Zero Trust: nel 2020 il 72% delle aziende lo implementerà, ma i dubbi rimangono
Secondo il report 2020 Zero Trust Progress pubblicato oggi da Cybersecurity Insiders e Pulse Secure, quest’anno il 72% delle aziende implementerà le funzionalità Zero Trust per mitigare i crescenti rischi informatici, ma quasi la metà (47%) dei professionisti di cybersecurity mostra poca fiducia verso l’applicazione del modello Zero Trust alla propria architettura di accesso sicuro.
Per stilare il report, sono stati intervistati oltre 400 responsabili aziendali di cybersecurity, a cui è stato chiesto in che modo stanno implementando la sicurezza Zero Trust e quali sono i fattori decisivi, i livelli di adozione, le tecnologie, gli investimenti e i vantaggi. Il report indica che nel 2020 l’accesso Zero Trust andrà oltre la fase di implementazione, ma esiste un forte divario rispetto alla fiducia con cui i professionisti della cybersecurity applicano i principi Zero Trust.
“Zero Trust garantisce di fatto un netto miglioramento in usabilità, protezione dei dati e governance. Tuttavia, ci sono forti incertezze fra i professionisti di cybersecurity rispetto a dove e come implementare i controlli Zero Trust in ambienti IT ibridi, un aspetto evidenziato dai diversi livelli di fiducia espressi dagli intervistati” ha dichiarato Scott Gordon, Chief Marketing Officer di Pulse Secure.
I criteri più convincenti del modello Zero Trust, secondo l’opinione delle aziende che ne stanno implementando le funzionalità nel 2020, sono la protezione dei dati, la fiducia acquisita attraverso la verifica dell’entità, l’autenticazione e l’autorizzazione continue. Il report ha anche indicato che quasi un terzo (30%) delle aziende sta cercando di semplificare l’accesso sicuro, migliorando l’esperienza dell’utente e ottimizzando l’amministrazione e l’erogazione del servizio. In più, il 53% degli intervistati si prepara a spostare le funzionalità di accesso Zero Trust su un deployment di IT ibrido.
Oltre il 40% degli intervistati ha dichiarato che le sfide principali per l’accesso sicuro ad applicazioni e risorse sono rappresentate da dispositivi a rischio e mobili di tipo vulnerabile, accesso non sicuro da parte di partner, attacchi informatici, dipendenti con troppi privilegi di accesso e rischi dello Shadow IT.
“La trasformazione digitale sta portando con sé un incremento di attacchi malware, di vulnerabilità IoT e di violazioni dei dati, perché è più facile effettuare il phishing degli utenti su dispositivi mobili e sfruttare dispositivi mal gestiti connessi a Internet. Di conseguenza, per ottenere una condizione Zero Trust è essenziale orchestrare la visibilità degli endpoint, i controlli di autenticazione e l’applicazione dei protocolli di sicurezza”, continua Gordon.
Anche se il 45% degli intervistati ha dubbi sulla sicurezza dell’accesso alle applicazioni su cloud pubblico e il 43% menziona problemi di abilitazione del modello BYOD (Bring Your Own Device), oltre il 70% delle aziende si prepara a migliorare le proprie funzionalità di gestione degli accessi e delle identità.
“L’accesso sicuro inizia con un provisioning dell’utente idoneo e ben gestito, ma richiede l’autenticazione dell’entità e i controlli di conformità per l’accesso condizionale, indipendentemente dal fatto che un utente acceda da remoto o da rete aziendale, che il dispositivo sia personale o di proprietà dell’azienda e che l’applicazione sia interna o nel cloud”, dichiara Gordon.
La mobilità della forza lavoro e l’IT ibrido hanno spostato la maggior parte dei carichi di lavoro al di fuori del riparo garantito dalle reti aziendali e dalla tradizionale difesa del perimetro, comportando criticità di accesso degli utenti e di dati. Il report indica che quasi un terzo dei professionisti di cybersecurity ha ottenuto vantaggi applicando il modello Zero Trust in risposta alle criticità di sicurezza dell’IT ibrido.
“Le aziende dovrebbero riconsiderare le condizioni di sicurezza dell’accesso e i requisiti di privacy dei dati in tutte le fasi dell’adozione del cloud, mentre spostano applicazioni e risorse dall’ambiente locale verso i cloud pubblici e privati. Applicare un modello Zero Trust in linea con la migrazione IT ibrida consentirebbe alle imprese di realizzare economie di Utility Computing e al contempo di conseguire un’implementazione senza interruzioni della funzionalità ZTNA (Zero Trust Network Access) quando, dove e come serve”, ha affermato Gordon.
Il report indica infine che un quarto delle aziende punta ad aumentare l’attuale infrastruttura di accesso sicuro usando la tecnologia di perimetro software-defined o SDP (ossia, Zero Trust Network Access – ZTNA). “Le aziende interessate al modello ZTNA hanno necessità di una soluzione che funzioni in parallelo con una VPN basata su perimetro, per ottenere la flessibilità operativa richiesta per le imprese e i fornitori di servizi che supportano ambienti di data center e multi-cloud”, afferma Gordon.
Fra gli intervistati che stanno prendendo in esame SDP, la maggioranza (53%) preferisce il deployment IT ibrido, mentre un quarto (25%) pensa a un’implementazione SaaS (Software-as-a-Service). “Alcune aziende sono restie a implementare il modello Zero Trust come SaaS, magari perché hanno applicazioni legacy che possono ritardare o impedire l’implementazione del cloud. Altre possono avere maggiori obblighi in materia di protezione dei dati, per via dei quali sono contrarie a consentire che funzioni di controllo o altre informazioni sensibili escano dall’ambiente locale, oppure hanno in corso investimenti materiali nella loro infrastruttura di data center che sono in linea con le loro esigenze” conclude Holger Schulze, fondatore e CEO di Cybersecurity Insiders.