Na última quinta-feira de novembro de 2013, no feriado de Ação de Graças nos EUA, 110 milhões de dados de cartão de crédito foram roubados da Target, uma loja de departamentos. Tamanha fraude causou a demissão do CEO da empresa à época. “Esse é o nascimento do conceito de Zero Trust”, diz John Kindervag, CTO da Palo Alto Networks e criador do termo.
Ex-analista da Forrester Research, Kindervag falou sobre o tema no encerramento da décima primeira edição do Congresso Security Leaders, promovido virtualmente pela TVD. Segundo ele, temos que pensar em sistemas de segurança que partam do pressuposto que nenhum sistema é 100% confiável, daí o termo Zero Trust.
“Confiável é um adjetivo e, por isso, baseado em emoção. A ideia de sistemas confiáveis versus não confiáveis existe há 40 anos e é um risco, pois é baseada em emoção. Se isso é um risco, é seu dever mitigar isso. O modelo de sistema confiável é o problema da cibersegurança”. Kindervag alerta para que seu conceito não seja mal interpretado: “Não estou dizendo que pessoas não sejam confiáveis. Estou dizendo algo mais profundo – Pessoas não são pacotes. Pessoas são confiáveis, mas pacotes não”.
De acordo com ele, uma estratégia coerente de cibersegurança passa por quatro níveis. A grande estratégia, o objetivo final da sua empresa; a estratégia, ou a ideia para atingir esse objetivo; tática, que é decidir quais ferramentas vamos usar para implementar essa ideia; por fim, a operação, ou o modo como usamos essas ferramentas tecnológicas.
Segundo Kindervag, “segurança precisa ser um sistema, algo integrado, não uma coleção de ferramentas. Ao comprar um monte de soluções desconexas, você aumenta a complexidade do sistema – e por mais paradoxal que soe, aumenta os riscos”. Por mais de 40 anos, as pessoas pensaram em segurança como a compra de ferramentas para impedir ataques. “Segurança era baseada em gastar dinheiro que não se tem, para comprar ferramentas que você não precisa porque, no fundo, você não sabia do que precisava se proteger”.
“A Internet tornou o mundo plano, estamos todos sujeitos às mesmas ameaças. O risco não acontece apenas quando nosso sistema é invadido, mas também quando há brechas para atores maliciosos terem acessos aos nossos dados”, explicou ele.
O conteúdo completo desta palestra está disponível em nosso canal no YouTube.
