Por que uma abordagem Zero Trust é necessária para um ecossistema de TI seguro
Agora, mais do que nunca, a digitalização está se tornando proeminente em setores como finanças, saúde, manufatura, transporte e muitos mais. E a integração de tecnologia, relevante para as necessidades das empresas, requer um ecossistema de profissionais, sistemas e processos de TI qualificados. Com negócios diversificados, as necessidades de TI estão ficando complexas, exigindo diferentes tecnologias, conhecimentos e soluções personalizadas. Além de facilitar essas necessidades, o ecossistema de TI também deve lidar com o desafio mais significativo: a segurança.
Com a cultura do trabalho híbrido dominando os setores em todo o mundo, o papel da TI tornou-se mais essencial do que nunca. No ambiente corporativo atual, usuários de dispositivos móveis, funcionários em modo de trabalho híbrido e associados terceirizados precisam acessar redes colaborativas e dados compartilhados. Consequentemente, as organizações estão mais propensas a ataques cibernéticos, roubo de dados, ransomware e outras ameaças sofisticadas, colocando em risco os sistemas digitais e as operações de TI.
Além dos sistemas, essas ameaças à segurança também afetam os funcionários e sua produtividade. Um sistema de TI suscetível pode comprometer dados confidenciais relacionados a funcionários e equipes que trabalham em colaboração. Isso afeta a confiança dos funcionários e a confiança na organização, criando maiores desafios para a organização. Também afeta a experiência do usuário final, afetando a empresa, pois clientes e associados perdem a confiança em seus parceiros e fornecedores.
Adotar uma abordagem Zero Trust
A arquitetura de rede tradicional foi criada com base no conceito de rede de perímetro onde, uma vez que alguém estava na rede, havia um nível implícito de confiança. A migração em direção à hospedagem em nuvem, ao trabalho remoto e a outras modernizações criou desafios no que se refere ao perímetro de rede da arquitetura tradicional. Esses desafios podem ser abordados por meio da implementação de uma abordagem de segurança Zero Trust, que garante que todo o tráfego de entrada e saída de uma empresa seja verificado e autorizado. A implementação de uma arquitetura Zero Trust pode ser feita sem perturbar a conectividade e a produtividade dos funcionários.
Uma estrutura de segurança Zero Trust capacita as equipes de TI a enfrentar os desafios de ameaças atuais, abrangendo os principais aspectos das operações de TI, como aplicativos, processos de rede, chaves de acesso baseadas em identidade e dispositivos. Ela limita o acesso aos ecossistemas de TI dando aos usuários menos privilégios, com base em suas funções e responsabilidades, e gerando alertas automatizados na detecção de atividades incomuns. Esses acessos rigorosos permitem apenas redes, aplicativos, usuários e dispositivos verificados e autorizados dentro da rede.
Por que Zero Trust?
A verificação de identidade é o novo perímetro de segurança e define controles com base em credenciais, contexto e acesso do dispositivo a aplicativos internos, dados e infraestrutura. Juntamente com a transformação digital acelerada e a adoção da nuvem, as organizações também estão fazendo a transição para ambientes de trabalho híbridos. Assim, os controles de segurança devem ser minuciosos para proteger contra a escala avançada e as variedades de ataques cibernéticos e ameaças à segurança.
O Zero Trust permite que as organizações funcionem de forma segura e produtiva, mesmo quando as pessoas e os dados estão espalhados por configurações e locais. Embora não exista um método único para adotar a estrutura, a maioria das empresas pode começar organizando o processo de adoção em três etapas principais:
Prever: para estabelecer uma estrutura Zero Trust em uma empresa, é importante primeiro visualizar todos os seus aspectos e interconexões. Isso envolve uma análise detalhada dos riscos associados aos recursos, métodos de acesso e uso da organização. Por exemplo, o departamento jurídico pode ter que acessar um banco de dados que armazena dados confidenciais de clientes, mas brechas nessas conexões envolvem ameaças significativas. Assim, o processo de avaliação e estimativa de recursos e a necessidade de acessá-los inevitavelmente continuarão a se desenvolver à medida que a empresa se expande. Da mesma forma, o significado e o risco associados a esses elementos vão evoluir. Portanto, as empresas que desejam aplicar a estrutura Zero Trust devem começar com as áreas que consideram mais cruciais e vulneráveis, à medida que a adoção da estrutura progride.
Mitigar: a etapa anterior permite que as empresas identifiquem todas as vulnerabilidades em potencial, possíveis ameaças e rotas de ataque. Esta fase prioriza os problemas e os aborda um de cada vez. A empresa precisará então desenvolver processos e ferramentas que detectem automaticamente as vulnerabilidades emergentes. Além disso, podem existir métodos que previnam ataques automaticamente ou minimizem o impacto (por exemplo, controlando os dados que seriam revelados).
Executar: neste estágio, as empresas precisarão expandir políticas e padrões para cobrir todas as facetas da TI. É vital avaliar a estrutura para verificar a eficácia e a usabilidade à medida que ela se expande. Ao implementar estruturas de segurança como o Zero Trust, as organizações devem enfatizar a experiência do usuário, pois a falha em fazê-lo resultaria em não conformidade e menor produtividade.
A estrutura Zero Trust adiciona verificação de credenciais em todos os níveis, protegendo assim os dados confidenciais de empresas e pessoas. À medida que as organizações de todos os setores adotam a transformação digital e movem suas operações para a nuvem, elas podem implementar o Zero Trust para ajudar a fornecer uma infraestrutura de rede robusta e segura. O desafio, no entanto, é que em muitas organizações, a responsabilidade pela rede e segurança reside em diferentes partes e esses grupos geralmente dependem de diferentes fornecedores em suas respectivas áreas. Quebrar os silos entre as equipes de segurança e rede e escolher as ferramentas, produtos e fornecedores certos para alinhar com os resultados de negócios desejados é fundamental para implementar o Zero Trust. Agora, mais do que nunca, tornou-se ainda mais valioso para as organizações colaborar com o ecossistema de TI para liderar uma adoção de Zero Trust com sucesso.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Este artigo foi originalmente produzido para a CXO Today
Autoria
John Engates — @jengates
Diretor de tecnologia, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como uma estrutura de segurança Zero Trustcapacita a TI para enfrentar os desafios de ameaças atuais
Três passos para iniciar o processo de adoção do Zero Trust