O Gartner estima que 63% das empresas em todo o mundo implementaram uma estratégia de Zero Trust (confiança zero), seja de forma total ou parcial. Segundo a consultoria, para 78% das companhias que implementaram uma estratégia de Zero Trust, a implementação dessa estratégia já representa 25% do orçamento geral gasto com segurança cibernética.
A pesquisa do Gartner foi realizada com 303 líderes de segurança digital de companhias que já implementaram (total ou parcialmente) ou estão planejando implementar uma estratégia de Zero Trust, e mostra que 56% das empresas estão buscando essa abordagem principalmente porque ela é citada como uma prática recomendada pelo setor.
“Apesar dessa crença, as empresas não têm certeza de quais são as melhores práticas para implementações de Zero Trust. Para a maioria das companhias, uma estratégia de Zero Trust normalmente aborda metade ou menos de seus ambientes e mitiga um quarto ou menos do risco geral das empresas”, diz John Watts, Vice-Presidente e Analista do Gartner.
Zero Trust é uma estratégia de segurança de rede baseada na filosofia de que nenhuma pessoa ou dispositivo, dentro ou fora da rede de uma organização, deve receber acesso para se conectar aos sistemas de TI a menos que seja explicitamente necessário.
O Gartner indica três recomendações de práticas principais para os líderes de Segurança Digital para implementarem uma estratégia de Zero Trust:
1) Estabeleça o escopo de uma estratégia com antecedência: Para implementar estratégias de Zero Trust com sucesso, as organizações precisam entender quanto do ambiente elas cobrem, quais domínios estão no escopo e quanto risco elas podem mitigar. Em geral, o escopo não inclui todo o ambiente de uma empresa. No entanto, 16% dos participantes da pesquisa disseram que ela abrangerá 75% ou mais, enquanto apenas 11% acreditam que abrangerá menos de 10% do ambiente da companhia.
“O escopo é a decisão mais importante para uma estratégia de Zero Trust. O risco corporativo é muito mais amplo do que o escopo dos controles de Zero Trust, e apenas uma parte do risco corporativo pode ser mitigada. No entanto, medir a redução de riscos e melhorar a postura de segurança são indicadores importantes do sucesso dos controles de Zero Trust”, complementa Watts.
2) Comunicar o sucesso por meio de métricas estratégicas e operacionais de Zero Trust: 79% das empresas que implementaram total ou parcialmente Zero Trust têm métricas estratégicas para medir o progresso e, desses 79%, 89% têm métricas para medir o risco. Os líderes de segurança também devem ter em mente seu público ao comunicar essas métricas. 59% das iniciativas são patrocinadas pelo CIO, pelo CEO, pelo Presidente ou pelo Conselho de Administração.
“As métricas devem ser adaptadas aos resultados dessa estratégia, em vez de repetir as métricas usadas em outras áreas, como a eficácia da detecção e resposta de endpoints. Os esforços de Zero Trust oferecem resultados específicos, como a redução do movimento lateral de malware em uma rede, muitas vezes não capturados pelas métricas de segurança cibernética existentes”, diz o executivo.
3) Prever aumentos na equipe e nos custos, mas não os atrasos: 62% das empresas preveem que seus custos aumentarão e 41% esperam que suas necessidades de equipe também aumentem como resultado de uma implementação de Zero Trust. “Os impactos orçamentários das companhias que adotam essa estratégia variam segundo o escopo da implementação e com a robustez dessa estratégia no início do processo de planejamento”, diz Watts. “As iniciativas de confiança zero afetam inerentemente o orçamento, pois as empresas adotam uma abordagem sistêmica e iterativa para amadurecer suas políticas em direção a controles adaptativos e baseados em riscos, adicionando sobrecarga à sua carga operacional contínua”.
Embora apenas 35% das empresas tenham dito que enfrentaram uma falha que interrompeu a implementação da estratégia de Zero Trust, é preciso ter um plano estratégico voltado para o tema que descreva as métricas operacionais e meça a eficácia das políticas para minimizar os atrasos.