Zero Trust: 5 pontos que agências governamentais precisam saber

Por Daniel Sant’Anna, gerente de contas estratégicas da Tenable no Brasil  

Zero Trust como conceito é simples de entender: basta não confiar em nada (sistemas, processos, acessos etc) e em ninguém. Ou seja, tudo deve ser checado, verificado e comprovado. Por definição, é uma maneira alternativa de pensar sobre segurança da informação que trata a confiança como uma vulnerabilidade.  

Leia também: Liderança visionária: como Taize Wessner transformou a Virtueyes em referência em IoT

A prática de Zero Trust remove a confiança completamente dos sistemas digitais e é construída sobre a ideia de que a segurança deve se tornar onipresente em toda a infraestrutura, englobando:  

• Todos os recursos são acessados de forma segura, independentemente da localização.

• O controle de acesso é baseado na “necessidade de saber” e é rigorosamente aplicado.

• Todo o tráfego é inspecionado e registrado.

• A rede é projetada de dentro para fora.

• A rede é projetada para verificar tudo e não confiar em nada.

Uma arquitetura zero trust pode ser implementada usando tecnologia comercial pronta para uso. No entanto ela deve cumprir alguns critérios: ser baseada nas melhores práticas atuais de segurança cibernética e se adequar a um programa de gerenciamento de exposição de forma eficaz.  

Para começar sua jornada zero trust, destaco algumas considerações importantes para agências governamentais, mas também para CISOS, CIOS e decisores de TI em geral:   

Zero trust é uma estratégia, não um produto. Na maioria das organizações, ela pode ser implementada usando produtos de segurança cibernética prontos para uso. Não há um único produto de zero trust que sua organização possa comprar e conectar para transformar sua postura de risco da noite para o dia.  

 Zero trust requer a fundação de gerenciamento de exposição forte. Como as diretrizes do National Institute of Standards and Technology (NIST) deixam claro, você não pode construir uma estratégia de zero trust sem primeiro ter visibilidade precisa de todos os ativos da organização — incluindo TI, nuvem, tecnologia operacional (OT) e internet das coisas (IoT). Um programa de gerenciamento de exposição pode fornecer esse nível de visibilidade, bem como a capacidade de agir sobre as descobertas em tempo real.  

Perfis de usuário são mais importantes do que nunca. Uma estratégia de zero trust exige que você monitore continuamente todos os usuários o tempo todo. Os recursos de gerenciamento de identidade e acesso, tais como: Entra ID e Active Directory, que são usados para gerenciar perfis e privilégios de usuários, devem ser monitorados continuamente e mantidos atualizados.  

Ninguém é confiável — sem exceções. Isso pode não agradar os líderes seniores, que às vezes podem se comportar como se as regras não se aplicassem a eles. É aconselhável aprimorar suas habilidades diplomáticas. No final das contas, uma arquitetura de zero trust pode ser implementada sem criar atrito significativo aos usuários finais.  

Zero trust requer comunicação cuidadosa. Há pessoas em toda a organização que construíram suas carreiras nos princípios de segurança cibernética legados de “fosso e castelo” e “confie, mas verifique”. Eles podem sentir-se ameaçados ou que seus empregos estão em risco se não estiverem envolvidos na construção nas estratégias de zero trust desde o primeiro dia.  

Para líderes de segurança cibernética em agências governamentais, preparar-se para uma arquitetura zero trust é menos um exercício de avaliação de tecnologias e mais um exercício de pensamento estratégico, exigindo que você responda a perguntas fundamentais como:  

• Qual é a missão principal ou proposta de valor da sua agência?

• Quais são os fluxos de trabalho necessários para cumprir essa missão?

• Quem é o dono desses fluxos de trabalho?

• Como os dados fluem na organização?

• Quais são seus ativos de alto valor, as “joias da coroa”?

• Como a organização determina quem tem acesso a esses ativos de alto valor?

• Com que frequência a organização audita as permissões do usuário depois que elas são definidas?

• Quais blocos de construção você já tem em vigor para dar suporte a uma estratégia zero trust? 

Responder a essas perguntas requer visibilidade total e monitoramento contínuo de toda a sua superfície de ataque, incluindo: TI, internet das coisas (IoT) e ativos de tecnologia operacional (OT). Ainda, a capacidade de avaliar a criticidade de cada ativo para cumprir a missão principal da sua organização, deve estar nesta lista.  

Nenhuma jornada de zero trust pode começar sem primeiro abordar esses fundamentos do gerenciamento de exposição.