Zero Trust: uma jornada que não pode ser uma desconfiança cega

O conhecimento é a chave para uma estratégia de Segurança da Confiança Zero, amplamente difundida como Zero Trust, que vem atraindo a atenção das organizações e assume, por padrão, que qualquer usuário ou dispositivo não é confiável para acessar a rede de sistemas e Dados, mesmo que já tenha sido autenticado e autorizado. Nesta estratégia, todos necessitam, obrigatória e continuamente, serem verificados antes de qualquer atividade na rede corporativa.

A estratégia de confiança zero conforme é conhecida hoje é uma evolução das políticas de segurança cibernética estabelecidas ao longo dos anos, principalmente com o crescimento da Internet e do uso de sistemas de informação por organizações e empresas de todos os tipos e tamanhos.

Como o surgimento da computação em Nuvem e da mobilidade empresarial, o fortalecimento da cibersegurança se fez ainda mais urgente porque os usuários conseguem acessar os sistemas de informação a partir de dispositivos conectados à rede, seja por meio de computadores e celulares da empresa ou trazidos pelos funcionários (BYOD – Bring Your Own Device), ou até remotamente, de casa, um recurso que se expandiu – e muito – durante a pandemia da Covid-19 e que se mantém como prática diária em boa parte das empresas.

Com as ameaças cibernéticas em crescendo largamente, adotar uma política de Zero Trust é hoje um ato mandatório. No entanto, ela não pode ser uma desconfiança cega, ou seja, ser implementada sem que empresas tenham conhecimento do que realmente acontece em seus domínios e que saiam bloqueando tudo e todos, indistintamente.

Há a necessidade, portanto, de se aplicar uma abordagem de micro segmentação, que é uma estratégia muito forte dentro do contexto de Zero Trust para que os usuários tenham acesso apenas ao que é necessário para suas atividades.

A micro segmentação eficiente
Para que a micro segmentação seja eficiente, as empresas necessitam ter conhecimento sobre a sua estrutura tecnológica. O primeiro passo é realizar a descoberta da rede de aplicações e de usuários em todas as áreas, definindo o que cada um representa e como podem e devem se comportar diante dos recursos de TI oferecidos, seguindo políticas de segurança bem definidas.

A partir da determinação dos fluxos de trabalho na rede, privilégios dos usuários e modelos de política de acesso é possível priorizar uma estratégia de bloqueio da movimentação lateral do cibercrime, que é o processo pelo qual os invasores se espalham a partir do ponto de entrada para o restante da rede.

O Zero Trust é uma jornada
Para implementar o conceito de Zero Trust, as empresas devem construir uma jornada que considere estes fatores: processos gerenciais, políticas de cibersegurança e acesso; capacitação e engajamento das pessoas; e tecnologias, aquelas que irão possibilitar a automação, monitoramento e controle das atividades envolvidas na cibersegurança.

As tecnologias devem ser um ponto de atenção importante porque é a parte do projeto que vai garantir que tudo funcione dentro da estratégia. Ela envolve investimentos, capacitação das equipes para a sua utilização e conhecimento das suas capacidades e limitações. Como o mercado oferece uma infinidade de opções, é importante saber o que a empresa realmente necessita para a sua cibersegurança e quais as tecnologias atendem aos requisitos definidos. Certamente, ela já possui praticamente boa parte das ferramentas tecnológicas necessárias. O que é importante aqui é conhecer o que elas podem fazer para atender à abordagem Zero Trust.

Além disso, é necessário testar as tecnologias de segurança para verificar se elas estão funcionando adequadamente, entregando a capacidade de resposta necessária e possíveis ataques e apurar se são eficazes na prevenção e detecção de ameaças.

Zero Trust exige planejamento
Sendo uma jornada contínua, o Zero Trust exige que se dê um passo atrás para determinar a necessidade da empresa com esta abordagem. Em seguida, os gestores devem estabelecer uma estratégia que leve em conta todos os processos de negócio e suas necessidades.

Não é necessário implantar a abordagem Zero Trust tudo de uma vez. Prudente é iniciar com projetos pilotos em áreas críticas da organização para não desperdiçar tempo e dinheiro com coisas enormes e ineficientes quando o simples pode ser mais eficiente.

Uma abordagem incremental é importante nesta hora para saber como melhorar os processos continuamente, como uma jornada de futuro. Sem este entendimento não será possível obter uma estratégia de Zero Trust confiável.

Por Eder Souza, CTO da e-Safer.