“Zero trust" è un concetto relativamente nuovo, coniato dal ricercatore Stephen Marsh nel 1994 per un suo studio sulla fiducia che individua come un qualcosa di finito che può essere descritto matematicamente, affermando che il concetto di fiducia trascende fattori umani come moralità, etica, legalità, giustizia e giudizio.
Oggi il concetto di “Zero trust” trova una sempre più larga applicazione nel campo dell’informatica ed è, probabilmente, l’ultima fase del passaggio da un sistema di sicurezza MFA (Multi-Factor Authentication, o Autenticazione a più fattori) a quello improntato proprio sulla Zero Trust, vale a dire un modello di sicurezza basato sul principio del "non fidarsi mai, sempre verificare". Si basa sull'assunto che le minacce possano provenire sia dall'esterno che dall'interno, e quindi nessun utente o dispositivo dovrebbe essere automaticamente considerato affidabile e sicuro anche se all'interno della rete aziendale.

In un contesto globale sempre più sempre più interconnesso, dove le macchine dialogano tra di loro e soggetto a minacce cibernetiche sempre più sofisticate, la fiducia cieca nella sicurezza basata su reti tradizionali è diventata obsoleta. Zero trust implica che nessun utente o dispositivo debba essere automaticamente fidato per accedere alle risorse aziendali, indipendentemente dalla loro posizione o dal loro status all'interno della rete. In altre parole, anche dopo aver superato l'autenticazione iniziale, l'accesso viene continuamente valutato e autorizzato sulla base di variabili come il contesto dell'accesso, il comportamento degli utenti e dei dispositivi, e altre informazioni pertinenti.

Questo approccio mira a ridurre il rischio di violazioni della sicurezza, limitando la superficie di attacco e garantendo che solo gli utenti autorizzati possano accedere alle risorse aziendali. Le tecnologie come l'Identity and Access Management (IAM), l'analisi comportamentale degli utenti, la crittografia e la microsegmentazione sono tra le soluzioni più spesso utilizzate per implementare una strategia Zero Trust.

Costruire un sistema zero trust davvero efficace

Tra i parametri di valutazione per costruire un efficace sistema “Zero trust” possiamo indicare alla sua base quello del cosiddetto “privilegio minimo", vale a dire la limitazione del diritti di accesso ai dati, alle applicazioni e alle reti di cui un utente ha bisogno per svolgere il proprio lavoro. Ogni impresa si troverà inoltre a dover valutare costantemente le modalità di uso da parte degli utenti dei dispositivi e delle applicazioni per poter valutare la fiducia anche verso i singoli. Si tratta di uno strumento che permette di essere pronti a contenere eventuali minacce e vulnerabilità.

Sempre alla base di una valida politica “Zero Trust” dovrebbe essere tenuto presente che la proprietà dei dispositivi non garantisce una forma di controllo né sui macchinari né, tantomeno, sul loro utilizzo. Ciò ricomprende le cosiddette soluzioni, purtroppo spesso adottate, delle apparecchiature BYOD (bring your own device) e IoT (Internet of Things), nonché i servizi SaaS e cloud pubblici. Anche gli accessi da remoto, su reti Wifi non protette sono uno degli aspetti maggiormente da considerare.

Altro elemento fondante di questo sistema è un costante flusso di informazioni con i gestori dei sistemi e gli operatori, al fine di creare politiche aziendali basate sulla conoscenza delle possibili criticità e delle modalità del flusso di dati. A questi possiamo aggiungere sistemi di più stretta vigilanza sull’identità degli utenti che accedono ai dati, una formazione specifica e consapevole, controlli sui dispositivi compresi quelli esterni al perimetro aziendale.

Si tratta solo di alcuni dei parametri utilizzabili dai quali, già a prima vista, emerge come tutti comportino forme di trattamento dati, anche comportamentali, dei dipendenti e delle interazioni con l’utenza. Attività che rientrano nel perimetro del GDPR e per le quali l’azienda deve ottenere i debiti consensi. Sicuramente una catena della privacy interna ad un’azienda costruita su un sistema “Zero Trust” offre maggiori garanzie di sicurezza e protezione del dato e, in tal senso, appare addirittura migliore dei sistemi a doppia autenticazione e, pertanto, consigliabile.

Tuttavia, per poterla eseguire, si rende necessario, anche qui confrontarsi ocn le normative sulla privacy.