“Segurança não pode ser baseada em confiança”, diz criador do Zero Trust

O especialista John Kindervag defende que a palavra “confiável”, por ser um adjetivo, está baseada em emoção e isso é um risco. Nenhum sistema é 100% confiável

Compartilhar:

Na última quinta-feira de novembro de 2013, no feriado de Ação de Graças nos EUA, 110 milhões de dados de cartão de crédito foram roubados da Target, uma loja de departamentos. Tamanha fraude causou a demissão do CEO da empresa à época. “Esse é o nascimento do conceito de Zero Trust”, diz John Kindervag, CTO da Palo Alto Networks e criador do termo.

 

Ex-analista da Forrester Research, Kindervag falou sobre o tema no encerramento da décima primeira edição do Congresso Security Leaders, promovido virtualmente pela TVD. Segundo ele, temos que pensar em sistemas de segurança que partam do pressuposto que nenhum sistema é 100% confiável, daí o termo Zero Trust.

 

“Confiável é um adjetivo e, por isso, baseado em emoção. A ideia de sistemas confiáveis versus não confiáveis existe há 40 anos e é um risco, pois é baseada em emoção. Se isso é um risco, é seu dever mitigar isso. O modelo de sistema confiável é o problema da cibersegurança”.  Kindervag alerta para que seu conceito não seja mal interpretado: “Não estou dizendo que pessoas não sejam confiáveis. Estou dizendo algo mais profundo – Pessoas não são pacotes. Pessoas são confiáveis, mas pacotes não”.

 

De acordo com ele, uma estratégia coerente de cibersegurança passa por quatro níveis. A grande estratégia, o objetivo final da sua empresa; a estratégia, ou a ideia para atingir esse objetivo; tática, que é decidir quais ferramentas vamos usar para implementar essa ideia; por fim, a operação, ou o modo como usamos essas ferramentas tecnológicas.

 

Segundo Kindervag, “segurança precisa ser um sistema, algo integrado, não uma coleção de ferramentas. Ao comprar um monte de soluções desconexas, você aumenta a complexidade do sistema – e por mais paradoxal que soe, aumenta os riscos”. Por mais de 40 anos, as pessoas pensaram em segurança como a compra de ferramentas para impedir ataques. “Segurança era baseada em gastar dinheiro que não se tem, para comprar ferramentas que você não precisa porque, no fundo, você não sabia do que precisava se proteger”.

 

“A Internet tornou o mundo plano, estamos todos sujeitos às mesmas ameaças. O risco não acontece apenas quando nosso sistema é invadido, mas também quando há brechas para atores maliciosos terem acessos aos nossos dados”, explicou ele.

 

O conteúdo completo desta palestra está disponível em nosso canal no  YouTube.

Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...