Vaak zie ik artikelen waarin wordt gesteld dat we Zero Trust een andere naam moeten geven, omdat de term mensen ongemakkelijk maakt. Het argument? Men hoort ‘Zero Trust’ en denkt dat het betekent dat we onze medewerkers niet vertrouwen. Sommigen stellen zelfs ‘vriendelijkere’ alternatieven voor: ‘Verified Trust Framework’, ‘Adaptive Assurance’: die misschien zachter klinken, maar volledig voorbij gaan aan de kern van het concept.
Laten we meteen iets rechtzetten: Zero Trust betekent niet dat we mensen niet vertrouwen. Het betekent dat we het digitale verkeer binnen onze netwerken niet blindelings vertrouwen. Dat verschil is ontzettend belangrijk.
Ik werk al twintig jaar in cybersecurity en ben de tel kwijt van hoe vaak iemand tegen me heeft gezegd: “Lieuwe Jan, Zero Trust klinkt alsof we onze mensen niet vertrouwen en dat is een probleem.”
Ik snap het. De term kan tegenstrijdig aanvoelen. Als CEO bouw je je bedrijf op vertrouwen, vertrouwen in je leiderschapsteam, je medewerkers, je partners. Het laatste wat je wilt, is dat een securitystrategie suggereert dat je niet gelooft in de mensen die je bedrijf draaiende houden.
Het gaat niet om mensen, het gaat om packets
Dit is het belangrijkste: Zero Trust gaat niet over wantrouwen tegenover individuen. Het gaat over het wegnemen van impliciet vertrouwen in digitale interacties: de verplaatsing van data, de toegang tot systemen, de stroom van packets over netwerken.
Denk er zo over na: wanneer iemand je kantoorgebouw binnenloopt, moet diegene een pas scannen of een code invoeren om binnen te komen. Je vertrouwt je medewerkers, maar vraagt ze toch zich te verifiëren voordat je ze binnenlaat.
Waarom? Omdat niet iedereen die de lobby binnenstapt onbeperkt toegang tot het hele gebouw zou moeten hebben.
Dat is ook hoe Zero Trust werkt. Medewerkers moeten absoluut toegang hebben tot wat ze nodig hebben om hun werk te doen, maar niet tot alles, overal, altijd, zonder enige vorm van verificatie. Dat is hoe aanvallers zich lateraal door netwerken kunnen bewegen. Dat is hoe ransomware zich verspreidt. Dat is hoe datalekken ontstaan.
Hoe Zero Trust je medewerkers juist beschermt
De ironie is dat Zero Trust juist het vertrouwen in je mensen versterkt.
Stel je voor dat je CFO een dringende mail ontvangt van de CEO met het verzoek om onmiddellijk €500.000 over te maken naar een leverancier. Je vertrouwt je CEO, toch? Maar wat als die e-mail eigenlijk niet van hem of haar afkomstig is? Wat als het account is gehackt?
Met Zero Trust zou zo’n verzoek niet zomaar worden uitgevoerd. In plaats daarvan zouden er securitymaatregelen zijn (zoals multi-factor authenticatie, identiteitsverificatie en gedragsanalyse) om te garanderen dat het verzoek legitiem is. Dit heeft niets te maken met wantrouwen tegenover de CEO: het gaat erom hen (en het bedrijf) te beschermen tegen fraude.
Hetzelfde geldt voor je medewerkers. Als hun inloggegevens worden gestolen, voorkomt Zero Trust dat een aanvaller ongezien toegang krijgt tot gevoelige systemen en gegevens. Dit betekent niet dat je hen niet vertrouwt; het betekent dat je hun veiligheid net zo belangrijk vindt als die van het bedrijf zelf.
Vertrouwen gaat om leiderschap, niet security
Als een medewerker zich niet vertrouwd voelt, is dat een leiderschapsprobleem, geen securityfout. Vertrouwen wordt opgebouwd door transparantie, communicatie en bedrijfscultuur, niet door mensen onbeperkte toegang te geven tot systemen, simpelweg omdat ze voor je werken.
Zero Trust betekent niet dat je medewerkers behandelt als criminelen. Het betekent dat je cybersecurity ziet als een business-enabler in plaats van een obstakel. Het betekent dat je ervoor zorgt dat medewerkers veilig hun werk kunnen doen, zonder dat ze bang hoeven zijn dat één verkeerde klik rampzalige gevolgen kan hebben.
Security die ondersteunt in plaats van beperkt
Sommige CEO’s vrezen dat Zero Trust processen vertraagt. Maar de realiteit is het tegenovergestelde. Wanneer medewerkers in een secure-by-default omgeving werken, kunnen ze sneller hun werk doen, meer risico’s nemen (de goede soort), en innoveren zonder angst voor een datalek. Zero Trust creëert vertrouwen, niet angst.
Laten we deze mythe dus voorgoed de wereld uit helpen: Zero Trust betekent niet dat we mensen niet vertrouwen. Het betekent dat vertrouwen, in een digitale wereld, altijd verdiend, geverifieerd en beschermd moet worden.
En dat is precies wat elke CEO wil: voor hun medewerkers, hun bedrijf en hun toekomst.
