En umut verici ve ikna edici siber yöntem olarak sunulan Sıfır Güven, ilgi görmeye devam ediyor ancak kuruluşlara henüz tam olarak entegre edilemiyor. Nedenler ? Şirketlerin sibere yaklaşımlarını değiştirme konusunda göreceli olgunluk eksikliği ve bu alanda yasal bir çerçevenin bulunmaması. Her zamankinden daha karmaşık siber saldırıların artmasıyla birlikte, Sıfır Güvenin kuruluşlarda uygulanmasının hızlandırılmasına acil bir ihtiyaç var.
Bunu denemek (henüz) benimsemek değildir
Kullanıcılara verilen “örtük güven”in azaltılması ve kurumun donanımları üzerinden gerçekleştirilen faaliyetlerden oluşan Sıfır Güven’in geçmişi, neredeyse otomatik olarak herkesin desteğini yaratan göz kamaştırıcı başarılarla dolu bir süreç değil şimdilik. Hayır, gözlerimizin önünde gelişen hikaye bir paradoks hikayesi; Bir yandan küresel şirketlerin neredeyse yüzde 61’inin 2023’te Sıfır Güven girişimini hayata geçirdiğini görüyoruz. Okta’nın “Sıfır Güven Durumu 2023” raporu diğer yanda Gartner enstitüsü bir araştırmada sadece şunu belirtiyor: Şirketlerin %1’i Sıfır Güven yöntemini benimseme konusunda olgunlaşmışlardır. Başka bir deyişle istek var ama şirketlerin yapısı ve süreçleri tam entegrasyona uygun değil.
Bu nedenle amaç, birçok açıdan modern siber güvenlik stratejilerinde bir sonraki adım olarak kendini yavaş yavaş ortaya koyan Sıfır Güven’in etkinliğini sorgulamak değil, bunun engellenmiş ve eksik benimsenmesinin sonuçta şirketin korunmasında bir sorun teşkil edeceğini anlamaktır. sistemler. Özellikle uzaktan çalışma ve genel olarak hibrit çalışmanın yoğun kullanımıyla birlikte, şirketin geleneksel sınırları dışında etkili bir şekilde çalışabilecek bir güvenlik modelinin benimsenmesine olan ihtiyaç artıyor.
Blok blok ilerleyin
Şeffaf olalım; çok az şirket Sıfır Güven’in küresel uygulamasını gerçekleştirmeye gücü yetebilir. “Hepsi bir arada”, süreçleri ve ekipleri önemli ölçüde aksatan maliyetli bir yöntemdir. En azından bu yaklaşım, bu tür bir projeyi yürütmek için yeterli insan ve mali kaynağa sahip olan daha büyük yapılara mahsustur. Bu şirketlerin siber riske maruz kalması nedeniyle bunda bir mantık görmeden edemiyoruz. Diğer şirketler ise yalnızca bloklar halinde ilerleyebilirler. Birçoğu için bir BT departmanının ve hukuk departmanının bulunmaması, onları Sıfır Güven’e bu şekilde yaklaşmaya zorluyor ve aynı zamanda uygulamaya konulacak blokların gündeminde bir tür tutarlılığa saygı gösteriyor.
Çok sayıda Sıfır Güven projesi var ve şirketler bu yöntemin belirli yönlerini az çok uygulamaya koymuş olsa bile daha da ileri gitmek gerekiyor. Uygun fiyatlı MFA (Çok Faktörlü Kimlik Doğrulama) çözümleri aracılığıyla erişimi güçlendirmekle veya SoD (Görevler Ayrılığı) olarak da adlandırılan en az ayrıcalık ilkesine dayalı bir güvenlik politikası uygulamakla başlayın. Aynı zamanda, güvenli bulutların tercih edilmesi ve daha genel olarak, iç kaynak sınırlamalarını telafi etmek için güvenliğin belirli yönlerinin dış kaynaklardan sağlanması tavsiye edilir. Son olarak, Sıfır Güven ile ilgili en büyük zorluklardan biri de budur; şirketlerin ağ bölümlendirmesinin yanı sıra mikro bölümlendirmeyi de uygulama yeteneği, kritik sistemleri izole etmek ve tehditlerin yayılmasını sınırlamak için gerçekten önemlidir.
Hala çekingen bir düzenleyici çerçeve
Sıfır Güven vakası hakkında konuştuğumuzda bu kesinlikle en büyük kara noktalardan biri. Bu yöntem ne kadar umut verici ve etkili olsa da, değişime en dirençli ve siber olgunluğu çok gelişmiş olmayan şirketler, eğer gerçek bir teşvik yoksa, her şeyi değiştirme riskini göze almayacaklar. Bununla, ulusal düzeyde ve Avrupa düzeyinde düzenleyici düzeyde önemli ilerlemeyi kastediyoruz. Şu anki haliyle Sıfır Güven şiddetle tavsiye ediliyor ancak zorunlu değil.
Bununla birlikte, yeni Avrupa direktifi NIS 2’nin gelişiyle birlikte düzenleme ufku artık aydınlanıyor gibi göründüğü için resmi karartmayalim. İlgili şirketler için daha zorlayıcı uyumluluk uygulama arzusunun yanı sıra, Güvenlik politikalarına uygun olarak NIS 2, her şeyden önce uygulama kapsamını iki varlığa ayrılan daha fazla faaliyet sektörünü etkileyecek şekilde genişletiyor: temel varlıklar ve önemli varlıklar.
Mantıksal olarak teşvikler güçlenecek ve bunlarla birlikte Sıfır Güven’e daha açık bir şekilde geçiş yapma ihtiyacı da artacak. Elbette bu mucizevi bir çözüm değildir ve etkinliği, teknoloji ne olursa olsun ilk koruma olarak kalan çalışanların dikkatiyle ilişkilendirilmemelidir. Hala doğru şekilde bilgilendirilmeleri gerekiyor.
