63 posto organizacija implementiralo je strategiju nultog povjerenja

Prema istraživanju Gartnera, 63 posto organizacija diljem svijeta u potpunosti je ili djelomično implementiralo strategiju nultog povjerenja. Za 78 posto organizacija koje ga implementiraju, ovo ulaganje predstavlja manje od 25 posto ukupnog proračuna za kibernetičku sigurnost.

Gartnerova anketa u četvrtom tromjesečju 2023. među 303 voditelja sigurnosti čije su organizacije već implementirale (potpuno ili djelomično) ili planiraju implementirati strategiju nultog povjerenja otkrila je da 56 posto organizacija primarno slijedi strategiju nultog povjerenja jer se to navodi kao industrija najbolja vježba. "Unatoč tom uvjerenju, poduzeća nisu sigurna koje su najbolje prakse za implementacije bez povjerenja", rekao je John Watts, potpredsjednik analitičara i voditelj KI-a u Gartneru. "Za većinu organizacija, strategija nultog povjerenja obično se odnosi na polovicu ili manje organizacijskog okruženja i ublažava jednu četvrtinu ili manje ukupnog rizika poduzeća." Gartner je iznio tri osnovne preporuke vrhunske prakse za voditelje sigurnosti koji provode strategiju nultog povjerenja.

Praksa 1: Rano odredite opseg za strategiju nultog povjerenja

Za uspješnu implementaciju nultog povjerenja, organizacije moraju razumjeti koliki dio okruženja pokrivaju, koje su domene obuhvaćene i koliko rizika mogu ublažiti. Opseg strategije nultog povjerenja obično ne uključuje cjelokupno okruženje organizacije. Međutim, 16 posto ispitanika reklo je da će pokriti 75 posto ili više, dok samo 11 posto vjeruje da će pokriti manje od 10 posto okruženja organizacije.

"Opseg je najkritičnija odluka za strategiju nultog povjerenja", rekao je Watts. „Poslovni rizik puno je širi od opsega kontrola nultog povjerenja i samo toliko rizika poduzeća može se ublažiti. Međutim, mjerenje smanjenja rizika i poboljšanje sigurnosnog položaja ključni je pokazatelj uspjeha za kontrole nultog povjerenja.”

Praksa 2: Komunicirajte uspjeh kroz strateške i operativne metrike bez povjerenja

79 posto organizacija koje su u potpunosti ili djelomično implementirale zero-trust ima strateške metrike za mjerenje napretka, a od toga 79 posto, 89 posto ima metrike za mjerenje rizika. Voditelji sigurnosti također moraju imati na umu svoju publiku kada komuniciraju ove metrike. 59 posto inicijativa bez povjerenja sponzorira ili CIO ili CEO/predsjednik/upravni odbor.

"Metrike nultog povjerenja moraju biti prilagođene za isporučive rezultate nultog povjerenja, za razliku od preispitivanja metrika koje se koriste za druga područja, kao što je učinkovitost otkrivanja krajnje točke i odgovora", rekao je Watts. "Nastojanja nultog povjerenja postižu specifične rezultate - poput smanjenja bočnog kretanja zlonamjernog softvera na mreži - koji često nisu obuhvaćeni postojećim mjernim podacima kibernetičke sigurnosti."

Praksa 3: Predvidite povećanje osoblja i troškova, ali ne i kašnjenja

62 posto organizacija predviđa povećanje troškova, a 41 posto organizacija očekuje povećanje potreba za osobljem kao rezultat implementacije nultog povjerenja. “Proračunski utjecaji organizacija koje usvoje strategiju nultog povjerenja varirat će ovisno o opsegu implementacije kao io tome koliko je strategija nultog povjerenja robusna u ranoj fazi procesa planiranja”, rekao je Watts. "Inicijative nultog povjerenja inherentno utječu na proračun jer organizacije preuzimaju sustavni i iterativni pristup kako bi sazrele svoje politike prema kontrolama koje se temelje na riziku i prilagodljivim kontrolama, dodajući režijske troškove tekućem operativnom teretu organizacije."

Dok je samo 35 posto organizacija izjavilo da su naišle na neuspjeh koji je poremetio njihovu implementaciju strategije nultog povjerenja, organizacije bi trebale imati strateški plan nultog povjerenja koji opisuje operativne metrike i mjeri učinkovitost politika nultog povjerenja kako bi se kašnjenja svela na minimum.