Добавить в корзинуПозвонить
Найти в Дзене
The Codeby
5123 подписчика

Zero Trust внедрили 63% компаний

2
2 мин
А эффект где? Gartner опросил 303 руководителя ИБ в конце 2023 года. Результат отрезвляющий: почти две трети организаций уже запустили стратегию Zero Trust, но у большинства она покрывает половину инфраструктуры или меньше и снижает не более четверти общего риска. Деньги потрачены, проекты запущены — а измеримого результата нет. Почему так происходит? Потому что организации внедряют технологии, не измерив зрелость. Без отправной точки невозможно доказать прогресс, расставить приоритеты и объяснить совету директоров, зачем нужен следующий транш бюджета. 🔎Сегодня существуют три ключевых фреймворка, и каждый решает свою задачу: • CISA ZTMM v2.0 — готовая шкала зрелости с четырьмя уровнями (Traditional → Initial → Advanced → Optimal). Пять столпов: Identity, Devices, Networks, Applications, Data. Плюс три сквозные функции — аналитика, автоматизация, governance. Это самый структурированный инструмент для самооценки. • NIST SP 800-207 — не модель зрелости, а архитектурное руководство.

Zero Trust внедрили 63% компаний. А эффект где?

Gartner опросил 303 руководителя ИБ в конце 2023 года. Результат отрезвляющий: почти две трети организаций уже запустили стратегию Zero Trust, но у большинства она покрывает половину инфраструктуры или меньше и снижает не более четверти общего риска. Деньги потрачены, проекты запущены — а измеримого результата нет.

Почему так происходит? Потому что организации внедряют технологии, не измерив зрелость. Без отправной точки невозможно доказать прогресс, расставить приоритеты и объяснить совету директоров, зачем нужен следующий транш бюджета.

🔎Сегодня существуют три ключевых фреймворка, и каждый решает свою задачу:

• CISA ZTMM v2.0 — готовая шкала зрелости с четырьмя уровнями (Traditional → Initial → Advanced → Optimal). Пять столпов: Identity, Devices, Networks, Applications, Data. Плюс три сквозные функции — аналитика, автоматизация, governance. Это самый структурированный инструмент для самооценки.

• NIST SP 800-207 — не модель зрелости, а архитектурное руководство. Семь постулатов Zero Trust, три компонента архитектуры (Policy Engine, Policy Administrator, Policy Enforcement Point) и чёткий посыл: миграция к ZTA — путешествие, а не разовый проект.

• Microsoft ZT Model — привязка абстрактных столпов к конкретным продуктам и метрикам Secure Score. Если вы живёте в экосистеме Microsoft, это самый быстрый путь к измеримым показателям.

Выбор между ними — не «или/или». NIST даёт принципы, CISA — шкалу оценки, Microsoft — привязку к инструментам. Комбинация трёх фреймворков закрывает полный цикл: от философии до конкретных метрик.

🎇Любопытный факт из практики федеральных агентств США. 24 крупнейших агентства к сентябрю 2024 достигли «high 90 percent range» по начальным целям Zero Trust. USDA развернула FIDO2 для ~40 000 пользователей. GSA получила 29,8 млн долларов из Technology Modernization Fund и построила SASE-архитектуру.

Но вот что важно: столп Data оказался самым проблемным — ему выделялось меньше всего ресурсов. А без эффективной стратегии работы с данными общие цели ZTA недостижимы. Это критический сигнал для тех, кто планирует бюджет на 2025 год.

➡️Фраза «мы на уровне Traditional в идентичности и Initial в сетях» понятна руководству. «Нам нужен ещё один NGFW» — нет. Зрелостная модель превращает технический запрос в бизнес-аргумент.

Как именно провести gap-анализ по всем трём фреймворкам, построить дорожную карту и обосновать бюджет — разобрали в полной версии статьи.

https://codeby.net/threads/otsenka-zrelosti-zero-trust-kak-sravnit-cisa-ztmm-nist-sp-800-207-i-microsoft-zt-model-i-obosnovat-byudzhet.93905/