Verso il cloud, sempre, ma attraverso una strategia che metta al primo posto la sicurezza e la compliance alle tante normative che stanno obbligando moltissime realtà presenti sul mercato a garantire un corretto trattamento dei dati di cui dispongono e delle infrastrutture che utilizzano. Ed è proprio nella transizione sicura verso il cloud che la californiana Zscaler si sta impegnando, proponendo al mercato le proprie soluzioni Zero Trust, allertando il mercato che gli attacchi possono certamente arrivare dall’esterno ma, a volte, anche dall’interno di un perimetro di cui sempre meno si riesce a percepirne i contorni.
L’ondata del cloud ha infatti rivoluzionato le architetture e le infrastrutture di tantissime, ormai quasi tutte, le aziende, abbattendo i confini e rendendo sempre più difficile prevedesse il loro presidio.
Non si può più: siamo sulla nuvola e, per definizione, nell’impalpabile non si possono più utilizzare i metodi tradizionali di protezione quali firewall e VPN, per mantenere un perimetro protetto. Dall’altro lato, l’evoluzione delle minacce ha portato all’adozione di una miriade di soluzioni di sicurezza, creando architetture complesse e lente che diventano sempre più difficili da gestire.
“Se fino a oggi gli utenti che necessitavano di accedere a informazioni interne dovevano attraversare un perimetro di sicurezza ben custodito, superando vari controlli come firewall, IPS, anti-DDoS e altro ancora, ora questo approccio tradizionale non può più essere considerato efficace ed efficiente nel contesto del cloud computing – osserva Elena Accardi, country manager per l’Italia di Zscaler -. Zscaler affronta il tema della complessità della sicurezza delle infrastrutture in cloud adottando una filosofia zero trust che ne semplifica la gestione. L’obiettivo, in definitiva, è rimuovere le diverse componenti legacy presenti all’interno delle architetture aziendali, non più necessarie dal momento che l’accesso alle informazioni non avviene più esclusivamente all’interno del perimetro aziendale, potendo collegare utenti e terze parti alle applicazioni e ai dati direttamente nel cloud, senza la necessità di passare attraverso controlli intermedi”.
Approccio multidisciplinare e supporto consulenziale
Nel supportare le aziende a migrare verso il cloud, sono molte le iniziative consulenziali che Zscaler propone, con un approccio multidisciplinare che comprende formazione, coaching, competenze legali per l’interpretazione delle responsabilità nella protezione dei dati e, nel caso, attività di sensibilizzazione e culturizzazione con lo scopo di aiutare le aziende e i suoi dipendenti a superare la resistenza al cambiamento.
Il supporto comprende l’offerta di team dedicati, come il Business Risk Assessment Team, che fornisce una fotografia delle architetture esistenti e identifica i gap rispetto alle nuove forme di attacco. Ma l’approccio di Zscaler si estende anche alla formazione continua tramite la Zscaler Academy, che offre risorse formative personalizzate per diversi settori verticali e stili di apprendimento. Inoltre, la Zscaler Partner Academy supporta il canale delle terze parti con programmi di certificazione avanzati, garantendo che possano implementare le soluzioni Zscaler in maniera autonoma.
Partnership che non sono solo commerciali e che includono anche realtà come i grandi integratori di sistema, in grado di garantire un deployment efficace e un supporto continuo ai clienti. Ma anche con altri vendor. Uno degli aspetti fondamentali della strategia di Zscaler è infatti l’interoperabilità con oltre cento partner tecnologici, che vede collaborazioni con aziende vendor come CrowdStrike e SentinelOne, tre la tante, assicurando che le soluzioni di sicurezza siano tra di loro integrate e ottimizzate in modo da poter offrire una protezione completa alle aziende.
L’Importanza dell’infrastruttura proprietaria
L’azienda, dal canto suo, mette a disposizione una infrastruttura imponente, composta da 150 data center a livello globale capaci di garantire una super user experience grazie a connessioni dirette con i principali provider di servizi cloud e Internet, con il risultato di poter servizi di sicurezza altamente performanti, senza compromettere la velocità e l’efficienza delle operazioni aziendali.
E nel rispetto di tutte le direttive legali e le certificazioni necessarie per operare in diversi mercati che l’ha portata recentemente a ottenere il bollino da parte dell’Agenzia per la Cybersicurezza Nazionale (Acn) in Italia.
Grazie a questo riconoscimento, le aziende nostrane possono attingere alle piattaforme Zscaler per progetti innovativi, in linea con il Pnrr. Una certificazione fondamentale anche per la PA italiana e che rappresenta un vantaggio competitivo per Zscaler, dal momento che molte organizzazioni, anche al di fuori del settore pubblico, richiedono questo tipo di certificazioni per garantire la sicurezza dei propri dati.
La Nis 2 è all’orizzonte. Zscaler suona la sveglia a chi non è pronto
Una carta d’identità e un curriculum in piena regola, quindi, quello di Zscaler, documenti con i quali si propone di mettere riparo al grande ritardo che le tante aziende stanno accumulando nell’adempienza della direttiva Nis 2, (Network and Information Security), varata per migliorare la resilienza delle infrastrutture digitali e delle organizzazioni in Europa. Si tratta di un’evoluzione ed estensione della normativa originale Nis (proposta nel 2013 e implementata a partire dal 2016) che mira a creare un ambiente più sicuro e coeso a livello europeo, affrontando le sfide emerse negli anni passati.
Nis e Nis 2. Le direttive che puntano alla responsabilità e alla cooperazione tra gli Stati nella lotta al cybercrime
“La Nis originale, nonostante le buone intenzioni, ha incontrato numerose difficoltà nella sua attuazione – interviene Stefano Alei, Transformation Architect di Zscaler Italia -. La principale sfida era creare una politica di sicurezza uniforme in un contesto europeo frammentato, dove le competenze in materia di sicurezza IT erano spesso appannaggio delle singole nazioni, causando ritardi e inefficienze, con difficoltà nella comunicazione tra gli stati membri e nella condivisione delle informazioni sugli attacchi informatici, elemento che invece è di vitale importanza per migliorare e garantire una difesa collettiva. Un’altra questione critica riguardava l’identificazione degli operatori di servizi essenziali. Inizialmente, solo le aziende più grandi e strategiche erano obbligate a conformarsi, trascurando così l’importanza di proteggere l’intera catena del valore, compresi i fornitori più piccoli che potevano rappresentare punti di vulnerabilità”.
La nuova direttiva Nis 2 affronta queste problematiche ampliando il campo di applicazione e rafforzando la collaborazione tra gli Stati membri introducendo responsabilità chiare per le aziende, inclusa la corporate accountability, e si pone maggiore enfasi sulla gestione del rischio e sulla condivisione delle informazioni. Questo è essenziale per garantire la continuità del business anche in caso di attacco informatico.
Il sondaggio Zscaler sul tema Nis 2: aziende ottimiste. O inconsapevoli?
Un recente sondaggio condotto da Zscaler su 875 decision maker di grandi aziende (con almeno 500 dipendenti) in diversi settori ha fornito un quadro interessante sull’adozione e la percezione della Nis 2. I risultati mostrano un certo ottimismo, anche se fondato su basi a volte fragili. Molti degli intervistati si dichiarano confidenti nella loro capacità di soddisfare i requisiti della Nis 2, con alcuni che affermano addirittura di aver già raggiunto la conformità, nonostante la direttiva debba essere ancora completamente recepita dai singoli Stati. Il che fa venire il dubbio che vi sia un eccesso di fiducia o una comprensione superficiale delle reali implicazioni normative.
Uno dei punti critici emersi è la percezione di una mancanza di supporto adeguato alle funzioni tecniche all’interno delle aziende, che potrebbe portare a team sovraccarichi e focalizzati esclusivamente sulla conformità normativa, trascurando altri aspetti della sicurezza informatica.
Qualche dato dal sondaggio Zscaler
Il rapporto “Nis 2 & beyond: risk, reward & regulation readiness” di Zscaler, rileva che l’80% dei responsabili IT europei (77% in Italia) è fiducioso di rispettare i requisiti della NIS 2 entro il prossimo ottobre. Ma solo il 53% (48% in Italia) ritiene che i propri team IT comprendano pienamente tali requisiti. Questo disallineamento potrebbe ostacolare la conformità.
Il 32% dei responsabili IT (35% in Italia) considera la Nis 2 una priorità per i dirigenti, ma il 56% (59% in Italia) afferma che i team IT non ricevono il supporto necessario. Inoltre, solo il 31% (23% in Italia) valuta le proprie pratiche di igiene informatica come “eccellenti”. Questo indica la necessità di maggiore impegno da parte della dirigenza per fornire le risorse necessarie.
La Nis 2 richiede cambiamenti nelle tecnologie, soluzioni di cybersecurity, formazione dei dipendenti e leadership. Il 62% degli intervistati (71% in Italia) pensa che servano modifiche sostanziali rispetto alle pratiche attuali. Le aree più impegnative includono la sicurezza nella gestione delle reti e dei sistemi informativi, le pratiche di igiene informatica e la formazione in materia di cybersecurity.
Solo il 31% degli intervistati (23% in Italia) definisce il proprio livello di igiene informatica “eccellente”. I settori dei trasporti e dell’energia sono particolarmente indietro, con solo il 14% dei responsabili IT nel settore trasporti e il 21% nel settore energetico che raggiungono un livello di eccellenza.
La risposta di Zscaler che si basa sull’AI e sulla riduzione della superficie d’attacco
Zscaler mette a disposizione una soluzione di sicurezza completa tramite la sua piattaforma cloud Zero Trust Exchange, ottimizzata dall’intelligenza artificiale, i cui dettagli li fornisce Marco Catino, sales engineer manager di Zscaler: “Questa piattaforma è progettata per aiutare le aziende a ridurre al minimo la superficie di attacco e garantire l’efficacia dei controlli di sicurezza nell’ambito dei programmi di governance e gestione del rischio. Una piattaforma che si compone di diversi strumenti, tra questi, Zscaler Internet Access e Zscaler Private Access, che forniscono protezione contro le minacce, sicurezza dei dati e applicazione delle policy monitorando i flussi di traffico e generando log dettagliati per supportare il monitoraggio continuo e le indagini sulla sicurezza. Si tratta di una protezione mirata su una superficie d’attacco che viene sensibilmente ridotta”.
Zero Trust Exchange garantisce infatti che gli utenti non siano inseriti direttamente nella rete e che le applicazioni non siano esposte a Internet. Un approccio che riduce la superficie di attacco, migliorando la sicurezza complessiva. Inoltre, viene implementata una rigorosa policy di controllo degli accessi per le applicazioni interne, assicurando che solo gli utenti autorizzati possano accedere a determinate risorse.
Infine, attraverso Zscaler Risk360 si riesce ad avere un monitoraggio continuo e un rilevamento delle vulnerabilità, permettendo una gestione proattiva di rischi di sicurezza, potendo identificare e mitigare le minacce potenziali prima che possano causare danni.