali criteri di sicurezza (policy enforcement), la segmentazione di rete/risorse, l’accesso remoto sicuro e il monitoraggio continuo. Queste misure contribuiscono a ridurre al minimo la superficie di attacco e a garantire che solo gli utenti e i dispositivi autorizzati in modo sicuro abbiano accesso a dati e sistemi sensibili, anche per un periodo di tempo limitato. Altre misure organizzative, come la sensibilizzazione alla cybersecurity e la formazione specifica sui metodi di lavoro che utilizzano i principi della “fiducia zero”, sono utilizzate anche per formare “compagni d’armi contro la criminalità informatica” interni, che pensino in modo critico e agiscano in modo appropriato.
Verifica continua in una situazione di minaccia dinamica
Zero Trust richiede anche una verifica e un monitoraggio continui di tutti gli accessi, le autorizzazioni e le attività. Ciò significa che gli utenti e i dispositivi devono essere controllati e convalidati regolarmente per garantire che siano ancora autorizzati. Questa verifica continua aiuta a riconoscere e prevenire tempestivamente le potenziali minacce nell’ambito di un monitoraggio esteso.
4 principi – verifica esplicita, autorizzazione minima possibile, consapevolezza di Zero Trust e accettazione di una violazione attiva
I quattro principi di Zero Trust sono la verifica esplicita, l’autorizzazione minima possibile (principio della “necessità di sapere”), la consapevolezza critica di Zero Trust e delle sue implicazioni organizzative/tecniche e l’accettazione di una violazione attiva. La verifica esplicita garantisce che ogni accesso sia controllato e convalidato ogni volta e non più senza restrizioni di tempo/luogo. L’autorizzazione più bassa possibile garantisce che gli utenti abbiano solo i diritti di accesso minimi necessari. La consapevolezza della “fiducia zero” da formare significa che tutti i dipendenti comprendono l’importanza della sicurezza supportata dalla “fiducia zero” e agiscono di conseguenza in questo modo di lavorare personalizzato.
Il concetto di “Assume Breach” significa che le aziende presumono consapevolmente che i loro sistemi siano già stati compromessi. Questo porta a una strategia di sicurezza diversa e più proattiva, adattata alla situazione dinamica delle minacce, in cui le minacce esistenti o potenziali sono continuamente ricercate e vengono adottate misure per riconoscerle e prevenirle meglio.
Inventario continuo, anche contro lo “Shadow IT”
Un inventario continuo di hardware, software, servizi cloud, app, utenti, utenti chiave, dati personali, responsabili del trattamento dei dati contrattuali e autorizzazioni è fondamentale per l’implementazione di Zero Trust. Questo inventario, con molti dettagli raccolti e rilevanti, aiuta a ridurre al minimo la superficie di attacco e a garantire che solo gli utenti e i dispositivi autorizzati abbiano accesso a dati e sistemi sensibili, soprattutto in caso di modifiche o adeguamenti del sistema. Tale inventario può essere combinato e ottimizzato con una valutazione dell’impatto sulla protezione dei dati, con un repertorio di elaborazione dei dati dell’ordine, con la gestione della continuità operativa e con la gestione della risposta agli incidenti nell’ambito della gestione del rischio e della conformità delle TIC e, in particolare, del reporting continuo.
La documentazione completa di diversi “compiti a casa nell’IT” e del loro controllo crea anche uno strumento per l’ottimizzazione continua e, auspicabilmente, per riprendere il controllo (“take back control”) su elementi rischiosi e persino su “vecchie reliquie”, “vecchie trecce” dell’IT ombra
Approccio combinato di diversi elementi/categorie nel senso di “best of breed”.
Zero Trust richiede un approccio combinato di diversi elementi e categorie nel senso di “best of breed”. Ciò significa che le aziende combinano le migliori tecnologie e soluzioni disponibili per sviluppare una strategia di sicurezza il più possibile completa e ampia. Questo approccio combinato contribuisce a ridurre al minimo la superficie di attacco contro la criminalità informatica e a garantire che solo gli utenti e i dispositivi autorizzati possano accedere e abbiano effettivamente accesso a dati e sistemi sensibili.
Zero Trust è un processo di trasformazione continuo con possibili piccoli passi per il miglioramento
Zero Trust è un processo di trasformazione continuo che richiede un miglioramento costante. Le organizzazioni devono rivedere e adattare regolarmente le proprie strategie e misure di sicurezza per garantire che rispondano alle minacce e alle sfide in continua evoluzione. Piccoli passi verso il miglioramento possono fare una grande differenza e contribuire a migliorare continuamente la situazione della sicurezza.
Sensibilizzazione dei dipendenti su cybersecurity e IA
La sensibilizzazione dei dipendenti in materia di cybersecurity e IA è una parte importante della strategia Zero Trust. Ciò include formazione e workshop che aumentano la consapevolezza (ad esempio, “inizia a pensare, smetti di cliccare!”) dei rischi per la sicurezza e consentono ai dipendenti di agire in modo consapevole. I dipendenti devono comprendere i rischi e i requisiti delle soluzioni ICT e soprattutto AI e riconoscere l’importanza della sicurezza/integrità delle informazioni.
Pensiero critico e domande basate sul contesto
Il “pensiero critico” e la formulazione di domande basate sul contesto sono essenziali per garantire la sicurezza in un ambiente di fiducia zero e anche di AI deepfake / AI universe. I dipendenti dovrebbero essere incoraggiati e autorizzati a pensare in modo critico e a porre domande basate sul contesto per identificare e ridurre le potenziali vulnerabilità della sicurezza e anche i falsi output / risultati / contenuti / informazioni del sistema. Ciò contribuisce a ridurre la pericolosa credibilità del sistema – anche e soprattutto nell’applicazione contestuale di prompting con strumenti di IA (“context-based AI prompting”) e dei loro risultati/azioni – e ad aumentare la sicurezza complessiva nell’universo informativo “AI pervasive”.
Una politica informativa trasparente e una nuova cultura dell’apprendimento sono importanti per sensibilizzare e responsabilizzare i dipendenti e portare la loro personale “sovranità e maturità digitale” a un livello superiore.
La prontezza dell’intelligenza artificiale anche a favore delle misure di sicurezza
L’integrazione dell’intelligenza artificiale (AI) / AI readiness nella strategia ICT complessiva è un altro aspetto importante, anche a favore della “Zero Trust”. Le organizzazioni devono assicurarsi di essere pronte a utilizzare le tecnologie AI per migliorare l’efficienza, l’automazione e anche le misure di sicurezza. Ciò include la formazione dei dipendenti sull’uso critico e contestualmente corretto dell’IA (“context-based AI prompting”) e l’implementazione di soluzioni di sicurezza basate sull’IA.
AI deepfake e disinformazione
Le tecnologie AI deepfake e la disinformazione in generale rappresentano una minaccia crescente per la sicurezza delle organizzazioni e delle persone. Le organizzazioni devono essere consapevoli di questa minaccia (ad esempio, campagne di social engineering e phishing specificamente supportate dall’intelligenza artificiale) e adottare misure per proteggersi da essa. Ciò include l’implementazione di tecnologie e processi per rilevare e prevenire gli attacchi di deepfakes / disinformazione / social engineering / phishing, nonché la sensibilizzazione dei dipendenti su questa minaccia, in particolare sulla pericolosa credibilità del sistema.
Fridel Rickenbacher è ex co-fondatore, co-CEO, partner, membro del Consiglio di Amministrazione e ora “imprenditore in azienda” / “consulente senior” presso Swiss IT Security AG / Swiss IT Security Group. A livello federale, è rappresentato come esperto e attore in “Digital Dialog Switzerland” + “National Strategy for the Protection of Switzerland against Cyber Risks NCS”. Nella sua missione “sh@re to evolve”, è attivo da anni come membro editoriale, attivista di gruppi di esperti e associazioni, ad esempio presso SwissICT, swissinformatics.org, isss.ch, isaca.ch, bauen-digital.ch nei settori della digitalizzazione, dell’ingegneria, delle nuvole, dell’architettura ICT, della sicurezza, della privacy, della protezione dei dati, dell’audit, della compliance, del controlling, dell’etica dell’informazione, nelle relative consultazioni legislative e anche nell’istruzione e nella formazione (CAS, diploma federale).
Questo articolo è stato pubblicato per la prima volta nel dicembre 2024 sulla rivista Schwyzer Gewerbe e viene qui riprodotto con il permesso dell’autore.
Photo: AI generated.
