Путь к модели безопасности "Zero Trust": лучшие практики для достижения консенсуса в организации

В нынешнем цифровом мире организации сталкиваются с беспрецедентным уровнем кибер-рисков. Учитывая преимущества модели Zero Trust (“нулевое доверие”) для снижения кибер-рисков за счет создания надежных мер безопасности, протоколов и методов, которые не дают злоумышленникам набирать обороты, можно подумать, что легче привести предприятия в соответствие с данной моделью. Однако многие еще не начали свой путь. Исследование Okta, проведенное в 2020 году, показало, что около 40% организаций во всем мире работают над проектами Zero Trust. Ниже мы обсудим стратегии продвижения Zero Trust в качестве ключевой системы безопасности от киберугроз для лиц, принимающих решения в организациях.

Защита “нулевого доверия” к руководству в организации

Zero Trust обычно требует поддержки со стороны многих уровней и отделов, часто со стороны ИТ, руководства и операций. Чтобы заручиться поддержкой ИТ-специалистов и лиц, принимающих бизнес-решения, пройти путь “нулевого доверия”, рассмотрите собственные цели и потребности каждого отдела и говорите на их языке: некоторые бизнес-подразделения могут быть более заинтересованы в снижении подверженности киберугрозам, в то время как другие могут быть обеспокоены возникновением трений к тому, как пользователи выполняют свою работу — или просто могут быть обеспокоены изменением статус-кво. Внедрение Zero Trust может показаться сложной продажей бизнеса, поскольку для пропаганды концепции кибербезопасности может потребоваться персонализированная аргументация для всех вовлеченных заинтересованных сторон (руководство, ИТ, операции).

Некоторые руководители отвечают на различные бизнес-кейсы Zero Trust. Вы можете обосновать способность Zero Trust обеспечивать более строгое соблюдение нормативных требований, в частности если работаете с клиентами или партнерами, у которых предусмотрены повышенные нормативные гарантии или потребности. Отдельно можно выделить преимущества масштабируемости, поскольку некоторые архитектуры Zero Trust позволяют масштабировать приложения и доступ к облаку с меньшими инвестициями, чем традиционные системы безопасности, которые менее производительны. Наконец, очевидным стимулом считается снижение подверженности риску киберугроз. Используйте данные и факты, чтобы убедить людей в снижении риска. Это также может помочь привлечь опытных сторонних консультантов, которые проинформируют организацию по передовым методам и представят аргументы в пользу “нулевого доверия”. Если вы пойдете по этому пути, убедитесь, что партнеры хорошо знакомы с вашей отраслью и могут говорить на деловом языке вашего руководства.

Понимание практических аспектов реализации “нулевого доверия”

Организации также должны понимать, как реализация кибербезопасности повлияет на конечного пользователя. Как такие меры, как многофакторная аутентификация для комплектов контроля доступа, методы защиты паролей и новые решения безопасности (IP камеры видеонаблюдения и охранные датчики), повлияют на способность пользователей получать доступ к данным и выполнять свою повседневную работу? Если методы обеспечения безопасности считаются слишком строгими, существует риск того, что пользователи найдут способы обойти или проигнорировать конкретные методы обеспечения безопасности, такие как совместное использование учетных записей СКУД или перенос конфиденциальных данных с камер видеонаблюдения в автономный режим. Эти факторы следует учитывать с самого начала, и неформальные беседы с внутренними заинтересованными сторонами могут помочь перед запуском новых решений поставщиков и кибер-решений. Кроме того, раннее выявление этих препятствий может помочь в реалистичном разговоре с руководством и ИТ-специалистами о том, как будет работать практика Zero Trust.

На пути к внедрению Zero Trust лучше всего проявлять инициативу и учитывать потребности организации как в защите активов и данных, так и в том, как конечные пользователи будут реагировать на новые протоколы безопасности. Если есть опасения, что пользователи не будут должным образом реагировать на неудобные изменения в системе безопасности, подумайте о стратегиях решения этой проблемы путем улучшения взаимодействия. Одно из решений — просто обучить персонал и конечных пользователей тому, какую пользу им принесут методы обеспечения безопасности, особенно если они испытывают неудобства из-за более ограниченного доступа, новых протоколов безопасности (таких как автоматизация и биометрические считыватели), а также более строгих требований к двухфакторной аутентификации. Обучая пользователей тому, как протоколы Zero Trust защитят их и организацию, вы можете повысить вероятность того, что они будут их придерживаться.

Zero Trust как коммерческий фактор

Все чаще клиенты более лояльны к компаниям с усиленной кибербезопасностью. Партнеры с большей вероятностью будут доверять организациям, которые уделяют приоритетное внимание передовым методам кибербезопасности. Инвесторы считают, что передовые методы кибербезопасности не подлежат обсуждению. Тем не менее, для большинства клиентов случается весомый разрыв между ожиданиями и реальностью. Согласно исследованию 2020 года, 70% потребителей в Северной Америке, Великобритании, Франции и Германии считают, что компании недостаточно стараются защитить свои личные данные. В том же исследовании было обнаружено, что 59% потребителей, скорее всего, будут избегать ведения бизнеса с организацией, которая подверглась кибератаке за последние 12 месяцев.

Организации, которые уделяют приоритетное внимание кибербезопасности, лучше оснащены для ведения бизнеса. Хотя снижение подверженности кибербезопасности, как правило, считается приоритетной целью, компании с более сильной позицией кибербезопасности могут также пользоваться коммерческими преимуществами в виде лояльности клиентов и надежных партнерских отношений. При внутренней пропаганде Zero Trust подумайте о том, чтобы указать на коммерческие преимущества передовых методов кибербезопасности для перспектив роста предприятия и способности создавать долгосрочную ценность для клиентов и акционеров.

Достижение “нулевого доверия” — это путь, который часто требует поддержки заинтересованных сторон от массы различных функций в организации. Для этого не забудьте выделить преимущества для бизнеса наряду со снижением подверженности кибер-угрозам.