如何让企业上下都支持零信任部署？（上）

如何让企业上下都支持零信任部署？（上）

零信任计划的成功很大程度上取决于企业中包括终端用户、IT 部门和领导层在内的各个群体对零信任部署的认同感。如果没有领导层的支持，零信任计划永远无法实现；如果没有用户和 IT 部门的支持，零信任计划也不会持续运作。

这种认同感必须从零信任的初始投资、采用一直持续到后期运维的全过程。此外，了解企业目前面临的挑战也有助于打破各群体的认同障碍。

本期将讨论企业应采取哪些措施获得企业上下对零信任计划的支持。

1. 有效提案是基础

提案是零信任计划成败的关键。有效提案会传递正确的信息，让领导层产生强烈的认同感，并自上而下渗透到终端用户，贯穿整个部署过程。令人信服的提案应包括以下要素：

零信任安全的优势领导层往往关注目标的实现情况以及企业盈亏等重点事项，因此要让提案和领导层产生共鸣就需要详细展开零信任部署的优势和对企业的积极影响。另外，提案也需要讨论零信任部署的具体组织工作，但要注意不能太拘泥于技术细节，否则会影响提案的说服力。

数据胜于雄辩​没有具体数据的提案缺乏有力支撑，很快就会失去听众，领导层也会认为提案不切实际而驳回。好的提案应该包含金额、日期、百分比和其他可量化的行动和投资数据。

知己知彼​在提案中引用对家的零信任计划和证明其有效性的事实能够激发领导层的竞争意识。

前车之鉴​提案中可以举例说明行业内外的真实违规案例，尤其是当事企业在规模、行业或安全实践方面和所在企业相似的案例，突出强调安全风险可能造成的严重后果。

风险公式​最简单的风险公式是风险 = 可能性 × 影响。提案可以基于这一公式说明企业现有的高风险威胁，然后展示零信任的解决办法。

2. 战略培训

要保证零信任计划的顺利实施，培训是必不可少的，包括向员工介绍零信任计划的入门培训以及教 IT 部门管理新工具的技术培训。

战略培训的组织方法包括：

培训文件​培训文件收集了有效信息，供员工随时可用，也避免了耗时的重复培训。培训文件可以采取以下形式：

附件：书面文档、图表和其他附件可以作为有用的参考文件按需提供。有些工具厂商也会提供产品的培训材料，企业可以在组织培训前确认厂商是否提供相关培训或课程。

录播课程：所有线下培训课程都可以录制视频，不必重复相同课程或创建其他文档。

社区论坛：社区论坛等交流平台让团队之间可以互相帮助，既能有效解决问题、避免出错，也能鼓励在职学习，减轻了领导层的负担。社区论坛也可以设置常见问题和解答（FAQ）的内部数据库。

新工具和使用界面介绍：通过截屏、录屏、演示和培训等手段让员工熟悉新工具的界面和操作流程。

采用多样化的培训方法​为了满足员工不同的学习方式，企业可以通过多样化的培训材料和方法帮助员工吸收，文档、录屏和手动演示都是很好的例子。

解释零信任安全的优势​如果能告诉员工部署零信任有助于确保所有人的身份和数据安全，还能用更先进的技术优化用户体验，员工肯定也会有积极学习和采用零信任的计划。

有求必应​确保员工知道向哪个部门寻求相关帮助，并且让零信任相关资源更容易获得、更快响应。企业还应该鼓励员工互相帮助，让一些已经精通的员工为其他遇到问题的员工提供支持，尽量减少问题升级。

收集反馈​培训内容还要包括反馈的收集方式，以便之后根据反馈对零信任部署进行改进。

3. 保持沟通

企业领导层、IT 部门和终端用户可以通过培训和文档充分了解零信任的原则和实施方法，互相沟通有助于将信息内化。

此外，领导层和 IT 部门应了解零信任的实施轨迹，并及时了解进度，有助于维护循序渐进的安全文化。

Forrester 发布的《零信任实施指南》详细介绍了如何构建零信任路线图，将计划转变为可实现的目标。企业可以参考该指南创建自己的路线图，制定目标，统一标准和进度。

4. 了解企业 IT 环境和用户

成功的零信任实施必须和企业的 IT 环境、用户相适应。但由于 IT 工作通常是独立且高度集中的，IT 部门往往会陷入孤立的工作模式。

孤立的工作模式可能有助于提高生产力和专注力，但也可能会导致 IT 部门忽视部署环境和细节，最终导致严重后果。

举例来说，企业想把协作平台集成到单点登录（SSO）工具中可能并不难，但如果销售团队收到的通知不够完整，可能会产生混乱导致销售无法使用平台。

因此，IT 部门应随时了解各部门的发展情况、用户需求、技术水平和日常业务。在线下办公场所中可以通过客户来访，团队成员休息时间，甚至茶水间的聊天了解上述信息。如果是远程办公环境，可以通过全体会议、部门日程更新、和社区沟通等渠道保持信息同步。

无论是哪种办公环境，企业都要鼓励 IT 部门频繁沟通，哪怕是很小的操作变更也要先沟通，在涉及停机等必要措施时更要沟通。

5. 培养企业安全文化

企业文化不是一夜之间就能改变的，但是企业的安全文化的确是零信任部署的重要因素。在安全文化较为出色的企业中，每个人都很清楚应该采取的措施和原因，同时也有很强的安全责任意识。

企业应该在培训和实践中强调这些价值观，确保安全意识培训包括安全风险相关的沟通，让每个人都参与培训，包括领导层。

6. 展示零信任的可用性

零信任的一大优势在于为领导层、IT 部门和终端用户都能提供良好的用户体验。对于领导层，IT 部门可以配置条件访问策略，允许在安全位置访问的领导层用户跳过多因素认证 （MFA）。其他用户也能受益于简单的身份验证，减少密码使用以及其他优势。

对于 IT 部门，零信任改进了设备和用户可视化和报告流程，支持更直观的控制，从而获得更高的安全性。同时也让 IT 部门的工作更轻松。除此之外，零信任还支持使用移动设备管理（MDM）工具管理自带设备（BYOD）环境，管理员在任何办公环境中都能统一操作，减少用户摩擦从而减轻运维负担。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。