Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Zo ook Gartner, waarnaar vorige maand werd verwezen vanuit de CISO community-website. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van “vertrouw niets zomaar, maar verifieer”. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager? Alle firewall-regels nalopen? Ieder endpoint uitrusten met EDR-technologie? Of een CASB aanschaffen?

Integraal onderdeel van je strategie

Zero trust is geen ‘feature’ of vinkje, maar een end-to-end strategie. Het antwoord daarop kan dus ook per definitie niet alleen een product of verhaal zijn. Het gaat om de samenhang in je architectuur, vandaar dat we het een strategie noemen. Zo zou je in ieder geval naar je IT- en security-strategie moeten kijken. Bekijk het eens anders: de complexiteit van onze IT zal de komende jaren alleen maar toenemen. Denk hierbij aan de explosief stijgende en maar ook steeds meer geavanceerde cybercriminaliteit, meer aansprakelijkheid inzake wet- en regelgeving, en nieuwe IT- en cybersecurity-technologie. Al deze aspecten houden verband met elkaar en het is dan ook van groot belang om het geheel integraal in kaart te brengen zodat de juiste veranderingen kunnen worden doorgevoerd.

Wat is het dan wél?

Security werd in het verleden vooral belegd in het netwerk, bijv. in de vorm van firewalls. Tegenwoordig zien we echter dat de notie van bedrijfsnetwerken steeds meer vervaagt:

  • Medewerkers werken op afstand, bijv. thuis.
  • Steeds meer applicaties en data bevinden zich in de cloud.
  • Medewerkers mogen op eigen apparatuur werken (BYOD).

Kortom, het beveiligde bedrijfsnetwerk is niet meer afdoende. We moeten security dus ook in andere onderdelen van de infrastructuur onderbrengen. In het geval van zero trust zie je vaak dat de volgende deelgebieden gehanteerd worden:

  • Identity
  • Device
  • Application Workload
  • Netwerk
  • Data

Je ziet dus dat security verweven raakt met je infrastructuur. Een voorbeeld: een gebruiker geeft zich uit met zijn/haar identity op zijn/haar device, dat via het netwerk toegang krijgt tot data.

Een kwestie van abstractie

Wordt security op zo veel lagen van de infrastructuur niet ingewikkeld? Als je niet uitkijkt, raak je inderdaad het overzicht kwijt en wordt het inderdaad een ingewikkeld verhaal, zeker in grote en complexe organisaties. Gelukkig zijn er ook manieren om die complexiteit te beteugelen. Twee voorbeelden:

  • Wanneer je zero trust verankert in je architectuur en strategie, zoek je de aansluiting van security bij je businessprocessen. Van oudsher is dat veel minder het geval, want toen was security nog een ‘IT-feestje’. Doordat je nu security veel fijnmaziger inregelt op basis van je business, merk je vanzelf dat security veel ‘logischer’ en ‘dichterbij’ komt voor de rest van de organisatie, omdat je meer dezelfde taal gaat spreken.
  • Naast zero trust is software-defined infrastructuur een thema dat de afgelopen jaren een vogelvlucht heeft genomen. Hierbij wordt infrastructuur op een hoger abstractieniveau geconfigureerd, waarna de software de vertaling naar details en devices. Dus daar waar zero trust van nature meer configuratie vergt, vormt een software-defined aanpak eigenlijk juist een tegenbeweging.

Kortom, het is eigenlijk allemaal een kwestie van abstractie. Dit biedt jouw organisatie uiteindelijk de volgende voordelen:

  • Meer flexibiliteit: door het wijzigen van het abstractieniveau waarmee we security toepassen ontstaat er meer granulariteit en flexibiliteit in het fijnmazig definiëren van toegang.
  • Minder complexiteit: wanneer software-defined infrastructuren de norm zijn, kunnen we op schaalbare wijze geavanceerde configuraties opstellen, automatiseren en centraliseren, wat leidt tot lagere kosten.
  • Meer inzicht: Het verplaatsen van het abstractieniveau van de perimeter naar identities, workloads, data, etc., kunnen we meer inzicht creëren t.b.v. detectie & respons.
  • Minder impact bij incidenten: door te denken in microsegmentatie kunnen cyber-dreigingen zich veel minder snel door infrastructuur verplaatsen.
  • Meer business-alignment: een hoger abstractieniveau sluit beter aan bij de business, waardoor er binnen de organisatie meer draagvlak ontstaat voor security.

Andere voordelen van een breed gedragen strategie

Door te werken op basis van een plan/strategie borg je de samenhang van je aanpak. Juist in complexe materie zoals security-architectuur is het van belang een spreekwoordelijke leidraad te hebben waarop je steeds kunt terugvallen om te valideren of je de juiste stappen zet. Juist wanneer je concepten als zero trust omarmt, waarvoor allerlei ‘maturity’ modellen zijn opgesteld, kun je zelfs je status quo of voortgang toetsen en kwantificeren, al dan niet door een onafhankelijke partij. Bovendien kun je stellen door aan te haken bij breed geaccepteerde strategieën zoals zero trust je vanzelf in meerdere of mindere mate aansluit bij wet- en regelgeving.

Waar te beginnen?

De één begint bij de aanschaf van een product, de ander stelt een uitgebreid onderzoek in als nulmeting. Iedere organisatie doet dat op zijn eigen manier, al is het vinden van de balans tussen strategie en operatie in de praktijk wel een uitdaging. De voornaamste reden daarvoor: niet elkaars taal spreken. Om die reden beginnen we juist bij de business i.p.v. bij IT, want daarmee borgen we zowel de organisatiebrede verankering als het gemeenschappelijke vertrekpunt. Hierdoor worden business-primitieven first-class citizen binnen de security-architectuur, in tegenstelling tot afgeleiden van IT-primitieven. Een voorbeeld: in plaats van denken aan IP-adressen in een firewall-configuratie, kun je denken aan een rol in een project of een device in combinatie met een specifieke gebruiker om toegang te krijgen.

Alle begin is moeilijk en het is dan de kunst om simpel te beginnen, zonder concessies te doen aan het grotere geheel. Een welgemeend advies in dit soort situaties: laat je vooral helpen en vindt het wiel niet opnieuw uit.

Gerelateerde artikelen

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.