A confiança dos usuários digitais não pode mais ser avaliada com base apenas em seus locais físicos ou de rede. Essa é a abordagem Zero Trust para a segurança cibernética, uma arquitetura ou conjunto de princípios em torno do qual um número crescente de organizações está reestruturando suas defesas cibernéticas. Espera-se que o mercado de segurança baseado em Zero Trust registre uma taxa de crescimento anual composta (compound annual growth rate – CAGR) de 18% até 20261.

1 RESEARCH AND MARKETS. Zero Trust Security Market - Growth, Trends, COVID-19 Impact, and Forecasts (2021 - 2026). 2021.

A hora e a vez do Zero Trust

Globalmente, as empresas estão enfrentando as rápidas mudanças verificadas em decorrência das restrições da covid-19, incluindo a migração em massa para o trabalho remoto, um grande aumento nos ataques de ransomware, as práticas de uso de dispositivos pessoais e a proliferação de aplicativos hospedados em nuvem.

Essas tendências permitem que os invasores explorem falhas na segurança, impulsionadas principalmente pelo ritmo acelerado da transformação digital. Nos últimos cinco anos, intensificou-se a distribuição de dados e de fluxos de trabalho, enquanto os limites de segurança virtual mais tradicionais começaram a ser rompidos. À medida que os ativos individuais se tornaram mais difíceis de proteger, a frequência e o escopo dos ataques cibernéticos se multiplicaram, incluindo vários hacks de alto perfil que impactaram clientes e prejudicaram a reputação de diversas empresas. Até 2025, espera-se que os danos globais por crimes cibernéticos atinjam US$ 10,5 trilhões anualmente2.

Com uma abordagem Zero Trust, as empresas podem construir uma defesa “sem limites”, com medidas de proteção e confiança para todos os aspectos desse ecossistema, incluindo ativos, fluxos de trabalho e outros recursos.

O governo federal norte-americano já aprovou o conceito de Zero Trust. Um normativo para melhorar a segurança cibernética dos EUA menciona a necessidade do governo “avançar em direção à arquitetura Zero Trust” para modernizar suas estratégias nessa área, o que deve motivar empresas públicas e privadas norte-americanas a agirem da mesma forma3.

2 CYBERSECURITY VENTURES. Cybercrime To Cost The World $10.5 Trillion Annually By 2025. 2020.

3 EXECUTIVE ORDER 14028. Executive Order on Improving the Nation’s Cybersecurity. 2021.

Planejando a transição

As organizações não precisam mudar diretamente para o modelo Zero Trust. Elas podem introduzir seus princípios gradualmente e usá-los de maneira híbrida, a exemplo de muitas empresas, que devem trabalhar desta forma até que seus portfólios de aplicativos e serviços sejam modernizados. Conforme o processo de transição é iniciado, as empresas devem:

1. Estabelecer um centro de excelência Zero Trust

Muitas operações e a segurança da organização podem ser afetadas por um ataque cibernético. Por isso, os stakeholders devem planejar e implementar um modelo de Zero Trust que atue muito além da equipe de segurança. Lideranças das áreas de identidade, rede, desenvolvimento de aplicativos, tecnologia para dispositivos, arquitetura corporativa e de nuvem são alguns dos membros importantes de um centro de excelência em Zero Trust.

O centro deve desenvolver uma definição específica de Zero Trust para a empresa e seus princípios-chave, estabelecer o estado atual da situação e definir um roteiro de adoção e prioridades. As iniciativas devem incluir uma curva de maturidade em Zero Trust para comunicar as metas de maneira objetiva trimestralmente.

É esperado que o centro de excelência seja muito ativo nos primeiros dois ou três anos da jornada de transformação. Assim que a empresa começar a atuar com foco no modelo Zero Trust, o centro de excelência pode medir o avanço em relação às metas e continuar a guiar a adoção completa dessa abordagem.

2. Não começar pelas soluções

É necessário determinar as melhorias e quais componentes de Zero Trust fazem sentido na empresa, a partir de algumas perguntas-chave:

  • Como a segurança é validada?
  • Quem pode acessar as informações e por quê?
  • Como o acesso é definido?
  • Como está a confiança atual do ambiente interno?
  • Como os funcionários estão mudando?
  • Como o portfólio de aplicativos está se transformando?

3. Refletir sobre os itens de maior custo

  • Oportunidades de segmentação e microssegmentação do ecossistema
  • Adoção do princípio do privilégio mínimo
  • Monitoramento e visibilidade do tráfego em segmentos, por exemplo, leste-oeste (aplicativo/carga de trabalho para aplicativo/carga de trabalho no data center ou nuvem) e norte-sul (usuário para aplicativo/carga de trabalho).
  • Consolidação e padronização de serviços e dispositivos end-point.

4. Adaptar o escopo e a velocidade de implementação ao nível de maturidade da organização

Grandes organizações digitalmente avançadas ou indústrias altamente regulamentadas podem estar um passo à frente, com a adoção de medidas como identificação multifatorial e segmentação de rede. O próximo passo pode ser a melhoria da visibilidade e das informações sobre ameaças, com investimentos em soluções integradas para monitorar o ecossistema.

Já outras empresas, incluindo aquelas dentro de um mesmo grupo corporativo, podem não ser capazes de adotar totalmente o modelo Zero Trust devido à sua estrutura, serviços oferecidos, uso de air gap etc. No entanto, elas ainda podem iniciar sua jornada rumo ao Zero Trust aplicando os componentes que possam ser utilizados no momento.

Zero Trust é para todos

O modelo Zero Trust pode ajudar as empresas a resolver seus desafios mais urgentes de segurança cibernética e atuar em duas outras funções importantes: resolver muitos problemas de segurança cibernética já enfrentados há muitos anos e limitar o alcance de um ataque virtual, caso ele ocorra.

Caso nenhum segmento da empresa possa adotar integralmente o Zero Trust neste momento, é possível dar os primeiros passos para iniciar essa jornada. Dada a flexibilidade do modelo e de sua implementação, as organizações podem desenvolver a solução certa para atender às suas necessidades atuais, com muitas oportunidades de adaptação no futuro.

Entre em contato conosco

conecte-se conosco