sicurezza informatica

ZTNA, la cybersicurezza scelta dal Governo Usa: come adottarla in azienda

Applicare i paradigmi dello Zero Trust Network Access (ZTNA) significa poter beneficiare di un’elevata sicurezza e, contemporaneamente, di una micro-segmentazione delle attività effettuate nella rete. Una soluzione ancora costosa e che richiede un approccio molto attento a diversi aspetti. Il punto

Pubblicato il 22 Mar 2023

Giorgia Benatti

Dottoressa in Legge

Vittorio Colomba

Avvocato esperto in diritto delle nuove tecnologie e protezione dei dati personali

3d,Illustration,Of,The,Text,Zero,Trust,Over,Black,Background

Il cosiddetto Zero Trust Network Access (ZTNA) è uno strumento ormai diffuso non solo tra le aziende specializzate del settore informatico. Si tratta di una soluzione di sicurezza nuova, diversa dalla conosciutissima VPN, incentrata sulla concessione di accessi remoti sicuri a dati, applicazioni e servizi di un’organizzazione sulla base del concetto che nessun’entità debba essere automaticamente considerata attendibile: “don’t trust, verify”.

Il modello Zero Trust per la cybersicurezza: caratteristiche e impieghi pratici in azienda

Per gli operatori economici, applicare i paradigmi dello ZTNA significa poter beneficiare di un’elevata sicurezza e, contemporaneamente, di una micro-segmentazione delle attività effettuate nella rete.

Prova tangibile della grande fiducia riposta nei risultati dello ZTNA è la Direttiva statunitense[1] del Gennaio 2022 con la quale si prevede l’adozione dei principi dell’architettura zero trust da parte di tutti gli uffici del governo federale entro il 2024.

ZTNA, quali sono gli aspetti che un’azienda deve considerare

Se questo è, in estrema sintesi, il biglietto da visita dello ZTNA, quali sono gli aspetti che – ad oggi – un’azienda interessata a tale strategia deve considerare?

Le valutazioni dovrebbero coinvolgere diversi profili che si spingono anche oltre la cybersecurity, a partire dalla privacy, passando per la governance, sino ad arrivare agli aspetti economici ed operativi.

I criteri di cybersicurezza

In primo luogo, in ogni caso, è bene affrontare i temi legati alla cybersecurity. Lo ZTNA applica criteri di cyber sicurezza che si attivano contestualmente alla richiesta di accesso alla rete aziendale da parte di un soggetto, dipendente o fornitore.

In questo modo, l’accesso ai sistemi viene monitorato in tempo reale attraverso il superamento della strategia del “Block/Allow”, limitata dall’intrinseca fiducia che impone di riporre in tutti gli utenti e i dispositivi che sono stati autorizzati a monte all’interno della rete. Si tratta di un cambio di prospettiva che, pur tuttavia, non obbliga ad aprire i cancelli dei propri sistemi e a creare un ingiustificato e inaffrontabile rischio.

L’approccio zero trust ri-valuta l’utente o il dispositivo ad ogni singola richiesta di accesso, indipendentemente da precedenti autorizzazioni, permettendo di individuare inconsapevoli compromissioni subite nell’arco di tempo intercorso tra un’attività e l’altra. L’attendibilità dell’utente ed il suo accesso, quindi, vengono stabiliti in base ad una valutazione dinamica del contesto disponibile (che prende in considerazione fattori come l’identità e la posizione, il profilo di sicurezza dell’endpoint, l’app o il servizio che viene richiesto) con controlli stabiliti da policy definite per ogni fase.

Zero Trust Network Access (ZTNA) - Cloud Security Solutions from Lookout

Zero Trust Network Access (ZTNA) - Cloud Security Solutions from Lookout

Guarda questo video su YouTube

La data protection

La data protection è sicuramente un secondo fondamentale aspetto meritevole di approfondimento discutendo di ZTNA, qualificabile come un interessante strumento a tutela non solo dei sistemi e della rete, ma anche di tutti i dati personali ivi conservati.

È necessario tenere sempre a mente i principi a fondamento del GDPR, primi fra tutti quello di accountability e di privacy by design e by default. Sulla loro guida, chi effettua un trattamento di dati personali è chiamato, sia nel momento della determinazione dei mezzi, sia durante il trattamento stesso, a mettere in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi e di tutelare i diritti degli interessati. Ciò “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” (Art. 25 del GDPR).

La privacy by design

La natura e il funzionamento dello ZTNA inducono la società ad effettuare un’attenta e capillare analisi di fondamentali aspetti legati alla protezione dei dati, permettendone una verifica continua durante l’attuazione della strategia. Si tratta, ad esempio, di: identificazione della natura pubblica, interna o riservata dei dati; mappaggio dei flussi di dati tra persone, applicazioni e connessioni esterne verso partner commerciali e clienti; adozione di policy granulari.

In tale contesto, la privacy si deve necessariamente inserire fra gli elementi da considerare sin dalla progettazione dell’intera strategia di sicurezza informatica. L’approccio zero trust richiede di strutturare delle policy in base alle quali, di volta in volta, autorizzare la connessione a SaaS, internet, Cloud o Datacenter. Ciò comporta per il titolare del trattamento una chiara consapevolezza dell’ubicazione dei dati all’interno dei propri sistemi, con particolare riferimento ad una logica conservazione e archiviazione all’interno dei relativi database, nonché una corretta e capillare definizione di profili autorizzativi dei soggetti incaricati al trattamento, in virtù delle proprie mansioni.

L’attenta predisposizione di procedure e di una valutazione di impatto

In un’ottica squisitamente privacy, se da un lato si pone come strumento di maggior tutela dei dati, dall’altro si deve considerare lo ZTNA come fonte di raccolta di nuove ed ulteriori informazioni riconducibili ai dipendenti da parte del loro datore di lavoro. Tale strategia informatica, infatti, richiede la visibilità e il controllo sugli utenti e sull’ambiente, il monitoraggio e la verifica del traffico tra parti diverse dell’ambiente, nonché l’impiego di metodi di autenticazione a più fattori che non si limitano alla richiesta di password, ma utilizzano anche dati biometrici e codici monouso. In tale contesto, l’attenta predisposizione di procedure e di una valutazione di impatto non solo è fondamentale per un adeguato funzionamento dell’architettura informatica, ma si pone a garanzia del corretto utilizzo dello strumento da parte del datore di lavoro al fine di arginare possibili criticità in materia giuslavoristica.

Come approcciarsi allo ZTNA

Alla luce del quadro ricostruito, i benefici in punto di sicurezza informatica dello ZTNA sono sicuramente innegabili. È altrettanto vero che tale evidenza si aggiunge allo spettro di elementi che l’azienda prende in considerazione in fase di revisione dei piani strategici.

In conclusione, dunque, come approcciarsi in termini aziendalistici ad uno strumento come lo ZTNA?

Così come per ogni implementazione aziendale, le società dovrebbero stabilire, in primo luogo, la gerarchia delle proprie priorità. In essa, la sicurezza dei dati e dei sistemi non può che assumere un valore di assoluta pregnanza, anche se gli elementi positivi da inserire nel quadro costi-benefici sono anche altri.

In primo luogo sono da considerare le scelte (auspicabili) di implementazione e sedimentazione del lavoro a distanza. Un’architettura zero trust ottimizzata si traduce in un’infrastruttura di rete più semplice e in una migliore esperienza per l’utente soprattutto se opera al di fuori della sede aziendale. Tant’è vero che nel contesto di tale strategia la geolocalizzazione di una risorsa non ha più una rilevanza significativa per la valutazione del suo profilo di sicurezza.

Un ruolo fondamentale assume anche la scelta di determinate tipologie di servizi e fornitori. Le policy di convalida zero trust si basano sull’identità e permettono di ottenere una maggiore sicurezza, che viaggia insieme al carico di lavoro, ovunque questo sia indirizzato: in un cloud pubblico, in un ambiente ibrido o in un’architettura di rete on-premise.

Sull’altro piatto della bilancia, almeno per ora, si appoggiano pesantemente i costi necessari per il coinvolgimento di un provider di servizi di sicurezza informatica esterno che implementi l’infrastruttura e, insieme all’area IT, definisca le procedure operative.

Quando, come probabile che accada, l’evoluzione della tecnologia consentirà di accedervi a costi – economici ed organizzativi – più ragionevoli, è prevedibile che queste soluzioni finiscano per trovare una applicazione significativamente diffusa.

  1. Memorandum for the heads of executive departments and agencies – Moving the U.S. Government Toward Zero Trust Cybersecurity Principles, adottato il 26 gennaio 2022 dall’Office of Management and Budget degli Stati Uniti. https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati