Hoewel de duurzaamheid van Zero Trust onbetwistbaar is, impliceert dit niet dat de implementatie van deze strategie zonder uitdagingen verloopt. Rob Maas, een vooraanstaande Zero Trust consultant en Field CTO bij ON2IT, deelt in deze blogreeks inzichten en tips die hij heeft verworven gedurende zijn jarenlange praktijkervaring in de implementatie van Zero Trust.
In deze eerste blog van de serie: Zero Trust is alleen succesvol als de business- en IT-afdelingen vanaf het begin samenwerken.
Meer dan tien jaar aan Zero Trust evolutie heeft geresulteerd in diverse praktische tools en werkwijzen die de operationalisatie van deze strategie ondersteunen. Het zogenaamde ‘vijfstappen-model’ voor een Zero Trust implementatie wordt algemeen beschouwd als de beste aanpak voor organisaties die aan hun Zero Trust reis willen beginnen.
De stappen in het model zien er bedrieglijk eenvoudig uit, te beginnen met het definiëren van protect surfaces en vervolgens het bouwen en monitoren van de Zero Trust omgeving.
Maar als we de activiteiten in de vijf stappen beter bekijken, zien we dat een groot aantal verschillende stakeholders is betrokken. In de eerste stap, waarin we de meest waardevolle en cruciale digitale assets documenteren, spelen de business leiders en business units een prominente rol.
Naarmate we de vijf stappen verder doorlopen, komen IT-afdelingen steeds meer op de voorgrond.
Architecten fungeren als natuurlijke tussenpersonen tussen deze twee verschillende domeinen van business en IT. Ze overbruggen de kloof door complexe zakelijke vereisten te vertalen naar een high-level blauwdruk voor IT-operations. Vervolgens vertalen IT- en securityspecialisten deze zakelijke vereisten naar de praktijk.
Voor alle stappen is het essentieel om de afstemming tussen de business en IT te waarborgen, wat van vitaal belang is voor een succesvolle Zero Trust implementatie.
Het zogenaamde vijfstappen model voor Zero Trust implementatie wordt algemeen beschouwd als de beste aanpak voor organisaties die aan hun Zero Trust reis willen beginnen.
Business Aspect
Binnen het bedrijfsleven beschikken C-level executives en managers over het meeste inzicht in welke digitale kritieke bedrijfsmiddelen de meeste bescherming vereisen. Zo is een ‘Customer Relationship Management’ (CRM) een uitstekend voorbeeld van een protect surface dat vaak uitgebreide securitymaatregelen nodig heeft.
In de meeste organisaties is het sales team (of de salesdirector) de eigenaar en meest intensieve gebruiker van de data in het CRM-systeem.
In het Zero Trust model hebben beheerders, zoals deze betreffende salesexperts, de verantwoordelijkheid de waarde en details te beschrijven van het domein dat beveiligt dient te worden. Tegelijkertijd moeten zij de noodzakelijke securitymaatregelen aangeven. Een dergelijke onderneming vereist controle met overkoepelende vereisten, zoals compliance wetgevingen.
In deze fase en de opvolgende fasen, zijn eenduidige en eenvoudige richtlijnen noodzakelijk.
Dit zijn de fasen waarin het securityteam en/of de Chief Information Security Officer (CISO) om de hoek komt kijken. Deze security experts gebruiken hun expertise voor de opzet van richtlijnen voor cruciale high-level controls die relevant zijn voor diverse scenario’s.
Ze houden rekening met factoren zoals de aanwezigheid van persoonlijk identificeerbare informatie (PII) of de noodzaak om securitymaatregelen af te stemmen met standaarden zoals ISO 27001.
Architecten
Zoals eerder gezegd, zijn de architecten de natuurlijke tussenpersonen tussen de business vereisten en IT-operations. Om Zero Trust in de praktijk te brengen, implementeren we de controls die door de business stakeholders zijn bepaald. Deze controls zijn op hoog niveau omschreven, op een manier die toegankelijk is voor niet-technische personen.
Wanneer we bijvoorbeeld spreken over ‘segmentatie’ en ‘multi-factor authenticatie’, blijven deze termen algemeen en geven ze geen inzicht in de technische implementatie van deze concepten. Hier ligt de uitdaging voor de architect: het concreet vertalen van deze vereisten naar een architectuur die naadloos aansluit bij de organisatie. Hierbij kunnen bestaande onderdelen van het IT-landschap hergebruikt worden: zo is het bij het implementeren van multi-factor authenticatie vaak mogelijk bestaande identiteits- en toegangsprotocollen aan te houden.
IT- en Security Operations
De architecten zijn de spil tussen de business behoeften en de fijne kneepjes van IT-operations. Om de Zero Trust principes in de praktijk te brengen, moeten de eerder besproken controls worden uitgevoerd.
Zodra de architectuur, of deze nu nieuw opgezet of aangepast is, beschikbaar is, verschuift de aandacht naar het operationele team. Hun opdracht omvat niet alleen de implementatie, maar ook de voortdurende bewaking en monitoring van de resultaten.
Het is duidelijk dat het nastreven van Zero Trust een verzameling van diverse stakeholders aangaat. Dit kan lastig zijn, maar wanneer je al deze stakeholders op één lijn krijgt, raakt Zero Trust naadloos verweven in de organisatie.
Alleen dan kun je maximale preventie halen uit de genomen strategische keuzes.
Rob Maas
Field CTO ON2IT
