Apenas 10% das grandes corporações terão Zero Trust maduro em 2026, prevê Gartner

Segurança Zero Trust é uma prioridade para a maioria das organizações como uma estratégia crítica para reduzir o risco, mas poucas organizações realmente concluíram as implementações dessa tecnologia. O Gartner prevê que até 2026, apenas 10% das grandes empresas terão um programa maduro e mensurável de segurança Zero Trust em vigor, acima dos menos de 1% atuais.

O Gartner define Zero Trust como um paradigma de segurança que identifica explicitamente usuários e dispositivos e concede a eles a quantidade certa de acesso para que a empresa possa operar com o mínimo de atrito enquanto os riscos são reduzidos.

“Muitas organizações estabeleceram sua infraestrutura com modelos de confiança implícitos em vez de explícitos para facilitar o acesso e as operações de funcionários e cargas de trabalho. Os invasores abusam dessa confiança implícita na infraestrutura para estabelecer malware e, em seguida, mover-se lateralmente para atingir seus objetivos”, disse John Watts, VP Analyst do Gartner. “O Zero Trust é uma mudança de pensamento para enfrentar essas ameaças, exigindo confiança continuamente avaliada, explicitamente calculada e adaptável entre usuários, dispositivos e recursos”, explicou.

Para ajudar as organizações a completar o escopo de suas implementações Zero Trust, é fundamental que os diretores de segurança da informação (CISOs) e os líderes de gerenciamento de risco comecem desenvolvendo uma estratégia Zero Trust eficaz, que equilibre a necessidade de segurança com a necessidade de administrar os negócios.

“Significa começar com a estratégia de uma organização e definir um escopo para programas Zero Trust”, disse Watts. “Depois que a estratégia é definida, os CISOs e os líderes de gerenciamento de risco devem começar com a identidade – é fundamental para o Zero Trust. Eles também precisam melhorar não apenas a tecnologia, mas também as pessoas e os processos para construir e gerenciar essas identidades. No entanto, CISOs e líderes de gerenciamento de risco não devem presumir que o Zero Trust eliminará as ameaças cibernéticas. Em vez disso, ele apenas reduz o risco e limita os impactos de um ataque”, observou.

Os analistas do Gartner preveem que, até 2026, mais da metade dos ataques cibernéticos serão direcionados a áreas que os controles Zero Trust não cobrem e não podem mitigar. “A superfície de ataque corporativo está se expandindo mais rapidamente e os invasores considerarão rapidamente direcionar e direcionar ativos e vulnerabilidades fora do escopo das arquiteturas Zero Trust (ZTAs)”, disse Jeremy D’Hoinne, VP  e analista do Gartner.” Isso pode assumir a forma de varredura e exploração de APIs voltadas para o público ou direcionamento de funcionários por meio de engenharia social, intimidação ou exploração de falhas devido aos funcionários que criam seu próprio ‘desvio’ para evitar políticas rigorosas de Zero Trust”, comentou.

O Gartner recomenda que as organizações implementem Zero Trust para melhorar a mitigação de riscos para os ativos mais críticos primeiro, pois é aí que ocorrerá o maior retorno da mitigação de riscos. No entanto, o Zero Trust não resolve todas as necessidades de segurança. CISOs e líderes de gerenciamento de risco também devem executar um programa de gerenciamento de exposição contínua a ameaças (CTEM) para melhor inventariar e otimizar sua exposição a ameaças além do escopo do ZTA.

Serviço
www.gartner.com