Gartner’a göre dünya çapındaki kuruluşların %63’ü tamamen veya kısmen sıfır güven stratejisini uyguluyor. Sıfır güven stratejisi uygulayan kuruluşların %78’i için bu yatırım, genel siber güvenlik bütçesinin %25’inden azını temsil ediyor.
Kuruluşları sıfır güven stratejisini halihazırda uygulamış (tamamen veya kısmen) veya uygulamayı planlayan 303 güvenlik lideriyle 2023’ün dördüncü çeyreğinde yapılan Gartner anketi, kuruluşların %56’sının öncelikli olarak sıfır güven stratejisini bir sektör olarak anılması nedeniyle izlediğini ortaya çıkardı. en iyi pratik.
Gartner KI Lideri Başkan Yardımcısı Analist John Watts, “Bu inanca rağmen kuruluşlar sıfır güven uygulamalarına yönelik en iyi uygulamaların neler olduğundan emin değiller” dedi. “Çoğu kuruluş için sıfır güven stratejisi genellikle kuruluşun ortamının yarısını veya daha azını ele alır ve genel kurumsal riskin dörtte biri veya daha azını azaltır.”
Gartner, sıfır güven stratejisi uygulayan güvenlik liderleri için üç temel en iyi uygulama önerisini özetledi.
Uygulama 1: Sıfır güven stratejisinin kapsamını erkenden belirleyin
Sıfır güveni başarılı bir şekilde uygulamak için kuruluşların ortamın ne kadarını kapsadıklarını, hangi etki alanlarının kapsam dahilinde olduğunu ve ne kadar riski azaltabileceklerini anlamaları gerekir.
Sıfır güven stratejisinin kapsamı genellikle bir kuruluşun ortamının tamamını kapsamaz. Ancak ankete katılanların %16’sı, kuruluşun ortamının %75 veya daha fazlasını kapsayacağını söylerken yalnızca %11’i, kuruluşun ortamının %10’dan azını kapsayacağına inanıyor.
Watts, “Kapsam, sıfır güven stratejisi için en kritik karardır” dedi. “Kurumsal risk, sıfır güven kontrollerinin kapsamından çok daha geniştir ve kurumsal riskin ancak belirli bir kısmı azaltılabilir. Ancak risk azaltımının ölçülmesi ve güvenlik duruşunun iyileştirilmesi, sıfır güven kontrollerinin başarısının temel göstergesidir.”
Uygulama 2: Başarıyı sıfır güvene dayalı stratejik ve operasyonel ölçümler aracılığıyla iletin
Sıfır güveni tamamen veya kısmen uygulayan kuruluşların %79’u ilerlemeyi ölçmek için stratejik ölçümlere sahiptir ve bunların %89’u riski ölçmek için ölçümlere sahiptir. Güvenlik liderleri bu ölçümleri iletirken hedef kitlelerini de akılda tutmalıdır. Sıfır güven girişimlerinin %59’u CIO veya CEO/başkan/yönetim kurulu tarafından destekleniyor.
Watts, “Sıfır güven ölçümleri, uç nokta tespiti ve yanıtın etkinliği gibi diğer alanlar için kullanılan ölçümlerin yeniden düzenlenmesi yerine, sıfır güven çıktıları için özel olarak tasarlanmalıdır” dedi. “Sıfır güven çabaları, kötü amaçlı yazılımın ağdaki yanal hareketinin azaltılması gibi, genellikle mevcut siber güvenlik ölçümleriyle elde edilemeyen belirli sonuçlar sağlıyor.”
Uygulama 3: Personel sayısı ve maliyetlerdeki artışları tahmin edin, ancak gecikmeleri değil
Kuruluşların %62’si maliyetlerinin artacağını, %41’i ise sıfır güven uygulamasının bir sonucu olarak personel gereksinimlerinin de artacağını öngörüyor.
Watts, “Sıfır güven stratejisini benimseyen kuruluşların bütçe etkileri, uygulamanın kapsamına ve sıfır güven stratejisinin planlama sürecinin başlarında ne kadar sağlam olduğuna bağlı olarak değişecektir” dedi. “Sıfır güven girişimleri, doğası gereği bütçeyi etkiliyor, çünkü kuruluşlar risk tabanlı ve uyarlanabilir kontrollere yönelik politikalarını olgunlaştırmak için sistemik ve yinelemeli bir yaklaşım benimsiyor ve kuruluşun devam eden operasyonel yükünü artırıyor.”
Kuruluşların yalnızca %35’i sıfır güven stratejisi uygulamalarını sekteye uğratan bir başarısızlıkla karşılaştıklarını söylese de kuruluşların, gecikmeleri en aza indirmek için operasyonel ölçümlerin ana hatlarını çizen bir sıfır güven stratejik planına sahip olması ve sıfır güven politikalarının etkinliğini ölçmesi gerekiyor.