Muitas empresas não sabem como implementar Zero Trust, diz Gartner

De acordo com o Gartner, 63% das organizações em todo o mundo implementaram total ou parcialmente uma estratégia de confiança zero (Zero Trust). Para 78% das organizações que implementam essa estratégia, os investimentos representam menos de 25% do orçamento geral de segurança cibernética.

Uma pesquisa do Gartner do quarto trimestre de 2023 com 303 líderes de segurança cujas organizações já implementaram (total ou parcialmente) ou planejam implementar uma estratégia Zero Trust descobriu que 56% das organizações estão buscando essa estratégia principalmente porque ela é citada como uma prática recomendada do setor.

“Apesar dessa crença, as empresas não têm certeza de quais são as principais práticas para implementações de confiança zero”, afirmou John Watts, analista vice-presidente do Gartner. “Para a maioria das organizações, uma estratégia de confiança zero normalmente aborda metade ou menos do ambiente de uma organização e reduz um quarto ou menos do risco corporativo geral”, comentou.

O Gartner delineou três recomendações principais de práticas de topo para líderes de segurança que implementam uma estratégia de confiança zero.

Prática 1: Estabeleça o escopo para uma estratégia de confiança zero cedo

Para implementar com sucesso a confiança zero, as organizações precisam entender quanto do ambiente elas cobrem, quais domínios estão no escopo e quanto risco podem mitigar.

O escopo de uma estratégia de confiança zero normalmente não inclui todo o ambiente de uma organização. No entanto, 16% dos entrevistados disseram que cobrirá 75% ou mais, enquanto apenas 11% acreditam que cobrirá menos de 10% do ambiente da organização.

“O escopo é a decisão mais crítica para uma estratégia de confiança zero”, disse Watts. “O risco empresarial é muito mais amplo do que o escopo dos controles de confiança zero, e apenas muito risco empresarial pode ser mitigado. No entanto, medir a redução de riscos e melhorar a postura de segurança é um indicador-chave de sucesso para controles de confiança zero”, observou.

Prática 2: Comunique o sucesso por meio de métricas estratégicas e operacionais de confiança zero

Setenta e nove por cento das organizações que implementaram total ou parcialmente a confiança zero, têm métricas estratégicas para medir o progresso e, desses 79%, 89% têm métricas para medir o risco.

Os líderes de segurança também devem ter seu público em mente ao comunicar essas métricas. Cinquenta e nove por cento das iniciativas de confiança zero são patrocinadas pelo CIO ou CEO/presidente/conselho de administração.

“As métricas de confiança zero devem ser adaptadas para os resultados de confiança zero, em vez de métricas de rehashing usadas para outras áreas, como a eficácia da detecção e resposta de endpoint”, disse Watts. “Os esforços de confiança zero proporcionam resultados específicos – como a redução do movimento lateral do malware em uma rede – muitas vezes não capturados pelas métricas de segurança cibernética existentes”,observou.

Prática 3: Antecipar aumentos de pessoal e custos, mas não atrasos

Sessenta e dois por cento das organizações antecipam que seu custo aumentará e 41% das organizações esperam que seus requisitos de pessoal também aumentem como resultado de uma implementação de confiança zero.

“Os impactos orçamentários das organizações que adotam uma estratégia de confiança zero variam de acordo com o escopo da implementação, bem como o quão robusta é a estratégia de confiança zero no início do processo de planejamento”, disse Watts. “As iniciativas de confiança zero afetam inerentemente o orçamento, à medida que as organizações adotam uma abordagem sistêmica e iterativa para amadurecer suas políticas em direção a controles adaptativos e baseados em risco, adicionando sobrecarga à carga operacional contínua da organização”, afirmou.

Embora apenas 35% das organizações tenham dito que encontraram uma falha que interrompeu a implementação de sua estratégia de confiança zero, as organizações devem ter um plano estratégico delineando métricas operacionais e medir a eficácia das políticas de confiança zero para minimizar os atrasos.