Gartner: Până în 2026, 10% dintre marile companii vor avea un program de zero-trust matur și măsurabil
Share
Share the post "Gartner: Până în 2026, 10% dintre marile companii vor avea un program de zero-trust matur și măsurabil"
Zero-trust este cea mai importantă prioritate pentru majoritatea organizațiilor ca strategie critică de reducere a riscurilor, însă până în prezent puține organizații au finalizat cu succes implementări de modele zero-trust. Gartner estimează că până în 2026, 10% dintre companiile mari vor avea un program matur și măsurabil de implementare a zero-trust, un procent în creștere de la o cotă de mai puțin de 1% cât reprezintă în prezent.
Gartner definește zero-trust ca o paradigmă de securitate care identifică în mod explicit utilizatorii și dispozitivele și le acordă acel nivel de acces potrivit, astfel încât afacerea să poată funcționa cu minim de fricțiuni, în timp ce riscurile sunt diminuate.
„Multe organizații și-au stabilit infrastructura cu modele de încredere implicite, mai degrabă decât explicite, pentru a facilita accesul și operațiunile pentru lucrători și sarcinile de lucru. Atacatorii abuzează de această încredere implicită în infrastructură pentru a implementa malware în rețea și apoi pentru a se deplasa în interiorul rețelei pentru a-și atinge obiectivele”, a declarat John Watts, VP Analyst la Gartner. „Zero-trust reprezintă o schimbare în gândirea abordării acestor amenințări, solicitând o încredere evaluată în mod continuu, calculată explicit și adaptabilă, între utilizatori, dispozitive și resurse”, a completat John Watts.
Pentru a ajuta organizațiile să-și completeze domeniul de aplicare al implementărilor zero-trust, este esențial ca directorii de securitatea informațiilor (CISO) și liderii din domeniul managementului riscului să înceapă prin a dezvolta o strategie zero-trust eficientă, care echilibrează nevoia de securitate cu nevoile legate de conducerea afacerii.
„Acest lucru înseamnă să începi cu definirea strategiei organizației și a unui domeniu de aplicare pentru programele de zero-trust”, a spus Watts. „Odată ce strategia este definită, CISO și liderii de management al riscului trebuie să înceapă cu identitatea, element fundamental pentru zero-trust. De asemenea, trebuie să îmbunătățească nu numai tehnologia, ci și oamenii și procesele pentru a construi și gestiona acele identități. Cu toate acestea, CISO și liderii de management al riscului nu ar trebui să presupună că zero-trust va elimina amenințările cibernetice. Mai degrabă, zero-trust reduce riscul și limitează impactul unui atac”, a subliniat Watts.
Analiștii Gartner estimează că până în 2026, mai mult de jumătate dintre atacurile cibernetice vor viza zone pe care controalele zero-trust nu le acoperă și nu le pot diminua.
„Suprafața companiei expusă la atacuri se extinde mai rapid, iar atacatorii vor lua în considerare rapid reorientarea și țintirea activelor și vulnerabilităților poziționate în afara domeniului de aplicare a arhitecturilor zero-trust (ZTA)”, a declarat Jeremy D’Hoinne, VP Analyst la Gartner. „Acest lucru poate lua forma scanării și exploatării API-urilor destinate publicului sau țintirea angajaților prin inginerie socială, bullying sau exploatarea defectelor datorate creării de către angajați a propriilor lor „bypass-uri” construite pentru a evita politicile stricte de zero-trust”, a punctat Jeremy D’Hoinne.
Gartner recomandă organizațiilor să implementeze arhitecturi zero-trust în primul rând pentru a îmbunătăți diminuarea riscurilor pentru activele cu cea mai critică importanță, deoarece în această zonă va fi înregistrată cea mai mare rentabilitate a diminuării riscurilor. Cu toate acestea, zero-trust nu rezolvă toate nevoile de securitate. CISO și liderii de management al riscurilor trebuie, de asemenea, să desfășoare un program de management continuu al expunerii la amenințări (continuous threat exposure management – CTEM) pentru a inventaria mai bine și a optimiza expunerea lor la amenințările de dincolo de sfera de aplicare a ZTA.