Il Zero Trust deve essere dimostrato nel 2024

Fare la transizione a un'architettura IT zero-trust è stato un viaggio per la maggior parte delle organizzazioni, iniziato con una maggiore consapevolezza a partire dal 2021, seguito da sforzi di implementazione negli ambienti di produzione che sono iniziati principalmente nel 2023. Avvicinandosi al 2024, molte organizzazioni che hanno abbracciato l'IT zero-trust dovranno dimostrare di aver raggiunto, almeno, alcuni traguardi. Il problema è che non ci sono standard zero-trust reali, quindi potrebbe essere difficile definire un insieme di metriche che convaliderebbero se una specifica capacità è stata sia raggiunta che mantenuta.

In assenza di standard, è probabile che più organizzazioni dovranno fare affidamento su valutazioni di terze parti per, almeno, convalidare le loro iniziative zero-trust. Ad esempio, il Veterans Cybersecurity Group, un fornitore di servizi di formazione sulla cybersecurity per le agenzie federali, ha istituito un Zero Trust Proving Ground (ZTPG) per testare e valutare le iniziative. Qualsiasi organizzazione che spera di sfruttare i propri sforzi zero-trust per ridurre i premi assicurativi sulla cybersecurity avrà probabilmente bisogno di convalide simili.

Teoricamente, le architetture zero-trust si basano essenzialmente sulla capacità di autenticare singoli utenti, macchine e persino componenti software di un'applicazione. Oggi molte organizzazioni si concentrano sul superare le password per identificare chi accede a quali servizi, ma non così tante si concentrano ancora sull'assegnazione di identità a singole macchine e applicazioni. Per quanto sia importante superare le password facilmente rubabili, è solo il primo passo verso l'implementazione di un ambiente IT zero-trust che richiede ai team di cybersecurity di integrare più tecnologie. Non esiste una piattaforma IT zero-trust completamente pronta all'uso.

Tuttavia, più una piattaforma IT è moderna, più è probabile che abbia incorporato principi zero-trust, quindi non c'è dubbio che siano necessari aggiornamenti dell'infrastruttura e delle applicazioni. La sfida più grande non è tanto gestire quella transizione quanto far sì che i team IT e cybersecurity siano sulla stessa lunghezza d'onda riguardo a ciò che può essere considerato una piattaforma o un'applicazione zero-trust.

Ora è solo una questione di tempo prima che l'architettura zero-trust diventi un obbligo man mano che le normative diventano sempre più severe. Un recente sondaggio di 800 decisori in materia di sicurezza informatica condotto da Okta, un fornitore di piattaforme di gestione dell'identità e degli accessi, ha rilevato che il 61% degli intervistati lavorava per organizzazioni che hanno implementato un'iniziativa IT zero-trust, con un altro 35% che prevede di farlo a breve. L'80% ha dichiarato che i budget per queste iniziative sono aumentati di anno in anno, con il 20% che ha riferito che la spesa è aumentata del 25% o più. Ciò suggerisce che, nonostante le difficoltà economiche in corso, molte organizzazioni continuano a dare priorità a queste iniziative nel contesto della loro strategia IT complessiva.

Certo, le iniziative zero-trust, in un modo o nell'altro, saranno messe alla prova. I criminali informatici stanno, dopo tutto, monitorando da vicino questi sforzi. Molte organizzazioni sperimenteranno senza dubbio una buona dose di tentativi ed errori mentre i criminali informatici adattano le loro tattiche e tecniche. In questo senso, la cybersecurity rimarrà un gioco del gatto e del topo. È solo che le probabilità dovrebbero sperabilmente essere leggermente più a favore del gatto piuttosto che dei topi che li supereranno sempre in numero.