Zero Trust Security Framework
Hét security framework dat rekening houdt met kwetsbaarheden (vulnerabilities), dreigingen (threats) en cultuur- en sectorgerelateerde compliance richtlijnen. Door vervolgens beleid, architectuur én operatie aan elkaar te koppelen, ontstaat een overzichtelijk totaalbeeld van informatiebeveiliging.
Bescherming en compliance
Het ON2IT Zero Trust Security Framework stelt organisaties in staat hun netwerk en data aantoonbaar te beschermen en compliant te zijn – en blijven – aan (inter)nationale richtlijnen en wetgeving.
Met het beleid en de uitgangspunten van de organisatie als basis, onderzoekt het ON2IT Zero Trust Security Framework zwakke plekken en mogelijke risico’s in de bestaande IT-security om zo netwerk en data beter te beveiligen.
Als gevolg van snel veranderende technologieën en bedreigingen is de conventionele IT-security radicaal gewijzigd in Zero Trust Security.
Dankzij het basisprincipe ‘never trust, always verify’ en de gesegmenteerde bescherming van de verschillende onderdelen in het netwerk, zorgt Zero Trust Security voor onmiddellijke verlaging van de impact van en door cybercrime, waar de data zich ook bevindt.
Uniek door eenvoud en automatisering
Het ON2IT Zero Trust Security Framework (ZTSF) kent zijn oorsprong in de Zero Trust strategie van Forrester’s John Kindervag.
Het is gebaseerd op de praktijk, bestaande (literatuur)bronnen en bewezen kaders zoals die van NIST (National Institute of Standards & Technology) en richtlijnen van het NCSC (Nationaal Cyber Security Centrum).
Het Zero Trust Security Framework gaat echter verder en is uniek dankzij:
de eenvoud en dus gebruikersvriendelijkheid: geen uitgebreid, gedetailleerd framework, maar een samenvatting van best practices; praktisch en eenvoudig toepasbaar
de automatisering en dus efficiency slag: (semi-)automatische verificatie- en validatiemechanismen bepalen continu het maturity-level van de IT-security binnen de organisatie
Zero Trust Security Framework
De bouwstenen
De bouwstenen binnen het Framework helpen je om risicomanagement, beleid en praktijk met elkaar in overeenstemming te brengen. Gezamenlijk bepalen de bouwstenen de volwassenheid van de IT-security van de organisatie.
- Programma – strategische bepaling wat binnen informatiebeveiliging valt
- Governance – bruikbaar en bewijsbaar beleid in relatie tot relevante wet- en regelgeving
- Architectuur – ontwerpen van degelijke en veilige IT-netwerken binnen de organisatie
- Operatie – ten behoeve van implementatie, uitvoering, monitoring etc.
Bouwsteen 1: Programma
Op strategisch niveau stellen we kaders waarbinnen de IT-security van de organisatie moet functioneren. Management en bestuur bepalen zaken als:
- welke wet- en regelgeving is van toepassing,
- welke zakelijke belangen gelden en welke gegevens beveiligen we,
- welke doelstellingen en principes gelden binnen de organisatie,
- welke risico’s zijn er, hoe groot zijn die risico’s en hoe ze te mitigeren,
- hoe de interne procedure te beschrijven voor continue monitoring van de beveiliging.
Bouwsteen 2: Governance
Binnen de governance fase krijgen de door het programma vastgestelde randvoorwaarden verder invulling in de vorm van concrete beleidsdocumenten en procedures. Met als doel dat de organisatie compliant is – en blijft – aan de diverse relevante standaarden, definiëren we in deze fase:
- welke (externe) standaarden men hanteert,
- weke procedures er zijn en hoe deze ingevuld dienen te worden,
- hoe controle hierop gedefinieerd is en hoe deze wordt uitgevoerd.
Bouwsteen 3: Architectuur
De policies uit de governance fase kunnen nu vertaald worden in conceptuele architecturen (high level designs) en logische architecturen (low level designs).
Waar in het high-level design de IT-security als strategische plan wordt uitgewerkt, zal in low-level design de logische flow beschreven worden van de diverse stappen binnen het veilig verwerken van bedrijfsinformatie.
Bouwsteen 4: Operatie
Operatie is de laatste set componenten en processen binnen het ZTSF. Processen voor operationele ondersteuning worden in deze fase gedefinieerd. Er zal aandacht besteedt worden aan event-, incident-, compliance-, vulnerability- en assetmanagement.
