Zero Trust Security Framework

Hét security framework dat rekening houdt met kwetsbaarheden (vulnerabilities), dreigingen (threats) en cultuur en sector-gerelateerde compliance richtlijnen. Door vervolgens beleid, architectuur én operatie aan elkaar te koppelen, ontstaat een overzichtelijk totaalbeeld op informatiebeveiliging.

Lees meer

Bescherming en compliance

Het ON2IT Zero Trust Security Framework stelt organisaties in staat hun netwerk en data aantoonbaar te beschermen en compliant te zijn – en blijven – aan (inter-)nationale richtlijnen en wetgeving.

Met het beleid en de uitgangspunten van de organisatie als basis, onderzoekt het ON2IT Zero Trust Security Framework  zwakke plekken en mogelijke risico’s in de bestaande IT-security om zo netwerk en data beter te beveiligen.

Als gevolg van snel veranderende technologieën en bedreigingen is de conventionele IT-security radicaal gewijzigd in Zero Trust Security.

Dankzij het basisprincipe ‘never trust, always verify’ en de gesegmenteerde bescherming van de verschillende onderdelen in het netwerk, zorgt Zero Trust Security voor onmiddellijke verlaging van de impact van en door cybercrime, waar de data zich ook bevindt.

zero-trust-logo

Uniek door eenvoud en automatisering

Het ON2IT Zero Trust Security Framework (ZTSF) kent zijn oorsprong in de Zero Trust strategie van Forrester’s John Kindervag.

Het is gebaseerd op de praktijk, bestaande (literatuur)bronnen en bewezen kaders zoals die van NIST (National Institute of Standards & Technology) en richtlijnen van het NCSC (Nationaal Cyber Security Centrum).

Het Zero Trust Security Framework gaat echter verder en is uniek dankzij:

  • de eenvoud en dus gebruikersvriendelijkheid: geen uitgebreid, gedetailleerd framework, maar een samenvatting van best practices; praktisch en eenvoudig toepasbaar

  • de automatisering en dus efficiency slag: (semi-)automatische verificatie- en validatiemechanismen bepalen continu het maturity-level van de IT-security binnen de organisatie

Zero Trust Security Framework

Zero Trust Security Framework

De bouwstenen

De bouwstenen binnen het Framework helpen u om risicomanagement, beleid en praktijk met elkaar in overeenstemming te brengen. Gezamenlijk bepalen de bouwstenen de volwassenheid van de IT-security van de organisatie.

  1. Programma – strategische bepaling wat binnen informatiebeveiliging valt
  2. Governance – bruikbaar en bewijsbaar beleid in relatie tot relevante wet- en regelgeving
  3. Architectuur – ontwerpen van degelijke en veilige IT-netwerken binnen de organisatie
  4. Operatie – ten behoeve van implementatie, uitvoering, monitoring etc.

Bouwsteen 1: Programma

Op strategisch niveau stellen we kaders waarbinnen de  IT-security van de organisatie moet functioneren. Management en bestuur bepalen zaken als:

  • welke wet- en regelgeving is van toepassing,
  • welke zakelijke belangen gelden en welke gegevens beveiligen we,
  • welke doelstellingen en principes gelden binnen de organisatie,
  • welke risico’s zijn er, hoe groot zijn die risico’s en hoe ze te mitigeren,
  • hoe de interne procedure te beschrijven voor continue monitoring van de beveiliging.

Bouwsteen 2: Governance

Binnen de governance fase krijgen de door het programma vastgestelde randvoorwaarden verder invulling in de vorm van concrete beleidsdocumenten en procedures. Met als doel dat de organisatie compliant is – en blijft – aan de diverse relevante standaarden, definiëren we in deze fase:

  • welke (externe) standaarden men hanteert,
  • weke procedures er zijn en hoe deze ingevuld dienen te worden,
  • hoe controle hierop gedefinieerd is en hoe deze wordt uitgevoerd.

Bouwsteen 3: Architectuur

De policies uit de governance fase kunnen nu vertaald worden in conceptuele architecturen (high level designs) en logische architecturen (low level designs).

Waar in het high-level design de IT-security als strategische plan wordt uitgewerkt, zal in low-level design de logische flow beschreven worden van de diverse stappen binnen het veilig verwerken van bedrijfsinformatie.

Bouwsteen 4: Operatie

Operatie is de laatste set componenten en processen binnen het ZTSF. Processen voor operationele ondersteuning worden in deze fase gedefinieerd. Er zal aandacht besteedt worden aan event-, incident-, compliance-, vulnerability- en assetmanagement.

Meer weten?

Wilt u meer weten over het ON2IT Zero Trust Security Framework?

Neem contact op

Compleet IT-security beleid:

Het ON2IT Zero Trust Security Framework helpt u aan een compleet IT-security beleid.
Zo weet u zeker dat u beschikt over:

Meer weten?

Wilt u meer weten over het ON2IT Zero Trust Security Framework?

Neem contact op