W dzisiejszym cyfrowym świecie, organizacje doświadczają bezprecedensowego poziomu ryzyka cybernetycznego. W maju opublikowaliśmy białą księgę “Securing a New Digital World with Zero Trust: How Zero Trust Cybersecurity is Transforming the IoT (internet of things) Industry.” Przedstawiliśmy, jak podjąć kroki w celu zabezpieczenia danych, zasobów, użytkowników i IoT przed złośliwymi hakerami za pomocą struktury Zero Trust, która traktuje całą aktywność sieciową jako potencjalnie szkodliwą, dopóki nie zostanie udowodnione, że jest inaczej. Teraz, gdy omówiliśmy stronę techniczną, przyjrzyjmy się najlepszym praktykom dotyczącym współpracy z kierownictwem organizacji w zakresie wdrażania koncepcji Zero Trust.
Biorąc pod uwagę korzyści płynące z modelu Zero Trust, polegające na zmniejszeniu ryzyka cybernetycznego poprzez ustanowienie solidnych zabezpieczeń, protokołów i praktyk bezpieczeństwa, które uniemożliwiają złośliwym podmiotom zdobycie przewagi, można by pomyśleć, że łatwiej jest skłonić przedsiębiorstwa do dostosowania się do modelu perimeter-less. Jednak wiele z nich jeszcze nie rozpoczęło tej podróży. Badanie przeprowadzone przez Okta w 2020 roku wykazało, że około 40% organizacji na całym świecie pracuje nad projektami Zero Trust. W tym blogu omówimy strategie promowania Zero Trust jako kluczowego modelu cyberbezpieczeństwa wśród decydentów w Waszych organizacjach.
Orzecznictwo na rzecz Zero Trust do przywództwa w Twojej organizacji
Zero Trust zazwyczaj wymaga zaangażowania wielu poziomów i działów, często IT, zarządu i operacji. Aby zapewnić sobie poparcie decydentów IT i biznesowych do rozpoczęcia podróży w kierunku Zero Trust, należy rozważyć cele i potrzeby każdego działu i mówić ich językiem: niektóre funkcje biznesowe mogą być bardziej zainteresowane zmniejszeniem narażenia na ryzyko cybernetyczne, podczas gdy inne mogą być zaniepokojone wprowadzeniem ograniczeń w sposobie wykonywania pracy przez użytkowników - lub po prostu mogą mieć obawy związane ze zmianą status quo. Wdrożenie Zero Trust może wydawać się skomplikowaną sprzedażą biznesową, ponieważ ewangelizacja na rzecz ram bezpieczeństwa cybernetycznego może wymagać przedstawienia spersonalizowanych argumentów wszystkim zaangażowanym interesariuszom (zarząd, IT, operacje) w celu uzyskania ich zgody.
Niektórzy liderzy reagują na różne argumenty biznesowe dotyczące Zero Trust. Możesz przedstawić argumenty przemawiające za zdolnością Zero Trust do osiągnięcia większej zgodności z przepisami, szczególnie jeśli współpracujesz z klientami lub partnerami o zwiększonych zabezpieczeniach lub potrzebach regulacyjnych. Osobno można podkreślić korzyści płynące ze skalowalności - niektóre architektury Zero Trust umożliwiają skalowanie aplikacji i dostępu do chmury przy niższych nakładach niż w przypadku tradycyjnych środków bezpieczeństwa, które są mniej skuteczne. Wreszcie, zmniejszenie ryzyka narażenia na zagrożenia cybernetyczne jest wyraźną zachętą. Wykorzystaj dane i fakty, aby przedstawić argumenty przemawiające za ograniczeniem ryzyka. Pomocne może być również skorzystanie z usług zewnętrznego eksperta, który doradzi organizacji w zakresie najlepszych praktyk i przedstawi argumenty przemawiające za koncepcją Zero Trust. Jeśli zdecydujesz się na tę metodę, upewnij się, że partnerzy zewnętrzni mają dużą wiedzę na temat Twojej branży i znają język biznesowy, którym posługują się Twoi liderzy.
Zrozumienie praktycznych aspektów wdrożenia systemu Zero Trust
Organizacje powinny również zrozumieć, w jaki sposób wdrożenie cyberbezpieczeństwa wpłynie na użytkownika końcowego. W jaki sposób środki takie jak uwierzytelnianie wieloczynnikowe, praktyki bezpieczeństwa haseł i nowe rozwiązania bezpieczeństwa wpłyną na zdolność użytkowników do uzyskiwania dostępu do danych i wykonywania codziennej pracy? Jeśli praktyki bezpieczeństwa zostaną uznane za zbyt nachalne, może pojawić się ryzyko, że użytkownicy znajdą sposoby na obejście lub zignorowanie pewnych praktyk bezpieczeństwa, takich jak udostępnianie loginów lub przenoszenie wrażliwych danych w trybie offline. Czynniki te powinny być rozważone na samym początku, a pomocne mogą być nieformalne rozmowy z wewnętrznymi interesariuszami przed uruchomieniem nowych systemów dostawców i rozwiązań cybernetycznych. Ponadto, wczesne zidentyfikowanie tych przeszkód może pomóc w przeprowadzeniu realistycznych rozmów z kierownictwem, działami operacyjnymi i IT na temat tego, jak będą funkcjonować praktyki Zero Trust.
Na drodze do wdrożenia Zero Trust najlepiej jest być proaktywnym i rozważyć potrzeby organizacji zarówno w zakresie ochrony zasobów i danych, jak i tego, jak użytkownicy końcowi zareagują na nowe protokoły bezpieczeństwa. Jeśli istnieje obawa, że użytkownicy nie będą dobrze reagować na zmiany w zabezpieczeniach, które są dla nich niewygodne, należy rozważyć strategie radzenia sobie z tym problemem poprzez lepszą komunikację. Jednym z rozwiązań jest po prostu edukowanie pracowników i użytkowników końcowych w zakresie korzyści, jakie przyniosą im praktyki bezpieczeństwa, zwłaszcza jeśli będą odczuwać niedogodności związane z bardziej ograniczonym dostępem, nowymi protokołami bezpieczeństwa, takimi jak automatyczne wylogowywanie i blokowanie, oraz większymi wymaganiami w zakresie uwierzytelniania dwuskładnikowego. Poprzez uświadamianie użytkownikom, w jaki sposób protokoły Zero Trust będą chronić ich i organizację, można zwiększyć prawdopodobieństwo, że będą oni przestrzegać protokołów bezpieczeństwa.
Budowanie zerowego zaufania jako wyróżnik handlowy
Coraz częściej klienci są bardziej lojalni wobec firm o wysokim poziomie bezpieczeństwa cybernetycznego. Partnerzy są bardziej skłonni zaufać organizacjom, które traktują priorytetowo najlepsze praktyki w zakresie bezpieczeństwa cybernetycznego. Inwestorzy uważają najlepsze praktyki bezpieczeństwa cybernetycznego za nienegocjowalne. Jednak dla większości klientów istnieje znaczna rozbieżność pomiędzy oczekiwaniami a rzeczywistością. W badaniu przeprowadzonym w 2020 roku, 70% konsumentów z Ameryki Północnej, Wielkiej Brytanii, Francji i Niemiec uważa, że firmy nie robią wystarczająco dużo, aby zabezpieczyć ich dane osobowe. To samo badanie wykazało, że 59% konsumentów prawdopodobnie uniknęłoby prowadzenia interesów z organizacją, która doświadczyła cyberataku w ciągu ostatnich 12 miesięcy.
Organizacje, dla których bezpieczeństwo cybernetyczne jest priorytetem, są lepiej przygotowane do prowadzenia działalności biznesowej. Chociaż zmniejszenie narażenia na naruszenia cybernetyczne jest zazwyczaj najważniejszym celem, firmy z silniejszą pozycją w zakresie bezpieczeństwa cybernetycznego mogą również czerpać korzyści komercyjne w postaci większej lojalności klientów oraz bardziej zaufanych partnerstw i relacji z interesariuszami. Podczas wewnętrznej ewangelizacji na temat Zero Trust, rozważ wskazanie korzyści komercyjnych płynących z najlepszych praktyk cyberbezpieczeństwa dla perspektyw rozwoju Twojego przedsiębiorstwa i zdolności do tworzenia długoterminowej wartości dla klientów i udziałowców.
Osiągnięcie zerowego poziomu zaufania to podróż, która często wymaga uzyskania poparcia interesariuszy z wielu różnych działów w organizacji. Aby to osiągnąć, należy pamiętać o podkreśleniu korzyści biznesowych oraz zmniejszeniu narażenia na ryzyko cybernetyczne.
Dowiedz się więcej o Zero Trust w naszej białej księdze, dostępnej tutaj: “Securing a New Digital World with Zero Trust.”