IT&COpinii

Mituri demontate despre Zero Trust

Dave Russell, vicepreședinte al Veeam Sofware (foto: dynamicciso.com)
  • Un editorial al lui Dave Russell, vicepreședinte pentru Enterprise Strategy al  Veeam Software, trimis Umbrela Strategică.

Unul dintre conceptele cel mai vehiculate în ultima vreme în industria securității cibernetice este modelul de securitate „Zero Trust”. Pe scurt, o astfel de abordare înseamnă, în esență, că organizațiile nu lasă loc de erori și, mai exact, că nu au încredere în nimeni și în nimic.

Din cauza modelului de lucru hibrid adoptat ca urmare a pandemiei și a tehnologiilor emergente – cum ar fi Metaverse, Web 3.0, realitatea augmentată și realitatea virtuală – industria securității cibernetice lucrează din greu, ca de obicei, pentru a fi cât mai pregătită pentru viitor. Dar, deoarece încă nu știm cum vor evolua aceste tehnologii și care va fi impactul lor, trebuie să fim atenți atunci când folosim aceste tehnologii.

Așadar, ce este mai exact Zero Trust? Este un produs nou? Este o certificare sau un simplu cuvânt la modă în cadrul industriei securității cibernetice?

Unele organizații confundă Zero Trust cu un produs sau o certificare reală. Un model de încredere zero nu este un produs real sau o nouă certificare în industria securității cibernetice. Un model de securitate de încredere zero este implementat pentru a asigura securitatea end to end cibernetică și în cloud. Acesta este implementat pentru a asigura securitatea părților interesate atât la nivel intern, cât și intern.

Unul dintre cele mai importante dictoane după care se ghidează este „never trust, always verify” (nu crede, verifică mereu, n.a.). Acesta include, de asemenea, activarea autentificării cu mai mulți factori pentru a acorda acces la orice aplicație sau platformă. În plus, este vorba, de asemenea, despre adoptarea micro-segmentării perimetrelor de securitate pentru a evita orice breșă de securitate.

Orice funcție sau model nou de securitate nu este complet lipsit de riscuri dacă nu se bazează pe adoptarea și respectarea bunelor practici în rândul angajaților. În mod similar, Zero Trust se referă la crearea de bune practici în rândul angajaților. De asemenea, este vorba despre a te asigura că angajații tăi activează autentificarea cu mai mulți factori atunci când accesează orice aplicații sau platforme. Este o formă suplimentară de conformitate care nu ar trebui să fie evitată de administratorul IT, de o persoană într-o funcție superioară sau chiar de cel care se ocupă de implementare. Ar trebui să existe o abordare verticală în acest sens și obligația ca toți angajații să fie autentificați și validați în mod continuu pentru a construi o mai bună politică de securitate în cadrul organizației.

Un model de încredere zero nu se referă doar la autentificarea multi-factor. Acesta presupune, de asemenea, ca toți utilizatorii să fie autentificați, autorizați și să le fie validate în permanență configurațiile de securitate pentru a accesa orice tip de aplicație sau seturi de date. Această abordare aduce un nivel suplimentar de securitate. Modelul are diverse beneficii, cum ar fi autentificarea și verificarea la distanță de către angajații tăi. Acest lucru le va permite acestora să lucreze în liniște de la distanță sau în cazul în care lucrează hibrid.

Așadar, poate fi adoptat modelul zero-trust în orice moment?

Înainte de a implementa orice nou model de securitate, trebuie să înțelegem rentabilitatea investiției. Trebuie să știm dacă avem cu adevărat nevoie de el. Trebuie să înțelegem că, deși modelul Zero Trust este o abordare pentru a securiza cele mai importante active ale afacerii, este la fel de important să știm dacă efortul se justifică.
E important ca organizația să fie una digitalizată în momentul în care decideți să implementați abordarea Zero Trust. Pentru a aplica acest model în cadrul organizației tale, trebuie ca aceasta să fie deja o organizație digitală care lucrează cu active digitale ce au nevoie atât de securitate cibernetică, cât și în cloud. Angajații tăi ar trebui să aibă active digitale pe care să se poată autentifica.

Nu trebuie să ne alăturăm oricărei tendințe sau să implementăm fiecare tehnologie proaspăt lansată. Trebuie să ne înțelegem mai întâi nevoile de securitate proprii și apoi să acționăm în consecință. Investițiile tale în securitatea cibernetică vor fi utile doar dacă tu și angajații tăi sunteți dispuși să vă luați un angajament pe termen lung și să implementați și respectați bune practici pentru a asigura un nivel complet de securitate cibernetică.