Pähkinän kuoressa zero trust tarkoittaa nollaluottamusta ja sen mukaisesti toteutettua IT-arkkitehtuuria. Sen lähtöolettamuksena on, että kaikki käyttäjät, laitteet ja verkot ovat luotettavuudessa nollan arvoisia, kunnes toisin todistetaan. Keskittyminen luottamuksen varmistamiseen vastaa erinomaisesti modernin liiketoiminnan tarpeisiin.
Samaan tapaan, kuin hyvin alkaneen kasvavan liiketoimintasuunnitelman toteutuksen voi tukehduttaa riittämättömällä budjetoinnilla, voi myös kyberturvan vaatimustasosta jäädä auttamatta jälkeen. Nollaluottamusten ratkaisut, kuten tietoturva yleensäkin, on kaikkien yritysten asia, ei vain isojen yritysten.
Niin tietoturva- kuin kyberuhkakenttäkin ovat muuttuneet nopeasti. Ensin tuli pilvi, ja sen jälkeen pandemia ja etätyö. Ulkoverkkojen ja sisäverkon välinen fyysinen raja-aita on kadonnut. Kyberuhka voi tulla mistä päin tahansa. Jos tähän muutokseen ei reagoida, hyökkääjä voi livahtaa yrityksen järjestelmiin huomaamatta, ja liikkua sisään päästyään ikään kuin sisäverkossa minne haluaa.
“Zero trustia tulee kehittää liiketoiminnan näkökulmasta”
”Toimitusketjujen käyttö hyökkäyksiin on trendinomainen ilmiö. Siksi isot firmat tarkastavat jatkossa yhä tarkemmin kaikki toimittajansa ja sen, kuinka ne pitävät huolta tietoturvasta. Jos yrityksessäsi on käytössä zero trust -arkkitehtuuri ja sitä tukevia ratkaisuja, silloin tarkastajan johtopäätös todennäköisesti on, että kokonaistietoturvan eteen on tehty hyvä pohjatyö. Näyttäydyt muille yrityksille houkuttelevampana yhteistyökumppanina”, sanoo DNA:n business manager Juho Saarinen.
Saarinen muistuttaakin, että zero trustia pitää ylipäätään kehittää nimenomaan liiketoiminnan tarpeiden näkökulmasta – tänään ja huomenna. Sen suunnittelussa yrityksen on mietittävä, miten ajankohtaiset tietoturvan tarpeet ratkaistaan, ja miltä liiketoiminta näyttää tulevaisuudessa.
”Investointeja ajateltaessa pitää nähdä metsä puilta, eikä jäädä kiinni vaikeisiin termeihin, kuten zero trust tai SASE. Täytyy miettiä liiketoiminnan riskiskenaarioiden kannalta, mitä yritys tekee, miten toimintaa kannattaa suojata ja miten varmasti suojaus täytyy toteuttaa. Hyvin tärkeää on ottaa keskusteluun mukaan alusta asti yrityksen päätöksentekijät”, Saarinen suosittelee.
Minimoi riskit ja käytön epämukavuudet
Tietoturvariskeistä täytyy keskustella avoimesti ja kvantifioida niitä arvioimalla, mitä seuraisi, jos jokin riski toteutuisi. Tämän pohjalta pystyy perustelemaan, miksi jokin digitaalisen ympäristön osa pitää viedä nollaluottamuksen arkkitehtuurin huomaan. Näin tulee tehdyksi se, mikä on tarpeellista, eikä yritys tuhlaa resursseja sellaiseen, mikä ei ole ensisijaista.
Teknisen määrittelyn vaiheessa pitää liiketoimintalähtöisesti tunnistaa tehtävät ja transaktiot. Niiden suorittaminen pitää zero trustin periaatteiden mukaisesti mahdollistaa pienimmillä mahdollisilla oikeuksilla, jolloin minimoidaan niin riskit kuin käyttäjän kokema kitka.
”Pitää myös sijoittaa soljuvuuteen, single sign on -toiminnallisuuteen ja samantasoisten palvelujen väliseen luottamukseen. Turvallisuudesta ei tule tehdä liian raskasta, sillä muuten ihmiset alkavat keksiä ohituskeinoja tai jättää töitä tekemättä”, sanoo Saarinen.
Vie yrityksesi tietoturva seuraavalle tasolle ja tutustu maksuttomaan oppaaseemme Zero trust – vahvaa turvaa nollaluottamuksella.