Blog Single

05 maio

CONHEÇA O MODELO DE SEGURANÇA ZERO TRUST

O controle de acesso à informação é fundamental para a segurança de dados de uma empresa e oferece diversos benefícios. O principal deles é a segurança que a organização vai ter em relação às informações sigilosas tanto do próprio ambiente corporativo quanto dos seus clientes. E isso tem impacto direto em sua imagem, principalmente no que diz respeito à credibilidade, afinal, uma empresa que lida com os dados do seu cliente de maneira segura, é uma empresa confiável.

Durante muito tempo, foi adotado por grande parte das empresas o sistema de segurança de “verificar primeiro e confiar depois”, que significa que qualquer pessoa em posse das credenciais corretas, pudessem ter o acesso autorizado a qualquer serviço ou informação da corporação, seja um website, dispositivo, ou qualquer dado sigiloso. Esse modelo tradicional de segurança é normalmente exemplificado como um castelo cercado por um fosso, que seria a rede, e todos os que estão dentro desse castelo são considerados confiáveis (os usuários, serviços ou dispositivos internos da empresa), enquanto que todos do lado de fora desse perímetro são considerados hostis. Esse modelo, no entanto, não é mais compatível com os modelos de negócios atuais.

O ambiente corporativo tem se integrado cada vez mais ao ambiente virtual. A adoção de modelos de trabalho como o Home Office, que permite que o acesso à rede corporativa possa ser feito por meio de uma rede doméstica, e o BYOD – Bring Your Own Device, política que permite ao funcionário utilizar seus próprios equipamentos para acessar os sistemas administrativos, faz com dados e informações sigilosas da empresa estejam mais suscetíveis a ataques e ameaças cibernéticas. Isso quer dizer que, mesmo que indiretamente, qualquer pessoa se torna uma ameaça à segurança da empresa.

A partir disso, as grandes organizações estão cada vez mais preocupadas na implementação do modelo de segurança Zero Trust.

ZERO TRUST: O QUE É E COMO FUNCIONA

O modelo de segurança Zero Trust, ou “Zero confiança”, na tradução livre, foi desenvolvido por John Kindervag, analista da Forrester, empresa norte-americana de pesquisa de mercado, e parte da premissa de que as organizações não devem confiar em nenhuma entidade interna ou externa que tente entrar em seu perímetro. Isso quer dizer que antes que cada ativo da empresa seja acessado, é necessária a realização de um processo de validação e legitimação da identidade para qualquer pessoa que deseja ter acesso a qualquer tipo de informação corporativa. O modelo serve para garantir o acesso seletivo a apenas alguns recursos ou informações que os usuários necessitem. Além disso, mesmo os usuários que tiverem o acesso autorizado, terão de passar repetidas vezes pelo processo de autenticação da identidade.

Para ficar mais claro, basta pensar no modelo de segurança Zero Trust como uma casa cheia de salas. Cada sala é protegida por uma porta com a sua própria fechadura e somente você pode conceder às pessoas a chave, ou o acesso, aos usuários para que possam acessar apenas as salas com os ativos de que necessitam. O mesmo acontece com as empresas. Ao implementar um sistema de segurança que verifica, valida e seleciona tanto os usuários e entidades que vão acessar os recursos da organização, quanto até mesmo quais os tipos de recursos acessados, a empresa consegue garantir a segurança de informações sigilosas tanto da organização quanto dos clientes.

FUNDAMENTOS E PRINCÍPIOS BÁSICOS DO ZERO TRUST

O modelo de segurança Zero Trust tem como base os seguintes princípios:

– Nenhum usuário é confiável. Absolutamente todos os usuários de uma rede são considerados hostis;

– Existem constantes ameaças externas e internas na rede;

– Cada dispositivo, usuário e fluxo de rede deve autenticado e autorizado;

– O acesso a recursos empresariais individuais é concedido por sessão: a cada novo acesso, é necessária uma nova forma de identificação para verificar a identidade do usuário;

– Nenhuma arquitetura de rede é confiável, ainda que não tenha apresentado vulnerabilidade;

– Conceder acesso apenas ao que é necessário, sem afetar a capacidade do usuário de realizar as tarefas;

– Sempre verificar todas as ações realizadas dentro da empresa;

– Sempre monitorar o comportamento dos usuários;

– Nunca confiar;

POR QUE IMPLEMENTAR O MODELO DE SEGURANÇA ZERO TRUST?

As transformações digitais estão constantemente modificando as atividades e direções empresariais e aumentando ainda mais a exposição ao risco de vazamento de dados, ataques cibernéticos, etc.

Ao estabelecer um modelo de segurança que faz a constante verificação da identidade dos usuários que acessam os serviços corporativos, as empresas conseguem se proteger contra as ameaças internas e externas que prejudicam o funcionamento das atividades. Ao mesmo tempo, com a adoção dessas estratégias, as organizações conseguem se colocar à frente no mercado competitivo e garantirem um ambiente seguro para os seus clientes.

A LGPD – Lei Geral de Proteção de Dados, em vigor desde setembro de 2020 e que visa garantir uma maior proteção dos dados pessoais na internet, também representa a importância da adoção do Zero Trust pelas organizações. Através do modelo de verificação contínua, as empresas evitam os riscos de vazamento de dados e informações, que levam ao descumprimento dos requisitos referentes à adequação da LGPD.

COMO IMPLEMENTAR O ZERO TRUST?

O primeiro passo para implementar o modelo de segurança Zero Trust, é conhecer toda a infraestrutura da empresa. Saber quais são os principais recursos, vulnerabilidades e riscos vão ajudar a identificar quais os setores que precisam ser protegidos.

O próximo passo é identificar e conhecer todas as identidades de usuário, serviço ou dispositivos da organização para saber se são confiáveis, além de identificar e delimitar quais serviços ou dados que elas necessitam acessar.

Após essas medidas, é hora de monitorar todas as atividades que as identidades estão realizando no sistema. A capacidade de monitoramento é essencial para garantir a integridade do dispositivo e/ou do serviço. Por último, vale lembrar o fundamento principal do Zero Trust: a zero confiança. Não confie em nenhuma rede, nem mesmo a sua. Considere todos os dispositivos internos e externos como possíveis ameaças à segurança dos seus dados e informações.

Related Posts