Door Jerry Hof
Voor veel beveiligingsprofessionals kan het idee van Zero Trust behoorlijk ontmoedigend zijn. Het gaat ervan uit dat alles – elk bezit, apparaat, gegevensstroom en gebruiker – frauduleus kan zijn en mogelijk het begin van een aanval kan betekenen, totdat er voldoende bewijs van het tegendeel wordt geleverd. Zelfs dan kunnen authenticatie of privileges automatisch worden ingetrokken omdat er voortdurend nieuwe gegevens worden verzameld. Het begint met een meedogenloos standpunt over authenticatie en toegangscontrole, waar beveiligingsprofessionals al lang voor pleiten.
Vanuit een puur defensieve positie is deze benadering juist. Maar voor een multinationale onderneming kan deze tactiek moeilijk te implementeren zijn in elke business unit en elk systeem, vooral omdat activa geografische en verticale grenzen overschrijden. Dit vereist dat CISO’s een pragmatische leiderschapsstijl aannemen, een stijl die waar nodig alternatieve benaderingen mogelijk maakt.
Zoals we weten, is het vaak een verloren argument om erop aan te dringen dat een leidinggevende van een bepaalde branche iets implementeert waarvan zij zien dat het de bedrijfsinkomsten verstoort. Daarom moeten CISO’s vaak compromissen sluiten. En bij een beveiligingsinitiatief van een onderneming betekent compromis soms het implementeren van compenserende controles die in strijd zijn met de oorspronkelijk beoogde primaire veiligheidscontroles.
Om Zero Trust soepel te kunnen implementeren, moet het worden gecoördineerd tussen veel groepen binnen de onderneming. Waaronder bijvoorbeeld recent overgenomen bedrijven die mogelijk geheel andere IT- en beveiligingsinfrastructuren en landschappen hebben. Idealiter zou de beveiliging in een onderneming identiek moeten worden uitgevoerd, maar realistisch gezien is het eindresultaat een product van evaluatie en onderhandeling voor elke niet-standaard situatie. Dit is waar de “meer een kunst dan wetenschap” en bedrijfsgerichte kant van beveiliging centraal staat.
Gezien het grote aantal bedrijfsbeveiligingsoperaties dat zal proberen om in 2022 een Zero Trust-programma te starten, is dit geen academische kwestie. Voor veel organisaties is stap één in dit proces het opzetten van een formele Zero Trust-werkgroep.
Een Zero Trust-werkgroep
Een uitdaging bij het opzetten van een Zero Trust-werkgroep is het stellen van prioriteiten. Aan de ene kant wil je er zeker van zijn dat je vanaf de sprong iedereen opneemt die een rol in die groep zal spelen; dat kunnen veel mensen zijn, zelfs als sommigen er alleen in de waarnemersmodus zijn. Aan de andere kant kunnen te veel mensen in die werkgroep het simpelweg te moeilijk maken voor iedereen om hun zegje te doen. De wet van Murphy speelt hier een grote rol: de vertegenwoordigers die ervoor kiezen om niet veel te zeggen omdat de groep te groot is, zullen altijd de mensen zijn die je het meest nodig hebt/wilt horen.
Helaas is er geen objectief ideaal aantal deelnemers, omdat bedrijven zo divers zijn en zulke verschillende behoeften hebben. Om te beginnen, probeer bedrijfsplanning, juridische zaken, privacy, CIO’s, CISO’s, wereldwijde CFO’s en misschien HR- en compliance-teams in te schakelen. Het lastige is om te bepalen hoe u zoveel business unit executives kunt betrekken als nodig is. Wijs bovendien – en mogelijk meer levensvatbaar – iemand aan het gesprek aan om gedetailleerde aantekeningen te maken en ervoor te zorgen dat die aantekeningen bij elke leider van een business unit terechtkomen. Misschien moet iemand zelfs persoonlijk contact opnemen met elk van die hoofden van de businessunits om ervoor te zorgen dat ze de beslissingen en implicaties voor hun afdelingen en bestaande processen lezen en begrijpen.
Voor de hand liggend: het is voor iedereen een stuk gemakkelijker als Zero Trust-obstakels zo vroeg mogelijk in het proces worden geïdentificeerd, in plaats van alleen die problemen te ontdekken terwijl het programma wordt uitgerold.
Zero Trust is complexer dan het lijkt
Het is belangrijk om de complexiteit van Zero Trust niet te verdoezelen. Ja, het zal de beveiliging in orde van grootte verbeteren, problemen met privileges opruimen (vooral door het verwijderen van resterende maar niet langer benodigde privileges voor personen die van rol zijn veranderd) en een veel beter platform creëren voor toekomstige wijzigingen. Maar om dit te doen, moeten veel processen worden gewijzigd en mogelijk de manier waarop toegang wordt beheerd, worden herzien. Uw gebruikers en hun managers moeten de verschillen en verwachtingen binnen de nieuwe omgeving volledig begrijpen.
Het is in deze fase dat blokkeerproblemen worden ontdekt. Als er een probleem is, moeten meerdere teams een acceptabel secundair proces bedenken. De proces- en compenserende beheersing moeten voldoen aan zowel het CISO-kantoor voor beveiliging als het LOB-team voor operaties.
Speciale omgevingen kunnen er bijvoorbeeld toe leiden dat de beveiliging een reeks globale vereisten heroverweegt. Een productieomgeving kan veel gespecialiseerde machines bevatten die op Windows draaien, maar die niet kunnen worden gepatcht of de installatie van software van derden, inclusief beveiligingsagenten, niet toestaan. In dit geval kunnen compenserende controles worden geselecteerd en goedgekeurd door middel van besprekingen en overeenstemming tussen de beveiliging en de zakelijke kant.
Alleen door samenwerking, onderhandeling en compenserende controles kan een organisatie haar uiteindelijke visie bereiken. Beveiliging begint bij uitgebreide communicatie door alle partijen. Hoewel beveiligingsprofessionals soms worden bestempeld als de “afdeling van nee”, is een collaboratieve houding van onschatbare waarde om het doel van Zero Trust te bereiken.
Bezoek ons hier voor meer informatie over de beveiligingsoplossingen van NTT.
