ZScaler, specialista nella sicurezza cloud, ha riscontrato che oltre il 90% (97% in Italia) dei responsabili IT che hanno avviato la migrazione verso il cloud ha implementato, sta implementando o sta pianificando di implementare un’architettura di sicurezza Zero Trust. A sostegno del passaggio verso l’architettura Zero Trust per proteggere gli utenti e il cloud, più di due terzi, pari al 68% (64% in Italia), ritiene che la trasformazione sicura del cloud sia impossibile con le infrastrutture di sicurezza di rete tradizionali o che le soluzioni Zero Trust Network Access (ZTNA) presentino chiari vantaggi rispetto ai firewall e alle VPN tradizionali per l’accesso da remoto alle applicazioni. Questo è quanto emerge dal report The State of Zero Trust Transformation 2023, uno studio globale condotto su 1.900 responsabili IT di livello senior in aziende di tutto il mondo che hanno già avviato la migrazione di applicazioni e servizi verso il cloud.
La ricerca di Zscaler mostra che, in un contesto di rapida trasformazione digitale, i responsabili IT ritengono che l’approccio Zero Trust – basato sul principio che nessun utente o applicazione debba essere intrinsecamente ritenuto affidabile – sia il modello ideale per proteggere gli utenti aziendali, i workload e gli ambienti IoT/OT in una realtà lavorativa ormai altamente distribuita a livello geografico e incentrata su cloud e mobile. Se affrontato da una prospettiva IT olistica, l’approccio Zero Trust ha il potenziale per sbloccare opportunità in tutto il processo di digitalizzazione, dalla promozione dell’innovazione al supporto di un migliore coinvolgimento dei dipendenti fino alla realizzazione di efficienze tangibili dal punto di vista dei costi.
I principali problemi del cloud
I responsabili IT interpellati hanno identificato la sicurezza, l’accesso e la complessità come le principali preoccupazioni legate al cloud, creando così espliciti presupposti a favore del modello Zero Trust per superare questi ostacoli. Alla domanda sulle infrastrutture di rete e di sicurezza legacy, il 54% (il 40% in Italia) ha dichiarato di ritenere che le VPN o i firewall perimetrali siano inefficaci nel proteggere dagli attacchi informatici o che forniscano scarsa visibilità sul traffico delle applicazioni e sugli attacchi. Ciò convalida ulteriormente la percentuale del 68% (64%in Italia) che concorda sul fatto che la trasformazione sicura del cloud è impossibile con un’infrastruttura di sicurezza di rete legacy o che lo ZTNA presenta chiari vantaggi rispetto ai firewall e alle VPN tradizionali per la protezione dell’accesso remoto alle applicazioni.
Il contesto cloud: mancanza di fiducia
Sebbene i progressi verso l’approccio Zero Trust siano notevoli, Zscaler ha rilevato che, a livello globale, solo il 22% delle aziende è pienamente convinto di sfruttare completamente il potenziale della propria infrastruttura cloud; pertanto, sebbene le aziende abbiano compiuto solidi primi passi nel loro percorso verso il cloud, esiste un’enorme opportunità di capitalizzarne i vantaggi. A livello dei singoli Paesi, il 42% delle aziende in America si sente pienamente fiducioso nell’utilizzo della propria infrastruttura cloud, rispetto al 14% delle aziende nei territori EMEA (Europa, Medio Oriente e Africa) e al 24% in quelli APAC (Asia Pacifica). Mentre India (55%) e Brasile (51%) sono in testa a livello di paese, seguiti da Stati Uniti (41%) e Messico (36%), i paesi di Europa ed Asia sono meno fiduciosi: in Europa, Svezia (21%) e Regno Unito (19%) sono in testa, seguiti da Australia (17%), Giappone (17%) e Singapore (16%) in APJ. I restanti Paesi europei sono in ritardo: Paesi Bassi con il 14%, Italia con il 12%, Francia e Spagna con l’11% e Germania con il 9%.
Se a prima vista la sicurezza sembra ostacolare la piena realizzazione del potenziale del cloud, le motivazioni alla base del passaggio al cloud suggeriscono un ostacolo più rilevante nel modo in cui i responsabili IT vedono il cloud: hanno infatti citato, a livello globale, preoccupazioni sulla privacy dei dati, sfide per la protezione dei dati nel cloud e difficoltà di scalare la sicurezza della rete tra i principali ostacoli a sfruttare il pieno potenziale del cloud. Per l’Italia lo studio rileva tra i principali ostacoli: preoccupazioni sulla privacy dei dati, abilitazione dell’accesso remoto per dispositivi e sistemi industriali (ad es. IoT, OT) ed elevata complessità della rete da adattare. Tuttavia, alla domanda sui principali fattori che guidano le iniziative di trasformazione digitale nelle loro aziende, i primi tre fattori, Italia inclusa, sono stati la riduzione dei costi, la facilitazione delle tecnologie emergenti come il 5G e l’Edge computing e la gestione del rischio informatico, suggerendo che potrebbe esserci ancora una netta mancanza di comprensione su come conseguire i più ampi benefici aziendali.
Soddisfare le esigenze del lavoro ibrido grazie alla sicurezza Zero Trust
I responsabili IT intervistati nella ricerca di Zscaler hanno previsto che nei prossimi 12 mesi i dipendenti delle loro aziende continueranno ad utilizzare pienamente le diverse modalità di lavoro a loro disposizione, suddivise tra: lavoratori in ufficio a tempo pieno (38% a livello globale, 37% in Italia) dipendenti completamente da remoto (35% a livello globale, 31% in Italia) e modalità ibrida (27% a livello globale, 32% in Italia).
A livello globale, solo il 19% (il 30% in Italia) ha indicato che è già presente un’infrastruttura ibrida basata sul modello Zero Trust, il che suggerisce che le aziende non sono del tutto pronte a gestire la sicurezza nell’ambiente di lavoro di oggi, altamente distribuito su vasta scala. Oltre a coloro che hanno già aggiornato la propria infrastruttura, un altro 50% (53% in Italia) sta per implementare o sta pianificando una strategia ibrida basata su Zero Trust.
La user experience dei dipendenti è stata indicata come il motivo principale per l’implementazione di un’infrastruttura di lavoro ibrida Zero Trust. Più della metà degli intervistati (52%, stesso dato per l’Italia) concorda sul fatto che l’implementazione aiuterebbe ad affrontare esperienze di accesso insufficienti per le applicazioni e i dati locali e basati su cloud, il 46% (30% in Italia) che affronterebbe la perdita di produttività dovuta a problemi di accesso alla rete e il 39% (30% in Italia) che l’utilizzo del modello Zero Trust consentirebbe ai dipendenti di accedere ad applicazioni e dati da dispositivi personali. Queste opinioni riflettono la sfida più ampia, al di là della sicurezza, che il lavoro ibrido comporta in termini di accesso, esperienza e prestazioni, e il ruolo che Zero Trust svolge in risposta.
Il potenziale di Zero Trust come strumento di business
In linea con le motivazioni alla base della migrazione al cloud, Zscaler ha rilevato che le aziende non si concentrano su risultati strategici più ampi nella pianificazione delle iniziative riguardanti le tecnologie emergenti. Alla domanda su quale sia l’aspetto più problematico nell’implementazione di progetti riguardanti le tecnologie emergenti, il 30% ha citato un’adeguata sicurezza (37% Italia), seguita dai requisiti di budget per l’ulteriore digitalizzazione (23% a livello globale, 27% in Italia). Tuttavia, solo il 19% (15% in Italia) ha citato come sfida la dipendenza da decisioni strategiche di business.
Sebbene le preoccupazioni relative al budget siano naturali, il fatto di concentrarsi sulla sicurezza della rete ignorando l’allineamento strategico con il business suggerisce che le aziende si focalizzano sulla sicurezza senza comprendere appieno i vantaggi per il business e che l’approccio Zero Trust non è ancora inteso come fattore abilitante per il business.
“Lo stato della trasformazione Zero Trust all’interno delle aziende è oggi promettente: le percentuali di implementazione sono elevate“, ha dichiarato Nathan Howe, VP di Emerging Tech, 5G di Zscaler. ”Ma le aziende potrebbero essere ancora più intraprendenti. I responsabili IT hanno l’incredibile opportunità di educare i responsabili delle decisioni aziendali sull’approccio Zero Trust come fattore abilitante per l’azienda ad alto valore, soprattutto quando si trovano a dover fornire una nuova tipologia di ambienti di lavoro o di produzione ibridi e a fare affidamento su una serie di tecnologie emergenti come IoT e OT, 5G e persino il metaverso. Una piattaforma Zero Trust ha il potere di ridisegnare i requisiti dell’infrastruttura aziendale e organizzativa: diventare un vero e proprio motore di business che non si limiti a consentire il modello di lavoro ibrido richiesto dai dipendenti, ma che permetta alle aziende di diventare completamente digitalizzate, beneficiando di agilità, efficienza e di un’infrastruttura a prova di futuro”.
Sono quattro le raccomandazioni fondamentali che Zscaler suggerisce alle aziende che desiderano sfruttare il modello Zero Trust:
- Non tutte le offerte che propongono un’architettura Zero Trust sono uguali: una vera architettura Zero Trust si basa sul principio che nessun utente o applicazione è intrinsecamente affidabile. Il primo passo è la convalida dell’identità dell’utente, combinata con l’applicazione di policy aziendali basate su dati contestuali, per fornire agli utenti e ai workload l’accesso diretto alle applicazioni e alle risorse, mai alla rete aziendale.
- Zero trust per abilitare la trasformazione e accelerare i risultati aziendali: grazie agli elevati livelli di sicurezza, visibilità e controllo, sfruttare un’architettura olistica basata sul modello Zero Trust elimina la complessità dell’IT e consente alle aziende di concentrarsi sull’ottenimento di risultati aziendali migliori nell’ambito delle loro iniziative di trasformazione digitale e di rimanere competitive.
- Zero Trust per il consiglio di amministrazione: per allinearsi alla strategia aziendale, i CIO e i CISO dovrebbero sfruttare questi risultati per contribuire a dissipare paure, incertezze e dubbi sul significato di “Zero Trust” e per promuoverne il pieno impatto a livello di decisioni aziendali
- Infrastrutture Zero Trust come base per il futuro: le tecnologie emergenti devono essere considerate un vantaggio competitivo per l’azienda e un’architettura Zero Trust supporterà i requisiti di connettività sicura e performante dei trend tecnologici emergenti.