De versnelling op digitaal vlak heeft ervoor gezorgd dat er meer flexibel wordt gewerkt, waardoor er nieuwe bedrijfsmodellen zijn ontstaan. Om deze veranderingen succesvol te laten verlopen moeten organisaties investeren in verschillende apps en tools die zich meestal in de Cloud bevinden. Op deze manier kunnen organisaties niet alleen hun bedrijfsprestaties verbeteren, maar ook de veiligheid van werknemers en klanten waarborgen.
De cyberveiligheid wordt dan ook steeds belangrijker en de hoeveelheid cyberaanvallen groeien jaar op jaar. De politie registreerde afgelopen jaar maar liefst 14.000 gevallen van cybercrime. Dat is een toename van bijna een derde vergeleken met een jaar eerder en drie keer meer dan in 2019. De reden voor deze toename is dat cybercriminelen steeds meer mogelijkheden krijgen om bij bedrijven binnen te dringen en data te stelen. Gevoelige data bevinden zich bijvoorbeeld niet meer alleen binnen het eigen, lokale bedrijfsnetwerk, maar ook in de Cloud en op de apparaten van medewerkers. Het ‘aanvalsoppervlak’ is hierdoor veel groter geworden.
Meer cybersecurity betekent meer problemen
Als het gaat om het beperken van cyberbeveiligingsrisico’s zijn organisaties al snel geneigd om meer te investeren in nieuwe security. Echter zijn nieuwe of extra beveiligingsoplossingen niet de oplossing, omdat organisaties, naast de extra kosten voor licenties, ook meer tijd moeten besteden aan het beheren van deze tools. Dit kan zorgen voor complexiteit en verwarring, waardoor securityteams een minder goed holistisch zicht hebben en kwetsbaarheden kunnen prioriteren. Met als gevolg dat security professionals overprikkeld raken van de vele oplossingen die zij proberen te beheren. Wat vervolgens kan zorgen voor meer cyberrisico’s.
Tools zijn dus niet meer afdoende om cybercrime te voorkomen. Het is daarom noodzakelijk om een goede strategie te bouwen. Zero Trust moet daarom centraal staan bij een securitystrategie. Zero Trust is een strategie die zich leent voor een Cloud gerichte, digitaal verbonden wereld. Het is gebouwd op het principe van handhaving, strikte controles en het vertrouwen van niemand. Zelfs niet degenen die binnen de netwerkperimeter zitten. Het gaat ervan uit dat een inbreuk onvermijdelijk is of al heeft plaatsgevonden. Gebruikers worden dan ook herhaaldelijk gecontroleerd langs de lat van apparaten, services en netwerkcomponenten op access credentials.
De balans tussen strategie en technologie
Zero Trust is veel meer dan alleen technologie. Het is een set gereedschappen en een strategie om cybersecurity effectief en meetbaar vorm te geven. Het legt een verband tussen welke data heb ik en welke data zijn het meest belangrijk. Daarnaast bepaalt het welk securitybeleid organisaties kunnen of moeten toepassen en hoe dit beleid vervolgens vertaalt kan worden naar operationele maatregelen. Op deze manier wordt het creëren van beleid en het uitvoeren ervan eenvoudiger.
Met een Zero Trust security aanpak kiezen organisaties ervoor om de effectiviteit te verkleinen van het aanvalsoppervlak van de gehele infrastructuur. Door het netwerk op te delen in verschillende (micro)segmenten en beveiligingsmaatregelen toe te passen in samenhang met de gevoeligheid van de data binnen dat segment, zorg je ervoor dat een incident of een inbraak alleen impact heeft op een specifiek segment en niet op het gehele netwerk. Hierdoor kun je zowel het risico als de impact verkleinen.
Maak niet de fout om Zero Trust te kopen als simpel product. Het is immers niet een set gereedschappen die even snel geïmplementeerd kunnen worden. Zero Trust is een strategie, die is aan te passen aan verschillende frameworks, technologieën en operaties. Er is hier geen checklist of product voor en dit vergt maatwerk, doordat de aanpak mogelijk wijzigingen vereist in de hele onderneming. Echter zorgt een solide strategie er meestal ook voor dat de implementatie van Zero Trust succesvol verloopt.
Daarnaast vormt technologie ook een belangrijk onderdeel. Er zijn de laatste jaren enorm veel oplossingen op de markt gekomen die helemaal niet op Zero Trust gebaseerd zijn, maar zeggen dat ze het zijn. Om zeker te weten dat een oplossing is gebaseerd op Zero Trust is het verstandig om te kijken of de oplossing voldoet aan het Zero Trust principe, ‘never trust, always verify’. Indien een organisatie niet in staat is om dit zelf op te zetten, zijn er specialisten die hierbij kunnen ondersteunen. Een goede balans vinden tussen Zero Trust strategie en een solide beveiligingstechnologie is daarom noodzakelijk om cybercrime te voorkomen.
Maurice Schiffer, Sales Manager bij ON2IT
