Cunhado pela Forrester Research, o conceito Zero Trust não é novo no mundo da Segurança da Informação, mas está cada vez mais pertinente nas estratégias de defesa das organizações, principalmente diante de um cenário complexo de vazamento de dados e ciberataques sofisticados. A ideia é mostrar que ameaças estão em todas as partes, dentro e fora das empresas, o que exige uma abordagem de várias camadas para prevenção, detecção e resposta a incidentes.
Esse conceito é muito profundo em “nunca confiar e sempre verificar”, ou seja, é ação de proteger o dado e não confiar em ninguém. E uma das formas de fazer isso funcionar é integrar plataformas criando um grande framework em que as informações são gerenciadas em um único ambiente.
Os dados são correlacionados e geram visibilidade em tempo real sobre quem acessa. O perímetro deu lugar ao microperímetro criado ao redor das informações, centrado no dado e protegido com técnicas de criptografia forte, vinculada à autenticação inteligente. “Trata-se da criação de um controle de Segurança centralizado. Uma forma de olhar as demandas de proteção cibernética na perspectiva de plataforma, não uma Segurança feita com recursos individuais”, pontua Salah Nassar, Global Cloud Solutions da Symantec.
No C6 Bank, o conceito Zero Trust é trabalhado fortemente pelo time do Cyber Prevenger, Anchises Moraes. Segundo ele, é um processo evolutivo junto aos controles de identidade e acesso remoto seguro, tanto na nuvem quanto on premise. “Na minha visão, o Zero Trust deveria ser um passo natural para toda aplicação de segurança na rede”, indaga o executivo.
Nuvem segura
Durante o Cyber Defense Cloud Forum, evento promovido pela Symantec nessa semana em São Paulo, o conceito foi amplamente destacado, especialmente quando somado aos desafios de migração segura para a nuvem e demandas de proteção de IaaS e SaaS. Aqui, dá até para adicionar mais um item como a Lei de Proteção de Dados, que mudará completamente a forma de gerenciar e proteger informações sensíveis, independentemente do ambiente físico ou multicloud.
“Eu sou fã de cloud computing, somos mais eficientes protegendo a cloud se comparada com a proteção dos ambientes on primeses”, destaca Leonardo Carmona, CISO da Quod, que também participou do evento. Segundo ele, se a empresa tiver visibilidade e automação, conseguirá avaliar os riscos do negócio e a partir daí tomar as decisões de priorização. “Nesse mundo altamente conectado e em constante transformação, precisamos escolher quais são as batalhas que vamos lutar, por isso é importante ter visibilidade de tudo”, acrescenta.
Para Luis Asensio Garcia, CSO da CVC, cabe ao gestor de Segurança mostrar os riscos da computação na nuvem. “Precisamos trabalhar fortemente a gestão de risco junto ao negócio no modelo cloud, o que é diferente quando as coisas eram dentro de casa. Isso passa principalmente pelo entendimento de contrato com o provedor da nuvem e deixar estabelecido a responsabilidade de cada um.”
Com a Lei de Proteção de Dados saindo do forno, as empresas brasileiras terão a lição de casa de como tratar o dado e saber que, de fato, a responsabilidade pela proteção é dela, não do provedor. Na visão de Eduardo Cabral, Sales Specialist da Symantec, essa corresponsabilidade na proteção é algo sensível, uma questão de governança de todo o processo. “É importante também mapear dados, canais de entrada e saída, principalmente em IaaS”, pontua.
Colaborativo e protegido
O cenário fica ainda mais complexo quando a Shadow IT entra na equação. O empoderamento do usuário está avançando nos negócios, o que traz o benefício da colaboração e agilidade para as empresas, mas destaca também riscos quando não informado para a TI/SI sobre uma nova contratação de softwares e serviços ou não cumprimento das diretrizes de governança.
“Do ponto de vista da SI, a Shadow IT é péssima porque é muito difícil manter padrões de acesso, controle, autenticação e classificação da informação. Ou seja, tudo aquilo que suamos diariamente para manter seguro, em uma ação simples o usuário pode trazer um grande problema pra empresa, seja de compliance ou vazamento de informações”, alerta Anchises.
E com a entrada do 5G, a colaboração será ainda maior em todos os departamentos das empresas, em que tamanha conectividade permitirá processamento de uma infinidade de informações. “A explosão será exponencial em termos de tecnologia e segurança. Se hoje já é colaborativo, amanhã será ainda mais e nossa missão é preparar a estrada para altas velocidades de inovação no negócio junto aos parceiros de tecnologia”, acrescenta Leonardo Carmona.
“Todas as startups estão nascendo na nuvem e isso é algo muito positivo. Mas não quer dizer que seja totalmente seguro. A Symantec pode ajudar, pois temos segurança que vai do dispositivo, passa pelo usuário e chega na nuvem, no dado sensível. O segredo é sempre visibilidade e monitoramento. As empresas precisam enxergar os passos dos colaboradores, como a infraestrutura está reagindo e atuando sob as boas práticas de segurança, além de evitar erros e fazer o básico bem feito, como um processo simples, mas importante, de configuração de tecnologia”, completa Eduardo Cabral.
