Son iki yıldaki ihlal olaylarından sonra, sıfır güven etrafındaki hype’ın şu anda ateşli bir seviyeye ulaşması şaşırtıcı değil. İnsan hatası veri ihlallerinin önde gelen nedeni olmaya devam ediyor ve Tessian, 2 milyon kötü niyetli e-postalar, 12 aylık bir süre içinde güvenli e-posta savunmalarını atladı.
Sıfır güven, uygulamalara ve verilere erişmek isteyen her kullanıcının ve cihazın aksi kanıtlanana kadar güvenilmez olduğunu varsayar. Erişimi kilitleme ve tüm güven düzeylerini ortadan kaldırma fikri çekicidir, ancak çok ileri gitmek mümkündür. Bazı insanlar “sıfır güven” kelimesini duyar ve bunun, çalışanlarda güven oluşturamayacağınız veya oluşturmamanız gerektiği anlamına geldiğini düşünür. Bu yaklaşım gerçekten hedefi ıskalar ve dahil olan herkesi başarısızlığa sürükler.
Bir endüstri olarak, iyi tanımlanmış sınırlar içinde çalışanlara güvenmenin ve onları yetkilendirmenin sadece mümkün değil, aynı zamanda gerekli olduğunu anlamamız gerekiyor. Hibrit çalışmayı etkinleştirmek gibi işletme için etkili sonuçlar sağlayacaksak, güveni BT güvenlik ekiplerinin ötesine taşımaya başlamalıyız.
İşte başlamak için birkaç etkili yer.
Güvenliği Uygulamalara ve Cihazlara Aşağı Aktarın
Sıfır güven, güvenliği uygulama katmanına ve dizüstü bilgisayarlar ve mobil cihazlar gibi istemci uç noktalarına kadar indirmeye dayanır.
Ağ tabanlı güvenlik çözümleri hala önemli. Ancak bugün, her zaman “açık” olması beklenebilecek bir şeyden çok bir lüksler. Bunun nedeni, uzaktan çalışma, kendi cihazını getir ilkeleri ve protokol düzeyindeki gelişmelerin geleneksel ağ güvenliği çözümlerinin çalışmasını engellemesidir.
Son organizasyonumda ekibim, çalışanlara şirket içi, özel bulut ve hizmet olarak yazılım uygulamalarında tutarlı kimlik doğrulama ve erişim deneyimleri sağlayan ve güvenlik kontrollerimizin ve politikalarımızın güvence altına alınmasını sağlayan sıfır güvenli bir mimari sunmayı başardı. her erişim etkinliğinde uygulandı.
Bunu, uç nokta ve uygulama katmanı kontrollerini birleştirmemizi sağlayan teknoloji çözümlerini seçerek, bir uygulamaya erişen kullanıcı ve cihazın gerekli politika, yapılandırma ve hijyen gereksinimlerini karşılamasını sağlayarak başardık. Bu, ekibimizin uygulamalarımız için ayrıntılı politika gereksinimleri sağlamasına da olanak sağladı.
Sıfır Güven: Mimariden Daha Fazlası Bir Deneyim
Etkili bir sıfır güven deneyimi, çalışan için çalışır ve onu güçlendirir. Onlara, e-postalarına, faturalandırma platformuna veya İK uygulamasına erişimleri olsun, her şey aynı geliyor.
Arka planda, ihtiyaç duymadıkları uygulamalara ve verilere geniş erişimleri yoktur. Bu, bir çalışana rolüne ve ekibine göre verilen iyi tanımlanmış ve ölçülebilir bir “güven çemberi” oluşturmaya gelir. Bu korkuluklar yerinde olduğunda, daha etkili güvenlik sağlarken sürtünmeyi ortadan kaldırıyor ve iyi bir kullanıcı deneyimi sağlıyorsunuz.
Güvenlik ekipleri, işlerini yapmak için ihtiyaç duydukları şeylere dayalı olarak çalışanlara genişletilen bir güven sınırını açık ve güvenilir bir şekilde uygulayabilmelidir. Oradan sıfır güven, güven sınırının korunması için bu korkulukları oluşturmakla ilgilidir. Ne fazla ne az.
İK Yaşam Döngüsü Boyunca Uygulayın
İK yaşam döngüsünün tamamında, özellikle personel eksikliği ve büyük istifa işe alım ve ciro dalgalanmalarına neden oldu. Yerleştirme, etkin rol tabanlı erişim denetimini yerinde elde etmek için ilk fırsatı sunar ve özellikle kişisel cihaz kullanımı gibi şeylerin hesaba katılmasını sağlamak için işten çıkarma daha da önemlidir. A bildiri Tessian, çalışanların %40’ının hibrit bir çalışma ortamında kişisel cihazlardan çalışmayı planladığını tespit etti. Bu, bir kuruluşun, çalışanların şirketten ayrılırken hassas verilerle çekip gitmemesini sağlamasını çok daha zor hale getirebilir.
Bir kuruluşta işe alım, işten çıkarma ve rol değişiklikleri için uygun protokoller mevcutsa, bu gerekli İK süreçleri, çalışanların güvenini veya güvenliğini bozmadan gerçekleşebilir.
Daha Fazla Güven, Sıfır Güven Değil
Bir endüstri olarak, güvenin BT ve güvenlik ekibinin ötesine geçerek desteklemeye çalıştığımız gerçek bileşenleri de içermesi gerektiği fikrine alışmamız gerekiyor.
Ayrıca, çalışanların aldıkları e-postalardaki dosyaları açacakları veya güvenli olsalar da olmasalar da anlık iletilerdeki bağlantıları tıklayacakları konusunda rahat olmamız gerekiyor. Niye ya? Çünkü yabancılar tarafından gönderilen dosyaları ve bağlantıları açmak, özellikle işe alma, satış ve müşteri başarısı gibi rollerde genellikle işlerinin bir parçasıdır.
Nihayetinde ve belki de ironik olarak, sıfır güven metodolojisi, sağlıklı sınırlar oluşturmakla ilgili olduğu için artan güven ile sonuçlanmalıdır. Çalışanlar, güvenlik engeli olmadan yetkilendirildiklerine ve korunduklarına güvenirler ve güvenlik ekipleri, sınırlara olan güven nedeniyle sürtüşmeyi azaltmak konusunda daha rahat olabilir. Doğru yapıldığında, bu bir kazan-kazan durumudur.