November 25, 2024

PAPERS

A volte la vita ti colpirà alla testa con un mattone

Tornando alle reti d’ufficio, solo per smontarle una volta per tutte

Sembra quasi incredibile che dopo oltre un anno di lavoro da casa, siamo finalmente arrivati ​​a un punto in cui, grazie all’aumento dei tassi di vaccinazione e ad altri sforzi da parte dei governi, la vita sembra tornare quasi normale. Ahimè, per molte persone questo non significa solo l’opportunità di visitare un teatro o un pub dopo una lunga pausa, ma anche la prospettiva incombente di tornando nei loro uffici.

All’inizio del 2020, quando abbiamo affrontato per la prima volta i blocchi a livello nazionale, i lavoratori IT si sono trovati a lottare per la sopravvivenza delle loro attività perché pochissime aziende erano pronte a supportare una forza lavoro completamente remota. Fortunatamente, la maggior parte è stata in grado di adattarsi entro i primi mesi della pandemia. Per alcune aziende, il Covid è stato l’argomento decisivo per abbracciare finalmente il cloud. Per altri, i servizi digitali sono addirittura diventati il ​​nuovo prodotto. Erano davvero “tempi interessanti”.

Diciamolo chiaro: il lavoro d’ufficio non è più normale

Avanti veloce fino a giugno 2021 e sembra che molti lavoratori IT, in particolare quelli responsabili della sicurezza, stiano aspettando l’imminente fine dei blocchi come una sorta di ritorno alla normalità, tornando ai “bei vecchi tempi”. In realtà, questo potrebbe essere l’errore più grande che un CISO possa fare! Anche una volta che tutti saranno completamente vaccinati e le restanti restrizioni saranno revocate, la nuova “normalità” non sarà come i tempi pre-Covid.

Innanzitutto, a molte persone piace lavorare da casa. Alcuni stanno seriamente progettando di continuare, e sono persino disposti a subire una riduzione dello stipendio o a trasferirsi in un’altra società per farlo. Molte aziende hanno apprezzato anche il risparmio di costi e tempo, per non parlare del profondo impatto ambientale del lavoro a distanza.

Alla fine, molte aziende dovranno riprogettare i propri spazi ufficio per porre maggiormente l’accento sui luoghi di lavoro condivisi e sull’hot desking, nonché per soddisfare il forte aumento delle teleconferenze e della collaborazione remota, anche negli uffici.

Per gli addetti alla sicurezza IT e informatica, ciò significa semplicemente che non si può tornare al vecchio concetto di sicurezza perimetrale. Anche le aziende più conservatrici che erano ancora aggrappate ai loro firewall, VPN e applicazioni on-premise hanno dovuto finalmente fare un atto di fede e adottare moderne, alternative cloud-native per accogliere i propri lavoratori remoti e per garantire la loro sicurezza e compliance al di fuori del tradizionale perimetro aziendale.

Al giorno d’oggi, rete locale (LAN) è la parte meno sicura della rete aziendale e il ritorno degli impiegati non farà che peggiorare la situazione. Maschere e test possono aiutare a proteggere dal Covid sul posto di lavoro, ma cosa aiuterà contro ransomware e attacchi di phishing?

Zero trust: non più una parola d’ordine, ma un obiettivo strategico

Significa, tuttavia, che ora dobbiamo investire in strumenti di sicurezza aggiuntivi per proteggere i nostri uffici dall’afflusso improvviso di nuovi attori di minacce esterne e interne? Ebbene sì e no.

Il più grande nemico della sicurezza è la complessità e l’aggiunta di controlli di sicurezza specifici per gli impiegati è uno spreco di tempo e denaro. Una strategia più sensata è garantire che lo stesso stack di sicurezza possa proteggere qualsiasi lavoratore, all’interno e all’esterno dell’ufficio, compresi i dipendenti che lavorano da casa, i lavoratori mobili, gli appaltatori e altri partner.

In termini pratici, ciò significa estendere la definizione di lavoratore a distanza a tutti all’interno dell’organizzazione. Chiunque dovrebbe essere in grado di sperimentare lo stesso livello di produttività e protezione dalle minacce informatiche all’interno o all’esterno dell’ufficio, spostandosi senza problemi tra ambienti IT come i telefoni cellulari tra i ripetitori. Inutile dire che il metodo più radicale per ottenere questo comportamento senza soluzione di continuità è sbarazzarsi della nozione stessa di rete locale: l’unico Santo Graal della fiducia zero!

Questa parola d’ordine è stata per anni un argomento di discussione popolare tra gli esperti IT, spesso creando molta confusione tra le persone che pensavano di poter acquistare reti zero-trust come soluzioni chiavi in ​​mano. Tuttavia, anche se questo non è assolutamente il caso, adottando a modello di sicurezza zero-trust è più facile di quanto molti credano, purché abbiano una strategia adeguata a lungo termine.

Oltre a implementare varie tecnologie – cosa che molte aziende potrebbero aver già fatto proprio a causa del Covid – potrebbe richiedere alle aziende di ridisegnare anche alcuni principi organizzativi o processi aziendali. Ma il risultato porterà sempre alla semplificazione e all’unificazione complessive delle infrastrutture IT, alla riduzione dei costi e delle spese generali di amministrazione e, si spera, all’aumento della produttività e della soddisfazione dei dipendenti.

È ora di ritirare la LAN

Il primo passo in questo strategico viaggio verso la fiducia zero può essere abbastanza semplice: fai finta che il tuo ufficio non disponga più di una rete locale. Anche se un lavoratore è tornato alla sua vecchia scrivania, tratta i suoi dispositivi come se stessero ancora lavorando da casa, ad esempio consenti loro di connettersi solo alla rete Wi-Fi ospite.

Naturalmente, se ti sei affidato a soluzioni VPN della vecchia scuola per tutti questi mesi, ciò potrebbe causare problemi, ma se stai già utilizzando una piattaforma ZTNA (Accesso alla rete zero-trust) basata su cloud per fornire connettività sicura al tuo applicazioni aziendali, dovrebbe funzionare in modo completamente trasparente, dentro o fuori l’ufficio. Come ulteriore vantaggio, questo approccio proteggerà la tua LAN legacy dai movimenti laterali di un potenziale attore malintenzionato, esterno o interno.

Lo stesso vale per bordo del servizio di accesso sicuro (SASE) che forniscono funzionalità di sicurezza direttamente dal cloud: anche se non possono ancora sostituire completamente il tuo stack accuratamente configurato di dispositivi di sicurezza on-premise, possono probabilmente fornire l’80% di protezione per appena il 20% del costo, in ufficio , a casa o ovunque nel mezzo.

Se c’è un lato positivo dietro l’intero disastro di Covid, è che tutte queste soluzioni basate su cloud sono state accuratamente testate in battaglia e possono soddisfare i requisiti anche delle più grandi aziende.

Il mondo è cambiato profondamente negli ultimi 15 mesi e non ci sarà alcun ritorno ai tempi pre-Covid in tempi brevi. Invece di lamentarci della perdita, tuttavia, dovremmo abbracciare la nuova normalità, continuare ad adottare moderne tecnologie di sicurezza e sfruttare questa opportunità unica per liberarci dell’enorme debito tecnico delle nostre infrastrutture IT legacy. Se fatto in modo strategico, dovrebbe essere una situazione vantaggiosa per tutti. Beh, escludendo gli hacker, forse.


Alexei Balaganski è analista capo presso KuppingerCole e specialista in intelligenza artificiale e sicurezza informatica. In KuppingerCole, copre un’ampia gamma di argomenti informatici tra cui sicurezza di database, applicazioni e API, analisi della sicurezza, protezione dei dati e automazione della sicurezza basata sull’intelligenza artificiale. Ha conseguito un master in matematica applicata e informatica e in precedenza è stato anche chief technology officer di KuppingerCole.