A segurança cibernética e a proteção de dados rapidamente se tornaram as principais prioridades da diretoria de empresas globais após um ano recorde de ataques devastadores e caros, como os casos da SolarWinds e Colonial Pipeline.
Os líderes C-Level que antes não eram responsáveis pela segurança agora têm a tarefa de garantir que as violações de dados – incluindo ataques de ransomware – e seus custos de milhões de dólares não prejudiquem suas organizações. À medida que a pressão aumenta, eles procuram ativamente por especialistas para orientação, muitos dos quais são consultores externos e outros especialistas semelhantes da industria.
Essas pessoas geralmente fornecem checklists e práticas recomendadas para o que é mais importante em segurança cibernética, mas essas listas geralmente resumem conceitos complexos de TI em frases de efeito fáceis de digerir – expressões de marketing geralmente baseado nas mais recentes buzzwords do mercado. A esse respeito, uma buzzword particularmente mal utilizada e especialmente problemática é o termo zero trust, ou confiança zero.
Confiança zero realmente não é um conceito novo, mas o termo agora está sendo usado de muitas maneiras e contextos diferentes. Vejo que está sendo usado para tudo, desde nomes de produtos e empresas até categorias de tecnologia mais amplas a funcionalidades de produtos – está em toda parte.
Com todo esse uso e, francamente, mau uso, o verdadeiro significado tornou-se turvo e confuso. Um equívoco particularmente problemático é que a confiança zero pode ser comprada ou baixada como um único produto. Este marketing é errado e enganoso.
Na realidade, a confiança zero não é simplesmente um produto ou serviço – é uma mentalidade que, em sua forma mais simples, trata de não confiar em nenhum dispositivo – ou usuário – por padrão, mesmo que estejam dentro da rede corporativa. A confiança zero abrange muitas tecnologias, produtos, práticas e recursos que precisam ser incorporados não apenas aos produtos e serviços, mas à cultura e aos processos de toda a empresa.
O que mais me preocupa sobre o uso confuso e indevido da confiança zero, incluindo a produtização do termo, é como isso tende a fazer as empresas pensarem que seus dados estão seguros porque implementaram um produto de “confiança zero”, quando, na verdade, ainda estão extremamente vulneráveis porque um único produto ou solução por si só não equivale a uma postura de confiança zero.
Aqui está o que as organizações devem realmente fazer para implementar uma postura de confiança zero:
1) Compromisso de toda a organização – Os departamentos de toda a organização devem concordar com as prioridades e parâmetros e alinhar-se com as políticas de acesso e segurança. Cada conexão — de dados a usuários e dispositivos a aplicativos, cargas de trabalho e redes — deve ser arquitetada com uma estratégia de confiança zero e deve ter a capacidade de evoluir conforme necessário.
2) Liderança multifuncional – Crie uma equipe multifuncional dedicada a disciplina confiança zero, encarregada de planejar e implementar uma postura de confiança zero. Essa equipe deve incluir membros de segurança de aplicativos e dados, governança de identidade, segurança de rede e infraestrutura, assim como deve envolver outras áreas de TI. A equipe deve fazer avaliações regulares a fim de direcionar a governança e implementação dos padrões e princípios de segurança, o que requer total apoio da liderança.
3) Processo e política – Assegure-se de que os processos e procedimentos corretos estejam em vigor para a governança de identidade. Outro elemento importante nesse sentido é limitar o acesso a backups, especialmente backups de dados críticos para os negócios, e atribuir acesso estrategicamente apenas a grupos que precisam dele.
4) Treinamento e construção de cultura – Torne mais fácil e transparente a educação e informação para todos os funcionários. Exija treinamento de confiança zero para todos os funcionários, parceiros e fornecedores, para que a mentalidade seja definida em toda a organização e cadeia de valor.
5) Alinhamento de produtos e ferramentas – Procure tecnologias que tenham o conceito de confiança zero integrado em todas as partes de sua plataforma, em vez de adotar a “confiança zero” como uma feature ou benefício. A tecnologia de que você precisa deve ajudar a monitorar o acesso, os controles de privilégios e a proteção dos sistemas, além de fornecer visibilidade completa por meio de mecanismos como microssegmentação e controles de acesso a dispositivos.
6) Monitore e mantenha – Revise e refine regularmente sua estratégia de confiança zero – nunca se esqueça de que deve ser um processo iterativo.
Como a última palavra da moda, sem dúvida continuaremos a ver a confiança zero usada e mal utilizada em muitos contextos. Lembre-se, uma verdadeira postura de confiança zero não pode vir de um único produto ou solução, mesmo que seja comercializado dessa maneira. Na realidade, a confiança zero é um processo iterativo contínuo baseado nos princípios descritos aqui que devem estar sempre evoluindo.