Prin comparație cu vremurile de acum 5 sau 10 ani, organizațiile de astăzi nu se mai pot baza pe modelul de securitate cunoscut ca „in depth/layered/castle-and-moat,„. Declanșatorul care le(-a) forțează să se adapteze la complexitatea/realitatea prezentului (forța de muncă mobilă, dispozitive, aplicații și date aflate oriunde/cloud) a fost pandemia de Covid.

Securitate IT fără să se înțeleagă procesele din organizație și contextul (implicit resursa umană!) nu se poate. Este doar o peticeală, o iluzie. În viitorul imediat apropiat, managementul organizațiilor va fi forțat să înțeleagă mai bine că investițiile în securitate IT nu sînt un moft, doar un cost sau o cerință lipsită de realitate din partea diferiților legiuitori. Nu GDPR sau NIS sau ePrivacy Directive trebuie să ducă la mai multă securitate ci realitatea socio-economică: „information/business at your fingertips„. Nu amenzile ar trebui să schimbe comportamentul managementului ci realitatea că afacerea ar putea să dispară în cîteva ore.

2020 ne-a adus pandemia COVID. Și odată cu această realitate a apărut alta: angajatul meu nu mai lucrează din biroul companiei, în infrastructura gîndită și administrată de mine. În aceeași realitate trăiesc și partenerii mei de afacere, fie ei clienți sau furnizori. Dintr-o dată „perimetrul„ din clădirea de birouri a dispărut, a devenit și mai subtil decît era. În timp ce granița fizică s-a păstrat, cea logică a devenit și mai subțire.

Spun ori de cîte ori am ocazia că nu din cauză că teoria nu ar fi bună se întîmplă lucruri greșit ci din cauza unor constrîngeri (fie ele obiective sau nu), în practică, „scurt circuităm„ teoria. Framework-urile sînt bune. Dar în realitate puține organizații au resursele umane, financiare și de timp pentru a pune în practică ce este scris.

Încredere zero

În timpul stagiului militar, pe toate echipamentele de comunicație pe care le foloseam era pus un avertisment: „Atenție! Dușmanul ascultă„. Tot dialogul se desfășura cifrat: „Ceterașul? Aici …..!„. Existau indicative, coduri etc. folosite chiar și pe liniile de comunicație legate direct, fizic printr-o „sîrmă„ trasă între punctul A și punctul B de către colegii de la Transmisiuni.

Deși menționat prima dată în urmă cu 10 ani, modelul de securitate „Zero Trust„ a început să fie adus în atenția comunității IT mai mult în ultimii doi ani. Dar acest model nu este deloc o noutate în ciuda celor multe scrise pînă acum. Nouă paradigmă/model care spune că o organizație nu trebuie să asume/acorde nici un fel de încredere implicită subiecților sau obiectelor, nu este o noutate. Aceeași paradigmă guvernează domeniul militar/servicii de informații de cînd lumea și pămîntul. Jurnaliștii învață despre verificarea informațiilor din trei surse. Chiar Biblia are la bază pilda „încrederii„: alungarea din Rai la încălcarea încrederii/politicii se referă 😇.

Zero Trust Architecture este pasul firesc pe care trebuie să îl facă toate organizațiile, publice sau private, în viitorul apropiat. ZTA este în primul rînd despre procesele și resursele interne și ulterior despre tehnologie. Iar această schimbare necesită timp și bani.

Zero trust (ZT) provides a collection of concepts and ideas designed to minimize uncertainty in enforcing accurate, least privilege per-request access decisions in information systems and services in the face of a network viewed as compromised. 

Zero trust architecture (ZTA) is an enterprise’s cybersecurity plan that utilizes zero trust concepts and encompasses component relationships, workflow planning, and access policies. Therefore, a zero trust enterprise is the network infrastructure (physical and virtual) and operational policies that are in place for an enterprise as a product of a zero trust architecture plan.

Dacă mă refer doar la amenzile GDPR de la noi, nu cred că este măcar una care să fi avut drept cauză un „CE/Ceva„ extern! De obicei un angajat, cu drepturi……