Preparare il terreno per Zero Trust
Negli ultimi anni il tema della sicurezza informatica si è spostato dal reparto IT alla sala riunioni. L'attuale clima di incertezza geopolitica ed economica ha reso la minaccia di attacchi informatici ancora più pressante, le aziende di tutte le dimensioni e di tutti i settori ne accusano il colpo. Sia un potenziale paralizzante attacco ransomware che una violazione dei dati con conseguente compromissione delle informazioni sensibili dei consumatori, sono rischi reali e potenzialmente catastrofici. Le organizzazioni stanno riconoscendo la necessità di una migliore resilienza e preparazione rispetto alla sicurezza informatica. Reagire semplicemente agli attacchi nel momento in cui si verificano non è sufficiente; le aziende devono prepararsi in modo proattivo all'inevitabile nel loro approccio alla sicurezza informatica.
L'approccio alla sicurezza che ha guadagnato la maggiore attenzione negli ultimi anni è il concetto di Zero Trust. Il principio alla base di Zero Trust è semplice: non fidarsi di nulla; verificare tutto. Ciò che più spinge verso una moderna architettura Zero Trust è constatare che i tradizionali modelli di sicurezza basati sul perimetro (castello e fossato) non sono più sufficienti nell'odierno panorama distribuito digitalmente. Le organizzazioni devono adottare un approccio olistico alla sicurezza basato sulla verifica dell'identità e dell'attendibilità di tutti gli utenti, i dispositivi e i sistemi che accedono alle loro reti e ai loro dati.
Zero Trust è da tempo sul radar di dirigenti d'azienda e dei membri del consiglio di amministrazione. Tuttavia, Zero Trust non è più solo un concetto in discussione; ora è un mandato. Con il lavoro remoto o ibrido che ormai sono la norma e gli attacchi informatici che continuano a intensificarsi, le aziende si rendono conto che devono adottare un approccio fondamentalmente diverso alla sicurezza. Ma come per qualsiasi cambiamento significativo di strategia, l'implementazione può essere impegnativa e gli sforzi a volte possono bloccarsi. Sebbene molte aziende abbiano iniziato a implementare metodi e tecnologie Zero Trust, solo alcune le hanno applicate completamente in tutta l'organizzazione. Per molte grandi aziende, questo è lo stato attuale delle loro iniziative Zero Trust, bloccate nella fase di implementazione.
Nasce un nuovo ruolo di leadership
E se ci fosse un pezzo mancante nel puzzle della sicurezza informatica che potrebbe cambiare tutto? Assumi il ruolo di "Chief Zero Trust Officer" (CZTO) – una nuova posizione che crediamo diventerà sempre più comune nelle grandi organizzazioni nel corso del prossimo anno.
L'idea che le aziende possano introdurre il ruolo di responsabile amministrativo Zero Trust è stata delineata nelle conversazioni dello scorso anno tra i membri del team Field CTO di Cloudflare e le agenzie del governo federale degli Stati Uniti. Una funzione lavorativa simile è stata annotata per la prima volta nel Memorandum della Casa Bianca indirizzando le agenzie federali a "passare ai principi di sicurezza informatica Zero Trust" e richiedendo alle agenzie di "designare e identificare entro 30 giorni un responsabile dell'implementazione della strategia Zero Trust per la loro organizzazione". Nel governo, un ruolo come questo è spesso chiamato "zar", ma il titolo "chief" (capo) è più appropriato all'interno di un'azienda.
Le grandi organizzazioni hanno bisogno di leader forti per fare le cose in modo efficiente. Le aziende assegnano la massima responsabilità di leadership a persone con titoli che iniziano con la parola Chief (capo), come Chief Executive Officer (CEO) o Chief Financial Officer (CFO). Queste posizioni esistono per fornire indicazioni, stabilire strategie, prendere decisioni cruciali e gestire le operazioni quotidiane e spesso sono responsabili nei confronti del consiglio di amministrazione delle prestazioni e del successo complessivi.
Perché un livello C per Zero Trust e perché ora?
Un vecchio proverbio dice: "quando tutti sono responsabili, nessuno è responsabile". Se prendiamo in considerazione le sfide insite nell'implementazione di Zero Trust all'interno di un'azienda, la mancanza di una figura di riferimento con chiare funzioni di leadership e responsabilità potrebbe essere un problema significativo. Rimane la domanda, chi *esattamente* è responsabile di guidare l'adozione e l'esecuzione di Zero Trust all'interno dell'organizzazione?
Le grandi aziende hanno bisogno di un'unica persona responsabile del percorso Zero Trust. Questo leader dovrebbe essere dotato di un preciso mandato e avere un obiettivo unico: portare l'azienda a Zero Trust. Da qui è nata l'idea del Chief Zero Trust Officer. "Chief Zero Trust Officer" può sembrare solo un titolo, ma è una figura importante. Attira l'attenzione e può superare molti ostacoli a Zero Trust.
Ostacoli all'adozione
L'implementazione di Zero Trust può essere ostacolata da varie sfide tecnologiche. Comprendere e implementare la complessa architettura di alcuni fornitori può richiedere tempo, presupporre una formazione approfondita o necessitare l'impiego di servizi professionali per l'acquisizione delle competenze necessarie. Anche l'identificazione e la verifica di utenti e dispositivi in un ambiente Zero Trust può rappresentare una sfida. Richiede un inventario accurato della base utenti dell'organizzazione, dei gruppi di cui fanno parte e delle loro applicazioni e dispositivi.
Dal punto di vista organizzativo, il coordinamento tra i diversi team è fondamentale per implementare efficacemente Zero Trust. Abbattere i silos tra IT, sicurezza informatica e gruppi di networking, stabilire canali di comunicazione chiari e riunioni regolari tra i membri del team può aiutare a raggiungere una strategia di sicurezza coerente. Anche la resistenza generale al cambiamento può essere un ostacolo significativo. I leader dovrebbero utilizzare tecniche come dare il buon esempio, comunicare in modo trasparente e coinvolgere i dipendenti nel processo di cambiamento per mitigarlo. Affrontare in modo proattivo le preoccupazioni, fornire supporto e creare opportunità di formazione per i dipendenti può anche aiutare a facilitare la transizione.
Responsabilità e affidabilità - non importa come viene definita
Ma perché un'organizzazione ha bisogno di un CZTO? È essenziale un altro ruolo di livello C? Perché non assegnare questo ruolo a qualcuno che già gestisce la sicurezza all'interno dell'organizzazione CISO? Naturalmente, queste sono tutte domande valide. Mettiamola così: le aziende dovrebbero assegnare il titolo in base al livello di importanza strategica per l'azienda. Quindi, che si tratti di Chief Zero Trust Officer, Head of Zero Trust, VP di Zero Trust o qualcos'altro, il titolo deve attirare l'attenzione e avere il potere di abbattere i silos e tagliare la burocrazia.
I nuovi titoli di livello C non sono senza precedenti. Negli ultimi anni, abbiamo assistito all'emergere di titoli come Chief Digital Transformation Officer, Chief eXperience Officer, Chief Customer Officer e Chief Data Scientist. Il titolo di Chief Zero Trust Officer probabilmente non è nemmeno un ruolo permanente. L'aspetto cruciale è che la persona che ricopre questo ruolo abbia l'autorità e la visione per portare avanti l'iniziativa Zero Trust, con il supporto della leadership aziendale e del consiglio di amministrazione.
Arrivare a Zero Trust nel 2023
Arrivare alla sicurezza Zero Trust è ormai un obbligo per molte aziende, poiché il tradizionale modello di sicurezza basato sul perimetro non è più sufficiente per proteggere dalle sofisticate minacce odierne. Per affrontare le sfide tecniche e organizzative che derivano dall'implementazione di Zero Trust, la leadership di un CZTO è fondamentale. Il CZTO guiderà l'iniziativa Zero Trust, allineerà i team e abbatterà le barriere per ottenere un'implementazione senza intoppi. Il ruolo di CZTO nella C-suite sottolinea l'importanza di Zero Trust nell'azienda. Garantisce che l'iniziativa Zero Trust riceva l'attenzione e le risorse necessarie per avere successo. Le organizzazioni che oggi nominano un CZTO saranno quelle che saliranno la vetta in futuro.
Cloudflare One per Zero Trust
Cloudflare One è la piattaforma Zero Trust di Cloudflare, facile da implementare e perfettamente integrabile con strumenti e fornitori esistenti. Si basa sul principio di Zero Trust e fornisce alle organizzazioni una soluzione di sicurezza completa che funziona a livello globale. Cloudflare One viene fornito sulla rete globale di Cloudflare, il che significa che funziona perfettamente in più aree geografiche, paesi, provider di rete e dispositivi. Grazie alla massiccia presenza globale di Cloudflare, il traffico viene protetto, instradato e filtrato su un backbone ottimizzato che utilizza l'intelligenza Internet in tempo reale per proteggere dalle minacce più recenti e instradare il traffico in caso di intemperie e interruzioni di Internet. Inoltre, Cloudflare One si integra con le migliori soluzioni di gestione delle identità e sicurezza dei dispositivi endpoint, creando una soluzione completa che avvolge l'intera rete aziendale di oggi e di domani. Per saperne di più, comunicacelo e ti contatteremo.
Preferisci ancora evitare di parlare con qualcuno? Quasi tutte le funzionalità di Cloudflare One sono disponibili gratuitamente per un massimo di 50 utenti. Molti dei nostri più grandi clienti aziendali iniziano esplorando i prodotti Zero Trust con il piano gratuito e noi ti invitiamo a provarlo seguendo questo link.
Lavori con un altro fornitore Zero Trust?
Gli esperti di sicurezza di Cloudflare hanno creato una roadmap indipendente dal fornitore per fornire un'architettura Zero Trust e una sequenza temporale di implementazione di esempio. La Roadmap di Zero Trust https://zerotrustroadmap.org/ è una risorsa eccellente per le organizzazioni che desiderano saperne di più sui vantaggi e sulle best practice dell'implementazione di Zero Trust. E se ti senti bloccato nel tuo attuale percorso Zero Trust, chiedi al tuo chief Zero Trust officer chiamaci a Cloudflare!