BLOG – Organisaties blijven worstelen met het tempo van technologische evolutie. Denk aan het almaar veranderende dreigingslandschap, nieuwe manieren van werken en het belang van probleemloze gebruikerservaringen. Nu zero-trust plaatsmaakt voor een stortvloed aan nieuwe oplossingen en een steeds meer verzadigde markt, zal er snel een ‘war of requirement’ ontstaan.
Concurrentie werkt vaak een snellere evolutie van producten in de hand, wat weer resulteert in een grotere keuze en meer diepgang voor de klant. Om de oplossing te selecteren die hun organisatie het beste ondersteunt, moeten bedrijfsleiders echter wel het onderscheid kunnen maken tussen point-oplossingen en geïntegreerde cloudgebaseerde platformoplossingen. Het is ook zaak dat bedrijfsleiders zich realiseren dat mensen verschillende visies hebben op de inzet van zero-trust en dat er verschillende manieren zijn waarop zero-trust hun organisatie ten goede komt, omdat het anders de markt, teams en de organisatie als geheel kan verdelen.
Sleutelrol
Als eerste moeten organisaties definiëren wie er verantwoordelijk is voor het aansturen van een zero-trust-initiatief. Dit is een overweging en speelt een sleutelrol bij het ontsluiten van de waarde ervan voor de hele organisatie. Als een netwerkteam zero trust wil inzetten, zal hun visie daarop waarschijnlijk sterk neigen naar netwerkgebaseerde zero trust: een point oplossing die hen precies biedt wat ze nodig hebben om de netwerkbehoeften van de organisatie op dat moment te ondersteunen. Als een CISO zero trust implementeert, ligt de focus meestal op logische toegang op basis van het least priviledge-principe en het beperken van de toegang tot applicaties. En als een CIO het wil inzetten, zal hij of zij op zoek gaan naar een oplossing die de bedrijfsvoering ontlast en de transactiestroom vereenvoudigt.
Zero-trust als concept is geen gereguleerde term. Gartner komt het dichtst bij een definitie: ‘Producten en diensten die een op identiteit en context gebaseerde, logische toegangsgrens creëren die een zakelijke gebruiker en een intern gehoste applicatie of reeks applicaties omvat.’ Dit is echter een zeer beperkte definitie. De aanpak gebaseerd op NIST verdient een aanbeveling en suggereert dat zero-trust verloopt middels een cyclus van de volgende zeven stappen:
- Stel een identiteit vast (een persoon, machine of apparaat;
- Stel de context vast over die identiteit (tijd van de dag, rol en verantwoordelijkheden van de persoon, identiteit);
- Bevestig de bestemming;
- Beoordeel het risico;
- Voorkom compromittering;
- Voorkom dataverlies;
- Handhaaf het beleid op cyclische basis.
Zodra organisaties dit proces zien als een filosofie in plaats van iets beperkends, kan het ware potentieel van zero-trust worden ontsloten. Pas daarna kan zero-trust voldoen aan zakelijke behoeften die verder reiken dan directe, geïsoleerde doelen.
Ongereguleerd
Hoewel zero-trust een grotendeels ongereguleerde term is, verandert de oplossing, als het goed wordt gedaan, de manier waarop beveiliging wordt geleverd en toegang wordt verleend. Belangrijk is dat zero-trust op een van de eerder genoemde manieren wordt benaderd – voor netwerkdoeleinden, beveiliging of het optimaliseren van de bedrijfsvoering. Daarnaast moeten organisaties rekening houden met de soms tegenstrijdige belangen van leveranciers die hun oplossingen proberen te verkopen en klantteams die de meest geschikte optie proberen te vinden om te voorzien in hun eigen behoeften.
Om succesvol te zijn, is het belangrijk dat de uiteindelijke oplossing voldoet aan de behoeften van verschillende teams. Slimme organisaties zullen dus gaan voor de oplossing met de breedste, meest geïntegreerde mogelijkheden: hoe breder het platform, hoe gemakkelijker in alle behoeften wordt voorzien. Omgekeerd geldt: hoe smaller de geïmplementeerde oplossing – doorgaans point-oplossingen – hoe moeilijker het zal zijn om te groeien en het gebruik ervan aan te passen.
Uiteindelijk verandert het landschap voor zowel klanten als leveranciers, met een bijzondere nadruk op de leverancier. Als zij de voordelen gaan zien van een platformaanpak, zullen beide partijen winnen. Het bevorderen van platformdenken boven productdenken zal daarnaast de ontwikkeling van zero trust-producten versnellen.
Verankeren
Zero-trust heeft geleid tot grote veranderingen op het gebied van cyberbeveiliging en bedrijfstransformatie. Degene die verantwoordelijk is voor het zo efficiënt mogelijk inzetten van zero-trust, moet in staat zijn om verandering te bewerkstelligen door zero-trust te verankeren in netwerken, beveiliging, de toegang tot applicaties en de gebruikers van de organisatie. De zero-trust-oplossing moet worden erkend vanwege zijn vermogen om bedrijfsdoelstellingen te bereiken en de algehele groei te stimuleren, in plaats van voor het voldoen aan de gefragmenteerde behoeften van geïsoleerde teams.
In 2024 zal dit vraagstuk nog regelmatig naar voren komen en degenen die de ware kracht van zero-trust erkennen, zullen als winnaar uit de bus komen.
Marc Lueck, ciso EMEA bij Zscaler
Zero-trust bestaat niet want je kunt niet samenwerken zonder een basis van vertrouwen. Een basis die uiteindelijk weer wringt met zoiets als de privacy als we kijken naar Europese verhaal van Victor Hugo. Een verkoper van vertrouwen moet beseffen dat de identiteit van natuurlijke personen uiteindelijk om een rol gaat. Stel dus niet de identiteit vast maar de belangen want uiteindelijk gaat het om een vertrouwen in de loyaliteit van natuurlijke personen want conflicterende belangen daarin leiden tot gegevensverlies.
Het gaat niet om alle tegenstrijdige belangen van leveranciers maar om het interne vertrouwen. De governance van een informatiebeleid begint tenslotte met een ‘need to know’ van bedrijfsgeheimen waarna wijze van toegang door de rechten bepaald wordt. En die toegang kun je voor een latere audit loggen, controle is tenslotte beter dan vertrouwen. Gegevens kunnen lezen zonder deze te kunnen wijzigen scheelt aanzienlijk in het risico op informatieverlies, I know what you did last summer….
Ik vertrouw het nooit als het hele verhaal juist gaat over het ontbreken van het onderwerp.
zero trust zou goed zijn, maar is alleen “geen gereguleerde term”.
En je moet goed opletten wie het aanstuurt, want dat bepaalt de uitkomst lees ik.
Dit verhaal dus als het het ciso van zscaler vraagt : je moet het wel invoeren maar we weten blijkbaar niet precies waar we over praten en wie de kar moet gaan trekken 😛
“Zodra organisaties dit proces zien als een filosofie in plaats van iets beperkends, kan het ware potentieel van zero-trust worden ontsloten.”
Tuurlijk.
Definities zijn altijd lastig, zeker als het om anglo-amerikaanse termen gaat. Dat de auteur met het productdenken ernaast zit blijkt uit de
ontwikkelingen binnen organisaties want informatie blijft niet opgesloten in platformen. Zo heb ik zelf toegang tot meerdere platformen van
partners vanwege de samenwerking in een Rijnlands model. Vertrouwen verkopen als product is organisatorisch dan ook lastig zolang de toegang
tot informatie lastig te reguleren is. Want informatie is volgens het DIKW model het resultaat van moderne datasynthese als we kijken naar de informatiewerkers die data uit verschillende bronnen weten te combineren tot kennis.
Vertrouwen is goed, controle is beter (Не верить на слово, проверять строжайше) is het aan Dino welke woorden hij gelooft. Een cijfermatig belang van commercie gaat om loyaliteit want uiteindelijke bedrijfsmatige filosofie draait om winst & verlies. Zekerheid hierin leert dat als er veel geld bij komt kijken het aangeraden is om niemand te vertrouwen.