Circa twee derde van de grotere organisaties wereldwijd heeft geheel of gedeeltelijk een zero-trust-strategie geïmplementeerd. Dat wijst onderzoek van marktvorser Gartner onder 303 security-leaders uit. Zero-trust wil zoveel zeggen dat gebruikers en apparaten standaard niet vertrouwd moeten worden, zelfs niet als ze verbonden zijn met een toegestaan netwerk.
Iets meer dan de helft van de organisaties die met de implementatie bezig zijn of dat binnenkort willen gaan doen, volgt een zero-trust-strategie omdat deze in hun branche geldt als een ‘best practice’. Toch weten bedrijven niet goed wat zo’n ‘beste praktijk’ precies inhoudt, stelt Gartner-analist John Watts. Hij constateert dat veel bedrijven zo’n strategie maar halfbakken uitvoeren. ‘Voor de meeste organisaties richt een zero-trust-strategie zich doorgaans op de helft of minder van de omgeving van een organisatie en beperkt het een kwart of minder van het totale ondernemingsrisico.’
Voor vier op de vijf organisaties die een dergelijke strategie implementeren, betekent deze investering dan ook minder dan een kwart van het totale budget voor cyberbeveiliging.
Vroegtijdig
Garther geeft drie belangrijke tips voor de implementatie van een zero-trust-strategie. De eerste is vroegtijdig ruimte voor zo’n strategie te scheppen. Voor een succesvolle uitvoering moeten organisaties begrijpen welk deel van de omgeving zij bestrijken, welke domeinen binnen hun reikwijdte vallen en hoeveel risico zij kunnen beperken.
De reikwijdte van een zero-truststrategie omvat doorgaans niet de hele omgeving van een organisatie. Ongeveer vijftien procent van de respondenten in de enquête zegt echter dat het driekwart van de omgeving zal bestrijken, terwijl zo’n tien procent denkt dat het minder dan tien procent zal zijn. ‘Scope is de meest cruciale beslissing voor een zero-trust-strategie’, aldus Watts. ’Ondernemingsrisico is veel breder dan de reikwijdte van zero-trust-controles, en slechts een beperkt deel van het ondernemingsrisico kan worden beperkt. Het meten van risicoreductie en het verbeteren van de beveiligingspositie zijn echter een belangrijke indicator voor het succes van zero-trust-controles.’
Tweede aanbeveling is het succes via strategische en operationele zero-trust-statistieken te communiceren. Hanteer strategische maatstaven om de voortgang te meten alsmede maatstaven om risico’s te meten.
Ten slotte is het nodig er rekening mee te houden dat hiervoor meer personeel nodig is en dat de kosten omhoog gaan. Om vertragingen tot een minimum te beperken, moeten bedrijven een plan hebben waarin operationele maatstaven worden uiteengezet en de effectiviteit van het zero-trust-beleid wordt gemeten.
Een ‘best practice’ volgen maar niet weten wat dat inhoudelijk betekent is hetzelfde als domweg een idee volgen zonder idee waar de weg heen leidt. Wij van WC-eend adviseren WC-eend maakt het verkopen van een strategie als product op deze manier makkelijker want Gartner is vooral een Amerikaans marketingbureau. In de adviezen even betrouwbaar als de verkoper van WC-eend want wat wordt er eigenlijk door Gartner-analist John Watts gezegd over het idee van wantrouwen als uitgangspunt?
Natuurlijk is controle in plaats van vertrouwen geen slecht uitgangspunt maar ons Rijnlandse bedrijfsmodel van samen staat haaks op het Angelsaksische van ieder voor zich en god voor ons allen. Wat betreft de import van een culturele overwegingen een cultuurschok als we kijken naar bijvoorbeeld het recht op verenging en de rechtspersoon van vereniging.
“De reikwijdte van een zero-truststrategie omvat doorgaans niet de hele omgeving van een organisatie.”
Beter ten halve gekeerd dan ten hele gedwaald in het kippenhok van een binaire werkelijkheid tussen zwart en wit zijn er nog 256 grijstinten wat er zijn niet alleen grote maatschappelijke verschillen maar ook organisatorische. Dat biedt ‘never waste a good crisis’ de opportuniteit voor de BETTER practice want wie of wat controleer je nu uiteindelijk?
In de risicoreductie en het verbeteren van de beveiligingspositie moeten belangrijke indicators voor het succes van zero-trust-controles dan ook vervangen worden door betrouwbare of controleerbare. Want het communiceren over strategische en operationele zero-trust-statistieken gaat om het temmen van papieren tijgers wat zoiets is als te goed van vetrouwen;-)