Eder Souza (*)
O conhecimento é a chave para uma estratégia de Segurança da Confiança Zero, amplamente difundida como Zero Trust, que vem atraindo a atenção das organizações e assume, por padrão, que qualquer usuário ou dispositivo não é confiável para acessar a rede de sistemas e dados, mesmo que já tenha sido autenticado e autorizado. Nesta estratégia, todos necessitam, obrigatória e continuamente, serem verificados antes de qualquer atividade na rede corporativa.
A estratégia de confiança zero conforme é conhecida hoje é uma evolução das políticas de segurança cibernética estabelecidas ao longo dos anos, principalmente com o crescimento da Internet e do uso de sistemas de informação por organizações e empresas de todos os tipos e tamanhos.
Como o surgimento da computação em nuvem e da mobilidade empresarial, o fortalecimento da cibersegurança se fez ainda mais urgente porque os usuários conseguem acessar os sistemas de informação a partir de dispositivos conectados à rede, seja por meio de computadores e celulares da empresa ou trazidos pelos funcionários (BYOD – Bring Your Own Device), ou até remotamente, de casa, um recurso que se expandiu – e muito – durante a pandemia da COVID-19 e que se mantém como prática diária em boa parte das empresas.
Com as ameaças cibernéticas em crescendo largamente, adotar uma política de Zero Trust é hoje um ato mandatório. No entanto, ela não pode ser uma desconfiança cega, ou seja, ser implementada sem que empresas tenham conhecimento do que realmente acontece em seus domínios e que saiam bloqueando tudo e todos, indistintamente.
Há a necessidade, portanto, de se aplicar uma abordagem de micro segmentação, que é uma estratégia muito forte dentro do contexto de Zero Trust para que os usuários tenham acesso apenas ao que é necessário para suas atividades.
A micro segmentação eficiente
Para que a micro segmentação seja eficiente, as empresas necessitam ter conhecimento sobre a sua estrutura tecnológica. O primeiro passo é realizar a descoberta da rede de aplicações e de usuários em todas as áreas, definindo o que cada um representa e como podem e devem se comportar diante dos recursos de TI oferecidos, seguindo políticas de segurança bem definidas.
A partir da determinação dos fluxos de trabalho na rede, privilégios dos usuários e modelos de política de acesso é possível priorizar uma estratégia de bloqueio da movimentação lateral do cibercrime, que é o processo pelo qual os invasores se espalham a partir do ponto de entrada para o restante da rede.
O Zero Trust é uma jornada
Para implementar o conceito de Zero Trust, as empresas devem construir uma jornada que considere estes fatores: processos gerenciais, políticas de cibersegurança e acesso; capacitação e engajamento das pessoas; e tecnologias, aquelas que irão possibilitar a automação, monitoramento e controle das atividades envolvidas na cibersegurança.
As tecnologias devem ser um ponto de atenção importante porque é a parte do projeto que vai garantir que tudo funcione dentro da estratégia. Ela envolve investimentos, capacitação das equipes para a sua utilização e conhecimento das suas capacidades e limitações. Como o mercado oferece uma infinidade de opções, é importante saber o que a empresa realmente necessita para a sua cibersegurança e quais as tecnologias atendem aos requisitos definidos. Certamente, ela já possui praticamente boa parte das ferramentas tecnológicas necessárias. O que é importante aqui é conhecer o que elas podem fazer para atender à abordagem Zero Trust.
Além disso, é necessário testar as tecnologias de segurança para verificar se elas estão funcionando adequadamente, entregando a capacidade de resposta necessária e possíveis ataques e apurar se são eficazes na prevenção e detecção de ameaças.
Zero Trust exige planejamento.
Sendo uma jornada contínua, o Zero Trust exige que se dê um passo atrás para determinar a necessidade da empresa com esta abordagem. Em seguida, os gestores devem estabelecer uma estratégia que leve em conta todos os processos de negócio e suas necessidades.
Não é necessário implantar a abordagem Zero Trust tudo de uma vez. Prudente é Iniciar com projetos pilotos em áreas críticas da organização para não desperdiçar tempo e dinheiro com coisas enormes e ineficientes quando o simples pode ser mais eficiente.
Uma abordagem incremental é importante nesta hora para saber como melhorar os processos continuamente, como uma jornada de futuro. Sem este entendimento não será possível obter uma estratégia de Zero Trust confiável.
(*) CTO da e-Safer.