Organisaatiot ovat perinteisesti suojanneet resurssejaan muun muassa paikallisilla palomuureilla, tunkeilijan havaitsemis- ja estämisjärjestelmillä sekä virtuaalisilla yksityisverkoilla. Tämä strategia ei ole enää riittävän tehokas nykypäivän digitaalisissa liiketoimintaympäristöissä, joissa yhdistyvät julkiset ja yksityiset pilviratkaisut, SaaS-applikaatiot, DevOps (digitaalisten palveluiden kehitys- ja tuotanto) ja ohjelmistorobotiikka. Pilvipalveluiden kasvava käyttöönotto ja hybridityömallit ovat pakottaneet organisaatioita tarkastelemaan kyberturvallisuutta uudesta näkökulmasta.
Zero Trust – niin sanottu nollaluottamus tai luottamattomuuden periaate – on moderni kyberturvallisuuden viitekehys ja strategia. Se nojaa periaatteeseen siitä, että mihinkään ei voi luottaa, ei edes sisäisessä verkossa. Tietoturvallisuuden jokaiseen kolkkaan ulottuvan skeptisyyden nimissä Zero Trust painottaa:
Tämän takia Zero Trustiin onkin viitattu toisinaan reunattomana turvallisuutena.
Zero Trust -viitekehyksen yksi kuudesta puolustusalueesta on identiteetit, mikä tekee identiteetin- ja pääsynhallinnasta (engl. Identity and Access Management, IAM) entistäkin tärkeämmän aiheen. Pohjimmiltaan identiteetin- ja pääsynhallinnan tarkoituksena on tarjota niin yrityksen omille kuin ulkoisillekin käyttäjille oikein mitoitettu ja oikea-aikainen pääsy organisaation resursseihin, samalla estäen luvattoman pääsyn.
IAM ja Zero Trust jakavat samat periaatteet jatkuvan varmentamisen, todentamisen ja minimioikeuksien osalta. Identiteetin- ja pääsynhallinnalla on tärkeä rooli laitteiden ja käyttäjien todentamisessa ja varmentamisessa Zero Trust -ympäristössä. Vahva identiteetin- ja pääsynhallinta tarjoaa dynaamisen suojamuurin organisaation sisäisen verkon ympärille sen sijaan, että oltaisiin riippuvaisia vain staattisesta verkon ympärille rakennetusta suojakehästä.
Alla mainitut tekijät auttavat organisaation Zero Trust -ohjelmaa hyötymään vahvoista identiteetin- ja pääsynhallinnan kyvykkyyksistä:
Tekoälyn ja koneoppimisen kehittyminen on tehnyt identiteetin- ja pääsynhallinnan teknologioista kyvykkäämpiä dynaamisten pääsykäytäntöjen toteutumisen valvonnassa. Pääsynhallintasääntöjä ja -ehtoja voidaan mukauttaa reaaliaikaisesti esimerkiksi muuttuneen liiketoiminnan turvallisuusympäristön tai käyttäjän käyttäytymisen mukaan. Nämä käytännöt auttavat organisaatioita sopeutumaan nopeasti alati muuttuviin tarpeisiin ja riskeihin.
Lisäksi identiteettien elinkaaren hallinta on täydellisesti linjassa Zero Trustin jatkuvan arvioinnin periaatteen kanssa. Elinkaari alkaa, kun työntekijä aloittaa organisaatiossa — yleensä jo ennen varsinaista aloituspäivää eli kun työsopimus on allekirjoitettu ja työntekijän profiilia aletaan rakentaa organisaation järjestelmiin — ja päättyy silloin, kun hän lähtee organisaation palveluksesta. Tähän väliin mahtuu muitakin vaiheita urakehityksestä ja organisaatiosta riippuen; esimerkiksi pidemmät vapaat, sairaslomat tai muutokset työtehtävissä.
Elinkaaren aikana työntekijän käyttöoikeuksia tulee päivittää säännöllisesti vastaamaan senhetkisiä työtehtäviä ja vastuualueita. Samanaikaisesti identiteetin- ja pääsynhallintateknologia varmistaa, että pääsyoikeudet mukautuvat dynaamisesti tarpeen mukaan koko identiteetin elinkaaren ajan. Teknologialla on mahdollista lisäksi sertifioida pääsyoikeuksia uudelleen.
IAM ja Zero Trust ovat tärkeä osa organisaation kyberturvaa. Ne eivät ole erillisiä tai toisiaan korvaavia konsepteja, vaan täydentävät toisiaan osana kokonaisvaltaista kyberstrategiaa. Näiden kahden kokonaisuuden yhteisvaikutus luo vankemman puolustuksen, joka auttaa organisaatioita selviytymään laajenevasta uhkaskaalasta ja vahvistamaan tietoturvaa.
Deloitte voi auttaa organisaatiotasi suunnittelemaan identiteetin- ja pääsynhallintaa Zero Trust -metodologian mukaisesti, mikä on erityisen tärkeää kasvavan kyberturvallisuuden tarpeen aikana. Samalla varmistamme, että organisaatiosi identiteettiturvakerros on ajan tasalla ja valmiina vastaamaan tulevaisuuden haasteisiin.