Secondo Gartner, il 63% delle organizzazioni di tutto il mondo ha implementato completamente o parzialmente una strategia zero-trust e, per il 78% di queste, l’investimento in chiave zero-trust rappresenta meno del 25% del budget complessivo per la cybersecurity. Inoltre, il 56% delle organizzazioni sta perseguendo una strategia zero-trust principalmente perché questa è citata come una best practice del settore.

“Nonostante questa convinzione, le aziende non sono sicure di quali siano le top practice per le implementazioni zero-trust” ha dichiarato John Watts, VP Analyst, KI Leader di Gartner. “Per la maggior parte delle organizzazioni, una strategia zero-trust riguarda in genere la metà o meno dell’ambiente aziendale e mitiga un quarto o meno del rischio complessivo dell’impresa”.

In questo scenario, Gartner ha delineato tre raccomandazioni principali per i leader della sicurezza che implementano una strategia zero-trust.

Stabilire l’ambito di applicazione di una strategia zero-trust

Per implementare con successo la strategia zero-trust, le organizzazioni devono capire quanta parte dell’ambiente coprono, quali domini rientrano nell’ambito di applicazione e quanto rischio possono mitigare. L’ambito di una strategia zero-trust non comprende in genere tutto l’ambiente di un’organizzazione. Tuttavia, il 16% degli intervistati ha dichiarato che coprirà il 75% o più, mentre solo l’11% ritiene che coprirà meno del 10% dell’ambiente dell’organizzazione.

“L’ambito è la decisione più critica per una strategia zero-trust”, continua Watts. Il rischio aziendale è molto più ampio dell’ambito dei controlli zero-trust e può essere mitigato solo in misura limitata. Tuttavia, misurare la riduzione del rischio e migliorare la postura di sicurezza è un indicatore chiave del successo dei controlli zero-trust”.

strategia zero-trust

Usare le metriche strategiche e operative zero-trust

Il 79% delle organizzazioni che hanno implementato completamente o parzialmente lo zero-trust ha metriche strategiche per misurare i progressi e di questo 79%, l’89% ha metriche per misurare il rischio. I responsabili della sicurezza devono anche tenere presente il loro pubblico quando comunicano queste metriche. Dalla ricerca di Gartner emerge inoltre che il 59% delle iniziative zero-trust è sponsorizzato dal CIO o dal CEO.

“Le metriche zero-trust devono essere personalizzate per i risultati di zero-trust, invece di riproporre metriche utilizzate per altre aree, come l’efficacia del rilevamento e della risposta degli endpoint“, ha detto Watts. “Gli sforzi in ambito zero-trust si traducono in risultati specifici come la riduzione del movimento laterale del malware su una rete; risultati che spesso non vengono considerati dalle metriche di cybersecurity esistenti”.

Prevedere aumenti di personale e costi, ma non ritardi

Il 62% delle organizzazioni prevede un aumento dei costi e il 41% dei requisiti di personale come risultato di un’implementazione zero-trust. “L’impatto sul budget delle organizzazioni che adottano una strategia di zero-trust varierà in base alla portata dell’implementazione e al grado di solidità della strategia di zero-trust nelle prime fasi del processo di pianificazione. Le iniziative zero-trust incidono intrinsecamente sul budget, in quanto le organizzazioni adottano un approccio sistemico e iterativo per far maturare le proprie policy verso controlli adattivi e basati sul rischio, aggiungendo costi generali al carico operativo continuo dell’organizzazione”.

Anche se solo il 35% delle organizzazioni ha dichiarato di aver riscontrato un fallimento che ha interrotto l’implementazione della strategia zero-trust, le organizzazioni dovrebbero avere un piano strategico zero-trust che delinei le metriche operative e misuri l’efficacia delle politiche zero-trust per ridurre al minimo i ritardi.