O princípio orientador de zero trust—“nunca confie, sempre verifique”—tornou-se uma prática essencial para proteger as redes de nuvem complexas e diversificadas de hoje. Há não muito tempo, podia trancar a porta da frente da sua empresa, confiante de que toda a sua informação valiosa estava segura dentro dessas paredes. Depois vieram os portáteis, os discos e as pens de memória—e de vez em quando ouvia-se uma história sobre alguém que deixava segredos de estado num comboio algures. Hoje, os dados da sua empresa estão potencialmente disponíveis em qualquer lugar onde haja conectividade. E com o aumento sem precedentes de forças de trabalho remotas e distribuídas, esse "em qualquer lugar" pode literalmente ser "em qualquer lugar do mundo".

Hoje em dia, as melhores soluções de software funcionam todas na nuvem—sem falar nos milhões de dispositivos e ativos conectados nas redes industrial IoT do mundo. E embora as aplicações em nuvem não sejam tipicamente menos seguras do que as locais—na verdade, é o contrário—existem novos riscos no mundo conectado de hoje. As tecnologias digitais e em nuvem ampliaram o que os especialistas em segurança chamam de superfície de ataque de cada organização.

Os protocolos tradicionais de cibersegurança foram modelados com base na ideia de que os utilizadores passariam pela segurança na porta virtual da empresa e, uma vez dentro, teriam liberdade total. Em outras palavras, foram desenvolvidos num mundo pré-nuvem. Mas agora há mais pontos de acesso—o telefone pessoal de um funcionário ou uma impressora IoT podem ser um portal potencial—e as empresas tiveram que reforçar as suas estratégias de segurança. Com ciberataques em um nível recorde, a segurança da rede deve estar em uma posição prioritária no topo da sua lista de tarefas. A implementação de zero trust requer compromisso e colaboração em toda a sua empresa.

Confiança zero: Definição e estratégia

John Kindervag estava a trabalhar como analista na Forrester Research em 2010—numa altura em que as aplicações em nuvem e os dispositivos IoT estavam a começar a sua rápida ascensão. Kindervag reconheceu corretamente a enorme sensibilidade e valor dos dados e da propriedade intelectual mantidos nos sistemas da Forrester. Em resposta a este risco crescente, ele cunhou o termo zero trust e liderou o desenvolvimento de muitos dos seus princípios fundamentais.

Zero trust pode ser definido como um modelo de segurança de TI que exige que cada utilizador e dispositivo potencialmente conectado verifique estritamente a sua identidade, esteja dentro ou fora dos perímetros da empresa. A arquitetura de confiança zero (ZTA) baseia-se num conjunto de processos e protocolos, bem como em soluções e ferramentas digitais dedicadas para alcançar o sucesso.

O acesso à rede de confiança zero (ZTNA) é a aplicação da arquitetura de confiança zero que Gartner define como a criação de "um limite de acesso lógico baseado em identidade e contexto em torno de uma aplicação ou conjunto de aplicações." Isto remove estas aplicações da vista pública e permite apenas a entrada de utilizadores que são verificados e que aderem a políticas de acesso pré-especificadas.

Mas, na realidade, a confiança zero começa como uma transformação cultural dentro da sua organização. Tendemos a pensar na cibersegurança em termos de maus atores que se esforçam intencionalmente para causar danos, mas infelizmente, é muitas vezes a ignorância em vez da malevolência que leva ao risco e à perda. Na verdade, um relatório recente mostra um aumento de 48% nos ataques de email apenas na primeira metade de 2022, nos quais os funcionários foram atraídos para esquemas ou divulgaram detalhes como resultado de phishing. Isto ilustra porque a educação e a adesão cultural são componentes tão críticos na implementação de zero trust.

Por que os princípios de confiança zero são tão necessários agora?

Há poucas dúvidas de que os ciberataques estão a aumentar. Em 2022, uma grande pesquisa foi realizada envolvendo 1.200 grandes organizações em 14 diferentes setores e 16 países. Apesar de priorizarem a cibersegurança, muitos dos entrevistados admitiram ter segurança inadequada. Na verdade, os resultados mostraram um aumento alarmante de 20,5% no número de violações materiais nos meses entre 2020 e 2021.

A seguir estão alguns dos outros desafios de segurança que as empresas de hoje enfrentam:

• Firewalls legados. Muitas empresas dependem excessivamente de firewalls que antecedem a proliferação da conectividade em nuvem. As VPNs são um paliativo viável para aumentar os firewalls, mas não são uma solução eficaz a longo prazo devido ao seu alcance limitado e à tendência de desacelerar o desempenho das aplicações empresariais, o que, por sua vez, impacta a produtividade dos funcionários.
• Complexidade de verificação. Software agnóstico de dispositivo é ótimo para os usuários, mas adiciona uma camada complexa aos protocolos de segurança. Mesmo quando os utilizadores têm telefones e portáteis da empresa, estão apenas tão seguros quanto os protocolos de verificação e segurança que estão em vigor para os proteger.
• Dispositivos de terceiros. Com a pandemia, forças de trabalho inteiras foram enviadas para trabalhar a partir de casa—quase da noite para o dia. Muitas empresas não tiveram escolha senão deixar os funcionários usarem os seus próprios computadores e dispositivos. Em muitos casos, foram estabelecidas soluções alternativas de segurança para manter o negócio em funcionamento e as luzes acesas. Mas para muitas empresas, ainda não conseguiram desfazer estas medidas temporárias e implementar medidas de confiança zero mais seguras para os seus trabalhadores remotos.
• Aplicações não autorizadas. O uso de aplicativos empresariais SaaS está em uma trajetória ascendente constante. Infelizmente, muitas equipas de TI estão sobrecarregadas, o que frequentemente leva os utilizadores a recorrer à compra das suas próprias aplicações e a utilizá-las dentro da rede da empresa, sem informar as suas equipas de TI. Não só estas aplicações não estão sujeitas a práticas rigorosas de confiança zero, como também podem ter contornado as medidas de segurança por completo.

• Conectividade IoT. Um dispositivo IoT industrial pode ser tão simples como um ventilador ou uma máquina de solda. Porque estes dispositivos não são considerados um "computador" de qualquer tipo, os utilizadores podem facilmente esquecer que são um ponto de acesso potencial à rede da empresa. A arquitetura de confiança zero implementa automações e processos que garantem a segurança para todos os endpoints, máquinas e ativos de IoT.
• Portais omnicanal. Os funcionários não são os únicos na sua nuvem empresarial. Cada vez mais, estamos a ver dispositivos conectados, como prateleiras inteligentes em lojas e aplicações móveis de "pagar em qualquer lugar". Qualquer um destes portais omnicanal representa risco. Zero trust ajuda a proteger esses riscos sem inconvenientes ou atrasos indevidos para os seus clientes.
• Desafios de segurança do ERP. Em anos anteriores, os sistemas ERP estavam limitados a certas tarefas de planeamento e finanças e tinham um conjunto limitado de utilizadores dentro da empresa. Os melhores sistemas ERP na nuvem de hoje, no entanto, são impulsionados por IA, análises avançadas e bases de dados poderosas e escaláveis. Eles têm a capacidade de integrar-se com aplicações e sistemas díspares em toda a empresa e estão a ser cada vez mais aproveitados para otimizar e simplificar todas as áreas operacionais. Os sistemas ERP modernos têm sistemas de segurança avançados incorporados, mas, como qualquer sistema, têm vulnerabilidades que só se agravam com maior alcance e acessibilidade. Os princípios de confiança zero, quando aplicados a uma forte segurança ERP na nuvem, ajudam a proteger o seu negócio em todas as etapas.

Como funciona a confiança zero?

Zero trust combina um conjunto de tecnologias e protocolos, como autenticação multifator, soluções de segurança de endpoint e ferramentas baseadas na nuvem para monitorar e verificar uma variedade de atributos e identidades—desde utilizadores até endpoints. Zero trust também requer a encriptação de dados, e-mails e cargas de trabalho para garantir a sua segurança. Essencialmente, os protocolos de confiança zero:

• Controle e limite o acesso à rede de qualquer pessoa, em qualquer lugar, através de qualquer dispositivo ou ativo
• Verifique qualquer utilizador ou ativo que tenha ou possa ter acesso a qualquer nível da rede
• Registar e inspecionar todo o tráfego de rede em tempo real

Um modelo de segurança de confiança zero utiliza uma política de necessidade de saber. Essencialmente, isto significa que os utilizadores têm acesso apenas aos dados e aplicações de que precisam para realizar o seu trabalho. E mais uma vez, a tecnologia é a espada de dois gumes na corrida por uma melhor cibersegurança. À medida que as soluções digitais e a conectividade melhoram, criam uma superfície de ataque maior, por isso são necessárias tecnologias de segurança melhores e mais rápidas para acompanhar. E não apenas acompanhar, mas também causar o mínimo de inconveniência e perturbação para o utilizador. Isto requer políticas de segurança altamente ágeis e dinâmicas, apoiadas por informações contextuais e pela quantidade máxima de pontos de dados disponíveis—e em tempo real. Quem é esta pessoa? Onde estão eles? O que estão a tentar aceder? Por que precisam desse acesso? Em que dispositivo ou ponto de extremidade estão a entrar?

Benefícios das soluções de confiança zero

Nos casos mais graves, as violações de dados podem ser catastróficas. Os dados privados dos seus clientes estão em risco, assim como as suas finanças, a sua propriedade intelectual e, claro, a sua boa reputação. Tal como o seguro, os investimentos em segurança podem parecer uma grande despesa… até que precise deles. E então parecem um pequeno preço a pagar para proteger o seu negócio.

Alguns dos muitos benefícios das soluções de confiança zero incluem:

• Protegendo forças de trabalho híbridas e remotas. Discutimos como os trabalhadores remotos e os dispositivos pessoais elevaram o nível da cibersegurança. Mas não é apenas a sua empresa que está em risco. Os cibercriminosos podem visar os seus funcionários pessoalmente, por isso é importante garantir que medidas rigorosas estão em vigor para reduzir o risco deles e o seu.
• Apoiar a agilidade e novos modelos de negócios. Para competir e gerir a disrupção, as empresas devem ser capazes de mudar de direção e explorar novos modelos de negócio. Isso significa integrar novas aplicações, software e ativos conectados. Garantir a segurança nessas circunstâncias é uma tarefa assustadora se feita manualmente. Felizmente, as melhores ferramentas de software de confiança zero podem acelerar as coisas com automação inteligente e soluções personalizáveis que garantem que todos os passos cruciais sejam tomados.
• Reduzindo despesas de recursos de TI. Pergunte a qualquer profissional de TI quanto tempo eles gastam em tarefas manuais de segurança — a resposta provavelmente será "demasiado". À medida que as empresas movem os seus sistemas empresariais principais para a nuvem, as correções de segurança e atualizações podem ser automatizadas e realizadas em segundo plano. Isto aplica-se também aos protocolos de segurança de confiança zero. De utilizadores a endpoints, muitas das tarefas principais de encriptação e verificação associadas à confiança zero podem ser automatizadas e agendadas.
• Fornecendo um inventário preciso. Os princípios de confiança zero exigem que a empresa mantenha um inventário preciso de todos os ativos, utilizadores, dispositivos, aplicações e recursos conectados. Com as soluções certas em vigor, as atualizações de inventário podem ser configuradas para atualizar automaticamente, garantindo precisão em tempo real. No caso de uma tentativa de violação, esta é uma ferramenta de investigação inestimável. Além disso, as empresas frequentemente têm milhões investidos em ativos desviados, portanto, um inventário preciso é também um benefício financeiro.
• Proporcionando uma melhor experiência do utilizador. Os processos tradicionais de verificação podem ser lentos e difíceis de gerir. Isto levou os utilizadores a tentarem contornar os protocolos de segurança, ou até evitarem o uso de ferramentas e aplicações essenciais devido à sua dificuldade de utilização. As melhores soluções de zero trust são concebidas para serem discretas e responsivas, aliviando os funcionários do incómodo de inventar (e depois esquecer) senhas, e de processos de verificação lentos.

Melhores práticas de confiança zero: Como começar

Existem várias tarefas que precisará realizar uma vez que a sua transformação de confiança zero tenha começado. Isto inclui catalogar os seus ativos, definir segmentos dentro da sua organização e classificar os seus dados para uma transição mais suave.

Zero trust começa com um compromisso e os seguintes passos podem ajudar a começar:

• Delegar. A sua equipa de TI já está demasiado ocupada. Considere trazer ou nomear um profissional dedicado à gestão de mudanças em cibersegurança que possa ajudá-lo a mitigar riscos, identificar oportunidades de melhoria e construir um roteiro viável.
• Comunicar. Vamos encarar, os seus funcionários não vão ficar imediatamente entusiasmados com a notícia de medidas de segurança mais rigorosas. À medida que investe em melhor segurança, também deve investir em mensagens e comunicação mais envolventes em torno desta transformação. Existem muitos exemplos do mundo real dos perigos do cibercrime. Ajude as suas equipas a entender que não é apenas a alta administração que é afetada por uma violação de dados—isso custa empregos, afeta indivíduos e ameaça a sobrevivência da empresa.
• Auditoria. Trabalhando com um especialista em segurança, estabeleça uma lista de verificação de riscos de segurança e audite cada área do negócio. Desfaça silos e conecte-se com especialistas em assuntos em toda a sua equipa. Eles sabem melhor do que ninguém onde estão as fraquezas e vulnerabilidades nas suas áreas—particularmente em operações complexas e globais como cadeias de abastecimento e logística.
• Priorizar. Determine a importância e urgência relativa de todas as suas operações e tarefas empresariais e atribua uma classificação. Determine uma avaliação baseada em funções de quem precisa criticamente de acesso às coisas e quem menos. Esta priorização inicial também ajudará a prepará-lo para a micro-segmentação, que é um componente fundamental da confiança zero—impedindo o movimento lateral e a exposição associada a violações de dados.

No mundo atual de eufemismos e linguagem cuidadosa, confiança zero pode parecer aos seus funcionários um termo um tanto cínico. Portanto, esteja à frente disso quando introduzir zero trust às suas equipas. Diga-lhes desde o início que isso de forma alguma significa que você não confia neles. São os cibercriminosos que ninguém deve confiar—porque eles podem fazer as coisas parecerem algo que não são. Eles podem infiltrar-se através das menores brechas e, uma vez lá dentro, não se importam com quem danificam.