Zero Trust Readiness & Fitness

Kun jij jouw CEO informeren in minuten na een data lek? Worstel je met je security, of wil je weten hoe het staat met de volwassenheid van je IT-security programma? Door beleid, architectuur én operatie aan elkaar te koppelen, helpen Zero Trust Readiness™ & Fitness™ met het vormen van een beeld van de huidige en gewenste volwassenheid van de informatiebeveiliging en met het continu bewaken van de kwaliteit en effectiviteit van je maatregelen.

Wat is Zero Trust?

Zero Trust is een strategie en een geweldig stuk gereedschap om security duurzaam en onafhankelijk vorm te geven, waar je data ook staat. Deze strategie legt een verband tussen ‘welke data heb ik en welke zijn het meest belangrijk (kroonjuwelen)’ en ‘welk beleid (zoals wet- en regelgeving) wil of moet ik hierop toepassen’. Op deze manier wordt het creëren van beleid en het uitvoeren ervan beter te overzien.

Met Zero Trust security kies je voor het effectief verkleinen van het aanvalsoppervlak van het gehele netwerk. Verdeel het netwerk in verschillende (micro)segmenten of functionele domeinen en pas beveiligingsmaatregelen toe in samenhang met de gevoeligheid van de data binnen dat segment. Zo zorg je ervoor dat een security-incident of een breach alleen impact heeft op een specifiek segment, niet op het gehele netwerk.

Waarom Zero Trust?

  • Minimale blootstelling aan cyber bedreigingen
  • Vaste lagere operationele kosten
  • Sneller kunnen reageren bij incidenten
  • Grotere continuïteit voor cruciale bedrijfsprocessen
  • Betere en kosteneffectieve compliance
  • Toekomstbestendig

Zero Trust Security Framework

Beleid en uitgangspunten van de organisatie als basis

Met het beleid en de uitgangspunten van de organisatie als basis, gebruiken onze klanten het Zero Trust Readiness Assessment om zwakke plekken en mogelijke risico’s te ontdekken in de bestaande organisatie, met focus op informatie risico en security, om zo het netwerk en de data beter te beveiligen.

De basis voor het assessment is het ON2IT Zero Trust Framework. Dit is geen nieuw framework, maar een verzameling van de best practices van de meest gangbare internationale frameworks. Het framework biedt ruimte om specifiek beleid – zoals bijvoorbeeld ISO – of specifieke maatregelen op te nemen in het Zero Trust Framework.

Aantoonbare bescherming en compliance

Het Readiness Assessment stelt organisaties in staat hun netwerk en data aantoonbaar te beschermen en compliant te zijn – en blijven – aan (inter)nationale richtlijnen en wetgeving. Met het assessment maken wij inzichtelijk wat de status is in relatie tot je beleid.

Wij onderzoeken op drie niveaus of je klaar bent voor Zero Trust en tonen aan wat de gaps zijn tussen het huidige en gewenste beveiligingsniveau. Dit vormt de informatie beveiligingsroadmap, waarin middelen en/of uitsluitend acties zijn vereist om Zero Trust succesvol te implementeren.

Onmiddellijke verlaging impact cybercrime

Dankzij het basisprincipe ‘never trust, always verify’ en de gesegmenteerde bescherming van data en applicaties binnen het netwerk, zorgt Zero Trust security voor onmiddellijke verlaging van de impact van cybercrime, ongeacht of deze zich on-premise, in de cloud, op industriële systemen of IoT apparatuur bevindt.

Zero Trust Security Framework

Drie verschillende organisatorische niveaus

Het ON2IT Readiness Assessment kijkt op transparante wijze naar drie verschillende organisatorische niveaus van je bedrijf, conform COBIT model, om op elk niveau te bepalen of jouw organisatie klaar is voor Zero Trust.

Het assessment – met vragen op basis van 12 jaar Zero Trust ervaring – levert inzicht in en controle op alle drie deze niveaus en doet dit in klare taal aan de hand van relevante en meetbare maatregelen. Deze maatregelen vormen bouwstenen die je helpen om risicomanagement, beleid en praktijk op één lijn te brengen.

Het strategisch niveau

Ken je omgeving en vaardigheden

Het strategisch niveau stelt de regie van het bedrijf vast en zet de toon en grond waarop het management en het operationele level de Zero Trust strategie uit moeten werken.

Het is nodig om de boardroom in een vroeg stadium te betrekken bij het bepalen van de relevante cyber actors, risico’s en critical value chains (inclusief assets) van de organisatie en om te zien hoeveel risk appetite het bedrijf heeft.

Dit stelt een algemene kennis en begrip vast, inclusief over waar in je eigen organisatie de vaardigheden en het talent liggen en of het bedrijf in staat is om de cyber race te winnen.

Het managementniveau

Ken de risico’s

Om de strategische richtlijnen uit te voeren en managementbeslissingen te nemen, moet je eerst weten welke je het eerst aan zal moeten pakken. Daarom is het belangrijk dat het management bepaalde processen en structuren op een rijtje heeft (zoals rapportages, vaste rollen en verantwoordelijkheden) zodat ze het operationeel niveau instructie kunnen geven over het bouwen of runnen van security tools.

Door het vastleggen van processen en structuren is het makkelijker om feedback te krijgen op prestaties, erachter te komen welke grote verbeteringen nodig zijn en inzicht te krijgen in wie waar verantwoordelijk voor is. Wat hierbij het belangrijkste is, is inzicht in data, applications, assets en services (DAAS).

Je eigen DAAS-omgeving en hoe deze is opgezet begrijpen is de belangrijkste rol van alle spelers op managementniveau.

Het operationeel niveau

Ken je technologie

Om Zero Trust in te zetten, moet je vaststellen of de bestaande technologie en controls in staat zijn om dit te doen, of dat je extra technologieën nodig hebt, of dat je nieuwe processen moet implementeren. Dit is waar je het niveau van de operationele fitness bepaalt, en of deze uitgelijnd kan worden in de bovenliggende DAAS-processen.

Omdat de effectiviteit van de operationele controls wordt getoetst in relatie tot de Zero Trust segmenten die in de bovenliggende niveaus zijn benoemd, kan de afstemming van risico en technologie met grotere precisie en rendement gemeten worden. De ‘relevantie score’ van elk individueel segment, een concept dat integraal onderdeel is van onze methodiek en het Zero Trust SOAR platform, drijft de benodigde controls en de benodigde dynamische feedback aan op hun effectiviteit.

Dit is een real-time proces. Het kan geen statisch proces zijn, omdat de operations dan de bovenliggende levels in de organisatie niet van adequate informatie kunnen voorzien.

Zero Trust Readiness Assessment

Het ON2IT Zero Trust Readiness Assessment bepaalt naast het doel van elk niveau ook of de onderneming klaar is voor de benodigde services en welke Kritische Succes Factoren relevant zijn. Gebaseerd op de resultaten kunnen CISOs de gap tussen huidige en gewenste situatie bepalen en een implementatie en verbeteringsplan ontwikkelen.

Het Readiness Assessment is een onderdeel van het ON2IT Security Orchestration, Automation and Response platform. De voortgangsmonitor op dit platform bewaakt en rapporteert de implementatie gedurende de veranderings- en de lopende fase. Zo krijg je visueel inzicht bij het maken van beslissingen over de benodigde acties, budgetten en middelentoewijzing.

ON2IT Portal - Zero Trust Readiness
ON2IT Portal - Zero Trust Fitness

Zero Trust Scoping & Fitness Score

Na een initiële Zero Trust Readiness Assessment, wanneer je weet waar je staat, kun de Zero Trust Scoping tool inzetten om te bepalen welke onderdelen van je netwerk de eerste kandidaten zijn voor Zero Trust segmentatie. ON2IT maakt de segmenten en de daar bij horende maatregelen zichtbaar in het SOAR platform.

Hiermee heb je volledig inzicht in de benodigde controls en bijpassende maatregelen op alle individuele micro-segment niveaus en het geeft een totaalbeeld van alle Zero Trust segmenten.

Door middel van gedetailleerde micro-segment dashboards bieden drill-downs tot het individuele control niveau en de operationele status hiervan, inclusief scoping en second line risk assessment. Aan de hand hiervan bepalen wij je Zero Trust Fitness™ Score.

Door de continue bewaking van de operationele aspecten van je cybersecuritymaatregelen garandeer je een aansluiting op de uitgangspunten van de Zero Trust Readiness™ Assessment.