Circa twee derde van de grotere organisaties wereldwijd heeft geheel of gedeeltelijk een zero-trust-strategie geïmplementeerd. Dat wijst onderzoek van marktvorser Gartner onder 303 security-leaders uit. Zero-trust wil zoveel zeggen dat gebruikers en apparaten standaard niet vertrouwd moeten worden, zelfs niet als ze verbonden zijn met een toegestaan netwerk.
Iets meer dan de helft van de organisaties die met de implementatie bezig zijn of dat binnenkort willen gaan doen, volgt een zero-trust-strategie omdat deze in hun branche geldt als een ‘best practice’. Toch weten bedrijven niet goed wat zo’n ‘beste praktijk’ precies inhoudt, stelt Gartner-analist John Watts. Hij constateert dat veel bedrijven zo’n strategie maar halfbakken uitvoeren. ‘Voor de meeste organisaties richt een zero-trust-strategie zich doorgaans op de helft of minder van de omgeving van een organisatie en beperkt het een kwart of minder van het totale ondernemingsrisico.’
Voor vier op de vijf organisaties die een dergelijke strategie implementeren, betekent deze investering dan ook minder dan een kwart van het totale budget voor cyberbeveiliging.
Vroegtijdig
Garther geeft drie belangrijke tips voor de implementatie van een zero-trust-strategie. De eerste is vroegtijdig ruimte voor zo’n strategie te scheppen. Voor een succesvolle uitvoering moeten organisaties begrijpen welk deel van de omgeving zij bestrijken, welke domeinen binnen hun reikwijdte vallen en hoeveel risico zij kunnen beperken.
De reikwijdte van een zero-truststrategie omvat doorgaans niet de hele omgeving van een organisatie. Ongeveer vijftien procent van de respondenten in de enquête zegt echter dat het driekwart van de omgeving zal bestrijken, terwijl zo’n tien procent denkt dat het minder dan tien procent zal zijn. ‘Scope is de meest cruciale beslissing voor een zero-trust-strategie’, aldus Watts. ’Ondernemingsrisico is veel breder dan de reikwijdte van zero-trust-controles, en slechts een beperkt deel van het ondernemingsrisico kan worden beperkt. Het meten van risicoreductie en het verbeteren van de beveiligingspositie zijn echter een belangrijke indicator voor het succes van zero-trust-controles.’
Tweede aanbeveling is het succes via strategische en operationele zero-trust-statistieken te communiceren. Hanteer strategische maatstaven om de voortgang te meten alsmede maatstaven om risico’s te meten.
Ten slotte is het nodig er rekening mee te houden dat hiervoor meer personeel nodig is en dat de kosten omhoog gaan. Om vertragingen tot een minimum te beperken, moeten bedrijven een plan hebben waarin operationele maatstaven worden uiteengezet en de effectiviteit van het zero-trust-beleid wordt gemeten.
