La frequenza e la gravità degli attacchi informatici sono aumentate in modo significativo nell'ultimo anno. Secondo il Veeam Ransomware Trends Report 2022, il 73% delle organizzazioni ha subito almeno due attacchi ransomware. Nella maggior parte dei casi, il percorso dei criminali verso la rete aziendale passa attraverso le persone. Per essere protette dagli attacchi informatici, le aziende devono sempre partire dal presupposto che la loro infrastruttura è compromessa e i loro dati sono a rischio.
Il dipendente, elemento più debole, spinge allo Zero Trust
Inoltre, il rapporto ha rilevato che il 46% degli attacchi ransomware è dovuto a utenti scorretti. Anche i membri fidati del team possono essere vittime di e-mail di phishing o di spam. I criminali informatici utilizzano sofisticati metodi di social engineering, spesso progettati per aumentare il senso di minaccia e indurre gli utenti a rispondere rapidamente, prima che abbiano il tempo di riflettere. Se l'account di un dipendente viene rilevato dai criminali, è possibile infiltrarsi nella rete e rubare o distruggere i preziosi dati aziendali.
Dave Russell, vice president of enterprise strategy di Veeam
Le aziende non devono dare per scontato che le soluzioni di protezione dagli attacchi e dalle loro conseguenze funzionino in ogni caso. Per ridurre al minimo il rischio di attacchi e perdite di dati, i sistemi dovrebbero essere "reciprocamente sospetti". Tutte le richieste di accesso ai dati devono essere sempre verificate, anche se riguardano dipendenti o manager fidati. Nel modello Zero Trust si deve sempre presumere che l'infrastruttura sia compromessa e che la sicurezza dei dati sia a rischio. L'identità, l'ubicazione e lo stato di salute del dispositivo devono essere verificati, non solo attraverso l'autenticazione a più fattori, ma anche attraverso l'accesso meno privilegiato. I dipendenti devono avere accesso solo ai dati e alle applicazioni di cui hanno bisogno per il lavoro. Questo approccio non è un'idea nuova: il termine risale a quasi 30 anni fa. Tuttavia, l'indagine di CyberRisk Alliance ha rilevato che ancora solo il 35% dei responsabili della sicurezza ha molta familiarità con questa pratica.
Cybersecurity come esercizio di routine
In molte organizzazioni, una politica di fiducia zero si limita a un semplice compito e all'implementazione di un nuovo software. Tuttavia, la tecnologia non è in grado di proteggere un'azienda se non è collegata alle persone che la utilizzano. Coinvolgere tutti i dipendenti e creare le giuste abitudini digitali è fondamentale. Le politiche di fiducia zero possono essere percepite dai dipendenti come un elemento scomodo, che ostacola e prolunga il lavoro. Pertanto, una comunicazione aperta, una sensibilizzazione sulle minacce e una spiegazione dei vantaggi dovrebbero essere una priorità - per la direzione, i professionisti It, ma anche per l'amministrazione o il personale delle risorse umane. In questo modo, i responsabili delle decisioni potrebbero assegnare fondi adeguati, gli amministratori implementare le politiche e gli utenti comprendere e seguire le nuove politiche.
È inoltre importante ricordare che il modello Zero Trust deve essere costantemente e regolarmente rivalutato. La cybersecurity è come un esercizio di routine: se lo si fa una volta sola non cambierà nulla, mentre le attività sistematiche porteranno risultati. Se lo si fa per un po' e poi si smette del tutto, i risultati inizieranno ad arretrare.
Il backup come ultima risorsa
Il modello Zero Trust può aiutare a proteggere i punti di accesso, ma non consente di recuperare i dati in caso di attacco. Pertanto, deve essere combinato con soluzioni di backup e disaster recovery. Se il backup è compromesso, la durata di un'interruzione aumenta e il ripristino è quasi impossibile. Pertanto, l'accesso al backup deve essere assegnato solo a specialisti rigorosamente selezionati. Nel caso in cui l'account degli amministratori cada nelle mani sbagliate, è importante disporre di una copia offline e isolata che sia immutabile, ovvero non possa essere modificata o cancellata. Questo garantisce che i dati dell'organizzazione non vengano criptati o distrutti, sia da criminali che dalla disattenzione dei dipendenti.
Il primo passo dovrebbe essere quello di considerare ciò che deve essere protetto: identificare dove sono archiviati i dati, chi ha accesso e a quali condizioni. Su questa base, l'amministratore può determinare la politica di gestione degli accessi, ovvero chi deve avere accesso a quali contenuti, applicazioni, reti e dati. Il secondo passo consiste nel creare consapevolezza e le giuste abitudini tra i dipendenti. Solo così gli investimenti in cybersecurity saranno redditizi e le risorse aziendali adeguatamente protette.