DXC Technology non ha dubbi: zero trust non è una tecnologia, ma una filosofia

La gestione delle identità sta diventando un fattore sempre più importante in ambito informatico. Cosa inevitabile, a ben vedere: viviamo perennemente connessi e non solo come attori passivi. Usiamo l’identità digitale per accedere alle informazioni aziendali, anche quelle più sensibili, per i pagamenti, per gestire tutti gli aspetti della vita personale e professionale. Per questo motivo è evidente che la combinazione nome utente/password non è minimamente sufficiente a garantire la sicurezza necessaria. Servono approcci più efficaci, in grado di garantire robustezza senza però rendere meno fluida l’esperienza utente. Quali? Per scoprirlo, abbiamo intervistato Federico Santi, Security Director di DXC Technology.

DXC Technology è una realtà globale che si occupa proprio di questo. Offre servizi tecnologici per il settore enterprise, Pubblica Amministrazione compresa, e propone differenti offerte. Servizi di cloud infrastructure, soluzioni per il digital workplace, sviluppa applicazioni aziendali, offre consulenza ed è anche specializzata in sicurezza cyber. “Queste sono le offerte verticali, dopodiché abbiamo anche dei layer organizzativi che sono distribuiti per settore merceologico. Il più importante per noi ad oggi è sicuramente quello del settore pubblico”, afferma Federico Santi. Fra gli altri settori chiave per l’azienda quelli delle utility, telco, banche e assicurazioni. La componente di sicurezza, come intuibile, è un tema orizzontale, che va a coprire tutte queste aree.

Zero trust: una filosofia più che una tecnologia

Ultimamente il modello zero trust si sta rivelando uno dei più efficaci per proteggere accessi e identità digitali ma, come spiega Santi, “è una falsa novità”, nel senso che le varie componenti del ZT esistono da oltre 20 anni. “La novità è che oggi le leggiamo tutte insieme”. Il concetto base è quello di non dare fiducia a nessuno, mai, e di attuare una verifica continua e adattiva di quello che stanno facendo gli utenti in relazione al contesto di utilizzo. Per concretizzare questa visione, serve un approccio ibrido in quanto “non esiste una singola tecnologia per realizzare il zero trust”. Secondo Santi, infatti, il concetto di zero trust è un mix fra design dei processi, definizione delle policy di sicurezza, di quelle comportamentali.

L’approccio di DXC allo zero trust si differenzia da quello di altre realtà che si limitano alla consulenza o si occupano di integrazione dei sistemi in quanto l’azienda ha anche capacità di analizzare i dati e le policy, valutarle, e disegnarle. “Abbiamo una capacità end to end, che per il zero trust è fondamentale”. L’azienda valuta e definisce i requisiti di sicurezza degli ambienti, le regole da imporre agli utenti e anche le tecnologie coinvolte. E si distingue per non essere legata a uno specifico produttore: “L'obiettivo è quello di avere una neutralità tecnologica. Lavoriamo con tanti vendor che scegliamo in maniera dinamica”, perché non è detto che la soluzione ideale per un cliente possa andare bene anche per tutti gli altri. In sintesi, DXC valuta tutte le tecnologie sul mercato, senza legarsi a specifiche realtà, e propone ai suoi clienti quella più adatta alle loro specifiche esigenze.

Zero trust ed esperienza utente

Abbiamo spesso ripetuto su Edge9 come la parte più debole delle infrastrutture spesso non sia tecnologica, ma umana. Distrazioni, errori umani, ma anche procedure troppo complesse o lunghe possono portare a violazioni di sicurezza. Per questo motivo, è fondamentale cercare di eliminare qualsiasi attrito, rendere la tecnologia semplice e intuitiva da usare, evitando di bombardare gli utenti di notifiche OTP, di dover costantemente inserire password. Migliorare l’esperienza utente, rendendola più fluida, è il primo passo per garantire una maggiore sicurezza. Soprattutto in ambienti dove gli utenti non sono esperti di tecnologia. Un esempio è la Pubblica Amministrazione dove, secondo Santi “il livello di maturità [digitale] è molto eterogeno, si alternano grandi poli all’avanguardia e realtà centrali e soprattutto locali con diversi gap da sanare”, dal punto di vista della sicurezza.

Santi fa l’esempio virtuoso di un ente pubblico di grandi dimensioni per il quale DXC ha sviluppato un progetto di data protection. E sottolinea come sia stato fondamentale trovare il giusto equilibrio fra protezione e facilità di utilizzo. Per un motivo molto importante: inserire troppi controlli può migliorare la sicurezza, è vero, ma rischia anche di bloccare l’operatività di queste realtà. La soluzione è stata quella di adottare un modello adattivo: “abbiamo messo dei controlli che inizialmente non erano bloccanti. Erano regole che, a fronte di un comportamento non autorizzato, inviavano un alert. Se si ripeteva il problema, ne inviava un secondo. Al terzo errore, l’alert arrivava responsabile dell'unità, non più all'utente, scalando per livello di gravità. Questo ha generato nel giro di veramente pochi mesi un cambiamento nel comportamento dell'utente senza rischio di bloccare l'operatività”. Insomma: invece di inserire immediatamente controlli stringenti, che avrebbero portato a disservizi e ritardi per i cittadini, si è scelto di operare per gradi. E in pochi mesi i risultati sono arrivati.

Identità digitale e intelligenza artificiale

Secondo Santi, con l’integrazione dell’IA nei sistemi aziendali, diventa fondamentale proteggerla. Nello specifico, va posta particolare attenzione sulla base di dati che alimenta l’IA, così da evitare che questa possa suggerire decisioni sbagliate.

Anche perché DXC utilizza moltissimo questa tecnologia all’interno dei suoi SoC per incrementare l’automazione e velocizzare i tempi di risposta a segnalazioni e incidenti informatici. E velocizzare i tempi di risposta è oggi anche un requisito normativo imposto dalla direttiva NIS 2. Certo, imporre una norma non basta per garantire una maggiore sicurezza, ma di fatto obbliga chi è coinvolto a migliorare la propria postura di sicurezza, e accresce la consapevolezza. Un aspetto, quest’ultimo, da non trascurare: sino a non troppo tempo fa, infatti, numerose ricerche sottolineavano proprio che in Italia c’era una carenza di consapevolezza su queste tematiche. Le norme, unite al fatto che sempre più spesso i media evidenziano l’impatto sulle imprese degli incidenti di sicurezza, hanno spinto i responsabili a muoversi in maniera proattiva.

Posto che la consapevolezza non manca, a che punto sono le realtà italiane con l’implementazione delle contromisure indicate dalle nuove normative? Secondo Santi, “lo scenario è molto variegato, dipende molto dai settori”. Le telco e le utility sono molto avanti, ma lo erano già prima che venissero imposte normative specifiche. Un settore che invece dovrebbe accelerare gli sforzi per adeguarsi è quello sanitario che soffre di carenza di risorse e competenze digitali, congiuntamente all’urgenza della continuità operativa, dovendo ridurre al minimo l’impatto sugli utenti e sui loro dati particolari/sensibili.

ACN al centro di una gigantesca trasformazione

Uno dei compiti dell’Agenzia per la Cybersicurezza Nazionale (ACN) è quello di supportare le aziende nel loro percorso verso la conformità normativa in materia di cybersecurity, aiutandole di conseguenza a migliorare la loro postura di sicurezza. Fra gli altri compiti, l'attuazione della Strategia Nazionale di Cybersicurezza, la promozione dell'autonomia tecnologica, lo sviluppo di politiche e regolamenti, la formazione di esperti e il finanziamento di progetti di innovazione e di pubblica amministrazione

Con l’estensione della direttiva NIS 2, ACN si trova al centro di una trasformazione di portata senza precedenti. Secondo le stime ufficiali, in Italia saranno circa circa 30.000 le entità soggette ai nuovi obblighi, un salto enorme rispetto alle 400-420 infrastrutture critiche individuate dalla precedente NIS. Una platea così ampia pone sfide considerevoli: diventa infatti impraticabile un rapporto diretto e individuale con tutti i soggetti coinvolti, a meno di un incremento esponenziale del personale. Il rischio è che l’Agenzia debba ricorrere a una comunicazione prevalentemente unidirezionale, attraverso comunicati, bollettini o direttive, con la conseguenza di una minore capacità di recepire in modo puntuale i problemi e le segnalazioni provenienti dal campo.

La questione si intreccia con un’altra criticità: la difficoltà nel reperire professionisti qualificati in cybersecurity. Nonostante retribuzioni competitive rispetto ad altri enti pubblici, i concorsi banditi da ACN non riescono sempre a coprire i posti messi a disposizione. Una dinamica che riflette un gap di competenze diffuso nel settore e ha spinto DXC Technology a collaborare con le università, seguendo una strada già intrapresa dalla stessa Agenzia, per formare nuove risorse e ridurre la carenza di skill specializzati. “Abbiamo rapporti frequenti con le università, facciamo delle Academy: selezioniamo neolaureati in discipline STEM e poi facciamo dei corsi intensivi di cybersecurity per portarli almeno a uno standard minimo così da farli iniziare a lavorare sul campo con noi e avviarle a un percorso di training continuo”.

DXC Technology, insomma, dimostra come l'approccio zero trust non sia solo una tecnologia, ma una filosofia integrata che richiede un'analisi continua e adattiva delle identità e degli accessi digitali. La capacità dell’azienda di offrire soluzioni end-to-end, valutando e integrando le tecnologie più adatte senza legarsi a specifici produttori, rappresenta un valore aggiunto per le aziende. Inoltre, l'attenzione alla user experience e l'adozione di modelli adattivi per la sicurezza dimostrano come sia possibile migliorare la protezione senza compromettere l'operatività.