Mentionsy

Czym jest Zero Trust?

Która instytucja publiczna jako pierwsza oficjalnie zaleciła wdrożenie Zero Trust?

Tematem naszego odcinka jest Zero Trust.

Czym w kontekście tych cyberataków, w kontekście tego zaufania w cyberprzestrzeni jest Zero Trust?

Nazwa Zero Trust powstała, z tego co pamiętam, w 2019 roku, została utworzona przez Gartnera.

Piękna tego rozwiązania polega na tym, że podejście Zero Trust zwykle wywodzi się z rozwiązań chmurowych, czyli powinno dać wam pewną elastyczność, jeżeli chodzi o

Ale rozumiem, że jest jakaś lista gotowych rozwiązań, produktów, usług, które odpowiadają na tą politykę Zero Trust.

To nie jest tak, że nagle prezes firmy albo dyrektor cyberbezpieczeństwa w jakiejś firmie powie, dobra, to teraz chcemy, żeby było bezpiecznie u nas w firmie, no to wprowadzamy politykę Zero Trust, tu jest regulamin Zero Trust, każdy ma się do tego stosować.

Zero Trust, no to musimy wdrożyć to, to, to i to.

W pojęcie SASE wchodzą takie rozwiązania jak Zero Trust Network Access, czyli to, co mówiłem wam, ograniczenie dostępu waszego do odpowiednich zasobów w ciągu weryfikacji itd.

Zero Trust i jak to wygląda w praktyce?

Proces wdrożenia polityk Zero Trust to są dwie ścieżki.

Tutaj nie mówimy tylko i wyłącznie o podejściu takim, że to my jako ludzie, jako pracownicy powinniśmy się stosować do tego podejścia Zero Trust, ale to Zero Trust jest w pewnym sensie wymuszone przez narzędzia, na których pracujemy, w stylu Identity Management, Multi-Factor Authentication,

Czyli jak moglibyśmy tutaj wyodrębnić takie elementy składające się na Zero Trust?

Tak, czyli też jakby tutaj ta zasada Zero Trust w takim codziennym życiu też to wdrażamy w firmie i też bierzemy poprawkę na to, że współpracownicy, z którymi mamy na co dzień kontakt

Ale też musimy pamiętać, że ten proces wdrażania Zero Trust to jest właśnie proces, co trwa.

Z racji faktu, że to jest narzędzia, które odpowiadają na potrzeby tego założenia Zero Trust.

Czy Zero Trust powinien obejmować również narzędzia AI?

Jeżeli chodzi o podejście Zero Trust od strony tej bardziej kultury, to przede wszystkim powinniśmy wdrażać polityki odnośnie tego, co możemy w takiej sztucznej inteligencji przetworzyć.

Jeżeli chodzi o stronę firmową, poleciłbym założenie sobie oddzielnych środowisk do takich rzeczy i oczywiście wdrożenie Zero Trust, jeżeli chodzi o to, kto ma tam dostęp, z jakimi danymi, co zostaje wytwarzane i też, czy mamy odpowiednio zabezpieczone to środowisko pod kątem wycieku danych, bo to też może się wydarzyć.

Wspomniałeś, że to sformułowanie Zero Trust zostało po raz pierwszy użyte przez Gartnera w 2019 roku.

Prawdopodobnie masz rację, ale tutaj znowu zahaczamy na temat SASI, bo z kolei SASI powstało jako odpowiedź na zmieniający się świat, czyli połączmy Zero Trust i SASI, praca zdalna, bring your own device, czyli przynoszenie waszych urządzeń, z których korzystacie, iPhone'y, tablety, komputery.

W tym procesie wdrażania polityki Zero Trust, na podstawie Twojego doświadczenia, na podstawie Twoich obserwacji, jakie są takie najczęstsze błędy w firmach, w organizacjach, które doprowadzają do tego, że albo finalnie ten proces się nie powodzi, albo jest dodatkowo wydłużany przez jakieś tam błędy?

Wiesz co, prawdopodobnie nie podam nic odkrywczego tutaj, ale po pierwsze nie podchodźmy do Zero Trust'ego, do buzzwordu, bo on stał się trochę buzzwordem i właśnie nie wszyscy potrafią zrozumieć, na czym to podejście polega i zwłaszcza, że to jest, widzisz, podejście, to musimy sobie to robić na czynniki pierwsze i co tak naprawdę nam to da.

Pytanie, czy, że tak powiem, na kolejnych etapach wdrożenia tego Zero Trust będziemy się do tego dostosowywać.

Jaką jedną złotą radę dałbyś firmie, organizacji, która rozważa wdrożenie Zero Trust?

Więc nie ma co ukrywać, że zarówno taki dobrostan naszych pracowników, elastyczność pracy, jak i też uproszczenie procesów, przyspieszenie ich jest ważne pod kątem, że tak powiem, widzenia sensu w tym podejściu Zero Trust.

A wiecie, jakie jest przeciwieństwo Zero Trust?

Dobrze, tym samym zakończyliśmy wątek Zero Trust i musimy teraz odsłonić karty i odpowiedzieć sobie na pytanie, które zadaliśmy Lechowi na samym początku.

Która instytucja publiczna jako pierwsza oficjalnie zaleciła wdrożenie Zero Trust?

W 2020 roku NIST opublikował dokument, oficjalne ramy Zero Trust Architecture i byłeś blisko, bo w Europie podobne wytyczne pojawiły się w ramach strategii EU Cyber Security Strategy i NIST 2, ale nie zawierały pełnego modelu Zero Trust.

Mamy nadzieję, że wyjaśniliśmy sobie już całą tematykę dotyczącą Zero Trust, bo w następnym odcinku będzie jeden z tematów, który uwielbia Lech, czyli Sassi.