Zero Trust een business enabler? Het draait allemaal om perceptie.

Het was al in 2017 dat the Economist voorspelde dat data ruwe olie zou vervangen als ’s werelds meest waardevolle grondstof en dat er een nieuwe “asset-light” economie zou komen, gebouwd op digitale in plaats van fysieke infrastructuren. Achteraf kunnen we zeggen: ja, natuurlijk is dat zo. We kennen de waarde van gegevens en die digitale infrastructuren vandaag, vooral nu we getuige zijn geweest van de explosieve groei van werk op afstand, onlinetransacties en virtuele interacties als gevolg van de pandemie van het coronavirus.

Laatst bijgewerkt: 9 september 2022

Leestijd: 11 minuten

Gastblog door Kudelski Security (Knowledge Partner op het thema Cyber Security)

We weten ook dat gegevens niet alleen een waardevolle hulpbron zijn. Het kan ook een verplichting zijn. Bruce Schiener beschrijft het als een “giftig bezit”. Hoe meer gegevens je hebt en hoe toegankelijker ze worden, hoe groter je aanvalsoppervlak wordt. Dus terwijl gegevens de veranderingen in het bedrijf stimuleren, brengen ze ook risico’s met zich mee. Onze digitale infrastructuren en gegevens vereisen daarom een delicaat evenwicht tussen security en risico’s – en dat is een evenwicht dat veel organisaties nog niet hebben gevonden.

Zero Trust Architectures zijn een bijproduct van deze evolutie en, zo zou ik willen stellen, een voorwaarde voor toekomstige digitale transformatie. Want uiteindelijk gaat een Zero Trust-benadering over het toegankelijk maken van bedrijfsmiddelen voor de juiste mensen op het juiste moment, ongeacht waar zij of de bedrijfsmiddelen zich bevinden. (Als u op zoek bent naar meer informatie over Zero Trust Architectures en hoe u ermee aan de slag kunt, raad ik u deze blogpost van mijn collega Bojan Zelic aan).

Helaas is dat niet de manier waarop de meeste mensen over Zero Trust denken. Ze denken misschien dat het weer een product is dat ze moeten kopen en configureren. Of ze denken dat Zero Trust te beperkend is en de bedrijfsprocessen en -activiteiten zal belemmeren. Gelukkig is geen van beide waar. De juiste securitymaatregelen, net als remmen op een auto, kunnen en zullen het bedrijf in staat stellen om sneller te gaan. Maar er is een verschuiving nodig in de perceptie van het bedrijfsleven, de IT en ja, zelfs IT-security, om dit mogelijk te maken.

Security moet anders worden gezien door business eigenaren, helemaal tot aan de CEO

Bij veel bedrijven beoordeelt de C-suite security tegenwoordig op basis van het aantal incidenten dat zich voordoet. Als er geen securityincidenten zijn, moet de security het wel fantastisch doen! Incidenten vormen, zoals we weten, niet het volledige securityplaatje.

Voortbordurend op de auto-analogie hierboven: wanneer iemand een Formule 1-race wint, zal de pers het hebben over de coureur en de motor. Was het een Red Bull of een Ferrari? Wat niet wordt vermeld, is de beveiliging (security) die de overwinning mogelijk maakte – de remmen die goed werkten, de pitcrew die een versleten band verwisselde. Deze veiligheidskenmerken maken de prestatie van de auto mogelijk, net zoals Zero Trust de business mogelijk maakt.

Dit is het soort verandering in denken dat moet plaatsvinden om Zero Trust en security in het algemeen meer geaccepteerd te laten worden door de business. Dus hoe doe je dit? Benader het gesprek in termen van risico. Als de auto geen remmen heeft, zal hij uit de bocht vliegen. Als medische gegevens in de verkeerde handen terechtkomen, wat zijn dan de gevolgen? Als we meer gepersonaliseerde financiële diensten willen aanbieden, welke gegevens hebben we dan nodig en wie heeft er toegang toe?

“Wanneer iemand een Formule 1-race wint, zal de pers het hebben over de coureur en de motor. Was het een Red Bull of een Ferrari? Wat niet wordt vermeld, is de beveiliging (security) die de overwinning mogelijk maakte.”

Security moet door de IT-organisatie anders worden opgevat

Voor veel ingenieurs en IT-professionals wordt security gezien als een checklist die van bovenaf wordt gedicteerd. Het is de zoveelste taak die wordt toegevoegd aan een toch al lange to-do lijst in plaats van iets dat waarde kan toevoegen aan de organisatie. Er zijn een paar strategieën om deze mentaliteit te veranderen.

Ten eerste zou security sterk moeten worden gestimuleerd met bonussen tijdens de IT-ontwikkelprocessen. Als iemand in het bedrijf een bug of kwetsbaarheid vindt, zou dat beloond moeten worden.

Ten tweede raad ik aan om securitydoelstellingen los te koppelen van IT-projecten om te voorkomen dat security een blokkade wordt. Met andere woorden: maak uw doelstellingen als securityteam niet het probleem van iemand anders.

Ten slotte, creëer een directe link tussen de CISO en de CEO. Vaak zal de CISO rapporteren aan de IT-organisatie. Als het niet mogelijk is om dit team onder de CIO vandaan te halen, zorg er dan op zijn minst voor dat er sterke communicatielijnen zijn tussen de CISO en de rest van de C-suite. Als er een risico is dat financiële gevolgen of gevolgen voor de reputatie van het hele bedrijf heeft, moet de CEO op de hoogte zijn.

Security moet anders worden gezien door securityprofessionals

Deze komt een beetje dicht bij huis, maar blijf bij me. Wij als securityrofessionals hebben ons op ons gemak gevoeld in een van de twee richtingen. Of we kiezen voor een theoretische, top-down benadering van security of voor een meer praktische, hands-on benadering. Geen van beide is per definitie verkeerd, maar idealiter zouden we een mix van beide hebben.

Bij een theoretische, top-down benadering besteedt u veel tijd aan documentatie, beoordelingen en het doornemen van industrienormen. Dit zijn allemaal waardevolle oefeningen, maar we schieten tekort als we er niet in slagen deze vereisten om te zetten in de praktijk.

Aan de andere kant laten we security soms over aan twee zeer bekwame technici die geen moeite hebben om zich bezig te houden met de dagelijkse taken, maar die niet noodzakelijkerwijs een overzicht hebben van wat de securitybehoeften van de organisatie zijn en hoe deze te standaardiseren.

Om te begrijpen hoe beide benaderingen kunnen samenwerken, laten we een security monitoring scenario gebruiken.

Het MITRE ATT&CK raamwerk is een alom bekende, uitgebreide taxonomie van real-world use cases voor het monitoren van securityincidenten langs de aanvalsketen. Dit is een prachtige industriestandaard die van toepassing is op de meerderheid van de aanvallen waarmee securityteams te maken krijgen. En, wat nog beter is, het beheer van de security op basis van dit raamwerk kan worden geautomatiseerd.

Maar voor meer geavanceerde aanvallen is er nog steeds behoefte aan een meer praktische, hands-on aanpak onder leiding van een doorgewinterde securityanalist. Dit vereist iemand met een laterale denkwijze, vergelijkbaar met die van ervaren schakers. Zelfs bij schaken, als je een expert bent in alle openingen, zijn de beste spelers degenen die kunnen improviseren om hun tegenstander te slim af te zijn. Securityteams zullen deze lateraal-denkende benadering moeten overnemen om aanvallers een stap voor te blijven.

Uw Zero Trust-reis beginnen

In dit bericht is een overzicht gegeven van de veranderingen die op cultureel en politiek vlak moeten plaatsvinden om Zero Trust security in staat te stellen digitale transformatie voor het bedrijf mogelijk te maken. Natuurlijk zijn er veel fijnere punten om te overwegen als het gaat om het implementeren van Zero Trust architecturen en controles binnen uw eigen organisatie. Het adviesteam van Kudelski Security kan helpen bij het identificeren van het juiste plan of het evalueren van programma’s die al in werking zijn. Neem hier contact met ons op voor meer informatie.

Even voorstellen: Kudelski Security

Kudelski Security is een innovatieve, onafhankelijke leverancier van op maat gemaakte cyberbeveiligingsoplossingen voor grote ondernemingen en klanten in de publieke sector. Het bedrijf heeft meer dan 300 werknemers en locaties in Europa (Cheseaux-sur-Lausanne, Zürich – Zwitserland, Parijs – Frankrijk, München – Duitsland, Madrid – Spanje) en de VS (Phoenix, Minneapolis, Dallas, Atlanta).

Wij voorzien in de securitybehoeften van onze klanten door een unieke combinatie van consultancy, technologie en managed services van wereldklasse. Wij voegen waarde toe door gebruik te maken van onze rijke geschiedenis in het gebruik van innovatie en engineering om complexe, nieuwe cybersecurityproblemen te helpen oplossen.

We streven ernaar een nieuwe standaard voor cybersecurity te creëren door een ander soort programma en aanpak te bieden, gebaseerd op langdurige, vertrouwde relaties. Wij werken met onze klanten samen om een beveiligingsblauwdruk te creëren – een uitgebreid kader dat uniek is voor elke opdracht – waarmee klanten alle elementen van hun securityprogramma kunnen visualiseren, implementeren en meten, inclusief de mensen, processen en technologie.

Door een programmatische aanpak krijgen klanten werkelijk en alomvattend inzicht in bedreigingen, waardoor ze bedrijfsrisico’s kunnen verminderen, compliance kunnen handhaven en de algehele efficiëntie kunnen verhogen.

Ons wereldwijde bereik en onze focus op cyberoplossingen worden versterkt door belangrijke internationale partnerschappen. Dit omvat allianties met ’s werelds toonaangevende securitytechnologieën en experts op het gebied van gespecialiseerde diensten. Het resultaat is dat onze klanten toegang hebben tot de tools, kennis en het talent om complete cyberbeveiligingsprogramma’s te realiseren.

Het internationale hoofdkantoor van Kudelski Security is ISO 27001:2013 gecertificeerd, waardoor de kwaliteit van ons Information Security Management System bij de bescherming van klantgegevens tijdens het leveren van cybersecurity-oplossingen gewaarborgd is.

Verder zijn wij lid van het Forum of Incident Response and Security Teams (FIRST), een vooraanstaande organisatie en erkend wereldleider op het gebied van incident response en hebben daarnaast Computer Emergency Response Team (CERT) competenties.

Deze Knowledge Partner Blog is verzorgd door Kudelski Security.

Kudelski Security is Knowledge Partner van iSourcing Hub op het thema Cyber Security. Knowledge Partners zijn op iSourcing Hub aangesloten leveranciers en adviesbedrijven die vanuit hun expertise op een bepaald domein helpen met het opstellen en onderhouden van de Public Library vragen.

© 2022 iSourcing Hub | Outsourcing Hub B.V.