Imagem: Shutterstock
Por Daniel Sant’Anna, gerente de contas estratégicas da Tenable no Brasil
Zero Trust como conceito é simples de entender: basta não confiar em nada (sistemas, processos, acessos etc) e em ninguém. Ou seja, tudo deve ser checado, verificado e comprovado. Por definição, é uma maneira alternativa de pensar sobre segurança da informação que trata a confiança como uma vulnerabilidade.
Leia também: Liderança visionária: como Taize Wessner transformou a Virtueyes em referência em IoT
A prática de Zero Trust remove a confiança completamente dos sistemas digitais e é construída sobre a ideia de que a segurança deve se tornar onipresente em toda a infraestrutura, englobando:
Uma arquitetura zero trust pode ser implementada usando tecnologia comercial pronta para uso. No entanto ela deve cumprir alguns critérios: ser baseada nas melhores práticas atuais de segurança cibernética e se adequar a um programa de gerenciamento de exposição de forma eficaz.
Para começar sua jornada zero trust, destaco algumas considerações importantes para agências governamentais, mas também para CISOS, CIOS e decisores de TI em geral:
Zero trust é uma estratégia, não um produto. Na maioria das organizações, ela pode ser implementada usando produtos de segurança cibernética prontos para uso. Não há um único produto de zero trust que sua organização possa comprar e conectar para transformar sua postura de risco da noite para o dia.
Zero trust requer a fundação de gerenciamento de exposição forte. Como as diretrizes do National Institute of Standards and Technology (NIST) deixam claro, você não pode construir uma estratégia de zero trust sem primeiro ter visibilidade precisa de todos os ativos da organização — incluindo TI, nuvem, tecnologia operacional (OT) e internet das coisas (IoT). Um programa de gerenciamento de exposição pode fornecer esse nível de visibilidade, bem como a capacidade de agir sobre as descobertas em tempo real.
Perfis de usuário são mais importantes do que nunca. Uma estratégia de zero trust exige que você monitore continuamente todos os usuários o tempo todo. Os recursos de gerenciamento de identidade e acesso, tais como: Entra ID e Active Directory, que são usados para gerenciar perfis e privilégios de usuários, devem ser monitorados continuamente e mantidos atualizados.
Ninguém é confiável — sem exceções. Isso pode não agradar os líderes seniores, que às vezes podem se comportar como se as regras não se aplicassem a eles. É aconselhável aprimorar suas habilidades diplomáticas. No final das contas, uma arquitetura de zero trust pode ser implementada sem criar atrito significativo aos usuários finais.
Zero trust requer comunicação cuidadosa. Há pessoas em toda a organização que construíram suas carreiras nos princípios de segurança cibernética legados de “fosso e castelo” e “confie, mas verifique”. Eles podem sentir-se ameaçados ou que seus empregos estão em risco se não estiverem envolvidos na construção nas estratégias de zero trust desde o primeiro dia.
Para líderes de segurança cibernética em agências governamentais, preparar-se para uma arquitetura zero trust é menos um exercício de avaliação de tecnologias e mais um exercício de pensamento estratégico, exigindo que você responda a perguntas fundamentais como:
Responder a essas perguntas requer visibilidade total e monitoramento contínuo de toda a sua superfície de ataque, incluindo: TI, internet das coisas (IoT) e ativos de tecnologia operacional (OT). Ainda, a capacidade de avaliar a criticidade de cada ativo para cumprir a missão principal da sua organização, deve estar nesta lista.
Nenhuma jornada de zero trust pode começar sem primeiro abordar esses fundamentos do gerenciamento de exposição.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…