Zero Trust: uma jornada que não pode ser uma desconfiança cega
Eder Souza (*)
O conhecimento é a chave para uma estratégia de Segurança da Confiança Zero, amplamente difundida como Zero Trust, que vem atraindo a atenção das organizações e assume, por padrão, que qualquer usuário ou dispositivo não é confiável para acessar a rede de sistemas e dados, mesmo que já tenha sido autenticado e autorizado. Nesta estratégia, todos necessitam, obrigatória e continuamente, serem verificados antes de qualquer atividade na rede corporativa.
A estratégia de confiança zero conforme é conhecida hoje é uma evolução das políticas de segurança cibernética estabelecidas ao longo dos anos, principalmente com o crescimento da Internet e do uso de sistemas de informação por organizações e empresas de todos os tipos e tamanhos.
Como o surgimento da computação em nuvem e da mobilidade empresarial, o fortalecimento da cibersegurança se fez ainda mais urgente porque os usuários conseguem acessar os sistemas de informação a partir de dispositivos conectados à rede, seja por meio de computadores e celulares da empresa ou trazidos pelos funcionários (BYOD - Bring Your Own Device), ou até remotamente, de casa, um recurso que se expandiu - e muito - durante a pandemia da COVID-19 e que se mantém como prática diária em boa parte das empresas.
Com as ameaças cibernéticas em crescendo largamente, adotar uma política de Zero Trust é hoje um ato mandatório. No entanto, ela não pode ser uma desconfiança cega, ou seja, ser implementada sem que empresas tenham conhecimento do que realmente acontece em seus domínios e que saiam bloqueando tudo e todos, indistintamente.
Há a necessidade, portanto, de se aplicar uma abordagem de micro segmentação, que é uma estratégia muito forte dentro do contexto de Zero Trust para que os usuários tenham acesso apenas ao que é necessário para suas atividades.
A micro segmentação eficiente
Para que a micro segmentação seja eficiente, as empresas necessitam ter conhecimento sobre a sua estrutura tecnológica. O primeiro passo é realizar a descoberta da rede de aplicações e de usuários em todas as áreas, definindo o que cada um representa e como podem e devem se comportar diante dos recursos de TI oferecidos, seguindo políticas de segurança bem definidas.
A partir da determinação dos fluxos de trabalho na rede, privilégios dos usuários e modelos de política de acesso é possível priorizar uma estratégia de bloqueio da movimentação lateral do cibercrime, que é o processo pelo qual os invasores se espalham a partir do ponto de entrada para o restante da rede.
O Zero Trust é uma jornada
Para implementar o conceito de Zero Trust, as empresas devem construir uma jornada que considere estes fatores: processos gerenciais, políticas de cibersegurança e acesso; capacitação e engajamento das pessoas; e tecnologias, aquelas que irão possibilitar a automação, monitoramento e controle das atividades envolvidas na cibersegurança.
As tecnologias devem ser um ponto de atenção importante porque é a parte do projeto que vai garantir que tudo funcione dentro da estratégia. Ela envolve investimentos, capacitação das equipes para a sua utilização e conhecimento das suas capacidades e limitações. Como o mercado oferece uma infinidade de opções, é importante saber o que a empresa realmente necessita para a sua cibersegurança e quais as tecnologias atendem aos requisitos definidos. Certamente, ela já possui praticamente boa parte das ferramentas tecnológicas necessárias. O que é importante aqui é conhecer o que elas podem fazer para atender à abordagem Zero Trust.
Além disso, é necessário testar as tecnologias de segurança para verificar se elas estão funcionando adequadamente, entregando a capacidade de resposta necessária e possíveis ataques e apurar se são eficazes na prevenção e detecção de ameaças.
Zero Trust exige planejamento.
Sendo uma jornada contínua, o Zero Trust exige que se dê um passo atrás para determinar a necessidade da empresa com esta abordagem. Em seguida, os gestores devem estabelecer uma estratégia que leve em conta todos os processos de negócio e suas necessidades.
Não é necessário implantar a abordagem Zero Trust tudo de uma vez. Prudente é Iniciar com projetos pilotos em áreas críticas da organização para não desperdiçar tempo e dinheiro com coisas enormes e ineficientes quando o simples pode ser mais eficiente.
Uma abordagem incremental é importante nesta hora para saber como melhorar os processos continuamente, como uma jornada de futuro. Sem este entendimento não será possível obter uma estratégia de Zero Trust confiável.
(*) CTO da e-Safer.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>
Adicionar comentário