Navigate

Zero Trust – myter og misforståelser

Hvis du er faldet for en af disse myter, er du måske også nødt til at genoverveje din Zero Trust strategi.

Interessen for Zero Trust stiger og ifølge internationale studier indikerer at 18% af organisationerne angiver, at de allerede har Zero Trust løsninger, mere end det dobbelte af 8% i 2018. Yderligere ¼ af organisationer planlægger at anvende Zero Trust inden for de næste 12 måneder.

Men noget tyder på at det ikke er alle der helt forstår koncepte om Zero Trust. Undersøgelser viser at over halvdelen af virksomheder helt misforstå de grundlæggende begreber og principper for Zero trust og begrundelsen for at indføre mest har været en slags markedsføringshype, der har overtaget og at de samme virksomheder senere må erkende ”at det ikke var, som de troede, det ville være.”

Her er nogle almindelige myter og misforståelser forbundet med nul tillid.

Myte: Zero Trust løser et teknologiproblem

Zero Trust løser ikke et teknologiproblem. det løser et forretningsproblem. Derfor er det første skridt at forstå, hvilket forretningsproblem man ønsker at løse i virksomheden.

Indførelse af Zero Trust bør være drevet af behovet for at fokusere på forretningsmæssige resultater, rådgive CISOs og at få hele virksomheden involveret. Hvis ikke forretningsbehovet afdækket vil igangsættelse af Zero Trust ikke få nævneværdige effekter.

Myte: Zero Trust er et produkt eller sæt af produkter

En almindelig misforståelse om Zero Trust er, at hvis du implementerer identitetsstyring, adgangskontrol og netværkssegmentering, har du implementeret Zero Trust. Det er ikke en suite af produkter eller et sæt taktikker. Det er et strategisk initiativ, der har til formål at stoppe brud på datasikkerheden. Med andre ord; et “sæt principper”, som kan bruges til at opbygge et sikkert teknologimiljø.

“Ingen kan sælge dig en Zero Trust-løsning,” Som Accenture CISO Kris Burkhardt, siger og fortsætter, “Hvis man ønsker at købe et produkt for at komme til Zero Trust, så stiller man det forkerte spørgsmål.”

Organisationer ses købe et produkt med et løfte om, at det var Zero Trust uden at deres tilgang til noget blev ændret. Organisationen klassificerede ikke data; den havde stadig medarbejdere, leverandører og entreprenører med overskydende privilegier; den identificerede ikke kritiske aktiver eller ændrede netværksstrømme.

Myte: Zero Trust betyder, at du ikke stoler på dine egne medarbejdere

Zero Trust-tilgangen har ikke til formål at gøre systemer betroede. Zero Trust handler mere om at fjerne begrebet tillid fra IT-systemer. Generelt er tillid er en sårbarhed, der udnyttes i brud på datasikkerheden. Zero Trust forsøger ikke at gøre systemer pålidelige.

Dette bliver undertiden fejlfortolket, da virksomheden pludselig ikke stoler på sine medarbejdere. CISOs nødt til at forklare, at det ikke er personligt; det svarer til at kræve et nøglekort for at komme ind i bygningen. Og det ultimative mål er at forhindre brud på datasikkerheden, som påvirker alle i virksomheden.

Myte: Zero Trust er svært at gennemføre

Zero Trust nul tillid ikke er kompliceret og bestemt ikke dyrere end hvad virksomheder allerede gør – og det står slet ikke i forhold til omkostningerne ved et brud på datasikkerheden. Værktøjerne selv er forbedret, og leverandører samarbejder på tværs af produktlinjer og det er betydeligt nemmere at få tingene gjort i dag med mindre investering.

Myte: Der er kun én korrekt måde at begynde nul tillid rejse

Over tid er der opstået to tilgange til at komme i gang med Zero Trust; fra sikkerhedssiden og fra identitetsstyringssiden. Nogle organisationer starter med identitet og bevæger sig hurtigt til at implementere multifaktorgodkendelse, som leverer de nemmeste og hurtigste gevinster.

Andre organisationer tager en netværkscentreret tilgang og tackler mikrosegmentering først, hvilket ofte kan være lidt mere udfordrende.

Myte: Implementering af SASE betyder, at jeg har Zero Trust

Secure Access Service Edge (SASE) har for nylig vist sig som en populær måde at bevæge sig ind i Zero Trust, fordi det er en tjeneste, der sætter sikkerhedskontrol i skyen.  Turner påpeger dog, at mange virksomheder rettede fokus mod SASE i pandemiens kaotiske tidlige dage for at løse det umiddelbare problem med medarbejdere, der arbejder hjemmefra.

SASE adresserer Zero Trust på kanten, men som medarbejdere flytter tilbage til virksomhedens kontorer, organisationer er klar over, at de stadig opererer med traditionelle perimeter sikkerhedskoncepter. “SASE-løsninger er ikke bygget til hybridmodeller og derfor er mange organisationer nødt til at gå tilbage til tegnebrættet og anvende Zero Trust som deres overordnede strategi.

Kilde: CSOonline