Vijf jaar geleden maakte ik voor het eerst kennis met het Zero Trust-concept als onderdeel van Google’s BeyondCorp. Het idee is gebaseerd op het principe dat organisaties niet zomaar alles moeten vertrouwen dat zich binnen of buiten de grenzen van de organisatie afspeelt. Bovendien moet alles en iedereen die probeert verbinding te maken met systemen binnen de organisatie worden geverifieerd voordat er toegang wordt verleend.
Met het oog op de toenemende dreiging van cybercriminelen zijn de aanbevelingen van Google’s onderzoek volkomen logisch. Bij Lexmark waren we er vroeg bij om deze strategie te hanteren. Wij zagen namelijk in dat de traditionele aanpak van security niet langer toereikend was. In twee jaar tijd hebben we de manier waarop onze organisatie omgaat met netwerktoegang volledig herzien. Het huidige uitgangspunt is dat geen enkele gebruiker of apparaat te vertrouwen is, voordat we hem of haar hebben geverifieerd.
Hoe we dit in de praktijk hebben gebracht, is dat we ten eerste eisen dat elk apparaat wordt geregistreerd en aan de eisen voldoet voordat het zich met het netwerk van Lexmark kan verbinden. Ten tweede kunnen activiteiten zoals het opvragen van bestanden, zoekopdrachten in de database en printopdrachten alleen worden uitgevoerd door geautoriseerde gebruikers. Tot slot zorgen we ervoor dat elke gebruiker die onze diensten en servers authenticeert, ook daadwerkelijk is wie hij of zij zegt dat hij of zij is. Om dit te realiseren, hebben we multifactor-authenticatie in onze diensten geïmplementeerd om voor extra controle te zorgen. Het gebruik van wachtwoorden alleen is niet genoeg meer. Steeds meer mensen vallen ten prooi aan bijvoorbeeld phishing-aanvallen naarmate deze steeds geavanceerder worden. Om Zero Trust een succesvolle strategie te maken, doen we geen aannames over wat dan ook en maken we geen uitzonderingen op deze regels.
Natuurlijk is het niet altijd makkelijk geweest. Om deze strategie succesvol te laten zijn, moest de mentaliteit van al onze medewerkers veranderen. We hebben gevraagd of iedereen die voor ons bedrijf werkt, het belang van zijn of haar eigen rol in het veilighouden van onze organisatie accepteert. Dit betekende dat we op de korte termijn wat ongemak moesten doorstaan in ruil voor een netwerk dat veerkrachtiger, veiliger en gebruikersvriendelijker is op de lange termijn.
Twee jaar later zijn we trots op wat we samen hebben bereikt. Dit, in combinatie met onze veilige ontwikkelingscyclus en veilige toeleveringsketen, maakt Lexmark tot een van de veiligste bedrijven in onze branche om mee samen te werken. Het heeft ons ook geholpen om het vertrouwen te winnen van een aantal klanten die tot de meest kritische van de wereld horen als het om veiligheid gaat.
Onze veilige ontwikkelingscyclus betekent dat we vanaf het begin beveiliging in onze apparaten inbouwen. Een team van deskundige ontwikkelaars beschikt over de meest recente kennis op het gebied van beveiliging. Deze mensen zien erop toe dat apparaten van Lexmark zo worden ontworpen dat de veiligheidsrisico’s worden beperkt. Deze aanpak is niet alleen voordelig voor ons, maar ook voor onze klanten.
Bryan Willet, CISO bij Lexmark
