Zero Trust è un modello di sicurezza che parte da una domanda diretta: ha ancora senso fidarsi solo perché qualcosa è “dentro” la rete aziendale? Oggi lavoriamo tra cloud, lavoro da remoto, servizi online e dispositivi personali. In questo scenario l’idea “dentro è sicuro, fuori è pericoloso” non regge più. La logica diventa un’altra: nessuna fiducia automatica, ogni accesso va verificato ogni volta in base a chi chiede cosa, da dove e con quale livello di rischio. È qui che entrano in gioco le prime linee guida operative pubblicate dalla NSA, pensate per aiutare a rendere questo approccio più concreto.
La National Security Agency (NSA) è l’agenzia statunitense che si occupa di intelligence e sicurezza delle informazioni. Con le Zero Trust Implementation Guidelines ha iniziato a mettere nero su bianco come impostare un percorso Zero Trust credibile, senza spacciare l’ennesima “soluzione magica”. I primi documenti sono un primer e una discovery phase: spiegano l’approccio e invitano le organizzazioni a farsi una fotografia onesta di ciò che hanno davvero in casa, tra dati, applicazioni, asset, servizi e modalità di accesso. Prima si capisce il contesto, poi si decide cosa cambiare. Senza questo passaggio iniziale è facile usare la parola Zero Trust e continuare a lavorare esattamente come prima.
Il cuore del modello è il principio “never trust, always verify”. Non basta più essere collegati alla rete interna per avere accesso. Ogni richiesta viene valutata considerando identità, dispositivo, tipo di risorsa e contesto in cui avviene l’accesso. Il baricentro non è più la posizione nella rete, ma l’insieme di segnali che descrivono quanto quell’accesso sia davvero appropriato in quel momento. Chi entra non ottiene un lasciapassare generale, ma un via libera mirato e limitato.
Da qui si passa alla pratica. L’identità va gestita in modo solido e non riguarda solo le persone, ma
anche applicazioni e servizi che dialogano tra loro. L’autenticazione a più fattori diventa la base, non l’eccezione da usare solo in alcuni casi. I privilegi non dovrebbero essere larghi e permanenti: meglio il minimo necessario, con accessi che quando possibile siano limitati nel tempo. Anche i dispositivi entrano nella valutazione: se un computer o uno smartphone non è aggiornato o mostra segnali di rischio, le possibilità di accesso devono ridursi, fino a chiudersi del tutto se serve. Non è un no ai device personali, è un sì con regole chiare.
Questo approccio cambia anche reti e applicazioni. L’utente non entra più in un intero segmento di rete, ma solo nelle singole applicazioni o risorse per cui è autorizzato, riducendo la libertà di movimento in caso di compromissione. Le applicazioni devono gestire meglio chi può fare cosa, evitando credenziali statiche nel codice e ruoli troppo ampi che aprono la porta ad abusi. Il bersaglio resta sempre lo stesso: proteggere i dati, non solo disegnare un perimetro teorico.
Le linee guida puntano molto su visibilità e automazione. Ogni accesso lascia tracce che servono a riconoscere anomalie e possibili incidenti, e parte della risposta deve essere rapida e, quando possibile, automatica. L’efficacia si vede da indicatori chiari: meno privilegi permanenti, più autenticazione forte, meno movimento laterale, tempi più brevi per individuare e limitare un attacco.
L’obiettivo non è azzerare gli incidenti, ma ridurne l’impatto.
Affrontare davvero questo cambio non è banale. Richiede competenze tecniche, capacità di lettura del rischio, continuità nel tempo e una governance chiara. Per molte organizzazioni rivolgersi a professionisti della cybersecurity è la scelta più sensata: chi vive questi temi ogni giorno sa distinguere le mode dalle priorità, aiuta a evitare investimenti sbagliati e costruisce un percorso realistico invece di soluzioni “perfette” solo sulla carta. In un contesto in cui gli errori si pagano caro, avere accanto persone che conoscono bene questi modelli e sanno adattarli alla realtà concreta dell’azienda non è un lusso, ma una forma di protezione in più.