A Veritas Technologies descreve seis etapas que toda organização deve seguir para implementar uma arquitetura de proteção de dados de confiança zero, mitigando o equívoco comum de que “zero trust” pode ser comprada ou baixada como um único produto ou serviço.
“A confiança zero, ou zero trust, em inglês, não é um conceito novo, mas o termo agora está sendo usado de muitas maneiras e em contextos diferentes”, afirma Gustavo Leite, country manager da Veritas no Brasil. “Vejo que está sendo usado para tudo, desde nomes de produtos e empresas até categorias de tecnologia mais amplas e funcionalidades – está em toda parte. Com todo esse uso e, francamente, mau uso, o verdadeiro significado tornou-se turvo e confuso. Um equívoco particularmente problemático é que a confiança zero poderia ser comprada ou baixada como um único produto. Esse marketing é errado e enganoso.”
A confiança zero não é um produto ou serviço – é uma mentalidade que, em sua forma mais simples, envolve não confiar em nenhum dispositivo ou usuário por padrão, mesmo que estejam dentro de uma rede corporativa. A confiança zero abrange muitas tecnologias, produtos, práticas e recursos que precisam ser incorporados não apenas aos produtos e serviços, mas à cultura e aos processos de toda a empresa.
“O que mais me preocupa sobre o uso incorreto ou confuso da confiança zero, incluindo a rotulagem de produtos com o termo, é como isso tende a fazer as empresas pensarem que seus dados estão seguros porque implementaram uma solução de “confiança zero”, quando, na verdade eles ainda são extremamente vulneráveis porque um único produto sozinho não equivale a uma postura de confiança zero”, acrescentou Leite.
Veja a seguir seis etapas para implementar uma verdadeira estratégia de confiança zero, segundo a Veritas:
1) Comprometimento de toda a organização
Os departamentos da empresa toda devem estar alinhados com as prioridades, parâmetros e com as políticas de acesso e segurança. Cada conexão — de dados a usuários e dispositivos a aplicativos, cargas de trabalho e redes — deve ser arquitetada com uma estratégia de confiança zero e deve ter a capacidade de evoluir conforme necessário.
2) Liderança multifunctional
As organizações devem criar uma equipe de confiança zero multifuncional dedicada, encarregada de planejar e implementar uma migração de confiança zero. Essa equipe deve incluir membros de segurança de aplicativos e dados, infraestrutura e governança de identidade e segurança de rede, mas também deve envolver outras áreas de TI. A equipe deve fazer avaliações regulares do inventário para orientar a governança e a aplicação, o que requer total apoio da liderança.
3) Processo e política
A TI deve garantir que os processos e procedimentos corretos estejam em vigor para a governança de identidade. Outro elemento importante é limitar o acesso a backups, especialmente backups de dados críticos para os negócios, e atribuir acesso estrategicamente apenas a grupos que precisam dele.
4) Treinamento e construção de cultura
As organizações devem tornar fácil e transparente a educação e a informação de todos os funcionários. Eles devem exigir treinamento de confiança zero para todos os colaboradores, parceiros e fornecedores, para que a mentalidade seja definida em toda a organização e cadeia de valor.
5) Alinhamento de produtos e ferramentas
A TI deve procurar tecnologia que tenha o conceito de confiança zero integrado em todas as partes de sua plataforma, em vez de simplesmente anunciar “confiança zero” como um recurso ou benefício. A tecnologia deve ajudar a monitorar o acesso, controles de privilégios e proteção de sistemas, além de fornecer visibilidade completa por meio de mecanismos como microssegmentação e controles de acesso a dispositivos.
6) Monitorar e manter
As organizações devem revisar e refinar regularmente suas estratégias de confiança zero – nunca esquecendo que a confiança zero precisa ser um processo interativo.
“Como a última palavra da moda, sem dúvida continuaremos a ver a confiança zero usada e mal utilizada em muitos contextos. Lembre-se, uma verdadeira postura de confiança zero não pode vir de um único produto ou solução, mesmo que seja comercializado dessa maneira. Na realidade, a confiança zero é um processo interativo contínuo baseado nos princípios descritos aqui que devem estar sempre evoluindo”, concluiu Leite.
