随着网络威胁的加剧以及网络攻击手段的增加,零信任(Zero Trust)成为了许多产业以及公司新的趋势。零信任在安全性方面,它使得访问的验证和授权更为严格,减少未授权访问的危险,并通过企业架构的翻新,减少数据泄露等事故的影响;在商业效率方面,更新后的架构使得公司能够更快地确认用户身份,提高运营效率,同时更好的资源管理以及自动化流程可以减少运营成本,降低复杂性,以此来提高生产力。
文末附报告获取方式
云安全联盟大中华区发布《零信任商业价值综述》(以下简称报告),报告旨在帮助信息安全专家向企业高管以及董事会传达零信任带来的商业价值,为采用零信任架构要做的准备和接下来的行动建立共识,并根据零信任的商业价值设计商业案例以及解读模板。
现在有越来越多的企业听过或者正在采用零信任,但还是有非安全专家或从业者还不了解什么是零信任,甚至对零信任有着错误的理解。零信任不仅仅是技术,而是一个需要企业从上而下贯彻执行的策略。通过一系列从流程到运营模式的更新,以及合伙关系以及企业文化的转变,这需要企业去接纳改变,但改变之后的回报将会大于对零信任的各方面投入。
针对零信任的商业价值,报告指出三个原则:以始为终、泄漏总会发生、风险管理。以这三个原则进行零信任改造,树立成功改造的基础,可以使得改造更高效,减少所需的时间和资源成本。同时获得董事会等领导层的信赖,更好地从上而下贯彻零信任改造的原则,使得改造更为彻底、更为成功。
同时,为了让网络安全专家更有规划地传达零信任的商业价值,报告中包含着14条针对各类企业的商业价值概述,分别是:
-
成本节约与优化
-
运营韧性
-
业务敏捷
-
促进合规
-
维护声誉和品牌价值
-
减少IT风险
-
安全地采用新技术
-
加速业务单位整合(并购)
-
更好地利用现有投资
-
提高可视性和分析性
-
改进用户体验
-
支持战略性业务计划
-
重塑业务流程
-
更好地满足潜在客户的安全需求
报告也提供了让安全专家参考的模板,在经过适当修改及整合后,向企业高层传达。每条模板中包含着这些部分:
-
标题 – 商业价值的详细方面
-
为什么对企业重要 – 为什么企业在乎这个特定的话题
-
零信任如何帮助 – 零信任安全措施通过什么方式达成价值?
-
对谁重要 – 企业里的哪些角色会对这个话题最为在乎?
进一步解释了是什么、怎么做、为什么,然而,单独的概述很难说服管理层实施零信任改造,安全专家需要结合这些概述,并利用以下的方法:
-
了解你的听众
-
了解你组织的形势
-
建立一个团队并形成联盟
-
策略表达
-
为过程计划
总体而言,报告从零信任策略出发,详细解释了零信任的定义、零信任的常见错误理解、信息安全和零信任的商业价值,并结合14条概述进行更具体更针对的说明,让读者可以详尽理解零信任的商业价值,并帮助希望传达零信任商业价值的人员获取商业价值方面的信息,更好地结合企业情况,并向企业有规划、有目标地传达采用零信任的计划的同时获得管理层的支持。
企业通过实施零信任来提升企业的安全性和运营效率,并减少运营成本、安全风险,同时为未来变化多端的网络安全环境与商业环境做好准备。
致谢
《零信任商业价值综述(Communicating the Business Value of Zero Trust)》由CSA工作组家编写,CSA大中华区秘书处组织翻译并审校。
中文版翻译专家组(排名不分先后):
组长:陈本峰
翻译组:陈珊、余晓光、赵锐
研究协调员:郑元杰
感谢以下单位的支持与贡献:华为、云至深
(以上排名不分先后)
本文作者:郑元杰,CSA大中华区研究协调员
审核:陈珊博士,安邦科技CTO
关注公众号,回复关键词 “零信任”
即可获取报告完整版
好书推荐
原文始发于微信公众号(国际云安全联盟CSA):CSA发布 | 零信任商业价值综述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论