Zero Trust: por que aderir o modelo de segurança?
O Zero Trust é um modelo de segurança que veio para ficar – principalmente diante do impacto da tecnologia no período de pandemia.
Estima-se que a transformação digital ocorrida para adequação ao acesso a bens de consumo pela internet e a novos moldes de trabalho estimulou uma aceleração de três anos em apenas três meses.
Muitas empresas tiveram que adotar uma tecnologia de nuvem ou mesmo de acesso remoto para atender a alta demanda de funcionários trabalhando de suas próprias casas, propondo soluções de resiliência operacional que realizassem a manutenção do fluxo de trabalho.
Desde o início da pandemia de COVID-19, 60% das empresas disponibilizaram algum tipo de BYOD (bring your own device), explica Marcello Zillo, Chief Security da Microsoft. Na América Latina, esse percentual chega a 70%.
Diante de uma demanda de acessos tão grande, como garantir uma gestão de acessos e identidade efetiva, que blinde empresas e garantam a Segurança da Informação? Através do Zero Trust.
Mas afinal, o que é Zero Trust?
A Forrester, organização estadunidense de pesquisa de mercado, é a responsável pela criação e do conceito de Zero Trust.
Simplificando: uma arquitetura Zero Trust não confia em nada nem ninguém.
Ao contrário do modelo de segurança vigente à época que se estruturava no pilar de “confiar e verificar”, o Zero Trust tem como ponto de partida checagens múltiplas em qualquer agente que entre em seu perímetro de atividade.
Independentemente de onde a solicitação se origina ou que recurso ela acessa, o modelo Zero Trust nos ensina a “nunca confiar, sempre verificar”.
Com a segurança redobrada, garantida pelo princípio central em uma estratégia de Zero Trust, usuários estão habilitados para trabalhar de qualquer lugar, com qualquer dispositivo, mantendo o mesmo nível de segurança.
Pontos de atenção para a implementação
Visibilidade
Endossando a efetiva gestão de identidade e acessos, é necessário detectar todos os dispositivos que compõem o fluxo da empresa e monitorá-los, sendo primordial a visibilidade de todos os recursos que pertencem à empresa ou as pessoas que têm acesso a ela.
Políticas
No tocante às políticas de Zero Trust, é necessário executar controles que possibilitem que apenas pessoas específicas tenham autonomia de acesso a dados e aplicações específicas. Resumindo, são necessários controles minuciosos.
Automação
Utilizar as facilidades que a tecnologia proporciona, garantindo a automação de processos atesta a aplicação de políticas, permitindo a aplicação otimizada de medidas contra eventuais desvios.
Benefícios da adoção do Zero Trust
Com a informações mais seguras e detectando de onde os acessos se originam, é possível listar uma série benefícios para o compliance de uma empresa, tais como:
- É possível garantir exatamente a mesma experiência para seu usuário, como se este estivesse nas dependências físicas da empresa;
- Aumento da segurança, com a redução exponencial do risco de usuários e dispositivos comprometidos;
- Remoção dos pontos de acessos remoto na rede corporativa, além de pontos cegos para dispositivos remotos;
- Redução do uso e superfície de pontos de acesso que possibilitariam o ataque ao VPN;
- Melhora da visibilidade de segurança;
- Possibilidade de uma visão centralizada de riscos, exceções de políticas e solicitações de acesso;
- Um olhar unificado e profundo sobre o risco do dispositivo e a atividade de sessão do usuário.
Além de todos os benefícios acima citados, é possível detectar com a utilização de estratégias de Zero Trust um aumento da produtividade, permitindo ao funcionário trabalhar de onde quiser graças ao acesso a aplicativos e dados disponíveis de qualquer lugar.
Com a utilização do SSO (Single Sign On), é possível utilizar uma quantidade menor de senhas, otimizando o acesso a sistemas internos das empresas.
Com o Zero Trust, mudamos a ótica de confiabilidade de padrão para outra, onde a confiança e enxergada como exceção.
Um recurso integrado para gerenciar automaticamente essas exceções e alertas é importante para que você possa localizar e detectar ameaças com mais facilidade, responder a elas e prevenir ou bloquear eventos indesejados em sua organização.
Se interessou pelo tema? Assista abaixo à palestra que Marcello Zillo compartilhou com nossos convidados no CAPTALK, promovido em parceria com a Microsoft sobre Gestão de Identidade e Acessos.