O princípio orientador de confiança zero – “nunca confie, verifique sempre” – se tornou uma prática essencial para proteger as complexas e diversificadas redes de nuvem atuais. Há pouco tempo, você poderia trancar a porta de entrada de sua empresa, confiante de que todas as suas informações valiosas estavam seguras nessas paredes. Então vieram laptops e discos e paus de memória – e a cada vez que você ouvia uma história sobre alguém deixando segredos de estado em um trem em algum lugar. Hoje, os dados de sua empresa estão disponíveis potencialmente em qualquer lugar com conectividade. E com o aumento sem precedentes das forças de trabalho remotas e distribuídas, "em qualquer lugar" pode literalmente ser "em qualquer lugar do mundo".

Hoje em dia, as melhores soluções de software são executadas na nuvem – para dizer nada dos milhões de dispositivos e ativos conectados nas redes industriais de IoT do mundo. E embora os aplicativos na nuvem não sejam normalmente menos seguros do que os on premise – muito pelo contrário, de fato – há novos riscos no mundo conectado de hoje. As tecnologias digitais e de nuvem ampliaram o que os especialistas em segurança chamam de superfície de ataque de cada organização.

Os protocolos tradicionais de segurança cibernética foram modelados com base na ideia de os usuários passarem pela segurança na porta de entrada virtual da empresa e, em seguida, terem a execução do local assim que entraram. Em outras palavras, eles foram desenvolvidos em um mundo pré-nuvem. Mas agora há mais pontos de acesso – o telefone pessoal de um funcionário ou uma impressora de IoT pode ser um portal potencial – e as empresas tiveram que reprimir suas estratégias de segurança. Com ataques cibernéticos em alta recorde, a segurança da rede deve estar em uma posição prioritária no topo da sua lista de tarefas. A implementação sem confiança requer compromisso e colaboração em toda a empresa.

Zero trust: definição e estratégia

John Kindervag estava trabalhando como analista na Forrester Research em 2010 – em um momento em que aplicativos em nuvem e dispositivos IoT estavam começando seu rápido crescimento. A Kindervag reconheceu com razão a enorme sensibilidade e valor dos dados e da propriedade intelectual mantidos nos sistemas da Forrester. Em resposta a esse crescente risco, ele cunhou o termo confiança zero e liderou o desenvolvimento de muitos de seus princípios centrais.

A confiança zero pode ser definida como um modelo de segurança de TI que exige que todos os usuários e dispositivos potencialmente conectados verifiquem rigorosamente sua identidade se estão dentro ou fora dos perímetros da empresa. A arquitetura zero trust (ZTA) conta com um conjunto de processos e protocolos, bem como soluções e ferramentas digitais dedicadas para alcançar o sucesso.

Zero trust network access (ZTNA) é a aplicação da arquitetura zero trust que o Gartner define como a criação de "um limite de acesso lógico baseado em identidade e contexto em torno de um aplicativo ou conjunto de aplicativos". Isso remove esses aplicativos da visão pública e permite somente os usuários que são verificados e que aderem às políticas de acesso pré-especificadas.

Mas, na realidade, a confiança zero começa como uma transformação cultural dentro de sua organização. Nós tendemos a pensar na segurança cibernética em termos de maus atores que se esforçam intencionalmente para causar danos, mas infelizmente, muitas vezes é ignorância em vez de malevolência que leva a risco e perda. De fato, um relatório recente mostra um aumento de 48% nos ataques por e-mail no primeiro semestre de 2022, em que os funcionários foram atraídos para golpes ou detalhes divulgados como resultado do phishing. Isso ilustra por que a educação e a adesão cultural são um componente tão crítico da implementação de confiança zero.

Por que os princípios de confiança zero são tão necessários agora?

Há pouca dúvida de que os ataques cibernéticos estão em alta. Em 2022, uma grande pesquisa foi realizada envolvendo 1.200 grandes organizações em 14 setores diferentes e 16 países. Apesar de priorizar a segurança cibernética, muitos dos entrevistados admitiram ter segurança inadequada. De fato, os resultados mostraram um aumento alarmante de 20,5% no número de violações materiais nos meses entre 2020 e 2021.

A seguir estão alguns dos outros desafios de segurança que as empresas de hoje enfrentam:

• Firewalls legados. Muitas empresas dependem excessivamente de firewalls que antecedem a proliferação da conectividade na nuvem. As VPNs são uma ajuda de banda viável para aumentar os firewalls, mas não são uma solução eficaz a longo prazo devido ao seu escopo limitado e tendência a retardar o desempenho do aplicativo empresarial, o que, por sua vez, afeta a produtividade dos funcionários.
• Complexidade de verificação. O software independente de dispositivo é ótimo para os usuários, mas adiciona uma camada complexa aos protocolos de segurança. Mesmo quando os usuários têm telefones e laptops da empresa, eles são apenas tão seguros quanto os protocolos de verificação e segurança que estão em vigor para protegê-los.
• Dispositivos de terceiros. Com a pandemia, toda a força de trabalho foi enviada para trabalhar de casa – quase da noite para o dia. Muitas empresas não tinham escolha a não ser permitir que os funcionários usassem seus próprios computadores e dispositivos. Em muitos casos, soluções alternativas de segurança foram estabelecidas para manter o negócio funcionando e as luzes acesas. Mas para muitas empresas, eles ainda não desvendaram essas medidas temporárias e implementaram medidas de confiança zero mais à prova de balas para seus trabalhadores remotos.
• Aplicativos não autorizados. O uso de aplicativos de negócios SaaS está em uma trajetória ascendente constante. Infelizmente, muitas equipes de TI são esticadas, muitas vezes fazendo com que os usuários recorram a comprar seus próprios aplicativos e usá-los dentro da rede da empresa, sem informar suas equipes de TI. Não só esses aplicativos não estão sujeitos a práticas rígidas de confiança zero, mas também podem ter ignorado completamente as medidas de segurança.

• Conectividade IoT. Um dispositivo IoT industrial pode ser tão simples quanto um ventilador ou uma máquina de solda. Como esses dispositivos não são considerados um “computador” de qualquer tipo, os usuários podem facilmente esquecer que são um potencial ponto de acesso à rede da empresa. A arquitetura Zero Trust coloca em prática automações e processos que garantem a segurança de todos os pontos de acesso, máquinas e ativos de IoT.
• Portais omnichannel. Os colaboradores não são os únicos na nuvem empresarial. Cada vez mais, vemos dispositivos conectados, como prateleiras inteligentes nas lojas, e aplicativos móveis "pagam em qualquer lugar". Qualquer um desses portais omnichannel representa risco. A confiança zero ajuda a garantir esses riscos sem inconvenientes indevidos ou atrasos para seus clientes.
• Desafios de segurança do ERP. Nos anos anteriores, os sistemas ERP estavam limitados a determinadas tarefas de planejamento e finanças e tinham um conjunto limitado de usuários na empresa. No entanto, os melhores sistemas Cloud ERP da atualidade são orientados por IA, funções analíticas avançadas e bancos de dados poderosos e escaláveis. Eles têm a capacidade de se integrar a diferentes aplicações e sistemas em toda a empresa e estão sendo cada vez mais aproveitados para otimizar e simplificar todas as áreas operacionais. Os sistemas ERP modernos têm sistemas de segurança avançados integrados, mas como qualquer sistema, eles têm vulnerabilidades que só são compostas por alcance e acessibilidade mais amplos. Princípios de confiança zero, quando aplicados à forte segurança do Cloud ERP, ajudam a proteger seus negócios em todos os estágios.

Como funciona a confiança zero?

A confiança zero combina um conjunto de tecnologias e protocolos, como autenticação multifator, soluções de segurança de endpoint e ferramentas baseadas em nuvem para monitorar e verificar uma variedade de atributos e identidades – de usuários a pontos de acesso. A confiança zero também requer a criptografia de dados, e-mails e cargas de trabalho para garantir sua segurança. Essencialmente, protocolos de confiança zero:

• Controle e limite o acesso à rede de qualquer pessoa, em qualquer lugar, por meio de qualquer dispositivo ou ativo
• Verificar qualquer usuário ou ativo que tenha ou possa ter acesso a qualquer nível da rede
• Registrar e inspecionar todo o tráfego de rede em tempo real

Um modelo de segurança de confiança zero usa uma política de necessidade de saber. Essencialmente, isso significa que os usuários só têm acesso aos dados e aplicativos de que precisam para realizar seus trabalhos. E mais uma vez, a tecnologia é a espada de dois gumes na corrida por melhor segurança cibernética. À medida que as soluções digitais e a conectividade melhoram, elas criam uma superfície de ataque maior, portanto, tecnologias de segurança melhores e mais rápidas são necessárias para acompanhar. E não apenas acompanhar, mas também causar o mínimo de inconvenientes e interrupções para o usuário. Isso requer políticas de segurança altamente ágeis e dinâmicas, suportadas por informações contextuais e pela quantidade máxima de pontos de dados disponíveis – e em tempo real. Quem é essa pessoa? Onde eles estão? O que eles estão tentando acessar? Por que eles precisam desse acesso? Em qual dispositivo ou ponto de extremidade eles estão entrando?

Benefícios das soluções de confiança zero

No seu mais grave, as violações de dados podem ser catastróficas. Os dados privados de seus clientes estão em jogo, assim como suas finanças, sua propriedade intelectual e, claro, sua boa reputação. Como seguros, os investimentos em segurança podem parecer uma grande despesa... até que você precise deles. E então eles parecem um pequeno preço a pagar para proteger seu negócio.

Alguns dos muitos benefícios das soluções de confiança zero incluem:

• Protegendo as forças de trabalho híbridas e remotas. Discutimos como trabalhadores remotos e dispositivos pessoais melhoraram o jogo da segurança cibernética. Mas não é só a sua empresa que está em risco. Os cibercriminosos podem direcionar seus funcionários pessoalmente, por isso é importante garantir que medidas rigorosas estejam em vigor para reduzir o risco e o seu.
• Suporte à agilidade e a novos modelos de negócios. Para competir e gerenciar disrupções, as empresas devem ser capazes de se adaptar e explorar novos modelos de negócios. Isso significa integrar novos aplicativos, software e ativos conectados. Garantir a segurança nessas circunstâncias é uma tarefa assustadora, se tratada manualmente. Felizmente, as melhores ferramentas de software sem confiança podem acelerar as coisas com automação inteligente e soluções personalizáveis que garantem que todas as etapas cruciais sejam tomadas.
• Redução de despesas com recursos de TI. Pergunte a qualquer profissional de TI quanto tempo ele gasta em tarefas manuais de segurança – a resposta provavelmente é "demais". À medida que as empresas migram seus principais sistemas empresariais para a nuvem, patches e atualizações de segurança podem ser automatizados e executados em segundo plano. Isso também se aplica a protocolos de segurança de confiança zero. De usuários a endpoints, muitas das principais tarefas de criptografia e verificações associadas a zero confiança podem ser automatizadas e programadas.
• Fornecer um inventário preciso. Princípios de confiança zero exigem que a empresa mantenha um inventário preciso de todos os ativos, usuários, dispositivos, aplicativos e recursos conectados. Com as soluções certas, as atualizações de estoque podem ser configuradas para atualização automática, garantindo precisão em tempo real. No caso de uma tentativa de violação, esta é uma ferramenta investigativa inestimável. Além disso, as empresas muitas vezes têm milhões vinculados em ativos errantes, de modo que um estoque preciso também é um benefício financeiro.
• Proporcionando uma melhor experiência ao usuário. Os processos tradicionais de verificação podem ser lentos e difíceis de gerenciar. Isso levou os usuários a tentarem burlar os protocolos de segurança, ou até mesmo evitar o uso de ferramentas e aplicativos essenciais devido ao seu difícil uso. As melhores soluções de confiança zero são criadas para serem ágeis e responsivas, aliviando os colaboradores do incômodo de inventar (e depois esquecer) senhas e processos de verificação lentos de responder.

Melhores práticas de confiança zero: introdução

Há várias tarefas que você precisará realizar assim que sua transformação de confiança zero for iniciada. Isso inclui catalogar seus ativos, definir segmentos em sua organização e classificar seus dados para uma transição mais tranquila.

A confiança zero começa com um compromisso e as seguintes etapas podem ajudá-lo a continuar:

• Delegado. Sua equipe de TI já está muito ocupada. Considere trazer ou nomear um profissional dedicado de gestão de mudanças de segurança cibernética que possa ajudar você a reduzir riscos, identificar oportunidades de melhoria e criar um roadmap viável.
• Comunicar. Vamos encarar, seus funcionários não vão se emocionar imediatamente com notícias de medidas de segurança mais rigorosas. Ao investir em melhor segurança, você também deve investir em mensagens e comunicações mais envolventes em torno dessa transformação. Há muitos exemplos reais dos perigos do crime cibernético. Ajude suas equipes a entender que não é apenas a diretoria que é atingida por uma violação de dados – ela custa empregos, afeta indivíduos e ameaça a sobrevivência da empresa.
• Auditoria. Trabalhando com um especialista em segurança, estabeleça uma lista de verificação de riscos de segurança e audite cada área da empresa. Elimine silos e conecte-se com especialistas em toda a equipe. Eles sabem melhor do que qualquer pessoa onde os pontos fracos e vulnerabilidades estão em suas áreas, especialmente em operações globais complexas, como cadeias de suprimentos e logística.
• Priorizar. Determine a importância relativa e a urgência de todas as suas operações e tarefas empresariais e atribua uma classificação. Determine uma avaliação baseada em funções de quem precisa criticamente de acesso a coisas e quem menos precisa. Essa priorização inicial também ajudará a prepará-lo para a microsegmentação, que é um componente fundamental da confiança zero – evitando o movimento lateral e sua exposição de atendente a violações de dados.

No mundo atual de eufemismos e linguagem cuidadosa, a confiança zero pode parecer para seus funcionários como um termo um tanto cínico. Então, saia na frente disso ao introduzir zero confiança em suas equipes. Diga-lhes no início que isso de forma alguma significa que você não confia neles. São os cibercriminosos que ninguém deve confiar, porque podem fazer as coisas parecerem algo que não são. Eles podem esgueirar-se através das menores lacunas e, uma vez que estão dentro, eles não se importam com quem eles danificam.