Шлях до моделі безпеки "Zero Trust": кращі практики для досягнення консенсусу в організації

У нинішньому цифровому світі організації стикаються з безпрецедентним рівнем кібер-ризиків. З огляду на переваги моделі Zero Trust ("нульова довіра") для зниження кібер-ризиків шляхом створення надійних заходів безпеки, протоколів і методів, які не дають зловмисникам набирати обертів, можна подумати, що легше увідповіднювати підприємства з даною моделлю. Однак більшість ще не почала свій шлях. Дослідження Okta, проведене у 2020 році, показало, що близько 40% організацій в усьому світі працюють над проектами Zero Trust. Нижче ми обговоримо стратегії просування Zero Trust в якості ключової системи безпеки від кіберзагроз для осіб, які приймають рішення в організаціях.

Захист "нульової довіри" до керівництва в організації

Zero Trust зазвичай вимагає підтримки з боку багатьох рівнів і відділів, часто з боку ІТ, керівництва та операцій. Щоб заручитися підтримкою ІТ-спеціалістів та осіб, які приймають бізнес-рішення, пройти шлях "нульової довіри", розгляньте власні цілі й потреби кожного відділу і говоріть їхньою мовою: деякі бізнес-підрозділи можуть бути більш зацікавлені в зниженні схильності кіберзагрозам, в той час як інші можуть бути стурбовані виникненням непорозумінь до того, як користувачі виконують свою роботу — або просто можуть бути стурбовані зміною статус-кво. Впровадження Zero Trust може здатися складним продажем бізнесу, оскільки для пропаганди концепції кібербезпеки може знадобитися персоналізована аргументація для всіх залучених зацікавлених сторін (керівництво, ІТ, операції).

Деякі керівники відповідають на різні бізнес-кейси Zero Trust. Ви можете обґрунтувати здатність Zero Trust забезпечувати більш суворе дотримання нормативних вимог, зокрема якщо працюєте з клієнтами або партнерами, у яких передбачені підвищені нормативні гарантії або потреби. Окремо можна виділити переваги масштабованості, оскільки деякі архітектури Zero Trust, щоб змінити масштаб програми та доступ до хмари з меншими інвестиціями, ніж традиційні системи безпеки, які менш продуктивні. Нарешті, очевидним стимулом вважається зниження схильності до ризику кіберзагроз. Використовуйте дані та факти, щоб переконати людей в зниженні ризику. Це також може допомогти залучити досвідчених сторонніх консультантів, які проінформують організацію із передових методів і представлять аргументи на користь "нульової довіри". Якщо ви підете цим шляхом, переконайтеся, що партнери добре знайомі з вашою галуззю і можуть говорити діловою мовою вашого керівництва.

Розуміння практичних аспектів реалізації "нульової довіри"

Організації також повинні розуміти, як реалізація кібербезпеки вплине на кінцевого користувача. Як такі заходи, як багатофакторна аутентифікація для комплектів контролю доступу, методи захисту паролів і нові рішення безпеки (IP камери відеоспостереження та охоронні датчики), вплинуть на здатність користувачів отримувати доступ до даних і виконувати свою повсякденну роботу? Якщо методи забезпечення безпеки вважаються занадто суворими, існує ризик того, що користувачі знайдуть способи обійти або проігнорувати конкретні методи забезпечення безпеки, такі як спільне використання облікових записів СКУД або перенесення конфіденційних даних з камер відеоспостереження в автономний режим. Ці фактори слід враховувати з самого початку, і неформальні бесіди з внутрішніми зацікавленими сторонами можуть допомогти перед запуском нових рішень постачальників і кібер-рішень. Крім того, раннє виявлення цих перешкод може допомогти в реалістичній розмові з керівництвом та ІТ-фахівцями про те, як буде працювати практика Zero Trust.

На шляху до впровадження Zero Trust найкраще проявляти ініціативу і враховувати потреби організації як в захисті активів і даних, так і в тому, як кінцеві користувачі будуть реагувати на нові протоколи безпеки. Якщо є побоювання, що користувачі не будуть належним чином реагувати на незручні зміни в системі безпеки, подумайте про стратегії вирішення цієї проблеми шляхом поліпшення взаємодії. Одне з рішень — просто навчити персонал і кінцевих користувачів тому, яку користь їм принесуть методи забезпечення безпеки, особливо якщо вони відчувають незручності через більш обмежений доступ, нові протоколи безпеки (такі як автоматизація і біометричні зчитувачі), а також більш строгі вимоги до двофакторної аутентифікації. Навчаючи користувачів тому, як протоколи Zero Trust захистять їх і організацію, ви можете підвищити ймовірність того, що вони будуть їх дотримуватися.

Zero Trust як комерційний фактор

Все частіше клієнти більш лояльні до компаній з посиленою кібербезпекою. Партнери з більшою ймовірністю будуть довіряти організаціям, які приділяють пріоритетну увагу передовим методам кібербезпеки. Інвестори вважають, що передові методи кібербезпеки не підлягають обговоренню. Проте, для більшості клієнтів трапляється вагомий розрив між очікуваннями і реальністю. Згідно з дослідженням 2020 року, 70% споживачів в Північній Америці, Великобританії, Франції та Німеччині вважають, що компанії недостатньо намагаються захистити свої особисті дані. У тому ж дослідженні було виявлено, що 59% споживачів, швидше за все, будуть уникати ведення бізнесу з організацією, яка піддалася кібератаці за останні 12 місяців.

Організації, які приділяють пріоритетну увагу кібербезпеці, краще оснащені для ведення бізнесу. Хоча зниження схильності кібербезпекам, як правило, вважається пріоритетною метою, компанії з більш сильною позицією кібербезпеки можуть також користуватися комерційними перевагами у вигляді лояльності клієнтів та надійних партнерських відносин. При внутрішній пропаганді Zero Trust подумайте про те, щоб вказати на комерційні переваги передових методів кібербезпеки для перспектив зростання підприємства і здатності створювати довгострокову цінність для клієнтів і акціонерів.

Досягнення "нульової довіри" — це шлях, який часто вимагає підтримки зацікавлених сторін від маси різних функцій в організації. Для цього не забудьте виділити переваги для бізнесу поряд зі зниженням схильності кібер-загрозам.