Zero Trust: implantação de um modelo dinâmico para permissão de acessos

*Por Thiago Lopes

As mudanças repentinas que sofremos no último ano trouxeram um desafio ainda maior para as equipes de cibersegurança/ TI das empresas. Novas brechas apareceram com o modelo de trabalho remoto e estão sendo extensivamente exploradas por hackers e softwares maliciosos.

Dentro das estratégias mais tradicionais de defesa cibernética se emprega o mantra principal de “confie, mas verifique”. Este conceito prega um plano de alta defesa de perímetro, verificando todo o entorno em que estavam seus dispositivos e seus usuários, garantindo assim que colaboradores acessem os computadores e sistemas de uma empresa dentro de um ambiente controlado e seguro. Quando esses usuários acessam ambientes externos via internet, devem ser altamente monitorados e controlados para que invasores externos não explorem esses acessos como oportunidade de invasão.

Porém, no cenário onde não possível garantir segurança de onde as pessoas estão trabalhando e como vão acessar as redes corporativas, novos conceitos de defesa devem ser empregados. A estimativa de investimentos de instituições públicas e privadas em segurança no Brasil é de US$ 900 milhões este ano, um avanço de 12,5% em relação a 2020, segundo a consultoria IDC.

O modelo de segurança Zero Trust, popularizado pelo analista da Forrester John Kindervag, apresenta o conceito “nunca confie, sempre verifique”. Neste conceito, pessoas e equipamentos nunca serão considerados confiáveis, demandando que continuamente os usuários, dispositivos e aplicações sejam verificados antes de permitir qualquer nível de acesso. Esse modelo propõe a necessidade de as empresas estabelecerem políticas que implementem padrões dinâmicos de acesso, e que possuam mecanismos que possam automatizar estas autorizações e revogações de acesso conforme a necessidade de cada empresa.

Para implementar Zero Trust é necessário se certificar que todos os recursos são acessados de forma segura independente de sua localização. Já que todos os usuários são não confiáveis, deve-se aplicar uma estratégia para gerenciar acesso e informações privilegiadas. Automatizar o processo que permita aplicar e rastrear as políticas definidas.

Segundo a pesquisa Zero Trust Progress Report de 2020 aplicada em 400 tomadores de decisão sobre cibersegurança, 72% dos entrevistados estão implementando ou planejando projetos de adoção de Zero Trust. Nesta mesma pesquisa, os entrevistados apontam como os maiores desafios em suas corporações o excesso de privilégios em contas de seus colaboradores, a dificuldade de controlar os acessos concedidos a parceiros de negócio e a vulnerabilidade de dispositivos pessoais de seus colaboradores.

Aplicar um modelo de segurança que implique em grandes mudanças não necessariamente precisa ser difícil. É possível adotar este modelo de forma gradual e assim, com planejamento realista e parceiros adequados encontrar uma implantação factível à realidade das empresas. Este processo deve ser precedido de uma análise de quais são as principais vulnerabilidades a serem atacadas pelas empresas e uma avaliação de tecnologias e parceiros de negócios que possam garantir a implantação dos princípios de Zero Trust.

Thiago Lopes é Country Manager da Quest Software