O Gartner estimou que 10% das empresas terão programas maduros e mensuráveis de Zero Trust até 2026, contra menos de 1% aplicado atualmente. Em contrapartida, os principais players de tecnologia apostam nesse conceito como um item fundamental para proteger as infraestruturas contra ataques cibernéticos. De fato, as expectativas em torno da confiança zero seguem trazendo divergências entre os especialistas, com uma lacuna entre a necessidade de monitoramento dos acessos e a aplicação prática de soluções para este fim.
Para o Country Manager Brasil da Appgate, Marcos Tabajara, a explicação para esse fenômeno está em um problema bastante comum do mercado de Segurança da Informação: a falta de uma definição clara do que é a técnica e até onde ela pode chegar. Segundo ele, apesar do crescimento, as dúvidas sobre o conceito impedem um aumento maior.
“Zero Trust é um paradigma. E como todo paradigma, pode ser soar como uma inovação confusa. Isso é uma situação comum, pois todas as tecnologias de amadurecimento carregam certa falta de clareza. É esse o problema que desacelera muito a aplicação dessa tecnologia nas empresas”, comenta Tabajara em entrevista para a Security Report.
Um dos grandes problemas de aplicação da confiança zero nos acessos está em alinhar esse conceito de Segurança da Informação com os fluxos intensos de trabalhos no cerne de uma companhia. Assim, quanto mais complexa for a infraestrutura da organização, mais difícil se torna aplicar a confiança zero em larga escala.
Daí o aumento dos ataques em setores desalinhados com a tecnologia, como o Gartner percebeu. Estima-se que, nesse mesmo período de quatro anos, mais da metade dos ataques cibernéticos focarão em zonas de pouco ou nenhum controle de confiabilidade.
Nesse ponto, a análise propõe ir além de apenas aplicar métodos de restrição de acesso, sugerindo a aplicação de programas de Continuous Threat Exposure Management (CTEM). “Este é um dos primeiros passos para um programa maduro e mensurável de Zero Trust. Nisso, um processo contínuo de validação e revalidação de confiança e de privilégio mínimo será a base de continuidade e ampliação desses programas”, analisou Tabajara.
O Country Manager afirma que os próximos passos para o conceito envolvem ampliar cada vez mais o convencimento de sua importância em Cyber Security. “Isso ocorrerá conforme as empresas, independentemente do tamanho, entenderem como funcionam arquiteturas como essas e os benefícios criados à privacidade dos dados”, disse.
Zero Trust em ação
O Gartner também recomendou uma atuação direta dos líderes de SI na implementação de estruturas Zero Trust, pensando em estratégias eficazes para manter o regime de acessos sob controle sem comprometer o pleno funcionamento da corporação.
A questão foi abordada durante o Congresso Security Leaders Nacional. O estudo de caso entre o Banco Inter e a Zscaler tratava justamente da criação de práticas para o controle de entradas e saídas dos usuários, algo bastante necessário no mercado financeiro. Durante o processo de digitalização das operações bancárias, o Inter precisava reduzir a exposição dos acessos e buscou desenvolver uma cultura de confiança zero a partir de soluções externas.
“Era uma premissa tirar essas validações de dentro do ambiente. Então, a performance está toda movida na nuvem do parceiro para fazer esse controle. Minha preocupação é apenas com as regras a serem habilitadas e como será a minha reação diante do alerta. Esse foi o ponto primordial para o nosso projeto”, comentou Douglas Rocha, Gerente Executivo de SI do Inter, durante a apresentação do estudo de caso.
