Pentru majoritatea organizațiilor, o strategie Zero-Trust se adresează de obicei unei jumătăți sau chiar mai puțin din mediul unei organizații.
La nivel mondial, 63% dintre organizațiile au implementat complet sau parțial o strategie zero-trust, conform Gartner, Inc. Pentru 78% dintre organizațiile care implementează o strategie Zero-Trust, această investiție reprezintă mai puțin de 25% din bugetul total pentru securitatea cibernetică.
Printr-un sondaj Gartner din trimestrul patru al anului 2023, efectuat pe 303 lideri de securitate ale căror organizații au implementat deja, complet sau parțial, sau plănuiesc să implementeze o strategie Zero-Trust, s-a constatat că 56% dintre organizații urmăresc în principal o strategie Zero-Trust, deoarece este văzută ca o practică de excelență în industrie.
„În ciuda acestei convingeri, întreprinderile nu sunt sigure care sunt cele mai bune practici pentru implementările Zero-Trust”, a spus John Watts, Analist VP, Lider KI la Gartner, completând: „Pentru majoritatea organizațiilor, o strategie Zero-Trust se adresează de obicei unei jumătăți sau chiar mai puțin din mediul unei organizații și atenuează un sfert sau mai puțin din riscul total al unei organizații.”
Gartner prezintă trei recomandări principale de bună practică pentru liderii de securitate care implementează o strategie Zero-Trust.
Practica 1: Stabilirea de la început domeniului de aplicare pentru o strategie Zero-Trust
Pentru a implementa cu succes strategia Zero-Trust, organizațiile trebuie să înțeleagă cât de mult din mediul lor este acoperit, care domenii sunt incluse în aplicabilitatea strategiei și nivelul de risc pe care îl pot atenua.
Domeniul de aplicare al unei strategii Zero-Trust nu include de obicei întregul mediu al unei organizații. Cu toate acestea, 16% dintre respondenții la sondaj au spus că va acoperi 75% sau mai mult, în timp ce doar 11% cred că va acoperi mai puțin de 10% din mediul organizației.
Figura 1:
„Domeniul de aplicare este cea mai critică decizie pentru o strategie Zero-Trust”, a spus Watts. „Riscul la nivelul organizațiilor este mult mai larg față de domeniul de aplicare al controlului permis Zero-Trust, și doar o parte din acest risc poate fi atenuat. Cu toate acestea, măsurarea reducerii riscului și îmbunătățirea situației în securitate sunt indicatori cheie ai succesului pentru controlul Zero-Trust.”
Practică 2: Comunicarea succesului prin indicatori strategici și operaționali Zero-Trust
79% dintre organizațiile care au implementat complet sau parțial Zero-Trust, au indicatori strategici pentru a măsura progresul, și din acest procent de 79%, 89% au anumiți indicatori specifici pentru a măsura riscul.
Liderii de securitate trebuie să țină cont și de audiența lor când comunică acești indicatori. 59% dintre inițiativele Zero-Trust sunt sponsorizate fie de CIO, fie de CEO, de președinte sau de consiliul de administrație.
„Indicatorii Zero-Trust trebuie personalizați pentru a livra strategia Zero-Trust, spre deosebire de reutilizarea indicatorilor folosiți pentru alte domenii, cum ar fi eficacitatea detectării și răspunsului la endpoint”, a spus Watts. „Eforturile Zero-Trust livrează rezultate specifice – cum ar fi reducerea mișcării laterale a malware-ului într-o rețea – adesea nefiind reprezentate de indicatorii de securitate cibernetică existenți.”
Practică 3: Anticiparea creșterilor de costuri și de personal, dar nu și întârzierile
62% dintre organizații anticipează că vor crește costurile și 41% dintre organizații se așteaptă ca și necesitățile lor de personal să crească ca urmare a implementării unei strategii Zero-Trust.
„Impactul bugetar al organizațiilor care adoptă o strategie Zero-Trust va varia în funcție de domeniul de implementare, precum și de cât de solidă este strategia Zero-Trust la începutul procesului de planificare”, a spus Watts. „Inițiativele Zero-Trust afectează în mod inerent bugetul, deoarece organizațiile adoptă o abordare sistemică și iterativă pentru a dezvolta politicile lor către controale bazate pe risc și adaptabile, adăugând suprasolicitare la povara operațională continuă a organizației.”
Deși doar 35% dintre organizații au declarat că au întâmpinat un eșec care a perturbat implementarea strategiei Zero-Trust, organizațiile ar trebui să aibă un plan strategic Zero-Trust care să contureze indicatori operaționali și să măsoare eficacitatea politicilor Zero-Trust pentru a minimiza întârzierile.