Research paper ‘On the Design and Engineering of a Zero Trust Security Artefact’ door Yuri Bobbert

Volgende week vindt de Future of Information and Communication Conference plaatst; een virtueel event voor researchers uit zowel de academische wereld en de industrie, waar ze hun nieuwste research delen en kennis uitwisselen.

Een van de sprekers op dit event is onze eigen Yuri Bobbert, CISO en professor aan de Antwerp Management School. Hij presenteert zijn paper ‘On the Design and Engineering of a Zero Trust Security Artefact’, wat ingaat op ON2IT’s Zero Trust Framework en de voortdurende validatie van deze aanpak. Met het beleid en de uitgangspunten van de organisatie als basis, onderzoekt het ON2IT Zero Trust Security Framework zwakke plekken en mogelijke risico’s in de bestaande IT-security om zo netwerk en data beter te beveiligen.

Echter, na meer dan vijftien jaar ervaring met Zero Trust implementatie bij vele klanten is één van onze belangrijkste lessen geweest: je moet jezelf en je aanpak altijd blijven vernieuwen.

We vroegen aan Yuri Bobbert om in het kort uit te leggen waar het research paper over gaat.

Kun je kort uitleggen waar het research paper over gaat?

“Het research paper richt zich op onze CISO-sessies, en de resultaten die daaruit voortkomen,” zegt Yuri. Deze CISO-sessies, of validatie sessies, hebben over het afgelopen jaar plaatsgevonden. Tijdens de CISO-sessies worden ervaringen gedeeld, veelvoorkomende knelpunten besproken en bovendien wordt het bestaande Zero Trust framework gevalideerd.

“In het kort wilden we ons framework toetsen aan drie belangrijke vragen: is het begrijpelijk, is het compleet, en kun je er wat mee?”

“Ons doel was om het framework meer gestalte te geven, specifieke elementen te benoemen en onderzoeken, en deze dan gedurende een jaar te toetsen aan mensen uit het veld.” Dit alles op een gestructureerde manier, zodat het eindresultaat duidelijk op papier staat, en er conclusies uit getrokken kunnen worden. “In het kort wilden we ons framework toetsen aan drie belangrijke vragen: is het begrijpelijk, is het compleet, en kun je er wat mee?”

Yuri legt uit dat er aan de hand van het onderzoek vier verbeterpunten zijn ontdekt in de huidige aanpak, die we nu dus kunnen adresseren aan de hand van onder andere de feedback van de CISOs die aan deze webinars hebben meegedaan.

Wat merken ON2IT klanten van dit onderzoek?

“De klanten die de sessies hebben bijgewoond, geven aan dat het hele idee van Zero Trust veel duidelijker voor ze is geworden. Je krijg vanuit de sessies een duidelijke roadmap mee, met praktische stappen hoe je Zero Trust nog beter kunt implementeren,” licht Yuri toe.

“Voor mij was het meest opvallende het feit dat veel mensen de term ‘Zero Trust’ niet helemaal begrijpen en, hoe ironisch het ook is, niet helemaal vertrouwen.”

Maar ook klanten die zelf niet aan de meet ups meedoen halen hier hun voordeel uit. “Door ons framework te toetsen aan experts uit het veld halen we heel veel waardevolle feedback binnen, die we uiteraard gebruiken om ons framework nog beter te maken. Aan de hand van deze feedback hebben we onder andere wijzigingen gemaakt aan ons portal en zijn we webinars gaan hosten die dieper ingaan op onderwerpen waar veel vragen over waren.”

Wat waren de meest verrassende dingen die naar voren kwamen uit de CISO-sessies?

“Voor mij was het meest opvallende het feit dat veel mensen de term ‘Zero Trust’ niet helemaal begrijpen en, hoe ironisch het ook is, niet helemaal vertrouwen. Ze geven ook aan dat het allemaal heel ‘groots’ klinkt, en dat ze dan niet weten waar ze moeten beginnen” zegt Yuri. “Na de CISO-sessies horen we veel dat het nu veel tastbaarder is, omdat we onder meer de Zero Trust Readiness score in ons mSOC portal visueel kunnen laten zien.”

“Het klinkt wat groots om te zeggen dat er vriendschappen zijn ontstaan, maar je faciliteert zo wel de kennismaking tussen mensen, die ook na de CISO-sessies nog contact met elkaar opzoeken.”

Een tweede, niet zozeer verrassende, maar altijd mooie bijkomstigheid, was dat veel van de CISOs en andere industrie professionals aangaven dat ze het heel fijn vonden om samen te komen met anderen uit het vak, zonder dat het een sales bijeenkomst of iets dergelijks was. “Het klinkt wat groots om te zeggen dat er vriendschappen zijn ontstaan, maar je faciliteert zo wel de kennismaking tussen mensen, die ook na de CISO-sessies nog contact met elkaar opzoeken.”