Zero Trust de baixo custo e alta resiliência: como garantir a digitalização segura das PMEs brasileiras

Mitos têm atrasado a disseminação do modelo Zero Trust Network Access no Brasil. Num momento em que ataques baseados em Inteligência Artificial aumentam sem cessar, isso fragiliza a economia digital do Brasil. Os falsos entendimentos sobre o ZTNA fazem com que organizações deixem de usufruir da abordagem de cybersecurity que determina que nenhum usuário deve ser confiável por princípio. O ZTNA verifica continuamente a identidade, a postura do dispositivo e o contexto do acesso a cada nova tentativa de se conectar a um ativo digital. Trata-se de uma abordagem que reduz significativamente a vulnerabilidade a ataques de phishing (foco no roubo de credenciais), o uso de dispositivos não gerenciados, a permanência de usuários com permissões excessivas de acesso e o vazamento de dados. Tudo isso contribui, ainda, para diminuir o risco imposto pelo fato de equipes de terceiros usarem seus próprios endpoints para acessar a rede da empresa a quem prestam serviços.

Um segmento da economia, em especial, corre o risco de ficar à margem destas conquistas: as pequenas e médias empresas. É um universo com limitações de orçamento e de headcount. Isso talvez explique por que, em 2023, 43% de todos os ataques cibernéticos tiveram como alvo o segmento PME. Outro estudo do mesmo ano indica que 31% desse universo tiveram seus processos de negócios suspensos em função de ataques de phishing, ransomware e violações de dados.

Ideias errôneas sobre a implementação do modelo ZTNA podem estar contribuindo para a vulnerabilidade das PMEs aos criminosos digitais. Nos EUA, por outro lado, este quadro está em franca transformação: 48% deste segmento empresarial já conta com processos de cybersecurity alinhados ao modelo Zero Trust.

Os líderes dessas organizações compreenderam que as estratégias antigas de proteção de seus ativos digitais não funcionam mais. Usar VPNs e firewalls de gerações ultrapassadas significa abrir a porta para o inimigo num contexto em que o que define perímetro a ser protegido não é mais a rede corporativa: é o próprio usuário e sua identidade. Os colaboradores da PMEs estão, agora, em todos os lugares, acessando aplicações na nuvem e usando a Internet como sua rede de fato.

Eis a contestação aos mitos que atrasam a chegada do Zero Trust às PMEs:

1 – É necessário comprar novas soluções de segurança para implementar o ZTNA. Isso pode ser evitado por meio de um novo olhar sobre as soluções de cyber já em ação na PME. O mercado conta com fornecedores de firewalls, por exemplo, que podem ser atualizados e reconfigurados para passar a suportar o modelo Zero Trust. Eis algumas ações práticas a serem executadas:

- Firewalls: Os firewalls também podem atuar como pontos de controle das conexões em soluções de ZTNA nativas digitais, dentro de um modelo SaaS. Isso cria segmentos de rede menores e isolados, limitando a propagação de violações. A plataformização dos firewalls facilita esse avanço, ao usar “software as a service” para fazer os upgrades necessários.

- VPNs: As VPNs legadas costumam ser um dos elos mais fracos do ambiente digital. O recomendável é configurar VPNs para conceder acesso a aplicações específicas com base nas funções dos usuários, em vez de dar acesso total à rede. Esses acessos podem ser temporários, o que elimina a possibilidade de ficarem “abertos”, sem garantias de segurança.

- Segurança de endpoint: Muitas vezes subaproveitada, essa tecnologia pode ser a base de novas políticas de conformidade, garantindo que esses dispositivos atendam aos padrões de segurança ZTNA antes de acessar a rede.

- Adotar o acesso com privilégios mínimos. Trata-se de uma nova abordagem do PAM (privilege access management) em que as configurações fixas do passado dão lugar a acessos temporários e sempre checados. Isso vale para usuários de todas as posições hierárquicas.

- Explorar os recursos do provedor de identidade na nuvem. Essa é uma tecnologia bastante difundida – o recomendável é estudar essa plataforma para trocar direitos de acessos default por provisionamentos baseados no Zero Trust.

- Verificar continuamente cada acesso, qualquer que seja o usuário. Uma plataforma de cybersecurity ZTNA soma hardware e software “as a service” para que isso seja feito de forma automatizada, atuando de forma preditiva para bloquear e mitigar ataques.

2 – O ZTNA é um modelo caro e difícil de ser implementado e gerido. É aí que os MSSPs (Managed Security Services Providers) fazem a diferença para o segmento PME brasileiro. Um estudo realizado em 2024 revela que soluções Zero Trust implementadas e geridas com o apoio de MSSPs podem reduzir os riscos de violação em 50% e proporcionar um ROI de 92% em três anos. Do ponte de vista de controle de custos, pesquisa do IDC realizada por encomenda da IBM informa que empresas que contratam segurança como serviço junto a um MSSP podem reduzir suas despesas com cybersecurity em até 25%.

Além de suavizar o acesso financeiro ao modelo ZTNA, o MSSP reduz a complexidade de implementação do modelo Zero Trust numa PME. É possível iniciar essa jornada protegendo apenas algumas aplicações críticas, expandindo o alinhamento ao ZTNA no ritmo dos negócios. Além disso, muitas soluções Zero Trust são fornecidas na nuvem, fáceis de gerenciar e se integram ao provedor de identidade já utilizado pela pequena empresa – esse pode ser o caso do Microsoft Entra ID ou do Google Workspace.

Por sua agilidade e pelo alto engajamento de seus colaboradores, a PME brasileira tem em seu DNA os valores que aceleram o avanço em direção ao modelo ZTNA. O fundamental é contar com o apoio de um MSSP capacitado em processos, produtos e pessoas. Nessa jornada, o MSSP pode ser fortalecido pelo relacionamento que mantém com fornecedores que respeitam o papel crítico do provedor de serviços de segurança. É um tripé – PME, MSSP e fornecedor – que trabalha em uníssono em prol da cultura cibernética do Brasil.

*Juan Alejandro Aguirre é Diretor de Engenharia de Soluções da SonicWall América Latina.