Erros evitáveis na implementação da confiança zero

Erros evitáveis na implementação da confiança zero

Não se deixe enganar pelo hype do fornecedor, não se esqueça da experiência do usuário e não pule a higiene básica de segurança, dizem os especialistas. E esses são apenas alguns dos erros que devem ser evitados na hora de implementar confiança zero em sua empresa.

Erros evitáveis na implementação da confiança zero

O interesse na segurança de confiança zero aumentou significativamente nos últimos dois anos. Isso ocorreu principalmente entre as organizações que procuram melhores maneiras de controlar o acesso a dados corporativos na nuvem e em ambientes locais para trabalhadores remotos, contratados e terceiros.

Entretanto, vários outros fatores estão impulsionando a tendência. Entre os principais, estão:

  • ameaças cada vez mais sofisticadas;
  • adoção acelerada da nuvem;
  • uma ampla mudança para ambientes de trabalho remotos e híbridos por causa da pandemia. 

Com tudo isso, muitas organizações descobriram que os modelos de segurança tradicionais em que tudo dentro do perímetro é implicitamente confiável, não funciona em ambientes onde os perímetros não existem. E, considerando que os dados corporativos e as pessoas que os acessam são cada vez mais distribuídos e descentralizados, novas formas de proteção devem ser consideradas.

Uma Ordem Executiva da Administração Biden em maio de 2021 que exige que as agências federais implementem a segurança de confiança zero aumentou o interesse em todos os setores. Em uma pesquisa com 362 líderes de segurança que a Forrester Research conduziu no ano passado em nome da Illumio, dois terços dos entrevistados disseram que suas organizações planejavam aumentar os orçamentos de confiança zero em 2022. Contudo, mais da metade (52%) esperava que seu programa de confiança zero forneceria benefícios significativos em toda a organização e 50% disseram que permitiria migrações de nuvem mais seguras.

Cuidado com rótulos

Então, os fornecedores de segurança cibernética, percebendo uma grande oportunidade, correram para comercializar uma série de produtos rotulados como tecnologias de confiança zero. Uma pesquisa informal que a empresa de análise IT-Harvest conduziu com sites pertencentes a cerca de 2.800 fornecedores mostrou que 238 deles apresentavam confiança zero com destaque. 

“Depois que a Casa Branca e a CISA emitiram orientações para mudar para uma abordagem de confiança zero, todos querem se alinhar com o conceito”, diz Richard Stiennon, analista-chefe de pesquisa da IT-Harvest.

No entanto, o hype em torno dessas tecnologias causou uma confusão considerável. Isso, por sua vez, levou a Forrester Research, a empresa de análise que introduziu o conceito pela primeira vez, a esclarecer sua definição de confiança zero moderna no início deste ano. 

“Notícias falsas propagadas por fornecedores de segurança sobre o Zero Trust causaram confusão para os profissionais de segurança”, disse Forrester. “O Zero Trust é um modelo de segurança da informação que nega acesso a aplicativos e dados por padrão. No entanto, a prevenção de ameaças é alcançada apenas concedendo acesso a redes e cargas de trabalho utilizando políticas informadas por verificação contínua, contextual e baseada em risco entre usuários e seus dispositivos associados.”

Aqui estão cinco erros que as organizações precisam evitar ao implementar uma estratégia de segurança de confiança zero:

Presumindo que Zero-Trust tem tudo a ver com ZTNA

A implementação do acesso à rede de confiança zero (ZTNA) é fundamental para alcançar a confiança zero. No entanto, a ZTNA sozinha não é confiança zero.

Na verdade, a ZTNA é uma abordagem para garantir que funcionários remotos, contratados, parceiros de negócios e outros tenham acesso seguro e adaptável baseado em políticas a aplicativos e dados corporativos. Ou seja, com a ZTNA, os usuários recebem acesso com menos privilégios, com base em sua identidade, função e informações em tempo real sobre o status de segurança do dispositivo, localização e vários outros fatores de risco.

Portanto, cada solicitação de acesso a um aplicativo, dados ou serviço corporativo é verificada de acordo com esses critérios de risco e o acesso é concedido apenas ao recurso específico solicitado e não à rede subjacente.

Nos últimos dois anos, muitas organizações implementaram ou começaram a implementar o ZTNA como um substituto de acesso remoto para VPNs. Afinal, a mudança repentina para um ambiente de trabalho mais distribuído devido à pandemia sobrecarregou as infraestruturas de VPN em muitas organizações e as forçou a procurar alternativas mais escaláveis.

“Um caso de uso importante que impulsiona o ZTNA é o aumento ou substituição de VPN, impulsionado por uma escala nunca vista de trabalho remoto”, diz Daniel Kennedy, analista da 451 Research, parte da S&P Global Market Intelligence.

E a VPN?

Historicamente, as VPNs eram utilizadas para fornecer acesso a uma rede corporativa em vez de recursos específicos, que hoje em dia podem ser hospedados em qualquer lugar. Entretanto, fazer o backhaul do tráfego por meio de uma VPN e depois voltar para os recursos hospedados fora de uma rede corporativa é aplicar uma etapa desnecessária, diz Kennedy. “A ZTNA fornece acesso em um nível mais granular e revalida esse acesso em vez de fornecer apenas um portão de autenticação no início do acesso.”

Contudo, a ZTNA é apenas parte da história de confiança zero. Afinal, uma organização não pode dizer com credibilidade que implementou a confiança zero sem ter implementado nenhum – ou preferencialmente ambos – gerenciamento de identidade privilegiada e microssegmentação, diz David Holmes, analista da Forrester Research.

A Forrester define a microssegmentação como uma abordagem para reduzir o impacto de uma violação de dados isolando dados e sistemas confidenciais, colocando-os em segmentos de rede protegidos e limitando o acesso do usuário a esses segmentos protegidos com forte gerenciamento e governança de identidade.

O objetivo é minimizar a superfície de ataque e limitar as consequências de uma violação. Então, a chave, sem erros, para a confiança zero é garantir que os usuários, incluindo aqueles com acesso privilegiado às funções administrativas, não tenham mais acesso aos aplicativos e dados de que precisam, diz a Forrester.

Confundir confiança zero com um produto

Existem muitas ferramentas e produtos que podem ajudar as organizações a implementar uma estratégia de confiança zero. Contudo, não os confunda com a estratégia em si.

“Uma filosofia de confiança zero basicamente não é mais estender a confiança implícita a aplicativos, dispositivos ou usuários com base em sua fonte”, diz Kennedy. Em vez disso, trata-se de implementar uma abordagem padrão de negação/menor privilégio para acesso com uma avaliação contínua de risco que pode mudar com base em fatores como o comportamento do usuário ou da entidade, por exemplo, diz ele.

Portanto, ao considerar tecnologias para implementar a estratégia, ignore os rótulos. Procure produtos com recursos que se aproximem dos princípios fundamentais de confiança zero, conforme definido originalmente.

“Os termos evoluem, é claro, como este”, diz Kennedy. “Mas eles vêm com conotações. Portanto, associações com abordagens de produtos devem estar enraizadas em alguma conexão realista com a filosofia delineada.” Isso significa ter tecnologias que suportam os principais princípios de confiança zero, como microssegmentação, perímetro definido por software e integridade do dispositivo.

“A maior desconexão que vejo que está causando expectativas não atendidas é confundir uma estratégia ou filosofia de confiança zero com a implementação de um produto específico”, diz Kennedy.

Supor que você pode obter confiança zero sem higiene básica de segurança

A implantação das ferramentas certas por si só não é suficiente se você não prestar atenção aos fundamentos, diz John Pescatore, diretor de tendências de segurança emergentes do SANS Institute.

“No lado das operações, um dos grandes erros é pensar que você pode obter confiança zero sem primeiro alcançar a higiene básica de segurança”, diz ele. “Se você não pode confiar que os endpoints sejam configurados com segurança e mantidos corrigidos; se você não puder confiar em identidades porque senhas reutilizáveis ​​estão em uso; e se você não pode confiar no software porque ele não foi testado, é impossível obter benefícios de confiança zero”, diz Pescatore.

As ferramentas podem ajudar a mitigar erros no aspecto tecnológico da segurança de confiança zero. Mas mesmo com eles, há muito trabalho cerebral que não pode ser evitado, diz Holmes, da Forrester. “Por exemplo, uma organização ainda precisa de uma abordagem convincente para a classificação de dados e alguém precisa auditar os privilégios de funcionários e terceiros”, diz Holmes. “Ambos são tarefas não triviais e geralmente manuais.”

Stiennon, da IT-Harvest, diz que uma boa abordagem para as organizações é primeiro identificar e revisar áreas dentro da infraestrutura de TI onde a proteção é baseada em alguma forma de confiança. Por exemplo, pode ser um contrato de trabalho quando uma organização confia nos usuários para cumprir suas políticas. Ou pode ser um contrato ou acordo de nível de serviço com um provedor de nuvem sobre como eles usariam (ou não) os dados da organização.

“Depois de identificar essas lacunas, comece a preenchê-las com controles técnicos”, diz ele.

Ter políticas de acesso de usuário mal definidas

Uma abordagem de confiança zero pode ajudar as organizações a aplicar controle de acesso adaptável e baseado em políticas aos recursos corporativos que considera uma variedade de fatores de risco em tempo real. É o caso de segurança do dispositivo, localização e tipo de recurso solicitado. Afinal, quando implementada corretamente, a abordagem garante que os usuários tenham acesso apenas ao recurso específico que solicitaram e de maneira menos privilegiada.

No entanto, para fazer isso de forma eficaz, os administradores de segurança e TI precisam ter uma compreensão clara de quem precisa acessar o quê, diz Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security. Isso significa enumerar todas as funções de usuário possíveis e, em seguida, atribuí-las com base nos requisitos e funções do trabalho.

“A confiança zero é realmente um conceito simples: os usuários têm acesso aos recursos necessários para desempenhar suas funções de trabalho e não têm acesso a recursos que não são necessários”, diz Tiquet.

Por exemplo, ele aponta para uma unidade de rede compartilhada à qual todos em uma empresa de 10 funcionários podem ter acesso. A unidade contém informações de vendas, RH, contabilidade e clientes que todos na empresa podem acessar, independentemente da função. “Há uma grande quantidade de risco de acesso não autorizado, perda de dados, roubo de dados e divulgação não autorizada”, diz ele. “Aplicar corretamente, mesmo sem erros, a confiança zero nessa situação restringiria o acesso, mas não afetaria a produtividade, reduzindo drasticamente o risco para a empresa.”

Tiquet diz que é melhor manter inicialmente as funções de acesso bem definidas e, em seguida, atribuir ou cancelar a atribuição de novas funções de acesso a usuários individuais conforme necessário.

Negligenciar a experiência do usuário

Os modelos de confiança zero têm um grande impacto nos usuários finais, portanto, não negligencie a experiência do usuário. “A autenticação e o acesso afetam quase todos os funcionários, portanto, erros são caros para os CISOs”, diz Kennedy do 451 Group.

Quando as iniciativas de confiança zero são apressadas sem preparar adequadamente os usuários para a mudança, a produtividade dos funcionários pode ser afetada. Uma iniciativa mal feita ou que afete negativamente os usuários também pode afetar a credibilidade de todo o esforço.

“Os passos para o sucesso estão bem gastos”, diz Kennedy. “Estabeleça um estado final desejado para sua estratégia de confiança zero e implemente metodicamente as diferentes partes com parceiros fornecedores”, diz ele. Planeje, execute e teste cuidadosamente para garantir que quaisquer etapas extras exigidas dos usuários possibilitem benefícios de segurança proporcionais, diz ele.

Mesmo evitando os erros da confiança zero, o ideal é contar com um suporte de TI especializado com experiência em segurança.

Diferenciais da Infonova

A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.

BACKUP

Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.

VALOR FINANCEIRO

O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.

LIBERAÇÃO DO RH

O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.

FLEXIBILIDADE – HUB DE TECNOLOGIA

A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como: 

  • Ar condicionado;
  • Outsourcing de impressão;
  • Links de internet;
  • Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES

A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.

RETENÇÃO DE COLABORADORES

Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.

LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES

Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.

NÃO TEM MULTA DE CONTRATO

A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.

PODE PARAR QUANDO QUISER

Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.

CONTINUAMOS AMIGOS

Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.

DORMIR TRANQUILO

Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.

 

 

Facebook
Twitter
LinkedIn

posts relacionados

O que é SGSI?

SGSI é a sigla para Sistema de gestão de segurança da informação. Ele engloba: Segurança da informação: Preservação da confidencialidade,

Leia mais »
SOC

Guia completo de SOC

Embora a defesa cibernética seja um tema extremamente aprofundado, existem certas mentalidades, modelos, fontes de dados e técnicas que podem

Leia mais »

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA