Gustavo Leite, country manager da Veritas Brasil, alerta para o uso equivocado do termo confiança zero, algo que pode abrir vulnerabilidades
A confiança zero ou o chamado Zero Trust não é um conceito novo dentro da área de cibersegurança. No entanto, ele tem sido empregado, na visão de Gustavo Leite, country manager da Veritas no Brasil, muitas vezes de forma equivocada. Essa inadequação pode, inclusive, ser uma ameaça à seguranças das informações. É um erro comum, diz o executivo, achar que o Zero Trust pode ser comprado ou baixado como um único produto ou serviço.
“Vejo que está sendo usado para tudo, desde nomes de produtos e empresas até categorias de tecnologia mais amplas e funcionalidades — está em toda parte. Com todo esse uso e, francamente, mau uso, o verdadeiro significado tornou-se turvo e confuso. Um equívoco particularmente problemático é que a confiança zero poderia ser comprada ou baixada como um único produto. Esse marketing é errado e enganoso”, alerta.
A confiança zero parte do pressuposto que não se deve confiar em nenhum dispositivo ou usuário por padrão, mesmo que estejam dentro de uma rede corporativa. Ela também abrange tecnologias, produtos, práticas e recursos que precisam ser incorporados não apenas aos produtos e serviços, mas à cultura e aos processos de toda a empresa.
“O que mais me preocupa”, diz Leite, “é como isso tende a fazer as empresas pensarem que seus dados estão seguros porque implementaram uma solução de confiança zero, quando, na verdade eles ainda são extremamente vulneráveis porque um único produto sozinho não equivale a uma postura de confiança zero”, acrescentou.
Na lista abaixo, o executivo destaca seis etapas para implementar uma estratégia de confiança zero de ponta a ponta.
Os departamentos da empresa toda devem estar alinhados com as prioridades, parâmetros e com as políticas de acesso e segurança. Cada conexão — de dados a usuários e dispositivos a aplicativos, cargas de trabalho e redes — deve ser arquitetada com uma estratégia de confiança zero e deve ter a capacidade de evoluir conforme necessário.
As organizações devem criar uma equipe de confiança zero multifuncional dedicada, encarregada de planejar e implementar uma migração de confiança zero. Essa equipe deve incluir membros de segurança de aplicativos e dados, infraestrutura e governança de identidade e segurança de rede, mas também deve envolver outras áreas de TI. A equipe deve fazer avaliações regulares do inventário para orientar a governança e a aplicação, o que requer total apoio da liderança.
A TI deve garantir que os processos e procedimentos corretos estejam em vigor para a governança de identidade. Outro elemento importante é limitar o acesso a backups, especialmente backups de dados críticos para os negócios, e atribuir acesso estrategicamente apenas a grupos que precisam dele.
As organizações devem tornar fácil e transparente a educação e a informação de todos os funcionários. Eles devem exigir treinamento de confiança zero para todos os colaboradores, parceiros e fornecedores, para que a mentalidade seja definida em toda a organização e cadeia de valor.
A TI deve procurar tecnologia que tenha o conceito de confiança zero integrado em todas as partes de sua plataforma, em vez de simplesmente anunciar “confiança zero” como um recurso ou benefício. A tecnologia deve ajudar a monitorar o acesso, controles de privilégios e proteção de sistemas, além de fornecer visibilidade completa por meio de mecanismos como microssegmentação e controles de acesso a dispositivos.
As organizações devem revisar e refinar regularmente suas estratégias de confiança zero — nunca esquecendo que a confiança zero precisa ser um processo interativo.
