A importância de implementar uma estratégia moderna de segurança, baseada em confiança zero (Zero Trust), permitindo a transformação segura e ágil dos negócios
Quem não se lembra do saudoso Flávio Silvino, grande ator brasileiro que interpretou o personagem que utilizava frequentemente o bordão “cara-crachá”? O objetivo do personagem era validar continuamente a existência de possíveis intrusos ou visitantes indesejados, cujos rostos não correspondiam ao crachá e poderiam assim trazer riscos ao ambiente.
Nesse caso, o personagem fazia uma validação contínua e em tempo real da veracidade da identidade do usuário, partindo da premissa que a pessoa em questão inicialmente não era confiável, até que todas as validações necessárias fossem bem-sucedidas. E como veremos a seguir, uma estratégia moderna de segurança, baseada em confiança zero (Zero Trust), permite realizar o “cara-crachá” no mundo digital.
Pense em um cenário com empresas e negócios distintos super conectados e interdependentes, onde usuários e colaboradores necessitam acessar dados e informações corporativas em tempo real, de qualquer lugar, com qualquer dispositivo, inclusive equipamentos pessoais.
Nesse cenário é preciso garantir que os acessos estejam devidamente protegidos, de onde quer que eles venham, seja da sua rede ou fora dela. Além disso, é fundamental validar continuamente se o usuário é realmente quem diz ser antes de acessar os dados.
Também é primordial garantir que o dispositivo e a rede em uso são suficientemente seguros, além de implementar as validações de segurança com a menor fricção possível para os usuários.
A fim de atingir os objetivos mencionados acima, temos que nos remeter ao ano de 2010. Foi nesse ano que a Forrester, empresa de pesquisa em tecnologia presente há mais de 40 anos no mercado, apresentou pela primeira vez o termo Zero Trust, ou “Confiança Zero”, em português.
Uma estratégia de Confiança Zero permite que usuários e dispositivos trabalhem de qualquer rede e de qualquer lugar mantendo o nível de segurança desejado pelo negócio. Nesse caso ocorre a execução do “cara-crachá” contínuo de usuários e dispositivos remotamente, sempre partindo da premissa de que todos os dispositivos e usuários, inicialmente, não são confiáveis. Essa abordagem viabiliza a mobilidade, agilidade e inovação sem renunciar à segurança e à proteção dos dados.
Engana-se quem imagina que para implementar uma estratégia de Confiança Zero basta adquirir e ativar soluções tecnológicas. A realidade é que antes de embarcar nessa jornada é preciso garantir engajamento das partes interessadas, e envolver diretores de Experiência, vice-presidentes e gerentes seniores, a fim de entender suas visões e prioridades para a segurança da organização.
Ao envolver as partes interessadas é possível obter o suporte e os recursos necessários, pois uma bem-sucedida jornada de Confiança Zero dependerá de mudanças culturais e da forma de trabalhar da organização. Por exemplo, se a empresa adota uma estratégia de trabalho híbrido, remoto e uso intensivo da nuvem, deve-se considerar formas de conexão, autenticação de usuários e validação do nível de segurança dos dispositivos utilizados, a fim de permitir o acesso seguro aos dados e informações, buscando a menor fricção possível para os usuários.
Sendo assim, a implementação de práticas de gerenciamento de mudanças é fundamental, pois garante a transição e aceitação suaves em toda a organização. Adicionalmente, fornecer treinamentos sobre as novas práticas de segurança e promover uma cultura consciente da segurança como responsabilidade compartilhada é primordial.
Além da prática do gerenciamento de mudanças anteriormente mencionada, adotar uma estratégia para avaliação de riscos de segurança é crucial, uma vez que permite identificar quais são os ativos críticos da organização e os locais de armazenamento de informações sensíveis e confidenciais.
Essa visão sistêmica sobre os riscos de segurança permite que as partes interessadas tomem melhores decisões sobre investimentos e priorização de controles de segurança. Por exemplo, pode fazer sentido priorizar a adoção de um segundo fator de autenticação e controles de segurança mais rígidos para toda interação de usuários que administram ambientes tecnológicos – ou que possuem acesso a informações sensíveis.
Por outro lado, talvez seja possível ser um pouco mais flexível no caso de usuários sem acesso privilegiado ou a informações e sistemas críticos.
Se voltarmos ao exemplo do ator Flávio Silvino, ele usava uma “tecnologia” já existente para implementar o modelo de validação contínuo (cara-crachá). Ou seja, vale considerar a avaliação das tecnologias em uso, já adquiridas, pagas e existentes no seu ambiente.
Se você já usa a nuvem como uma tecnologia relevante para suportar o seu negócio, saiba que normalmente existem controles de segurança nativos que suportam a adoção de uma estratégia de Confiança Zero, e muitas vezes sem custo adicional.
Isso mesmo, já presenciei casos de empresas que tinham a possibilidade de usar controles avançados de segurança e não estavam utilizando apenas por desconhecimento. A dica aqui é perguntar ao seu provedor de serviços de nuvem quais são os controles e tecnologias de segurança disponíveis para acelerar a adoção de uma estratégia de Confiança Zero.
Já para as equipes de tecnologia, é importante repensar a arquitetura da rede, as formas de gerenciar as identidades de usuários, os mecanismos de autenticação de usuários e dispositivos e os recursos de criptografia, além das capacidades de monitoramento. Afinal, o conjunto das tecnologias certas é crucial para se adequar ao modelo.
Como em qualquer mudança de cunho organizacional e cultural, espera-se que a adoção de uma estratégia de Confiança Zero traga consigo resultados positivos ao negócio, como, por exemplo, a redução dos riscos de segurança e os possíveis impactos causados por um incidente de segurança, além da comprovação do compromisso com a proteção de dados, a privacidade e a conformidade regulatória, evitando possíveis penalidades e danos à reputação.
No caso desse último objetivo, a modernização das práticas de segurança em uma estratégia de Confiança Zero tem como principal finalidade a proteção dos dados onde quer que eles estejam, independentemente do tipo de acesso, do usuário ou do dispositivo utilizado para acessar, processar ou armazenar informações.
Com isso, o atendimento a regulações como LGDP (Lei Geral de Proteção de Dados) e regulações setoriais de proteção de dados podem ser obtidas com menor fricção.
3 dicas para acelerar a adoção da Confiança Zero
Caro leitor, para você que chegou até aqui, deixo três dicas que podem acelerar a adoção bem-sucedida de uma estratégia de Confiança Zero:
1. Valide o que já está disponível: Se você usa soluções em nuvem, valide com seu provedor de serviços quais recursos de segurança já estão disponíveis, como, por exemplo, a existência de mecanismos de segundo fator de autenticação, recursos de automação, orquestração, monitoração e microsegmentação (prática de segurança que divide uma rede em segmentos menores e isolados para conter ataques à infraestrutura tecnológica).
2. Adote a política de menor privilégio possível: Ao adotar o princípio do menor privilégio, você concede aos usuários o nível mínimo de acesso necessário para realizar suas tarefas. Essa abordagem limita os possíveis danos que podem ser causados por contas comprometidas ou pessoas internas mal-intencionadas e cria uma consciência de segurança coletiva. Afinal, o menor privilégio protege o próprio usuário e toda a organização.
3. Monitore e analise continuamente os acessos: O monitoramento e as análises contínuas envolvem a coleta, análise e correlação de eventos e dados relacionados à segurança em todo o ambiente da sua organização. Esse princípio enfatiza a importância da visibilidade do comportamento do usuário, do tráfego de rede e das atividades do sistema para identificar anomalias e possíveis ameaças à segurança. Por exemplo, se ocorrer uma tentativa de acesso sem o segundo fator de autenticação configurado, como o alerta será gerado? Quem vai investigar? Afinal, pode ser o início de uma tentativa de ataque.
E lembre-se que uma estratégia de Confiança Zero permite transformar o negócio de forma ágil sem renunciar à segurança. Pelo contrário, estará modernizando as suas práticas de segurança. Agora deixo aqui mais duas reflexões para você: sua empresa já implementa uma estratégia de Confiança Zero? E você, como poderia implementar uma estratégia de Confiança Zero na sua vida pessoal?
Fonte: Exame.