Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Zo ook Gartner, waarnaar vorige maand werd verwezen vanuit de CISO community-website. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van “vertrouw niets zomaar, maar verifieer”. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager? Alle firewall-regels nalopen? Ieder endpoint uitrusten met EDR-technologie? Of een CASB aanschaffen?
Integraal onderdeel van je strategie
Zero trust is geen ‘feature’ of vinkje, maar een end-to-end strategie. Het antwoord daarop kan dus ook per definitie niet alleen een product of verhaal zijn. Het gaat om de samenhang in je architectuur, vandaar dat we het een strategie noemen. Zo zou je in ieder geval naar je IT- en security-strategie moeten kijken. Bekijk het eens anders: de complexiteit van onze IT zal de komende jaren alleen maar toenemen. Denk hierbij aan de explosief stijgende en maar ook steeds meer geavanceerde cybercriminaliteit, meer aansprakelijkheid inzake wet- en regelgeving, en nieuwe IT- en cybersecurity-technologie. Al deze aspecten houden verband met elkaar en het is dan ook van groot belang om het geheel integraal in kaart te brengen zodat de juiste veranderingen kunnen worden doorgevoerd.
Wat is het dan wél?
Security werd in het verleden vooral belegd in het netwerk, bijv. in de vorm van firewalls. Tegenwoordig zien we echter dat de notie van bedrijfsnetwerken steeds meer vervaagt:
- Medewerkers werken op afstand, bijv. thuis.
- Steeds meer applicaties en data bevinden zich in de cloud.
- Medewerkers mogen op eigen apparatuur werken (BYOD).
Kortom, het beveiligde bedrijfsnetwerk is niet meer afdoende. We moeten security dus ook in andere onderdelen van de infrastructuur onderbrengen. In het geval van zero trust zie je vaak dat de volgende deelgebieden gehanteerd worden:
- Identity
- Device
- Application Workload
- Netwerk
- Data
Je ziet dus dat security verweven raakt met je infrastructuur. Een voorbeeld: een gebruiker geeft zich uit met zijn/haar identity op zijn/haar device, dat via het netwerk toegang krijgt tot data.
Een kwestie van abstractie
Wordt security op zo veel lagen van de infrastructuur niet ingewikkeld? Als je niet uitkijkt, raak je inderdaad het overzicht kwijt en wordt het inderdaad een ingewikkeld verhaal, zeker in grote en complexe organisaties. Gelukkig zijn er ook manieren om die complexiteit te beteugelen. Twee voorbeelden:
- Wanneer je zero trust verankert in je architectuur en strategie, zoek je de aansluiting van security bij je businessprocessen. Van oudsher is dat veel minder het geval, want toen was security nog een ‘IT-feestje’. Doordat je nu security veel fijnmaziger inregelt op basis van je business, merk je vanzelf dat security veel ‘logischer’ en ‘dichterbij’ komt voor de rest van de organisatie, omdat je meer dezelfde taal gaat spreken.
- Naast zero trust is software-defined infrastructuur een thema dat de afgelopen jaren een vogelvlucht heeft genomen. Hierbij wordt infrastructuur op een hoger abstractieniveau geconfigureerd, waarna de software de vertaling naar details en devices. Dus daar waar zero trust van nature meer configuratie vergt, vormt een software-defined aanpak eigenlijk juist een tegenbeweging.
Kortom, het is eigenlijk allemaal een kwestie van abstractie. Dit biedt jouw organisatie uiteindelijk de volgende voordelen:
- Meer flexibiliteit: door het wijzigen van het abstractieniveau waarmee we security toepassen ontstaat er meer granulariteit en flexibiliteit in het fijnmazig definiëren van toegang.
- Minder complexiteit: wanneer software-defined infrastructuren de norm zijn, kunnen we op schaalbare wijze geavanceerde configuraties opstellen, automatiseren en centraliseren, wat leidt tot lagere kosten.
- Meer inzicht: Het verplaatsen van het abstractieniveau van de perimeter naar identities, workloads, data, etc., kunnen we meer inzicht creëren t.b.v. detectie & respons.
- Minder impact bij incidenten: door te denken in microsegmentatie kunnen cyber-dreigingen zich veel minder snel door infrastructuur verplaatsen.
- Meer business-alignment: een hoger abstractieniveau sluit beter aan bij de business, waardoor er binnen de organisatie meer draagvlak ontstaat voor security.
Andere voordelen van een breed gedragen strategie
Door te werken op basis van een plan/strategie borg je de samenhang van je aanpak. Juist in complexe materie zoals security-architectuur is het van belang een spreekwoordelijke leidraad te hebben waarop je steeds kunt terugvallen om te valideren of je de juiste stappen zet. Juist wanneer je concepten als zero trust omarmt, waarvoor allerlei ‘maturity’ modellen zijn opgesteld, kun je zelfs je status quo of voortgang toetsen en kwantificeren, al dan niet door een onafhankelijke partij. Bovendien kun je stellen door aan te haken bij breed geaccepteerde strategieën zoals zero trust je vanzelf in meerdere of mindere mate aansluit bij wet- en regelgeving.
Waar te beginnen?
De één begint bij de aanschaf van een product, de ander stelt een uitgebreid onderzoek in als nulmeting. Iedere organisatie doet dat op zijn eigen manier, al is het vinden van de balans tussen strategie en operatie in de praktijk wel een uitdaging. De voornaamste reden daarvoor: niet elkaars taal spreken. Om die reden beginnen we juist bij de business i.p.v. bij IT, want daarmee borgen we zowel de organisatiebrede verankering als het gemeenschappelijke vertrekpunt. Hierdoor worden business-primitieven first-class citizen binnen de security-architectuur, in tegenstelling tot afgeleiden van IT-primitieven. Een voorbeeld: in plaats van denken aan IP-adressen in een firewall-configuratie, kun je denken aan een rol in een project of een device in combinatie met een specifieke gebruiker om toegang te krijgen.
Alle begin is moeilijk en het is dan de kunst om simpel te beginnen, zonder concessies te doen aan het grotere geheel. Een welgemeend advies in dit soort situaties: laat je vooral helpen en vindt het wiel niet opnieuw uit.