Cybersecuritybeleid
News 13 januari 2022

'Ruim helft organisaties laat steken vallen in zero trust-strategie'

Source: Fortinet

Fortinet heeft vandaag het Global State of Zero Trust Report gepubliceerd. Volgens het onderzoeksrapport hebben de meeste organisaties een visie op zero trust of zijn ze bezig met de uitvoering van zero trust-initiatieven. Ruim de helft van hen is echter niet in staat om deze visie te vertalen in oplossingen die ze in de praktijk toepassen. De reden hiervoor is dat een aantal basisprincipes van zero trust in hun strategie ontbreekt.

Een gedetailleerd overzicht van de onderzoeksbevindingen en belangrijke aanbevelingen zijn te vinden in het blog van Fortinet. De belangrijkste punten uit het onderzoeksrapport nemen we hieronder over, na de passage over de factsheet.

NCSC factsheet: 'Bereid u voor op Zero Trust'

Eerst een stapje terug. Zero trust is een veel gebruikte term binnen cybersecurity, maar wat wordt ermee bedoeld? En is het noodzakelijk om zero trust te adopteren?

Zero trust is een principe dat is ontwikkeld door John Kindervag in 2010, met als basisgedachte; never trust, always verify. Volgens het zero trust principe wordt niet vertrouwd op het bestaan van een 'veilig intern netwerk'. Het gebruik van Zero trust-principes wordt steeds populairder en de noodzaak van het gebruik wordt alsmaar groter. Technologische ontwikkelingen hebben de traditionele kijk op security en het beveiligingsbeleid van veel organisaties ingehaald.

Steeds meer organisaties kiezen ervoor om gebruik te maken van Zero trust-principes bij het beveiligen van hun IT-infrastructuur, want ze zijn dan minder vatbaar voor externe aanvallen en dreigingen van binnenuit. Ze zoeken een beveiligingsmodel dat zich effectief weet aan te passen aan de complexe moderne omgeving. In deze omgeving moeten apparaten en gegevens worden beschermd ongeacht de locatie waar zij zich bevinden of het type apparaat dat binnen organisaties wordt gebruikt.

In de factsheet ‘Bereid u voor op Zero Trust’ adviseert het NCSC om een actieplan op te stellen zodat je effectief kan inspringen op Zero trust wanneer de mogelijkheid zich voordoet. Organisaties die Zero trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit. Het NCSC adviseert om een actieplan op te stellen om te zorgen dat je Zero trust kunt toepassen bij toekomstige investeringen. Hoe je hiermee aan de slag gaat, lees je in deze factsheet.

Klik hier voor de factsheet.

Verwarring bij zero trust-strategieën

Terug naar Fortinet. Uit het onderzoeksrapport blijkt dat er sprake is van enige verwarring bij organisaties over hoe een integrale zero trust-strategie er in de praktijk uitziet. De respondenten gaven een begrip te hebben van het concept van zero trust (77 procent) en ZTNA (75 procent). Ruim 80 procent gaf aan dat hun organisatie al over een zero trust- en/of ZTNA-strategie beschikte of bezig was om die te ontwikkelen.

50 procent van de respondenten gaf echter aan dat ze niet in staat waren om kernprincipes van zero trust te implementeren. Bijna 60 procent gaf aan dat het hen schortte aan consistente authenticatie van gebruikers en apparaten. 54 procent had daarnaast moeite met het monitoren van gebruikers na hun authenticatie.

Deze lacunes zijn zorgwekkend, omdat het om kerncomponenten van zero trust gaat. Dit roept de vraag op hoe de implementatie van zero trust er in de praktijk uitziet bij organisaties. De verwarring wordt alleen maar verergerd door het feit dat de termen “zero trust access” en “zero trust network access” soms door elkaar worden gebruikt.

Zero trust is top of mind, maar de prioriteiten verschillen per organisatie

Volgens de respondenten ligt de hoogte prioriteit voor zero trust bij het “minimaliseren van de impact van beveiligingsincidenten". Dat wordt op de voet gevolgd door "het beveiligen van de toegang op afstand" of "het waarborgen van bedrijfscontinuïteit". Andere belangrijke prioriteiten zijn het "verbeteren van de gebruikerservaring" en het "verkrijgen van de flexibiliteit om overal beveiliging te bieden".

“Integrale beveiliging van het digitale aanvalsoppervlak” werd door de respondenten als het belangrijkste voordeel van zero trust gezien, gevolgd door een “betere gebruikservaring van thuiswerkers (VPN)." De overgrote meerderheid van respondenten vindt het van cruciaal belang om zero trust security-oplossingen te integreren met hun bestaande infrastructuur, werkprocessen in de cloud en in omgevingen op locatie en om daarnaast de applicatielaag te beveiligen. Maar volgens 80 procent is het een hele opgave om een zero trust-strategie toe te passen op een uitgebreid netwerk.

Organisaties zonder zero trust-strategie of organisaties die nog bezig zijn met de ontwikkeling kampten met een gebrek aan personeel met de juiste vaardigheden. 35 procent van alle organisaties hanteerde andere IT-strategieën om voor zero trust te zorgen.

Vincent Zeebregts, country manager Nederland bij Fortinet: “Door het veranderende bedreigingslandschap, de overstap naar ‘work from anywhere’ en de noodzaak van veilig beheer van cloudapplicaties is de overstap van impliciet vertrouwen naar zero trust voor bedrijven een topprioriteit geworden. Uit ons onderzoek blijkt dat de meeste organisaties over een zero trust-strategie beschikken. Dit is echter geen holistische strategie, en organisaties hebben daarnaast moeite met het toepassen van enkele basisprincipes van zero trust security. Een effectieve oplossing vraagt om een integraal security-platform dat alle basisprincipes van zero trust toepast op de complete IT-infrastructuur, met inbegrip van alle endpoints, clouds en omgevingen op locatie."

"Het ontbreken van een dergelijk platform resulteert in een gedeeltelijke, niet-geïntegreerde oplossing die geen uitgebreid overzicht biedt.” 

Over het zero trust-rapport

Het onderzoeksrapport is gebaseerd op een wereldwijde enquête onder IT-besluitvormers. Het doel was om de vorderingen van organisaties met hun zero trust-traject in kaart te brengen en een beter begrip te krijgen van hun begrip van zero trust en ZTNA, de voordelen en uitdagingen die volgens hen met een zero trust-strategie gepaard gaan en de componenten en implementatie van een strategie. De enquête werd in september uitgevoerd onder 472 besluitvormers op het gebied van IT en security in 24 landen. Zij waren actief bij organisaties in vrijwel elke branche, waaronder de publieke sector.

Je kunt voor het Global State of Zero Trust-rapport terecht op de website van Fortinet.

 

Wil je weten wat jij kunt doen om de cyberweerbaarheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan de infographic over de FERM dienstverlening. En meld je aan op ferm-rotterdam.nl/participant-worden

VIND FERM OOK OP LINKEDIN  | TWITTER 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF