De manier waarop we ons werkende leven inrichten is de afgelopen periode flink veranderd. Dit heeft gevolgen voor de manier waarop we devices en data beschermen. Een goede manier om hiermee om te gaan is door het toepassen van een zero trust strategie. In dit artikel bespreken we hoe dit precies werkt.
In veel organisaties gaan medewerkers er vanuit dat IT volledig verantwoordelijk is voor security. Toch zijn medewerkers vaak de zwakste schakel, bijvoorbeeld wanneer ze een verdachte bijlage openen, malafide applicaties downloaden of verbinden met een fout netwerk.
Situaties waarvan IT lang niet altijd alle risico’s helemaal kan uitsluiten. Daarom is vertrouwen in de medewerkers goed, maar controle beter.
Wat is er mis met een standaard beveiligingsstrategie?
Gebruikers hebben over het algemeen blind vertrouwen in de beveiliging van hun organisatie. Ze staan niet stil bij eventuele kwetsbaarheden, omdat ze er vanuit gaan dat alles wat ze op werkgebied doen beveiligd is door de IT-afdeling. Zo denken de meeste medewerkers helemaal niet na over beveiligingslagen van zakelijke laptops of printers.
De realiteit is echter anders. Werk is niet langer een locatie waar we naartoe gaan, maar een activiteit die we overal kunnen doen. Nu medewerkers niet meer zo regelmatig op kantoor komen, wordt het voor IT-afdelingen lastiger om grip te houden op devices.
Het is niet meer helder met welke netwerken de medewerker verbinding maakt, hoe hij of zij het device gebruikt en waar het device zich precies bevindt. Ook worden de juiste updates niet (op tijd) geïnstalleerd, waardoor er beveiligingslekken kunnen ontstaan.
Een zero trust strategie draait er daarom om dat in principe geen enkel device zomaar vertrouwd kan worden.
De grootste securityrisico’s (gratis whitepaper)
Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen. In deze whitepaper lees je hoe je deze grote securityrisico’s aanpakt.
Hoe werkt een zero trust strategie?
Zero trust gaat er vanuit dat alle apparaten gecompromitteerd kunnen zijn, totdat het tegendeel bewezen is. Het is daarom noodzakelijk om security op de endpoints zelf in te gaan richten, in plaats van dit centraal via je eigen bedrijfsnetwerk te beheren.
Zo ben je niet afhankelijk van de locatie waar de medewerker zich bevindt. Je kunt als IT-afdeling per apparaat precies instellen welke acties uitgevoerd moeten worden.
Denk hierbij bijvoorbeeld aan welke applicaties geopend mogen worden, maar ook welk updates automatisch uitgevoerd worden en wanneer. Ook kun je van tevoren instellen welke acties een specifiek type medewerker mag uitvoeren bij welk type verbinding.
Hoe zie je een zero trust model terug in een organisatie?
Wanneer je aan de slag gaat met een zero trust strategie, beveilig je niet alle bedrijfsonderdelen op dezelfde manier. De belangrijkste informatie voor jouw organisatie moet het beste worden beschermd. Je kunt de securitylagen zien als de binnenkant van een artisjok, het hart krijgt de meeste opeenvolgende beschermingslagen.
Alleen wanneer er aan een set strenge voorwaarden wordt voldaan, mag de belangrijkste informatie worden benaderd. Zo minimaliseer je het aantal mensen en devices dat toegang krijgt.
Denk bijvoorbeeld aan financiële informatie die alleen benaderd kan worden vanuit een aantal specifieke devices, met drietrapsverificatie en een ‘vier-ogen-principe’. Het is slim om ook je medewerkers mee te nemen in deze beslissingen, zo voorkom je dat er te veel weerstand wordt ervaren. Die weerstand kan namelijk leiden tot shadow-IT.
Een multidisciplinaire strategie
Het lijkt misschien alsof security vooral de verantwoordelijkheid van de IT-afdeling en CISO is. Toch zijn andere teams ook erg belangrijk bij het implementeren van een zero trust model. Zo kan de HR-afdeling bij de onboarding van medewerkers al aan de slag met het security-bewustzijn.
Tip: wees je er ook bewust van dat security niet ophoudt buiten de muren van je eigen bedrijf. Ketenveiligheid is cruciaal.
Wat kan er mis gaan in een zero trust strategie?
Een zero trust strategie is dus niet zozeer een middel om in te zetten, maar een manier van denken van de hele organisatie. Dit is direct ook een valkuil. Wanneer je de mankracht en tijd niet in huis hebt, kan het erg lastig zijn om deze securitystrategie te implementeren.
Wanneer goede IT’ers niet voor het oprapen liggen, kan het dan ook slim zijn om de beveiliging en het beheer uit te besteden. Dat kan bijvoorbeeld met HP Wolf Pro Security services, een dienst waarbij je een vast bedrag per maand en per device betaalt. Met deze oplossing worden specifiek endpoints beveiligd door middel van Artificial Intelligence (AI).
De specialisten van HP voeren dan direct een analyse van je huidige omgeving en een onboarding-programma uit. Het is niet nodig om een eigen security operation center op te zetten.
CISO-as-a-service
Je kunt ook kiezen voor CISO-as-a-Service. Die kun je inhuren om een securitybeleid op te stellen en de naleving te toetsen. Ook kan zo iemand je helpen bij de instellingen van je hardware en cloud.
Houd bij zowel HP Wolf Pro Security services als CISO-as-a-Service altijd in je achterhoofd dat je allereerst zelf een idee moet hebben van welke data het belangrijkst voor je is. Wat moet het zwaarst beveiligd worden?
Lees ook
- 6 tips voor veilig hybride werken
- Security-features blijven vaak onbenut, zo beveilig je jouw medewerkers wél goed
- Hoe veilig is inloggen met gezichtsherkenning?
De grootste securityrisico’s (gratis whitepaper)
Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen. In deze whitepaper lees je hoe je deze grote securityrisico’s aanpakt.
