Logo
Imprimir esta página

Confiança Zero: Chega de dar privilégios desnecessários para os seus usuários!

*Tácito Santos

Entendo que o título desse artigo soe mal em um primeiro momento. Mas vamos deixar claro que o assunto traz à tona um conceito cada vez mais presente na estratégia de Segurança da Informação das companhias: Zero Trust. Desde que foi introduzido por uma consultoria há uma década aproximadamente, o lema sofreu alterações à medida que o cenário de cibersegurança se tornou mais crítico. Surgiu com a expressão “Confie, mas verifique”. Agora é “Nunca confie, sempre verifique”. Ou seja, Confiança Zero!

Existe hoje uma série de fatores que contribui para esse modelo de proteção mais rigoroso: Por exemplo: crescimento do cibercrime, equipes de Segurança mais enxutas, orçamentos restritos, mudança do formato de trabalho (muitas vezes, em ambientes remotos), BYOD, entre tantas outras. Essas razões levaram as equipes de Segurança da Informação a adotar uma abordagem de proteção de dados que vá além do perímetro tradicional. É nesse contexto que o Zero Trust se destaca.

O Zero Trust parte do pressuposto que ninguém e nenhum sistema está imune às ameaças do mundo digital. Com o avanço do cibercrime, apostar em métodos tradicionais de segurança não é o caminho mais recomendado, já que as táticas dos cibercriminosos evoluem dia após dia. Como não existem tecnologias 100% seguras, nem usuários 100% impassíveis de erros, o conceito Zero Trust estabelece controles para os usuários, limitando-os a acessar somente aquilo que lhes são estritamente necessários.

Além de definir bem os acessos dos usuários, é necessário mapear todo o tráfego de conexões que passa através da rede a fim de rastrear, auditar e controlar toda porta de entrada e saída da rede. Assim, em caso de infecção, a ação maliciosa é identificada com mais velocidade e acuracidade, já que o conceito tem por finalidade barrar qualquer comportamento anômalo.

As tecnologias voltadas para esse conceito se tornam ainda mais eficientes quando bem associadas às estratégias de microssegmentação da rede. Essa prática mitiga os chamados “movimentos laterais”, um tipo de técnica bastante utilizada pelos atacantes para escanear o ambiente em busca de outras máquinas vulneráveis atrás de dados sigilosos. Esse processo de isolamento protege a empresa quando os mecanismos de defesa perimetral, como o Firewall e o IPS, se demostram insuficientes.

Em tempos de Lei Geral de Proteção de Dados, o vazamento de informações sigilosas pode custar muito caro às organizações quando estiver em vigência. Por isso, é imprescindível que os gestores tenham plena visibilidade do ambiente. Identificar os usuários e saber quais aplicações eles podem utilizar é crucial, mas para isso é preciso ter uma radiografia clara da rede corporativa, o que nem sempre é priorizado numa companhia devido à sua complexidade. Quando se sabe quais são os ativos da empresa, os dados mais críticos e as aplicações que causariam mais impacto caso sejam comprometidas, fica mais fácil estabelecer sua estratégia de proteção e os controles necessários, isolando o ambiente e permitindo seu acesso somente aos usuários legítimos.

Sofrer um incidente de Segurança da Informação é uma questão de tempo (como dizem tantos especialistas no setor). A microssegmentação - em conjunto com o conceito Zero Trust - limita o dano de uma violação quando esta ocorrer. Além disso, essas tecnologias oferecem registros de logs de tudo o que acontece na rede, permitindo que uma análise forense seja realizada em caso de incidente. Essa prática é fundamental para ajudar gestores a melhorar processos e aperfeiçoar seus controles de segurança para resposta a incidentes.

Portanto, para adotar essa estratégia – que já foi apontada pelo Gartner como uma das mais relevantes para a Segurança -, é preciso que a empresa faça uma radiografia precisa de seu ambiente com um fornecedor agnóstico, experiente e com capacidade de desenhar essa arquitetura, estabelecendo as boas práticas para que a estratégia de segurança seja estabelecida definindo ações de curto, médio e longo prazo. Em um mundo de ameaças tão desafiadoras como nos dias de hoje, é fundamental um bom planejamento, ter visibilidade e controles que permitam ações rápidas. Neste cenário de guerra, todo cuidado é pouco.

*Tácito Santos é Solutions Architect Brazil da NTT


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright Clipping ©2002-2024 - SEGS Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto