Zero Trust e SASE vão redefinir experiência do usuário e decretar fim da VPN

CISOs destacam a transformação da Segurança por meio de novos conceitos proporcionados pela adoção da nuvem e pelo novo modelo de trabalho sem perímetro

Compartilhar:

Idealizada pelo Gartner em 2019, o Secure Access Service Edge (SASE) é uma abordagem de SI no qual há convergência dos recursos de segurança da web, da rede privada e dos aplicativos usados pelos funcionários, clientes e parceiros. Essa abordagem dá mais consistência e simplicidade à gestão e às políticas de proteção. 

 

É um conceito novo que tem tudo para voar em 2021, principalmente com a corrida para a nuvem, que já é uma realidade para a Segurança e facilitará a adoção do SASE. “O grande benefício da adoção da nuvem para a cibersegurança é a otimização de recursos, permitindo melhor gestão dos times de SI na utilização desses novos recursos”, pontua Hélio Takikawa, CISO do Banco Cetelem, durante mesa redonda da TVD, que trouxe o SASE como destaque na discussão.

 

“O SASE é um conceito e não uma ferramenta. É a junção de vários componentes para uma Segurança mais inteligente”, acrescenta Bruno Napolitano, CISO da SWAP. De acordo com o executivo, uma empresa já nascida em ambiente de computação em nuvem terá mais facilidade para adotar esses novos conceitos justamente por não precisar lidar com o legado da estrutura física de datacenters e outros recursos de TI.

 

Para os CISOs que participaram da discussão, a SI vive uma jornada para a nuvem, intensificada esse ano por conta da pandemia, e que poderá alavancar uma série de fatores. “As ferramentas de colaboração, baseadas em serviços web ou nuvem, transformaram a adoção de cloud uma necessidade de negócios e o foco da Segurança deve ser nos sistemas de autenticação dos usuários”, diz Danilo Magnani, gerente de Cybersecurity no Grupo Recovery.

 

E por falar em serviços, o modelo SaaS democratiza a entrega, inclusive do SASE. Fernando Zamai, Head de Segurança da Cisco, destaca esse ponto. “Antes, você quantificava esses recursos em termos de perímetro, hardware e outros parâmetros. Hoje, medimos pelo consumo de recursos de softaware as a service”.

 

Componente confiança zero

 

Uma das bases do SASE é o Zero Trust, conceito criado em 2010 pela Forrester Research, parte da premissa de que toda rede é insegura e os usuários devem ter acesso apenas aos aplicativos estritamente necessários ao seu trabalho. Uma visão oposta ao cenário atual, onde o usuário credenciado tem acesso total ao ambiente de trabalho. 

 

Na opinião de Rodrigo Rosa, Gerente de Defesa Cibernética da Petrobras, o Zero Trust e o SASE irão se impor como paradigma de Segurança da Informação por conta da falência da ideia de perímetro. “Não faz sentido basear a segurança de rede pelo alcance geográfico. Hoje, as empresas têm uma quantidade muito maior de funcionários, clientes e dados a serem compartilhados”, pontua o executivo durante uma mesa redonda realizada na semana passada pela TVD com destaque para a convergência do SASE com o Zero Trust.

 

Como essa tendência ganho mais relevância em 2020 por conta da pandemia e todas as mudanças trazidas por esse cenário ao dia a dia das empresas, o desafio de controlar acesso remoto ficou ainda maior.

 

“Como transformar num produto comercial um conceito no qual o usuário vai perder privilégios? Passa a impressão de falta de confiança nos funcionários, parceiros e clientes”, dispara o CISO da SumUp, Ricardo Castro. Mas ele defende o conceito explicando que a ideia é levar ao colaborador uma autonomia controlada, o que é diferente de bloquear acesso.

 

“Empresas nascidas após 2020 deveriam ter o Zero Trust e o SASE como base de sua estratégia de segurança”, completa o CISO da SumUp. 

 

A VPN morreu?

 

Segundo os debatedores, uma das consequências trazidas pelo trabalho remoto será o fim das VPNs, principal modelo de rede remota usada até agora nas empresas. Rui Borges, CISO da Vale, diz que essa arquitetura é ruim para o usuário e contou como a mineradora lidou com a questão do trabalho remoto: “Colocamos 40 mil pessoas para trabalhar de casa em apenas um fim de semana”, contou Borges.  

 

Ticiano Benetti, CISO da Natura, concorda com o colega da Vale: “As redes de escritório tinham a mesma segurança de uma lan house. É o fim da ideia de que uma rede é segura só porque tínhamos controle parcial dela. Precisamos pensar mais em modelos de autenticação e menos no alcance da rede como parâmetro da segurança de um ambiente virtual”. 

 

Thiago Cunha, diretor de vendas da Netskope comentou os desafios trazidos pela pandemia para a área de TI: “Não podemos confundir um conceito (zero trust) com um produto a ser comercializado. A nuvem causa essa confusão pois derruba o conceito de perímetro e permite a adoção de soluções que não são possíveis na estrutura usual de datacenters e servidores”. 

 

Já Rodrigo Jorge, CISO da Neoway, acredita que muitas falhas de segurança em nuvem acontecem porque empresas e usuários querem usar esses recursos da maneira como usavam as estruturas tradicionais de datacenter: “Não adianta replicar o modelo de estrutura física numa estratégia de segurança baseada em software, como é a da nuvem”. 

 

Pesquisa da Forrester Research mostrou que 85% do tráfego na Internet é por conta de SaaS. Até o cibercrime usa a nuvem para realizar ataques: 63% dos ataques cibernéticos ocorridos em 2020 foram em aplicações web, um crescimento de quatro pontos percentuais na comparação com 2019, segundo estudo da Netskope.

 

Benetti, da Natura, foi na mesma linha ao dizer que nada será como antes da pandemia. Para o CISO da empresa de cosméticos, muitas companhias tiveram mais produtividade e lucratividade com o trabalho remoto: “na Natura, estamos discutindo se após a pandemia, vamos trabalhar presencialmente duas ou três vezes por semana”. 

 

“Quem usa aplicativos como o Office 365 já abstraiu o conceito de perímetro. A questão é saber como você definirá quem e como esses aplicativos baseados em web serão usados”, completa Thiago Cunha, da Netskope, mais um a decretar o fim das VPNs e do perímetro como critério de segurança a ser adotado pelas empresas. 

 

Conteúdos Relacionados

Security Report | Destaques

Sistema de tickets da Telefónica é invadido por cibercriminosos

Incidente foi confirmado pela empresa em nota enviada à Security Report. De acordo com a mensagem, a investigação continua em...
Security Report | Destaques

Firjan adota microssegmentação como primeiro passo na recuperação de incidente

A Federação das Indústrias do Rio de Janeiro foi alvo de um ciberataque em maio de 2024, o que exigiu...
Security Report | Destaques

IA é ferramenta essencial na gestão de Segurança em cloud do Grupo Cosan

Durante apresentação de case de sucesso no Security Leaders Nacional, o Gerente de SI do conglomerado apontou como grande desafio...
Security Report | Destaques

Agência da ONU para Aviação Civil sofre ataque hacker

Devido ao incidente, dados de cerca de 12 mil indivíduos ligados à organização foram afetados. Por meio de comunicado, a...