Editörün notu: Bu makale, Gartner’da analist yardımcısı olan John Watts’tandır. Misafir makale göndermek isterseniz buradan gönderebilirsiniz.
Çoğu kuruluş, ortamlarındaki riski azaltmak söz konusu olduğunda sıfır güveni en önemli öncelik olarak görür. Bununla birlikte, tüm kuruluş genelinde sıfır güven, birçok kuruluş için henüz bir gerçeklik haline gelmemiştir.
Sıfır güven, kullanıcıları ve cihazları açık bir şekilde tanımlayan ve riskleri azaltırken minimum sürtüşmeyle çalışmalarına erişim sağlayan bir güvenlik paradigmasıdır. Sıfır güven, kuruluşların en az ayrıcalıklı erişim, kaynak duyarlılığı ve veri gizliliği açısından düşünmesini gerektirir.
Bu kavramlar yeni değil. Birçok ekip geçmişte en az ayrıcalıklı erişim denetimlerini uygulamaya çalıştı ve kapsamı genişlettikçe ve denetimlerin ayrıntı düzeyini artırdıkça zorluklarla karşılaştı.
Sıfır güven, bu sorunlara karşı bağışık değildir. Kuruluşlar, sıfır güvenle başarılı olmak için ileriyi planlamalı ve insanlara ve kaynaklara yatırım yapmalı ve bunu kuruluşlarını güvence altına almak için tek seferlik, herkese uyan tek bir çözüm olarak görmemelidir.
Sıfır güven uygulamasını başlatmak için kuruluşlar, daha geniş bir sıfır güven teknolojisi uygulamasına başlamadan önce bir strateji ve temel belirleyerek başlayabilir.
Sıfır güven stratejisini kuruluşa uyarlamak ve kötü amaçlı yazılımların yanal hareketi gibi hafifletmek için en iyi konumlandırılan saldırı türlerine göre ayarlamak önemlidir.
Sıfır güven, tek bir teknoloji ile değil, birden fazla farklı bileşenin entegrasyonu ile elde edilecektir.
Kuruluşların çoğu, güvenlik için bir başlangıç noktası olarak sıfır güven uygulayacaktır.
Gartner, kuruluşların %60’ından fazlasının 2025 yılına kadar güvenlik için bir başlangıç yeri olarak sıfır güveni benimseyeceğini tahmin ediyor.
Pazarlama baskıları ve sıfır güven konusundaki abartı nedeniyle, güvenlik liderleri bunalmış durumda ve teknik gerçeği iş avantajlarına çevirmek için mücadele ediyor.
“Sıfır güven”in kimseye güvenilmemesi anlamına geldiğine dair yaygın bir yanılgı vardır, ancak durum bu değildir. Aksine, sıfır güven, ihtiyaç duyulan “doğru” miktara güvenmeyi ve daha fazlasına güvenmeyi ifade eder. Güvenlik liderleri, sıfır güvenin kendilerini ve kuruluşlarını olabilecek herhangi bir gözetimden koruyacağını anlamalıdır.
Kuruluşlar içinde sıfır güveni başarılı bir şekilde başlatmak söz konusu olduğunda, siber güvenlik liderleri sıfır güven programlarını yalnızca teknoloji kontrolleriyle yürütmeye çalışmamalıdır. Sıfır güven, teknolojiye öncelik veren bir çaba değil, zihniyet ve güvenlik yaklaşımında bir değişikliktir.
Bu anlaşıldıktan sonra, siber güvenlik liderlerinin yönetici desteği ve desteği alması gerekecektir. Bu destek, sıfır güvenin yeni iş yaklaşımlarını nasıl mümkün kıldığını ve daha fazla esnekliğe izin veren daha dayanıklı bir ortamı nasıl sağladığını gösterecek.
Bu desteğin alınamaması sıfır güven programlarını riske atacaktır.
Siber güvenlik liderleri, karmaşıklık ve geçici fazlalığın meydana gelme potansiyelini kabul etmelidir. Güvenlik ekipleri yeni, ayrıntılı bir yaklaşımla çalışacak, ancak eski kontroller gerekli olmaya devam edecek. Eski ve yeni kontroller arasında çelişen hedefler olabilir. Çatışmalardan kaçınmak için bunlar uzlaştırılmalı ve sürekli olarak gözden geçirilmelidir.
Kuruluşlar sıfır güven aldatmacasından gerçeğe geçerken, güvenlik liderleri odak noktalarını teknoloji ve pazarlama mesajlarından sıfır güvenin kültürel ve güvenlik programına çevirmelidir. Güvenlik liderleri, hem yönetilebilirlik hem de güvenlik hedefleriyle uyumlu gerçekçi hedefler belirleyerek kendilerini başarıya hazırlayabilir.
Sıfır güven programlarını, sıfır güven programlarının kapsamı ve etkisi hakkında gerçekçi beklentiler belirlemek için risk azaltma, daha iyi son kullanıcı deneyimi veya gelişmiş esneklik gibi istenen iş sonuçları açısından konumlandırın.
Daha fazla kuruluş sıfır güven programları uyguluyor, ancak ölçülebilirlik gerekiyor
Şu anda, kuruluşların çoğu sıfır güven yolculuğunun ilk aşamalarında. Kuruluşlar sıfır güven vaadiyle heyecanlanırken, çok azı bunun uygulama sonrası gerçeklerine odaklanıyor.
Sıfır güven yolculuğunda daha ileride olan kuruluşlar, en az ayrıcalıklı erişimi uygularken ve sürdürürken engellerle karşılaştı. Bu engellerin önlenmesine yardımcı olmak için uygulanan kontroller için izole edecek ve en az ayrıcalıklı erişim ilkelerine bağlı kalacak kaynaklara yatırım yapın. Bu kaynaklara yatırım yapmak, uygulamadan sonra sıfır güven duruşunu koruyacaktır.
Gartner, 2026 yılına kadar büyük işletmelerin %10’unun, bugün %1’den daha az olan olgun ve ölçülebilir bir sıfır güven programına sahip olacağını tahmin ediyor.
Sıfır güven stratejisi, bir kuruluşun siber güvenliğe ne kadar yatırım yapmaya istekli olduğuna ve yatırımdan elde edilen fayda miktarına ilişkin bir iş kararı tarafından yönlendirilmelidir. Kuruluşlar siber güvenliği bir iş yatırımı olarak açıklama konusunda geliştikçe, sıfır güven çabaları daha az taktiksel hale geliyor.
Bugün sıfır güven vadesini ölçmek için evrensel bir standart yoktur, ancak mevcut olgunluk modelleri yararlı bir başlangıç noktasıdır.
Örneğin, ABD Federal Hükümeti Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sıfır güven için stratejiler ve uygulama planları geliştirirken ABD Federal kurumlarına yardımcı olmak için bir sıfır güven olgunluk modeli tasarımı yayınladı.
Bu stratejinin kullanılması, kuruluşun dahili sıfır güven amaç ve hedeflerine yönelik ilerlemeyi izleyecektir. Kapsam ve istenen sonuçlardaki farklılıklar nedeniyle bu ölçütler kuruluşlar arasında karşılaştırılamayabilir.
Sıfır güvenle teoriden pratiğe geçmek zordur. Bir strateji geliştirmeden nokta sıfır güven çözümlerini uygulama tuzağına düşmek kolaydır. Sağlam bir strateji zorunludur ve sıfır güven uygulamasının başarılı olmasını sağlamak için pazarlama gürültüsünün ötesine geçmenin tek yolu budur.