On yıl önce sıfır güven, güvenlik uzmanlarının keşfetmekten heyecan duyduğu heyecan verici, yenilikçi bir bakış açısı değişimiydi; bugün, güvenlik menüsündeki salt bir seçenek olmaktan ziyade kaçınılmaz bir trend olarak çerçevelenmesi daha muhtemel.
Ancak aynı zamanda, sıfır güvenin daha geniş bir alana yayılmamasının ve daha derinlere kök salmamasının yegâne nedenlerinden birinin, büyük dönüşüm projelerinin ekonomik çalkantı bağlamında çoğu zaman o kadar da çekici gelmemesi olduğu yönünde spekülasyon yapmak güvenli görünüyor. İşletmeler piyasada kendilerini yeniden yönlendirme, uzun süredir devam eden giderler konusunda doğru rotayı izleme ve ileriye yönelik sürdürülebilir bir finansal yol bulma konusunda baskı hissettiğinde, iş değerinin kritik bir savunucusunu elden geçirme taahhüdü vermek zor bir görevdir.
İşletmeler, zorlu piyasa koşullarına tepki verirken kendilerine sunulan çok çeşitli seçeneklere sahiptir. Bu yıl pek çok kişinin – özellikle teknoloji sektöründe ve özellikle de yılın başında – kendileri için sağlıklı bir çalışan sayısının nasıl göründüğünü yeniden değerlendirdiğini gördük. Temel gelir getirici faaliyetlere daha fazla enerji ayırmak için niş ürün ve hizmetleri azaltabilirler. Ortaklıklar yeniden düşünülebilir, sözleşmeler yeniden müzakere edilebilir ve departmanlar yeniden yapılandırılabilir.
Bütün bunlar, bir işletmenin şeklinin, taahhüt ettiği üretken faaliyeti mümkün olduğunca yakından yansıtmasını sağlamak içindir. Bu aktivitenin dayandığı teknolojik altyapı için sıfır güven ağ erişiminin (ZTNA) tam olarak bu şekilde nasıl işlediğini gözden kaçırmanın kolay olduğunu düşünüyorum. Gerçekten de, ZTNA’yı benimsemek iş dünyası liderlerinin uzun zaman çizelgeleri ve karmaşık kararlar öngörmesi gereken büyük bir proje olsa da, aynı zamanda daha sürdürülebilir bir mali temele ulaşmak için önemli bir taktik olarak da görülmelidir.
Durumun böyle olmasının en kolay görünen nedeni, ihlallerin ve aksaklıkların sonuçlarından kaynaklanmaktadır. Bir saldırının neden olduğu ortalama hasara ilişkin tahminler, kime sorduğunuza bağlı olarak çılgınca farklılık gösterse de, artık hiç kimse rapor edilen rakamların onlarca, hatta yüz milyonlarca dolar olduğunu görünce şaşırmıyor. İster birincil iyileştirme maliyetleri (fidye ödemeleri ve düzenleyici cezalar dahil), ister iş süreçlerindeki aksamalar nedeniyle kaybedilen gelirler, isterse itibar kaybının alt etkileri açısından düşününce, güvenlik başarısızlıklarının işletmeler için neredeyse varoluşsal etkileri olabilir. ZTNA’nın yaptığı gibi kaçınılmaz saldırıların sonuçlarını azaltmak, başka yerlerde daha iyi uygulanabilecek kaynakları etkili bir şekilde serbest bırakır.
Elbette herhangi bir teknolojinin kullanıma sunulmasında göz önünde bulundurulması gereken devam eden operasyonel maliyetler de vardır. Çevre tabanlı savunmalar etrafında oluşturulan geleneksel ağ güvenliği önlemleri, kırılgan ve sürdürülmesi zor olabilir; güvenlik araçları ve platformları için devam eden maliyetlerin yanı sıra, buna yatırım yapılan çalışan kapasitesi şeklinde masraflara yol açabilir. İyi tasarlanmış ZTNA, politika kontrollerini merkezileştirerek ve değişen koşullara daha sağlam bir şekilde uyum sağlayarak bu süreci basitleştirebilir.
Bununla birlikte, ZTNA hakkında daha az açık olan şey ve daha geniş anlamda iş üzerinde dönüştürücü bir etki olarak gerçekte nasıl işlev gördüğü, insanların kaynakları kullanma şekillerini nasıl etkilediğidir.
Geleneksel bir güvenlik modelinde, örneğin bir VPN kullanarak, ağ çevresinin kapılarından başarıyla geçen bir kullanıcıya, çok çeşitli dosya ve uygulamalara erişme yetkisi verilebilir. Bu kullanıcı BT altyapısının çeşitli bileşenlerinde çalışırken, ağ kaynaklarına potansiyel olarak yüzlerce bağlantı kurulabilir ve bunların her biri, güvenlik politikasına uygun olarak tünel açma ve şifreleme gerektirir. Bu, kaçınılmaz olarak, nispeten sıradan iş akışları için bile yüksek kaynak tahsisiyle ağ altyapısı üzerinde önemli bir yük oluşturur.
ZTNA’nın temel ilkesi ise tam tersine, bire bir bağlantı ve erişim açısından çalışmaktır: her yetkilendirme olayı için belirli, tanımlanabilir bir kaynağa bağlanan belirli, tanımlanabilir bir kullanıcı. ZTNA’nın meydana gelen ihlalleri bu kadar etkili bir şekilde izole etmesinin ve tamponlamasının nedeni budur, ancak bu aynı zamanda belirli bir kullanıcıya yalnızca işini yapması için gerekli bilgi işlem kaynaklarının tahsis edileceği anlamına da gelir.
Başka bir açıdan bakıldığında, geleneksel güvenlik modeli, kuruluşları yalnızca tek bir odayı kullanması gereken bir çalışan için tüm bir ofis binasına elektrik sağlamaya benzer bir duruma zorlar. Güvenlik kapısından içeri girdiklerinde binanın neye ihtiyaç duyacaklarını bilmelerinin hiçbir yolu yok, bu yüzden her şeyin aydınlatılmış ve hazır olması gerekiyor. ZTNA, bu yolculuğun her adımında kullanıcıyı yeniden yetkilendirdiği için, “binanın” erişilemeyen kısımları mutlu bir şekilde hareketsiz kalabilir.
İş dünyası liderleri, ekonomik dalgalanmalarda fırtınayı güvenli bir şekilde atlatmak için her seçeneğin dikkate alınması gerektiğini biliyor. Ne olursa olsun, teknoloji kullanımının ve buna bağlı maliyetlerin ancak şirketler rekabetçi kalmaya çalıştıkça artacağı neredeyse kesin görünüyor. İster siber güvenlik olayları sırasında dayanıklılık ister geri kalan zamanda verimlilik olsun, sıfır güvenin potansiyelini keşfetmek için bundan daha iyi bir an olamaz.