Ir para o conteúdo principal
Segurança e resiliência

Três etapas principais para implementar uma política de confiança zero

artigo 28 de fev de 2023 Tempo de leitura: minutos
Por Jimmy Nilsson

Uma conversa sobre segurança cibernética hoje se torna, na maioria das vezes, uma conversa sobre confiança zero. Impulsionando essa tendência estão os muitos desafios envolvidos na adaptação ao nosso novo normal, indo de uma força de trabalho cada vez mais descentralizada à crescente ameaça de violações de dados.

Mas, embora a confiança zero possa parecer apenas mais um termo que está na moda, quando a estratégia é implementada corretamente, ela pode equipar sua empresa com uma estratégia defensiva superlativa, fornecendo proteção adaptativa baseada em risco em toda a sua operação. Também conhecido como “negar por padrão” ou “nunca confiar, sempre verificar”, a confiança zero considera todo o tráfego como não confiável.

Além dos benefícios óbvios de tal abordagem, como risco reduzido de ataque cibernético, dados mais protegidos, conformidade aprimorada, entre outros, a confiança zero tem o potencial de mudar e melhorar a maneira como sua empresa aborda a segurança como um todo. Também pode gerar novos negócios e oportunidades de receita.

Atualmente, há uma ampla implementação de modelos de confiança zero acontecendo tanto no governo quanto na indústria, bem como uma ampla intenção de adotá-la. A aceitação geral da confiança zero como uma nova prática líder decorre do entendimento de que as violações são inevitáveis, e a questão não é saber se elas ocorrerão, mas quando ocorrerão.

As razões para a adoção generalizada da confiança zero não são um mistério. A confiança zero é um modelo poderoso para ajudar a evitar perdas financeiras. Estamos todos cientes dos custos que uma única violação representa, com valores médios totalizando US$ 9,4 milhões nos EUA e US$ 4,4 milhões globalmente apenas em 2022.1

A Kyndryl acredita que, se bem feita, a confiança zero pode ajudar as empresas a melhorar a segurança cibernética, a experiência do usuário e a produtividade, além de reduzir o risco de danos e perdas. Existem três ideias principais que qualquer empresa deve ter em mente quando se trata de confiança zero.

1. Mude sua perspectiva

A melhor opção é começar a esclarecer para todas as partes interessadas envolvidas o que a confiança zero não é. Ela não é, por exemplo, uma política ou produto fixo. E não é uma ferramenta dedicada para posicionar um portfólio de tecnologia. As soluções de tecnologia, na verdade, são apenas uma parte da confiança zero.

A confiança zero é uma mudança de mentalidade. Historicamente, as operações de segurança têm sido fortemente isoladas – com um departamento responsável pela verificação de identidade, outro pela segurança de endpoint, outro pelo firewall e assim por diante. No entanto, a confiança zero é um modelo corporativo que abrange cinco pilares:

  • Identidade
  • Dispositivo
  • Rede
  • Aplicação
  • Dados

Para que uma política de confiança zero funcione, os departamentos que lidam com esses pilares devem se unir, tecendo uma teia de defesa coesa e colaborativa. Embora ao longo dos anos possamos ter aperfeiçoado a abordagem para arquiteturas de segurança de defesa em profundidade e isoladas, a confiança zero agora exige um pivô para arquiteturas de segurança de defesa em profundidade interconectadas.

Para fazer a mudança, precisamos observar:

  1. Nossa abordagem para segurança
  2. Como investimos em segurança
  3. Como executamos uma abordagem colaborativa nos cinco pilares da confiança zero
Exemplo de acesso remoto

Vejamos o acesso remoto como um caso de uso. É uma manhã de segunda-feira e um funcionário remoto está se conectando à rede de seu empregador em Nova York a partir de sua casa em Denver. Uma vez logado, a primeira tarefa do dia é dar uma olhada nos arquivos em uma pasta armazenada na nuvem de sua organização.

Em um sistema de perímetro tradicional, a localização do funcionário ou uma simples autenticação de dois fatores costuma ser o suficiente para obter entrada – e acesso significativo – à rede da empresa. Como esse funcionário não está no escritório, ele pode ser solicitado a realizar uma autenticação simples de dois fatores, em vez de uma verificação baseada em localização.

O problema é que, se outra tentativa de login for feita usando as mesmas credenciais apenas uma hora depois, em Dublin, na Irlanda, o acesso ainda poderá ser concedido, desde que as condições da autenticação de dois fatores sejam replicadas com precisão. Mas com a confiança zero, o acesso não seria concedido automaticamente.

Como a confiança zero melhoraria o cenário

Com a confiança zero, cada tentativa de acesso remoto é analisada muito além da mera localização ou login. O modelo de confiança zero exige que várias tecnologias de defesa sejam projetadas e implementadas em conjunto nesses pilares de segurança, a fim de tomar decisões não com base em uma política de segurança estática, mas sim em informações do maior número possível de fontes.

No exemplo de acesso remoto, conforme o funcionário clica em seu login e navega para uma pasta específica, a arquitetura de confiança zero pode começar analisando a identidade do funcionário, bem como a segurança do dispositivo. A arquitetura de confiança zero pergunta:

  • Este é um dispositivo corporativo?
  • Ele foi corrigido?
  • Ele possui os controles de segurança corretos, do ponto de vista de identidade?
  • Essa identidade foi usada em outro lugar ao mesmo tempo ou recentemente?
  • Como usar a análise de dados para verificar se o tráfego desse usuário é típico ou não?

Esse ecossistema de confiança zero também examinará o próprio workload:

  • O recurso que o usuário está tentando acessar tem alguma vulnerabilidade conhecida?
  • Se uma ameaça for realmente detectada, como o sistema está programado para responder?
  • O tráfego deve ser totalmente interrompido ou o acesso pode ser simplesmente reduzido, sem o risco de propagação da ameaça?

Mesmo que uma ameaça ativa não seja detectada, a confiança zero exige vigilância contínua. Ele pergunta: há alguma ameaça de segurança generalizada da qual a organização deva estar ciente ou ter atenção? E além disso: todos esses processos estão em conformidade com os requisitos e regulamentos mais recentes do setor?

Somente depois que todas essas perguntas – em todos os pilares de segurança – forem feitas e verificadas pela tecnologia e pelos processos em vigor, o funcionário terá acesso ao arquivo de que precisa. Isso é a confiança zero em ação.

2. Abordagem de confiança zero em fases

Correndo o risco de parecer desagradável, pensamos que as empresas que mergulham de cabeça nas estratégias de confiança zero em toda a empresa estão destinadas ao fracasso. A implementação do modelo de confiança zero deve ser um processo contínuo, abordado em fases. Isso prepara o terreno para iniciar uma implementação de confiança zero diferente para cada empresa.

No entanto, em termos de processo, o primeiro passo permanece o mesmo: determine suas prioridades. Estabeleça o que é mais importante para sua empresa, do ponto de vista do risco. Este é um ponto de partida chave e fundamental para qualquer estratégia de confiança zero bem-sucedida.

Por exemplo, sua empresa está à beira de uma grande transformação tecnológica? Você tem um sistema de TI repleto de processos de negócios críticos e dados confidenciais que podem estar vulneráveis a uma violação? Então, coloque isso em prática e aproveite os ganhos rápidos. A partir daí, você pode ganhar impulso e continuar a desenvolver um plano de implantação personalizado que faça sentido apenas para sua empresa.

A confiança zero é um processo que, de fato, não tem um ponto final. A implementação é uma questão de anos, não de meses, por isso é importante manter o foco nos benefícios reais e tangíveis dessa estratégia. É por isso que também incentivamos nossos clientes a aproveitar novas oportunidades de negócios.

3. Abrace novas oportunidades de negócios

Depois de ajudar sua empresa a entender a confiança zero e iniciar uma abordagem de implementação estratégica, as partes mais difíceis acabaram. Agora, é hora de aproveitar o que essa estratégia tem a oferecer.

Em primeiro lugar, a confiança zero abre novas oportunidades. Ela permite que sua equipe conduza negócios de maneiras novas e mais seguras e operações preparadas para o futuro para obter uma melhor proteção contra os métodos de hackers, que estão cada vez mais sofisticados.

Aqui está um exemplo: edge computing. Muitas empresas adotaram soluções de edge para desenvolver novos fluxos de receita em seus negócios. Devido à natureza do edge, no entanto, os dados estão se tornando mais descentralizados do que nunca. Isso é empolgante, pois cria oportunidades para criar soluções diferentes e inovadoras. Mas também requer uma nova abordagem de segurança. É aqui que entra a confiança zero.

Ao aplicar controles e processos de verificação mais amplos, a confiança zero permite que forças de trabalho distribuídas e seus sistemas de computação distribuídos trabalhem com dados confidenciais de onde quer que estejam, com mais eficiência e segurança.

Jimmy Nilsson é o Diretor Geral e Líder de Domínio Global de Confiança Zero da Kyndryl Consult.


1 “Cost of a Data Breach 2022 Report,” IBM Security. https://www.ibm.com/reports/data-breach?utm_content