Architettura zero trust 2026: evidenze pronte per l’audit

L’audit zero trust del lunedì mattina che nessuno aveva pianificato
Alle 08:12 di lunedì, il CISO di una fintech SaaS europea riceve tre messaggi nell’arco di cinque minuti.
Il primo arriva da un cliente bancario: “Vi chiediamo di fornirci il pacchetto di evidenze sulla vostra architettura zero trust per il nostro riesame annuale ICT delle terze parti.”
Il secondo arriva dalla funzione legale: “Potremmo essere classificati come entità importante ai sensi di NIS2 in uno Stato membro e alcuni clienti chiedono se DORA si applichi a noi in qualità di fornitore di servizi ICT.”
Il terzo arriva dal responsabile dell’ingegneria: “Abbiamo MFA, SSO, EDR, policy di rete Kubernetes e alert SIEM. Questo è zero trust?”
È qui che molte organizzazioni si bloccano. Dispongono di strumenti di sicurezza, ma non di un modello operativo di conformità zero trust. Possono mostrare screenshot MFA, ma non spiegare come identità, postura di sicurezza del dispositivo, principio del privilegio minimo, segmentazione, monitoraggio, segnalazione degli incidenti, misure di protezione della privacy e dipendenze dai fornitori siano integrati tra loro. Possono mostrare controlli, ma non tracciabilità.
Nel 2026, un’architettura zero trust basata su NIST SP 800-207 deve andare oltre “never trust, always verify”. Per CISO, responsabili compliance, auditor e titolari dei processi aziendali, la domanda pratica è più precisa:
Come trasformare lo zero trust in evidenze che soddisfino ISO/IEC 27001:2022, le aspettative NIS2 di igiene cyber, la gestione del rischio ICT di DORA, la sicurezza del trattamento prevista dal GDPR Article 32, la due diligence dei clienti e la supervisione del consiglio di amministrazione?
La risposta non è un altro strumento. È un modello di evidenze basato sul rischio che collega policy, controlli, attuazione tecnica, monitoraggio e accountability della direzione.
Zero trust nel 2026: dalla strategia di sicurezza alle evidenze di conformità
NIST SP 800-207 definisce lo zero trust come un insieme di principi per progettare e gestire sistemi sicuri in cui la fiducia non è mai implicita. L’accesso è concesso in base a identità, contesto, policy, postura dell’asset e valutazione continua.
I sette principi zero trust di NIST sono particolarmente utili perché trasformano uno slogan di sicurezza generico in qualcosa che può essere mappato, testato e sottoposto ad audit:
- Tutte le fonti di dati e tutti i servizi informatici sono considerati risorse.
- Tutte le comunicazioni sono protette indipendentemente dalla posizione di rete.
- L’accesso alle singole risorse aziendali è concesso per singola sessione.
- L’accesso alle risorse è determinato da policy dinamiche, che includono attributi di identità, dispositivo, applicazione e comportamento.
- L’organizzazione monitora e misura integrità e postura di sicurezza di tutti gli asset di proprietà e associati.
- Autenticazione e autorizzazione per tutte le risorse sono dinamiche e applicate rigorosamente prima che l’accesso sia consentito.
- L’organizzazione raccoglie informazioni su asset, infrastruttura e comunicazioni e le utilizza per migliorare il livello di sicurezza.
Per un moderno provider SaaS, una banca digitale, un prestatore di servizi gestiti o una piattaforma cloud-native, questi principi si traducono in domini di controllo operativi:
- L’identità è verificata e governata.
- I dispositivi sono valutati prima che l’accesso sia concesso.
- L’accesso privilegiato è ridotto al minimo e riesaminato.
- I percorsi di rete sono segmentati e controllati.
- Applicazioni, API e archivi dati applicano l’autorizzazione.
- Log e telemetria supportano il monitoraggio continuo.
- Gli incidenti attivano contenimento, segnalazione e ripristino.
- Le evidenze dimostrano che i controlli sono operativi, non solo progettati.
È su quest’ultimo punto che entra in gioco la conformità.
ISO/IEC 27001:2022 richiede alle organizzazioni di definire contesto, parti interessate, requisiti legali e contrattuali applicabili, ambito di applicazione, interfacce e dipendenze. Richiede inoltre valutazione del rischio, trattamento del rischio, Dichiarazione di Applicabilità, accountability della leadership, audit interno, riesame della direzione e miglioramento continuo.
Lo zero trust si inserisce naturalmente in questa struttura quando viene trattato come sistema di controllo. Non deve rimanere fuori dal SGSI come iniziativa dell’ingegneria. Deve far parte della valutazione del rischio, della selezione dei controlli, della governance delle policy, della gestione dei fornitori, della protezione della privacy, della risposta agli incidenti e della reportistica al consiglio di amministrazione.
La pressione normativa dietro le evidenze zero trust
La pressione per produrre evidenze zero trust deriva normalmente da obblighi sovrapposti, non da un singolo standard.
NIS2 può applicarsi a entità pubbliche o private operanti nei settori dell’Annex I o dell’Annex II che soddisfano soglie dimensionali e di attività, e può applicarsi anche a determinate entità più piccole ma critiche. L’Annex I include fornitori di servizi di cloud computing, fornitori di data center, fornitori di reti per la distribuzione di contenuti, prestatori di servizi fiduciari, prestatori di servizi gestiti, prestatori di servizi di sicurezza gestiti, banche ed entità delle infrastrutture dei mercati finanziari. L’Annex II include fornitori digitali quali marketplace online, motori di ricerca e piattaforme di social networking.
NIS2 Article 20 attribuisce all’organo di gestione la responsabilità della cibersicurezza. Il consiglio di amministrazione deve approvare le misure di gestione dei rischi di cibersicurezza, supervisionarne l’attuazione e ricevere formazione in materia di cibersicurezza. Article 21 richiede misure tecniche, operative e organizzative appropriate e proporzionate che coprano analisi dei rischi, trattamento degli incidenti, continuità operativa, sicurezza della catena di fornitura, sviluppo sicuro, processo di gestione delle vulnerabilità, valutazione dell’efficacia, igiene cyber, formazione, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e, ove appropriato, MFA o autenticazione continua. Article 23 introduce la segnalazione a fasi degli incidenti significativi, inclusi preallarme entro 24 ore, notifica entro 72 ore e relazione finale.
DORA si applica dal 17 gennaio 2025 e istituisce un regime uniforme di resilienza operativa digitale per le entità finanziarie. Copre la gestione del rischio ICT, la segnalazione degli incidenti gravi connessi all’ICT, i test di resilienza operativa, la condivisione di informazioni sulle minacce e il rischio ICT di terze parti. DORA Articles 5 e 6 richiedono governance e un quadro documentato per la gestione del rischio ICT. Article 9 tratta protezione e prevenzione, incluse politiche, procedure, protocolli e strumenti per proteggere i sistemi ICT. Article 17 richiede un processo di gestione degli incidenti connessi all’ICT.
GDPR si applica al trattamento effettuato nel contesto di uno stabilimento nell’UE e anche a titolari o responsabili del trattamento non UE che offrono beni o servizi a persone nell’UE o ne monitorano il comportamento. GDPR Article 5 richiede accountability. Article 32 richiede misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Article 33 richiede la notifica della violazione dei dati personali all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne viene a conoscenza.
Un modello di evidenze zero trust è utile perché lo stesso controllo può supportare più quadri di riferimento. MFA può supportare il controllo degli accessi di ISO/IEC 27001:2022, le misure di autenticazione NIS2, i requisiti di protezione DORA e la sicurezza del trattamento ai sensi del GDPR. Ma solo se l’organizzazione può dimostrarne ambito, titolarità, attuazione, monitoraggio e riesame.
Mappare i principi zero trust NIST sui controlli ISO/IEC 27001:2022
I controlli dell’Annex A di ISO/IEC 27001:2022, supportati dalla guida di attuazione ISO/IEC 27002:2022, forniscono il linguaggio di audit necessario alla maggior parte delle organizzazioni. La tabella seguente traduce i principi zero trust NIST in aree di controllo ISO riconoscibili dagli auditor.
| Principio zero trust NIST SP 800-207 | Principio zero trust centrale | Controlli pertinenti dell’Annex A ISO/IEC 27001:2022 |
|---|---|---|
| Tutte le fonti di dati e tutti i servizi informatici sono risorse | Identificazione di asset e dati | A.5.9 Inventario delle informazioni e degli altri asset associati, A.5.10 Uso accettabile delle informazioni e degli altri asset associati, A.5.12 Classificazione delle informazioni |
| Tutte le comunicazioni sono protette indipendentemente dalla posizione di rete | Comunicazioni sicure e canali cifrati | A.8.20 Sicurezza della rete, A.8.22 Segregazione delle reti, A.8.24 Uso della crittografia |
| L’accesso è concesso per singola sessione | Autenticazione e autorizzazione basate sulla sessione | A.5.17 Informazioni di autenticazione, A.8.5 Autenticazione sicura |
| L’accesso è determinato da policy dinamiche | Accesso contestuale e secondo il privilegio minimo | A.5.15 Controllo degli accessi, A.5.18 Diritti di accesso, A.8.3 Limitazione dell’accesso alle informazioni |
| Integrità degli asset e postura di sicurezza sono monitorati | Verifica della postura di endpoint e workload | A.8.1 Dispositivi endpoint degli utenti, A.8.8 Gestione delle vulnerabilità tecniche |
| Autenticazione e autorizzazione sono dinamiche e applicate rigorosamente | Ciclo di vita dell’identità e gestione degli accessi privilegiati | A.5.16 Gestione delle identità, A.8.2 Diritti di accesso privilegiato, A.8.5 Autenticazione sicura |
| Le informazioni sono raccolte per migliorare il livello di sicurezza | Monitoraggio continuo, registrazione e miglioramento | A.8.15 Registrazione, A.8.16 Attività di monitoraggio, A.8.23 Filtraggio web |
Questa mappatura non è solo un esercizio di progettazione tecnica. Diventa la struttura del registro dei rischi, della Dichiarazione di Applicabilità, del pacchetto di evidenze e dell’agenda del riesame della direzione.
Ad esempio, uno scenario di rischio come “un account sviluppatore compromesso modifica il codice di produzione e accede ai dati dei clienti” dovrebbe essere mappato su gestione delle identità, MFA, accesso privilegiato, segregazione delle reti, logging, monitoraggio, sviluppo sicuro, gestione delle modifiche e risposta agli incidenti. Un singolo scenario può supportare ISO/IEC 27001:2022, NIS2 Article 21, gestione del rischio ICT DORA e GDPR Article 32.
Lo stack di controlli zero trust di Clarysec
Clarysec costruisce lo zero trust intorno a cinque domini di evidenza: identità, dispositivo, rete, applicazione e dati, con monitoraggio e governance trasversali a tutti e cinque.
La base è il controllo degli accessi e la gestione delle identità. In Zenith Controls: guida di conformità multi-framework, il controllo 5.15 di ISO/IEC 27002:2022, controllo degli accessi, è classificato come controllo preventivo a supporto di riservatezza, integrità e disponibilità, allineato al concetto di cibersicurezza Protect e alla capacità Gestione delle identità e degli accessi. Il controllo 5.16, Gestione delle identità, è anch’esso preventivo e collegato alle stesse proprietà CIA e alla capacità IAM. Il controllo 8.16, Attività di monitoraggio, è classificato come controllo di rilevamento e correttivo, a supporto di Detect e Respond attraverso la gestione degli eventi di sicurezza delle informazioni.
Questa combinazione è essenziale. Lo zero trust non è solo controllo degli accessi. È controllo degli accessi più ciclo di vita dell’identità, più postura di sicurezza del dispositivo, più segregazione delle reti, più monitoraggio, più risposta.
Le clausole delle policy Clarysec trasformano questo modello in governance applicabile.
Dalla Politica aziendale di controllo degli accessi, sezione Obiettivi, clausola 3.4:
Supportare i principi zero trust negando l’accesso per impostazione predefinita, salvo approvazione e giustificazione esplicite.
Dalla Politica aziendale di gestione degli account utente e dei privilegi, sezione Requisiti di applicazione della policy, clausola 6.2.1:
A tutti gli utenti deve essere assegnato il livello minimo di accesso necessario per svolgere le proprie mansioni lavorative.
Dalla Politica aziendale di sicurezza della rete, sezione Requisiti di governance, clausola 5.2:
Tutto il traffico tra zone deve essere controllato da firewall o da soluzioni di perimetro definito dal software, con configurazioni esplicite di negazione predefinita.
Dalla Politica aziendale di registrazione e monitoraggio, sezione Obiettivi, clausola 3.4:
Istituire sistemi centralizzati di registrazione e alerting (ad es. SIEM) per aggregare, correlare ed effettuare l’escalation delle attività sospette quasi in tempo reale.
Dalla Politica aziendale per la sicurezza delle informazioni, sezione Requisiti di applicazione della policy, clausola 6.6.1:
Tutti i controlli implementati devono essere verificabili, supportati da procedure documentate ed evidenze conservate del loro funzionamento.
Per le PMI, lo stesso intento di governance può essere attuato con documentazione di policy più snella. La Politica di gestione degli account utente e dei privilegi - PMI, sezione Obiettivi, clausola 3.2, stabilisce:
Applicare il principio del privilegio minimo, assicurando che agli utenti sia concesso solo il livello minimo di accesso necessario per svolgere le proprie mansioni.
La Politica di controllo degli accessi - PMI, sezione Requisiti di governance, clausola 5.4.3, aggiunge:
Gli account privilegiati devono utilizzare l’autenticazione a più fattori (MFA), ove supportata.
La Politica di sicurezza della rete - PMI, sezione Requisiti di applicazione della policy, clausola 6.2.3, stabilisce:
Il traffico tra segmenti deve essere filtrato e l’accesso inter-segmento deve seguire il principio del privilegio minimo.
La Politica di registrazione e monitoraggio - PMI, sezione Finalità, clausola 1.3, spiega:
Logging e monitoraggio supportano rilevamento delle minacce, conformità normativa, segnalazione e gestione degli incidenti e analisi forense.
Per uno zero trust guidato dalla privacy, la Politica di protezione dei dati e privacy - PMI, sezione Requisiti di governance, clausola 5.3.2, stabilisce:
L’accesso degli utenti ai dati personali deve essere limitato ai ruoli con una necessità aziendale documentata.
Queste clausole creano punti di ancoraggio per l’audit. Un auditor può verificare se l’accesso è negato per impostazione predefinita, se i privilegi sono ridotti al minimo, se il traffico tra zone è controllato, se i log sono centralizzati e se le evidenze sono conservate.
Mappa multi-framework delle evidenze zero trust
Un solido modello di evidenze zero trust deve evitare screenshot frammentati. Le evidenze devono mostrare governance, progettazione, attuazione, monitoraggio e riesame.
| Capacità zero trust | Evidenze ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Evidenze NIS2 | Evidenze DORA | Evidenze GDPR |
|---|---|---|---|---|
| Verifica dell’identità e ciclo di vita | Ambito di applicazione del SGSI, registro dei rischi, voci SoA per A.5.15 e A.5.16, registrazioni del processo Joiner-Mover-Leaver | Misure Article 21 per sicurezza HR, controllo degli accessi e gestione degli asset | Governance degli asset ICT e degli accessi utente nel quadro di gestione del rischio ICT | Accesso limitato a ruoli autorizzati, registrazioni di accountability del titolare del trattamento |
| MFA e autenticazione continua | Politica di controllo degli accessi, procedura di accesso privilegiato, report di applicazione MFA | Misure Article 21 per MFA o autenticazione continua, ove appropriato | Controlli a supporto dell’accesso sicuro ai sistemi ICT e alle funzioni critiche | Evidenze Article 32 sulla sicurezza del trattamento per l’accesso ai dati personali |
| Postura dei dispositivi e fiducia negli endpoint | Inventario degli asset, configurazione di baseline degli endpoint, copertura EDR, approvazioni delle eccezioni | Igiene cyber, gestione delle vulnerabilità e policy per sistemi sicuri | Inventario degli asset ICT, test di resilienza, monitoraggio dei sistemi ICT | Protezione contro trattamenti non autorizzati o illeciti da endpoint compromessi |
| Segmentazione della rete e microsegmentazione | Diagrammi di rete, regole firewall, risultati dei test di segmentazione, registrazioni delle modifiche | Misure per prevenire o minimizzare l’impatto degli incidenti e supportare la continuità operativa | Architettura di riferimento, tolleranza all’impatto, test dei sistemi critici | Isolamento dei dati, minimizzazione dell’ambito della violazione |
| Privilegio minimo per applicazioni e API | Matrici RBAC o ABAC, policy cloud IAM, ambiti dei token, riesami degli accessi alle API | Acquisizione, sviluppo e manutenzione sicuri, gestione delle vulnerabilità | Mappatura delle funzioni supportate dall’ICT e documentazione delle dipendenze | Limitazione delle finalità, accesso ai dati personali basato su necessità aziendale |
| Monitoraggio e rilevamento continui | Casi d’uso SIEM, triage degli alert, procedura di monitoraggio, registrazioni degli incidenti | Trattamento degli incidenti e preparazione alla segnalazione degli incidenti significativi | Classificazione degli incidenti, escalation gestionale e ciclo di vita della segnalazione | Rilevamento delle violazioni dei dati personali ed evidenze di accountability |
| Fiducia verso fornitori e cloud | Accordi con i fornitori, piano di uscita dal cloud, monitoraggio dei fornitori, mappatura delle responsabilità condivise | Sicurezza della catena di fornitura per fornitori diretti e prestatori di servizi | Strategia di rischio ICT di terze parti, registro dei contratti ICT, diritto di audit e piani di uscita | Due diligence del responsabile del trattamento, misure di salvaguardia contrattuali e controlli di sicurezza |
Questa tabella è il nucleo di un programma zero trust pronto per il consiglio di amministrazione. Mostra come un unico ambiente di controllo possa supportare molteplici esigenze di assurance senza creare pacchetti di evidenze separati per ogni quadro di riferimento.
Usare Zenith Blueprint per creare tracciabilità
Zenith Blueprint: roadmap in 30 passi per auditor di Clarysec è progettato per impedire che lo zero trust diventi una filosofia dell’ingegneria non documentata. Nella fase di gestione del rischio, Step 13, Pianificazione del trattamento del rischio e Dichiarazione di Applicabilità, spiega:
La SoA è, di fatto, un documento ponte: collega la valutazione/trattamento del rischio ai
controlli effettivamente presenti. Completandola, si verifica anche se sono stati omessi controlli.
Lo stesso passaggio raccomanda di mappare i controlli sui rischi, aggiungere riferimenti ai controlli dell’Annex A nelle voci del trattamento del rischio e inserire riferimenti incrociati a regolamenti come GDPR, NIS2 o DORA quando i controlli sono implementati per soddisfare tali obblighi.
Per lo zero trust, questo è il ponte mancante. Se un auditor chiede perché è stato implementato l’accesso condizionale, la risposta non dovrebbe essere “perché lo dice lo zero trust”. Una risposta migliore è:
- Lo scenario di rischio è l’accesso non autorizzato ai dati dei clienti tramite credenziali compromesse.
- Il proprietario del rischio è il CTO o il responsabile dell’ingegneria.
- Il trattamento include SSO, MFA, accesso condizionale, validazione della postura degli endpoint, principio del privilegio minimo, segmentazione e monitoraggio.
- La SoA mappa il trattamento su controllo degli accessi, gestione delle identità, logging, monitoraggio, crittografia, gestione delle vulnerabilità e gestione dei servizi cloud.
- Lo stesso trattamento supporta NIS2 Article 21, la gestione del rischio ICT DORA e GDPR Article 32.
- Le evidenze includono clausole di policy, riesami degli accessi, alert SIEM, report sulla postura EDR, regole firewall, esportazioni IAM, esercitazioni sugli incidenti e verbali del riesame della direzione.
È così che l’architettura zero trust diventa pronta per l’audit.
Fiducia negli endpoint, API e segregazione della rete nella pratica
Lo zero trust spesso fallisce perché le organizzazioni si concentrano sull’identità ignorando il contesto di dispositivo, workload, dati e rete.
Lo Step 19 di Zenith Blueprint, Controlli tecnologici I, spiega chiaramente il requisito relativo alla postura degli endpoint:
L’accesso alle informazioni tramite endpoint deve essere contestuale. Ad esempio, il dispositivo
soddisfa gli standard minimi di sicurezza prima di accedere alle risorse aziendali? Ha superato di recente
una scansione malware? Si connette da una posizione o da una rete insolita? Integrandosi con i principi
zero trust, la postura dell’endpoint può alimentare l’accesso condizionale, negando l’ingresso fino a quando
il dispositivo non dimostra di essere sicuro.
Questo rende il dispositivo parte della decisione di autorizzazione. Una password valida proveniente da un laptop non gestito non deve essere trattata come un accesso valido da un dispositivo endpoint aziendale conforme, cifrato e monitorato.
Lo stesso passaggio evidenzia che le restrizioni di accesso si applicano ad applicazioni, servizi e API, non solo agli utenti:
Le restrizioni di accesso dovrebbero essere applicate anche ad applicazioni, servizi e API, non solo alle persone.
Ad esempio, un microservizio potrebbe richiedere solo accesso in lettura a una tabella di database, non diritti CRUD completi.
Uno strumento di backup potrebbe avere necessità di accesso solo a specifici bucket di archiviazione, non a tutte le risorse del tenant.
Queste indicazioni sono critiche per gli ambienti cloud-native. Ambiti API, account di servizio, identità dei workload, ruoli Kubernetes e policy cloud IAM devono tutti seguire il principio del privilegio minimo. L’accesso umano è solo una parte della superficie di controllo.
Lo Step 20 di Zenith Blueprint tratta la segregazione delle reti:
La segregazione è uno dei principi più antichi ed efficaci della cibersicurezza: limitare la
propagazione, ridurre il rischio e contenere il danno. Il controllo 8.22 si concentra sulla segregazione
delle reti, ossia la pratica di separare sistemi, servizi e utenti in zone logiche o fisiche diverse
per prevenire accessi non autorizzati e limitare il movimento laterale in caso di compromissione.
Questo è fondamentale per la resilienza DORA e NIS2. Una rete zero trust deve assumere che un account, un workload o un endpoint possano essere compromessi. La segmentazione impedisce che un evento locale diventi un incidente sistemico.
Un pacchetto di evidenze zero trust in 10 giorni
Immaginiamo una fintech SaaS che fornisce analisi antifrode alle banche. Tratta dati personali, utilizza infrastruttura cloud, si basa su Kubernetes gestito, si integra con API dei clienti e utilizza un provider di identità terzo. Un cliente richiede evidenze zero trust e l’azienda ha dieci giorni lavorativi.
Uno sprint pratico Clarysec per le evidenze sarebbe strutturato così.
| Tempistica | Azione | Output delle evidenze |
|---|---|---|
| Giorno 1-2 | Definire l’ambito di applicazione zero trust su account cloud di produzione, provider di identità, CI/CD, workstation degli amministratori, gateway API clienti, data warehouse, SIEM, EDR e fornitori critici | Dichiarazione dell’ambito di applicazione, mappa delle dipendenze, diagramma dei confini |
| Giorno 3 | Costruire la tracciabilità rischio-controllo usando Zenith Blueprint Step 13 | Voci del registro dei rischi, piano di trattamento del rischio, mappature SoA |
| Giorno 4-5 | Applicare clausole di policy enterprise o PMI e documentare le eccezioni | Politiche approvate, registro delle eccezioni, registrazioni di accettazione del rischio |
| Giorno 6-7 | Raccogliere evidenze tecniche | Report MFA, policy di accesso condizionale, registrazioni PAM, dashboard endpoint, regole firewall, policy di rete Kubernetes, esportazioni IAM, casi d’uso SIEM |
| Giorno 8 | Aggiungere evidenze privacy e protezione dei dati | Matrice ruolo-dati, registrazioni dei trattamenti, evidenze di cifratura, regole di conservazione, procedura di escalation delle violazioni |
| Giorno 9 | Aggiungere overlay NIS2 e DORA | Mappatura Article 21, preparazione alla segnalazione degli incidenti, mappa delle funzioni ICT, registro dei fornitori, evidenze del piano di uscita |
| Giorno 10 | Creare la sintesi esecutiva | Narrazione pronta per il consiglio di amministrazione, sintesi del rischio residuo, roadmap di miglioramento |
L’obiettivo non è fingere che l’organizzazione abbia raggiunto uno zero trust perfetto in dieci giorni. L’obiettivo è creare una catena di evidenze difendibile per i rischi più importanti e dimostrare che il programma è governato, misurabile e in miglioramento.
Come auditor diversi testeranno lo zero trust
Un errore comune è preparare un’unica narrazione tecnica e presumere che ogni auditor ponga le stesse domande. Non sarà così.
Un auditor ISO/IEC 27001:2022 cercherà il sistema di gestione. Chiederà se i rischi zero trust sono inclusi nella valutazione del rischio, se i trattamenti sono approvati, se la SoA è completa, se le policy sono documenti controllati, se si svolgono riesami degli accessi, se gli audit interni testano i controlli e se i riesami della direzione monitorano le prestazioni.
Un revisore DORA chiederà se i controlli zero trust fanno parte del quadro documentato di gestione del rischio ICT. Si aspetterà inventari di asset e dipendenze, mappatura delle funzioni critiche o importanti, classificazione degli incidenti, escalation verso il consiglio di amministrazione, test, requisiti contrattuali per terze parti, diritto di audit, strategie di uscita e tracciamento delle azioni correttive.
Un valutatore NIS2 si concentrerà sull’accountability dell’organo di gestione, sulle misure di gestione dei rischi di cibersicurezza di Article 21 e sulla preparazione alla segnalazione degli incidenti di Article 23. Si aspetterà inoltre evidenze della gestione della sicurezza della catena di fornitura, continuità operativa, gestione delle vulnerabilità, controllo degli accessi e igiene cyber.
Un revisore GDPR o auditor privacy chiederà se l’accesso ai dati personali è necessario, documentato, limitato, monitorato e allineato alle finalità del trattamento. Esaminerà i ruoli di titolare e responsabile del trattamento, il rilevamento delle violazioni dei dati personali, l’accesso basato sui ruoli, la cifratura, la pseudonimizzazione ove appropriata, la conservazione e l’accountability.
| Prospettiva dell’auditor | Domanda probabile | Evidenza che risponde |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Lo zero trust è basato sul rischio, approvato e riflesso nella SoA? | Registro dei rischi, SoA, piano di trattamento del rischio, approvazioni delle policy, verbali del riesame della direzione |
| Valutatore NIST CSF | Gli esiti di governance, identità, protezione, rilevamento, risposta e ripristino sono integrati? | Profilo CSF, piano di gap, controlli IAM, casi d’uso di logging, playbook di risposta, test di ripristino |
| Revisore DORA | Lo zero trust supporta la gestione del rischio ICT e la resilienza delle funzioni critiche? | Inventario degli asset ICT, mappa delle dipendenze, programma di test, classificazione degli incidenti, registro dei fornitori |
| Auditor GDPR/privacy | L’accesso ai dati personali è limitato e protetto in modo dimostrabile? | Matrice ruolo-dati, riesami degli accessi, evidenze di cifratura, procedure di gestione delle violazioni, registrazioni dei trattamenti |
| Auditor COBIT 2019/ISACA | Responsabilità, metriche e prestazioni dei controlli sono governate? | RACI, KPI, registro delle eccezioni, risultanze dell’audit, tracker delle azioni correttive |
Lo stesso controllo può soddisfare più domande, ma solo se le evidenze sono organizzate.
Fornitori, cloud e rischio ICT di terze parti
Lo zero trust non si ferma al firewall e, negli ambienti cloud, potrebbe non esistere alcun perimetro firewall tradizionale. Provider di identità, piattaforme cloud, strumenti CI/CD, fornitori di rilevamento gestito, responsabili dei pagamenti, gateway API e team di sviluppo esternalizzati diventano tutti parte del tessuto di fiducia.
NIS2 Article 21 include esplicitamente la sicurezza della catena di fornitura per fornitori diretti e prestatori di servizi, incluse vulnerabilità dei fornitori, resilienza di prodotti e servizi, pratiche di cibersicurezza dei fornitori e procedure di sviluppo sicuro.
DORA richiede che il rischio ICT di terze parti sia gestito come parte del quadro di gestione del rischio ICT, con un registro dei contratti di servizi ICT, due diligence precontrattuale, valutazione della criticità, rischio di concentrazione, requisiti contrattuali di sicurezza, assistenza in caso di incidente, cooperazione con le autorità, diritto di audit, diritti di risoluzione, strategie di uscita e piani di transizione.
Per lo zero trust, la regola pratica è semplice: non fidarsi di una connessione con un fornitore solo perché è contrattuale. Occorre richiedere controlli tecnici ed evidenze.
Un’integrazione API cliente dovrebbe prevedere token con ambito definito, limitazione della frequenza delle richieste, monitoraggio, rotazione, titolarità e revoca. Un prestatore di servizi gestiti dovrebbe utilizzare MFA, account utente nominativi, principio del privilegio minimo, registrazione delle sessioni e accesso limitato nel tempo. Un rapporto con un provider cloud dovrebbe prevedere mappatura delle responsabilità condivise, configurazione della cifratura, conservazione dei log, test dei backup e pianificazione dell’uscita.
Per questo motivo le evidenze su fornitori e cloud appartengono al modello zero trust, non a una cartella acquisti separata.
Metriche che dimostrano che lo zero trust è operativo
Consigli di amministrazione e auditor non vogliono solo diagrammi architetturali. Vogliono evidenze operative e tendenze di miglioramento.
Metriche zero trust utili includono:
- Percentuale di account privilegiati protetti da MFA.
- Percentuale di utenti coperti da accesso condizionale.
- Numero di account privilegiati permanenti rispetto agli account just-in-time.
- Numero di riesami degli accessi scaduti.
- Percentuale di endpoint conformi ai requisiti di postura.
- Copertura EDR sugli asset critici.
- Numero di tentativi di accesso negati per rischio legato a dispositivo o posizione.
- Tempo medio di rilevamento delle attività privilegiate sospette.
- Tempo medio di revoca degli accessi dopo la cessazione.
- Percentuale di regole firewall tra zone riesaminate nell’ultimo trimestre.
- Numero di fornitori critici con evidenze di sicurezza aggiornate.
- Numero di eccezioni zero trust oltre la data di rimedio.
- Percentuale di applicazioni critiche che inviano log al SIEM.
- Risultati delle simulazioni di incidente per compromissione delle credenziali.
Queste metriche supportano il miglioramento continuo ISO/IEC 27001:2022, la valutazione dell’efficacia NIS2, le aspettative DORA su test e azioni correttive e l’accountability GDPR.
Errori comuni nelle evidenze zero trust
Gli errori più frequenti non dipendono dalla mancanza di strumenti. Dipendono da una tracciabilità debole.
Primo, le organizzazioni implementano MFA ma non riescono a dimostrare che gli account privilegiati siano coperti integralmente. Account di servizio, account break-glass e account amministratore locali spesso restano fuori dal controllo.
Secondo, i riesami degli accessi sono svolti manualmente ma non collegati a ruoli aziendali, sensibilità dei dati o proprietari del rischio. L’evidenza mostra che qualcuno ha cliccato “riesaminato”, non che gli accessi non necessari siano stati rimossi.
Terzo, la segmentazione della rete esiste nei diagrammi ma non nelle regole testate. Gli auditor chiederanno se l’accesso inter-segmento è negato per impostazione predefinita e se le eccezioni sono approvate.
Quarto, i log sono raccolti ma non sono azionabili. Un SIEM senza casi d’uso definiti, triage degli alert e procedure di risposta non dimostra il monitoraggio continuo.
Quinto, l’accesso dei fornitori non è gestito. I fornitori possono utilizzare account condivisi, accesso VPN persistente o ruoli cloud ampi senza monitoraggio delle sessioni.
Sesto, le evidenze privacy sono separate dalle evidenze di sicurezza. GDPR richiede la protezione dimostrabile dei dati personali; pertanto, i controlli di identità e accesso devono collegarsi alle categorie di dati e alle finalità del trattamento.
Infine, le eccezioni non sono documentate. Lo zero trust può tollerare eccezioni se sono valutate in base al rischio, approvate, limitate nel tempo e monitorate. Non può tollerare eccezioni invisibili.
Crea il tuo pacchetto di evidenze zero trust con Clarysec
L’architettura zero trust nel 2026 non è uno slogan. È un modello operativo di conformità che collega identità, dispositivi, applicazioni, segmentazione della rete, principio del privilegio minimo, monitoraggio continuo, controllo dei fornitori e misure di protezione della privacy in un unico sistema verificabile.
Se ti stai preparando alla certificazione ISO/IEC 27001:2022, rispondi a richieste clienti NIS2, ti stai allineando alla gestione del rischio ICT DORA o devi dimostrare la sicurezza del trattamento ai sensi del GDPR Article 32, inizia dalla tracciabilità.
Usa Zenith Blueprint: roadmap in 30 passi per auditor per mappare i rischi zero trust nel registro dei rischi, nel piano di trattamento del rischio e nella SoA. Usa Zenith Controls: guida di conformità multi-framework per allineare controllo degli accessi, gestione delle identità e monitoraggio alle aspettative multi-framework. Usa la libreria di policy Clarysec, inclusa la Politica aziendale di controllo degli accessi, la Politica aziendale di gestione degli account utente e dei privilegi, la Politica aziendale di sicurezza della rete, la Politica aziendale di registrazione e monitoraggio, la Politica aziendale per la sicurezza delle informazioni e la Politica di protezione dei dati e privacy - PMI, per trasformare l’architettura in governance applicabile.
Il prossimo passo operativo consiste nel selezionare uno scenario ad alto rischio, ad esempio l’accesso privilegiato compromesso ai dati dei clienti, e costruire attorno a esso una catena completa di evidenze zero trust. Se puoi dimostrare quello scenario end to end, hai la base per un programma zero trust scalabile, verificabile e pronto per le autorità di regolamentazione.
Scarica i bundle di policy Clarysec o pianifica una call strategica per vedere come Zenith Blueprint e Zenith Controls possono trasformare lo zero trust da rischio di audit a vantaggio di conformità.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


