Die Kernprinzipien von Zero Trust – The Open Group

Druckfreundlich, PDF & E-Mail

Hinweis: Dies ist Teil vier einer fünfteiligen Serie zu den Ursprüngen und Grundsätzen von Zero Trust. 

The Open Group ist ein internationales Anbieter- und technologieneutrales Konsortium mit Hunderten von Mitgliedern. Das Konsortium entwickelt Technologiestandards und Zertifizierungen und integrierte die Arbeit des Jericho Forums nach dessen Auflösung 2013. The Open Group unterhält eine Bibliothek mit Publikationen, einschließlich des Whitepapers „Zero Trust Core Principles“. Im Folgenden sind die 11 Kernprinzipien nach vier gemeinsame Themen strukturiert:

  1. Organisatorischer Wert und Risiko  Die Ausrichtungsprinzipien beziehen sich auf wichtige Ziele für Geschäfts-, IT- und Sicherheitsakteure in Bezug auf die allgemeinen strategischen Antriebskräfte.
    1. Ermöglichung moderner Arbeitsweisen
    2. Zielausrichtung
    3. Risikoausrichtung
  2. Leitplanken- und Governance-Prinzipien richten sich an Akteure aus den Bereichen Compliance, Risiko und Informationssicherheit, um die Einführung von Zero Trust zu leiten und die Nachhaltigkeit der Zusicherungen sicherzustellen.
    1. Persönliche Beratung und Inspiration
    2. Reduzierung von Risiken und Komplexität
    3. Ausrichtung und Automatisierung
    4. Sicherheit für den gesamten Lebenszyklus
  3. Technologieprinzipien richten sich an die IT-Organisation, Informationssicherheit sowie Risiko- und Compliance-Stakeholder und bestimmen Technologieentscheidungen, die der Entwicklung eines ZTA zugrunde liegen, einschließlich Bedenken in Bezug auf Identität, Zugriff und reduzierte Bedrohungsfläche.
    1. Asset-zentrierte Sicherheit
    2. Geringste Berechtigung
  4. Die Sicherheitskontroll-Prinzipien richten sich an Sicherheits- und IT-Fachleute, um eine solide Basis für Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.
    1. Einfach und allgegenwärtig
    2. Explizite Vertrauensvalidierung

Die Formulierungen, die diese Grundsätze und Themen beschreiben, stammen direkt aus dem Dokument „The Open Group Zero Trust Core Principles“. Das Dokument enthält viele weitere Details.

Ein Beispiel für Zero Trust in Aktion

Sie können diese Konzepte verwenden, um Geschäftsanforderungen und Bedenken hinsichtlich des Risikomanagements anzugehen. The Open Group bietet das Beispiel der Acme Banking Corp, einer Filialbank, die aufgrund der Corona-Pandemie, der digitalen Transformation und des sich ändernden regulatorischen Umfelds Geschäftseinbußen verzeichnet. In diesem Beispiel hat die Acme-Führung nach einer Strategie gefragt, die diesen neuen Anforderungen gerecht wird:

  • Die Acme Banking Corp. muss externes Arbeiten unterstützen, damit Mitarbeiter von zu Hause aus arbeiten und ihre eigenen Geräte für ihre Arbeit verwenden können (einschließlich der Interaktion ihrer Bankmitarbeiter mit Kunden in einem Online-Modell).
  • Der Druck in Bezug auf Agilität erfordert die Migration in eine digitale Welt mit mehr Online-Interaktionen und weniger physischen Bankfilialen.
  • Das Verwalten der zunehmenden Komplexität ist aufgrund der sich ständig weiterentwickelnden Vertriebs- und Kundenbeziehungen (und Anwendungen) erforderlich, um mit Wettbewerbern und Kundenpräferenzen Schritt zu halten.

Mithilfe der Prinzipien- und Themenstruktur von The Open Group können Sie die neuen Geschäftsanforderungen mit der Sicherheit von Zero Trust in Einklang bringen. Bezüglich des ersten Themas: Organisationswert und Risikoausrichtung:

  • Kernprinzip 1: Ermöglichung moderner Arbeitsweisen – Reagieren Sie auf sich schnell entwickelnde Verbraucherbedürfnisse und Geschäftsbeziehungen, indem Sie die Zero Trust-Funktion der adaptiven Identität nutzen.
  • Kernprinzip 2: Zielausrichtung – Identifizieren, reagieren Sie auf und mindern Sie Bedrohungen, sobald sie sichtbar werden, indem Sie die Zero-Trust-Funktion nutzen, um in Echtzeit/nahezu in Echtzeit reagieren zu können.
  • Kernprinzip 3: Risikoausrichtung – Berichten Sie ihren Aufsichtsbehörden die Einhaltung der Zero-Trust-Funktionen quantitativer Risiken durch branchenübliche Risiko-Frameworks und automatisierte Audits.

Wenn Sie Ihre Sicherheitsstrategie auf diese Weise strukturieren, wird alles sichtbar, was Sie möglicherweise verpasst haben Es hilft Ihnen auch, das Zero Trust-Konzept in der Sprache des Geschäftstreibers zu kommunizieren.

In unserem nächsten Beitrag schauen wir uns das „CISA Zero Trust Maturity-Modell“ an. Hier können Sie alle Beiträge der Serie lesen.

 

Nach oben scrollen
Twittern
Teilen
Teilen