Zero Trust Security: zo werkt het.
blogModern WorkplaceSecurityHoe vind je als organisatie een goede balans tussen het beschermen van je bedrijfsgegevens en het gebruikersgemak van je werknemers? Wat verwacht de medewerker van vandaag allemaal en wat is het Zero Trust principe? We gingen in gesprek met Eric van Klaveren, Cloud Endpoint Technical Specialist bij Microsoft.
Combinatie van mens en techniek
Eric is specialist op het gebied van end point-security: de beveiliging van de apparaten die worden gebruikt door eindgebruikers, zoals laptops, smartphones en tablets. Eric: “Het begeeft zich op het snijvlak tussen technologie, de mens, business én organisatie. Ik vind de interactie met mensen echt heel leuk én ik heb een grote voorliefde voor IT, dus het is voor mij een gouden combinatie. Daarnaast is het heel divers en interessant werk. De medewerker van vandaag heeft hoge verwachtingen als het gaat om werkgemak. Tegelijkertijd wil je als organisatie, zéker nu, je security echt op orde hebben. De balans hiertussen is constant in beweging.”
De medewerker van vandaag
Die balans staat tegenwoordig flink onder druk door onder meer de grote verscheidenheid aan medewerkers binnen organisaties. “Enerzijds heb je de millennials en digital natives, die zijn opgegroeid met de huidige technologie. Zij zijn vaak bekend met de innovatie én weten deze goed gebruiken. Maar daarnaast heb je in dezelfde workforce ook te maken met een oudere generatie met mínder technologische ervaring. De mate van technologische vaardigheden loopt dus flink uiteen.”
Het veranderende werklandschap
Ook het werklandschap is enorm veranderd. Dat is van grote invloed op de grip die je als organisatie hebt op de apparaten van eindgebruikers. “Dertig jaar geleden werkten medewerkers nog op een desktop die was vastgetimmerd aan het bureau, volledig in beheer van de organisatie. Nu werken ze vaak gedeeltelijk via een smartphone, die in eigen bezit is en ook wordt gebruikt voor privé. Het is 360 graden gedraaid en dat vraagt om een hele andere security-aanpak. Je loopt tegen een hoop veiligheidsmuren aan”, vertelt Eric ons.
Zero Trust
Veiligheid en functionaliteit kunnen dan ook lijnrecht tegenover elkaar staan als het gaat om end point-security. “Ik houd mij daarom binnen Microsoft bezig met het Zero Trust framework. Het Zero Trust principe gaat er, je raadt het al, vanuit dat je niemand zomaar kunt vertrouwen. Toegang wordt alleen verleend aan gebruikers, applicaties en devices die volledig zijn geverifieerd. Met minimale rechten en een continue controle op abnormaalheden en patronen die ongewoon zijn.”
Grenscontroles in security
Je hebt verschillende pilaren binnen het Zero Trust framework: identiteit, end points, apps, data, netwerk en infrastructuur. “Langs deze pilaren kun je bepalen op welk niveau je veiligheid wil toevoegen. Denk aan een grenscontrole. Als jij daar aankomt met een geldig paspoort, dan mag je de grens over. Dat is je identiteit. En de personenauto waarin je rijdt is je end point. Die wordt mogelijk gecontroleerd, maar als ze niks vinden mag je met dit voertuig het land in. Maar sta je daar met een tank? Dan word je tegengehouden, óndanks je geldige paspoort.
En zo kunnen we dat verder indelen. Infrastructuur, bijvoorbeeld, kun je zien als een milieuzone. Heb je een auto én een geldig paspoort? Dan mag je het land in, maar zonder milieusticker mag je bijvoorbeeld niet alle delen van het land betreden. Zo moet je bij het Zero Trust principe constant verifiëren, reageren op afwijkingen, beperkingen opschalen én blijven controleren. Wat bescherm je op welke manier?”
Yin en yang: veiligheid en functionaliteit
Een organisatie dichtzetten en compleet afsluiten geeft zeker een veilig gevoel. Maar, dit kan betekenen dat alle functionaliteit of werkbaarheid verdwijnt. “De balans tussen veiligheid en functionaliteit is een yin en yang verhaal en constant in beweging. Is die balans er niet? Dan werk je schaduw IT in de hand en gaan medewerkers wegen buiten de controle van de organisatie vinden.”
Eric is uitgesproken in zijn advies rondom security. “Iedere organisatie zou een Zero Trust aanpak moeten overwegen, met oog op de razendsnelle ontwikkelingen op het gebied van cybercrime. Het levert ontzettend veel schade op als je deze digitale hygiëne niet op orde hebt.”
Operational security
Heb je je systemen goed ingericht op basis van Zero Trust? Dan maak je ongetwijfeld veel gebruik van verificaties, beperkingen en controles. Hier zullen altijd meldingen uit komen – maar wat ga je daarmee doen? Wie pakt dit op? En welke acties onderneem je? We spraken uitgebreid over operational security met Finn van Damme, system engineer bij NEXXT. Klik hier voor het interview.
Vragen over Zero Trust Security? Neem contact met ons op, we helpen je graag verder!