Wat is de beveiligingsmindset als er geen zero trust in het beleid is toegepast?

Iemand zei eens in een NIS2 podcast over ‘Zero Trust’: “Het is alles wat de cybersecurity sales je wilt aansmeren… Laat je hier als verantwoordelijke voor het ICT budget niet door in de luren leggen.” Een praktisch voorbeeld van NIS2 Zero Trust, is het naar de regels van de kunst toepassen van multifactor-authenticatie (MFA). Je begint met het onderzoeken welk soort MFA de hele digitale lading en gebruikerstoegang in je bedrijfsnetwerk dekt. Microsoft zal zeggen dat dat hun MFA is.

Deze stelling is in de mindset van Zero Trust niet juist. Mits aankoop van het juiste abonnement en het afdwingen van MFA-login op Microsoft 365 of Office 365 (M365 of O365), zou je 365-omgeving beschermd zijn. Maar als een hacker kan meegaan in een SSO-login op de endpoint zelf, waar bijvoorbeeld de gebruiker local admin is, dan kan deze zelfs meegaan naar een O365 . O365 moet dus perfect afgesteld zijn. Maar wie controleert jouw IT-leverancier ? In onze laatste 25 screenings stond 50% verkeerd ingesteld. Maak zelf de gevolgtrekking over of we hier kunnen spreken van Zero Trust MFA.
Niet overtuigd? Lees dan deze link door:

https://learn.microsoft.com/nl-nl/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide

Als we als auditor de beleidsregel ‘ISO 27001 Annex A.9 Access Control’ nakijken, worden de navolgende risico analyses uitgevoerd:
Zijn alle gebruikerstoegangen afgeschermd? Indien niet, wat is het risico ten opzichte van verlies van gegevens, de betrouwbaarheid van gegevens en het beschermen van vertrouwelijke gegevens? Wat zijn de gevolgen als de digitale onmisbare dataprocessen aangetast worden?
Wie beheert de opzet van de MFA? Is er hier scheiding van rechten (Admin)?

[....]