O modelo de confiança zero, ou “Zero Trust”, é uma abordagem de segurança de TI que se baseia na premissa de que nenhuma entidade, seja interna ou externa, deve ser automaticamente confiável. Ao contrário dos modelos tradicionais de segurança que presumem que tudo dentro da rede corporativa é seguro, o modelo Zero Trust assume que as ameaças podem vir de qualquer lugar, tanto de dentro quanto de fora da rede.

À medida que os processos ficam mais automatizados, os limites entre online e offline, local e nuvem, tornam-se mais estreitos e os ciberataques, mais sofisticados. Por isso, é fundamental para as empresas definirem e implantar uma estratégia que permita controlar os ambientes e evitar que as ações e reações dos usuários corrompam a segurança dos dados

Cibersegurança não pode ser baseada em confiança.

A segurança deve funcionar como um sistema unificado, não como um aglomerado de ferramentas isoladas. A aquisição de várias soluções fragmentadas pode parecer intuitivo – “iremos adquirir este software para proteger isso; implanta, mas na verdade eleva a complexidade do sistema e, consequentemente, amplia as vulnerabilidades a serem exploradas.

E apesar de não ser um termo recente, muitas empresas ainda não têm certeza de quais são as melhores práticas para a implementação do Zero Trust. Por isso, pela falta de conhecimento, quando as organizações começam a implementar estratégias de Zero Trust, normalmente, elas abrangem apenas metade – ou até menos – de seus ambientes e mitiga um quarto – ou menos – dos riscos gerais da empresa.

A Internet interconectou o mundo, expondo todos às mesmas ameaças. O risco não se limita à invasão de nosso sistema, mas também à existência de brechas que permitam a atores maliciosos acessar nossos dados. Por isso, conheça mais sobre o conceito de Zero Trust e recomendações para proteger o seu negócio. Confira!

O que é e como surgiu o conceito se Zero Trust?

“Nunca confie – sempre verifique” – conceito fundamental do Zero Trust. E ainda, o modelo Zero Trust assume que a violação já aconteceu – isso é parte fundamental da mentalidade de confiança zero.

Por exemplo, para reforçar a segurança da organização, os profissionais de TI e Cybersecurity de uma empresa identificaram a necessidade de intensificar os controles aplicados ao acesso remoto e presencial dos colaboradores, abrangendo profissionais de todas as regiões do Brasil e do exterior. A segurança é um valor fundamental e, embora os acessos estivessem sendo geridos por meio de VPNs, era desejável elevar a postura de segurança tanto dos usuários quanto de seus dispositivos. O objetivo era obter um controle granular sobre cada log, acesso e configuração de máquina, e o conceito ZTNA foi identificado como a solução para essas demandas. Nesta jornada, foram incluídos serviços de curadoria, POC, projeto e implementação de uma solução ZTNA.

Quando uma abordagem como essa é implementada, o resultado é uma experiência de usuário segura e sem atritos, com a redução a zero do número de chamados ao Service Desk por incidentes de acesso. A segurança é integrada de maneira fluida, facilitando o trabalho de todos.

Recomendações para os líderes de TI

Estabeleça o escopo para uma estratégia de confiança zero

Para implementar com sucesso uma estratégia de ‘Zero Trust’, é fundamental que as organizações definam o escopo dessa abordagem desde o início. Elas precisam entender até que ponto o ambiente será coberto, quais domínios estarão no escopo e quanto do risco poderá ser mitigado. Normalmente, o escopo de uma estratégia de ‘Zero Trust’ não inclui todo o ambiente da organização. Segundo uma pesquisa, 16% dos entrevistados indicaram que a estratégia cobrirá 75% ou mais do ambiente, enquanto apenas 11% acreditam que cobrirá menos de 10%.

Estabelecer o escopo é uma decisão crucial. O risco empresarial é muito mais abrangente do que o escopo dos controles de ‘Zero Trust’, e apenas uma parte desse risco pode ser mitigada através desses controles. No entanto, a medição da redução de riscos e a melhoria da postura de segurança são indicadores importantes para avaliar o sucesso da implementação de ‘Zero Trust’.

Comunicar o sucesso por meio de métricas estratégicas e operacionais de ‘Zero Trust’

Para comunicar o sucesso de uma estratégia de ‘Zero Trust’, é crucial usar métricas estratégicas e operacionais adequadas. A maioria das organizações (79%) que implementaram ‘Zero Trust’, seja de forma completa ou parcial, possuem métricas estratégicas para avaliar o progresso, e entre essas, 89% utilizam métricas específicas para medir o risco. É importante que os líderes de segurança considerem o público ao apresentar essas métricas, já que 59% das iniciativas de ‘Zero Trust’ são patrocinadas pelo CIO, CEO, Presidente ou Conselho de Administração.

As métricas de ‘Zero Trust’ devem ser adaptadas para refletir os resultados específicos dessa abordagem, em vez de reutilizar métricas comuns em outras áreas, como a eficácia da detecção e resposta de endpoints. Por exemplo, uma métrica relevante para ‘Zero Trust’ pode incluir a redução do movimento lateral de malware dentro de uma rede, um aspecto que geralmente não é capturado pelas métricas tradicionais de segurança cibernética.

Além disso, 62% das empresas esperam um aumento nos custos e 41% antecipam a necessidade de ampliar suas equipes durante a implementação de ‘Zero Trust’. Isso sugere que os impactos orçamentários variam significativamente conforme o escopo da implementação e a robustez da estratégia adotada.

Embora apenas 35% das empresas relatem ter enfrentado falhas significativas que interromperam a implementação de ‘Zero Trust’, é essencial ter um plano estratégico que inclua métricas operacionais e avalie a eficácia das políticas, visando minimizar possíveis atrasos. Adaptar essas métricas aos resultados específicos de ‘Zero Trust’ é fundamental para demonstrar o sucesso e justificar os investimentos e os esforços realizados na implementação.

Antecipar aumentos de pessoal e custos, mas não atrasos

Uma das recomendações mais essenciais para líderes de TI que buscam implementar uma estratégia de Zero Trust de forma eficaz é a integração de ferramentas de monitoramento e automação. O modelo de Zero Trust requer vigilância constante e a capacidade de responder rapidamente a quaisquer anomalias ou ameaças. Para alcançar isso, é fundamental contar com um sistema robusto de monitoramento e automação que possa analisar comportamentos em tempo real e automatizar respostas a eventos de segurança.

Por isso, a terceira recomendação para uma implementação eficaz de ‘Zero Trust’ é a adoção de controles de acesso dinâmicos e adaptativos. Em um ambiente de ‘Zero Trust’, não basta apenas verificar e autorizar o acesso uma única vez; é necessário que o sistema avalie continuamente a confiabilidade de um usuário ou dispositivo. Isso significa que os controles de acesso devem ser capazes de se ajustar em tempo real, baseando-se no comportamento do usuário, na sensibilidade dos dados acessados e no contexto da solicitação de acesso.

Por exemplo, um usuário pode ter permissões diferentes quando acessa a rede corporativa de um escritório seguro em comparação com o acesso remoto de um local público. Da mesma forma, um dispositivo que apresente comportamentos anômalos ou sinais de comprometimento pode ter seu acesso restrito ou bloqueado automaticamente até que uma verificação adicional seja realizada.

Esses controles adaptativos ajudam a garantir que apenas o acesso necessário seja concedido e que qualquer atividade suspeita seja rapidamente identificada e tratada, minimizando assim o risco de violações de segurança e vazamentos de dados. A implementação de soluções de análise comportamental e inteligência artificial pode auxiliar na detecção de padrões de uso anormais e na resposta automática a incidentes, fortalecendo ainda mais a postura de segurança da organização no modelo de ‘Zero Trust’.