娇色导航

Fiducia zero: 猫 questo l鈥檃pproccio alla cybersicurezza su cui lavorano le organizzazioni pi霉 innovative. Secondo Gartner, entro il 2026, il 10% delle grandi imprese avr脿 dispiegato in pieno una strategia zero-trust. Una porzione esigua, ma dieci volte maggiore dell鈥�1% che risulta, al momento, attrezzata per gestire le cyberminacce con questa modalit脿. Per la societ脿 di ricerche, quello che riguarda la fiducia zero 猫 un paradigma di sicurezza che esplicitamente individua utenti e dispositivi e concede loro il minimo livello di accesso necessario alla loro operativit脿. Se, oggi, un鈥檕rganizzazione si fida a priori dei suoi sistemi e dei suoi utenti, con la politica a fiducia zero-trust ogni persona, dispositivo o processo deve ottenere un esplicito riconoscimento e permesso.

鈥淟a cybersecurity 猫 un insieme di elementi che vanno gestiti insieme: organizzazione, infrastrutture di rete, dispositivi, dati, applicazioni, formazione del personale e procedure. Tutti questi aspetti concorrono a formare quella che viene definita la postura di sicurezza dell鈥檃zienda鈥�, afferma Vincenzo Pensa, Direttore Sistemi informativi e innovazione di ACI, la Federazione nazionale che associa gli Automobile Club provinciali e locali italiani, a proposito della policy zero-trust che ha avviato: 鈥淥gni operazione viene gestita come se dall鈥檃ltra parte ci fosse un potenziale pericolo e ogni volta si richiede un controllo di sicurezza, anche se viene svolta all鈥檌nterno del sistema tra risorse note鈥�, indica Pensa.

Zero-trust: non fidarsi nemmeno dell鈥檃ssenza di minacce

La politica della fiducia zero include la crittografia dei dati, gli aggiornamenti software automatici e il principio dei privilegi minimi, secondo cui si concedono solo gli accessi sufficienti per portare a termine un determinato compito. Un altro aspetto rilevante riguarda la rete, che andrebbe segmentata il pi霉 possibile, isolando le aree critiche. 鈥淨uesto richiede la mappatura dei flussi di dati: vengono identificati i percorsi di comunicazione su cui viaggiano le informazioni e di volta in volta si stabiliscono permessi diversi鈥�, prosegue Pensa.

Nella policy zero trust di ACI, quasi tutte le attivit脿 vengono svolte dalla in-house ACI Informatica. 鈥淎bbiamo implementato dei software che effettuano screening e ricerca di anomalie e lanciano allarmi in caso di attivit脿 sospette鈥�, rivela il manager. 鈥淪i tratta di prodotti acquistati da vendor, ma che poi vengono personalizzati grazie al nostro team interno di specialisti IT鈥�.

Il Direttore Sistemi informativi e innovazione di ACI mette in guardia anche dai periodi di (apparente) calma piatta: 鈥溍� importante andare a caccia delle minacce latenti, che possono restare non intercettate. Molte intrusioni hanno lo scopo di permanere nei sistemi, continuando a registrare transazioni, dati e altre informazioni鈥�. In pratica, se le minacce sembrano diminuire o fermarsi, 猫 meglio indagare pi霉 a fondo, perch茅 il nemico potrebbe essersi nascosto.

La personalizzazione dei prodotti

Zero-trust 猫 il metodo seguito anche da Italia Power (soluzioni energetiche per famiglie, condomini e imprese).Il team guidato dal 娇色导航Raffaele Schiavullo ha creato un鈥檃rchitettura SaaS ridondante con la banca dati separata. 鈥淪e va fuori servizio una macchina subentra l鈥檃ltra, ma i dati sono comunque in un altro server ancora. Possiamo considerarla una forma di PaaS con principi di ridondanza鈥�, spiega Schiavullo, che 猫 anche Delegato Relazioni Estero e membro del comitato tecnico di 娇色导航Club Italia, un鈥檃ssociazione di Chief Information Officer, IT听Manager e altri dirigenti delle tecnologie dell鈥檌nformazione in Italia.听

鈥淣oi usiamo il servizio cloud di un provider che ci fornisce data center, server e strumenti di cyber-protezione come i firewall, ma il software per il controllo degli accessi 猫 tailor-made, ovvero le policy di sicurezza le abbiamo scritte noi, in base alle nostre esigenze e sotto il nostro controllo, in ottica zero trust 鈥� per esempio, mascherando i canali di ingresso alle informazioni鈥�.

La sicurezza dall鈥檈dge all鈥橧P

Anche per Andrea Pernici, CTO di 3BMeteo, portale italiano di previsioni meteorologiche e societ脿 del gruppo Meteosolutions, le minacce cyber sempre pi霉 sofisticate richiedono difese pi霉 attente. Il firewall non basta: il team di Pernici si occupa anche di mettere in sicurezza i dati tramite servizi appositi in edge, ovvero cifrando le informazioni direttamente l脿 dove vengono generate e inviate. 鈥淧er i dati sensibili che vengono trasmessi via web e i sistemi online abbiamo un approccio zero-trust鈥�, evidenzia il CTO.

3BMeteo ha messo in sicurezza il data center presso l鈥檌nfrastruttura di un provider. Un ulteriore strato di protezione 猫 fornito da un prodotto per la sicurezza e l鈥檕ttimizzazione dei siti web, che funge da proxy e rafforza e integra le difese per gli applicativi interni e esterni, che sono raggiungibili da un indirizzo internet pubblico. 鈥淧rima di arrivare all鈥檃pplicativo c鈥櫭� una serie di policy che stabiliamo di volta in volta: in base ai principi zero trust, queste policy vengono applicate all鈥橧P, al device fisico, all鈥橧P e all鈥檈mail, solo all鈥檈mail e cos矛 via, a seconda di quanto deve essere restrittivo l鈥檃ccesso a una determinata area鈥�, aggiunge Pernici.

Queste protezioni permettono al team IT di sventare i tentativi di intrusione. 鈥淩ileviamo in media 7-8 attacchi Ddos (Distributed denial of service) all鈥檃nno, pi霉 o meno potenti鈥�, svela Pernici. 鈥淎ttacchi minori li riceviamo anche tutti i giorni: sono tipicamente generati da bot alla ricerca di falle oppure dei tentativi di malware injection negli applicativi鈥�.

L鈥檃nello debole della catena

Gli analisti di Gartner pensano che, di qui al 2026, circa la met脿 dei cyber-attacchi andr脿 a bersagliare proprio le aree non coperte dai controlli zero-trust, dove, quindi, le imprese sono impreparate a mitigare gli effetti di un evento cyber. In una superficie d鈥檃ttacco che diventa sempre pi霉 ampia, i criminali dell鈥橧T andranno alla ricerca di asset e vulnerabilit脿 rimaste al di fuori della Zta (Zero-trust architecture).

Secondo Gartner, le zone vulnerabili potrebbero risiedere in alcune tecnologie, come le API esposte al pubblico, ma ancor di pi霉 nelle persone: gli hacker cercheranno di prendere di mira i dipendenti tramite le tecniche di social engineering o di 鈥渂ullizzare鈥� quelli che si sono creati dei loro sistemi per aggirare 鈥� contro le policy aziendali 鈥� le stringenti regole della fiducia zero.

L鈥檌mportanza di fare formazione. Anche per chi scrive il software

La consapevolezza delle persone 猫, ancora una volta, la base. 鈥淏isogna lavorare molto sulla formazione in azienda, perch茅 gli attacchi spesso sfruttano la debolezza delle persone鈥�, prosegue Pernici.

鈥淯n鈥檃lta percentuale degli attacchi dipende dalla risorsa umana鈥�, evidenzia Pensa di ACI. 鈥淪e riuscissimo a garantire i comportamenti corretti delle persone coinvolte nei processi, il cyber rischio si abbatterebbe fino al 90%. I migliori processi e le migliori tecnologie non bastano鈥�.

Infatti, non si tratta solo del dipendente che apre l鈥檈mail di phishing e clicca il link malevolo o subisce le pressioni del social engineering e cede dati sensibili e credenziali. Pensa sottolinea che 鈥淟e persone operano su pi霉 livelli. Bisogna verificare le librerie di software, le API, l鈥檌nput dei dati, e cos矛 via. Anche chi scrive le applicazioni deve farlo secondo precise regole: se ci sono falle, i cybercriminali le sfrutteranno per aggredire鈥�.

Rivolgendosi alle Pubbliche amministrazioni, Agid, Agenzia per l鈥橧talia Digitale, ha pubblicato le 鈥�鈥�, che includono regole quali i gi脿 citati privilegi esecutivi minimi, i metodi trace and track (secondo cui 鈥渃i貌 che non viene utilizzato dovrebbe essere disabilitato鈥�) e l鈥檈liminazione delle backdoor amministrative, 鈥減otenzialmente pericolose鈥�. Sono tutte tecniche note e adottate anche dalle imprese private che hanno avviato policy zero trust.

Questa strategia 猫 complessa ed esige un鈥檃mpia serie di prassi e procedure. Per questo molti 娇色导航chiedono maggiore determinazione e coerenza da parte del top management, affinch茅 si riesca a costruire una zero-trust architecture il pi霉 possibile completa.