Gustavo Leite, country manager da Veritas no Brasil
A Confiança Zero abrange muitas tecnologias, produtos, práticas e recursos que precisam ser incorporados não apenas aos produtos e serviços, mas à cultura e aos processos de toda a empresa
A Veritas Technologies, provedora de soluções de gerenciamento de dados em multicloud, descreve seis etapas que toda organização deve seguir para implementar uma arquitetura de proteção de dados de Confiança Zero, mitigando o equívoco comum de que a Zero Trust, em inglês, pode ser comprada ou baixada como um único produto ou serviço.
“A Confiança Zero não é um conceito novo, mas o termo agora está sendo usado de muitas maneiras e em contextos diferentes”, afirma Gustavo Leite, country manager da Veritas no Brasil: “Vejo que ele está sendo empregado para tudo, desde nomes de produtos e empresas até categorias de tecnologia mais amplas e funcionalidades — está em toda parte”.
“Com todo esse uso e, francamente, mau uso, o verdadeiro significado tornou-se turvo e confuso. Um equívoco particularmente problemático é que a Confiança Zero poderia ser comprada ou baixada como um único produto. Esse marketing é errado e enganoso”, adverte ele.
A Confiança Zero não é um produto ou serviço — é uma mentalidade que, em sua forma mais simples, envolve não confiar em nenhum dispositivo ou usuário por padrão, mesmo que estejam dentro de uma rede corporativa. Ela abrange muitas tecnologias, produtos, práticas e recursos que precisam ser incorporados não apenas aos produtos e serviços, mas à cultura e aos processos de toda a empresa.
“O que mais me preocupa sobre o uso incorreto ou confuso da Confiança Zero, incluindo a rotulagem de produtos com o termo, é como isso tende a fazer as empresas pensarem que seus dados estão seguros porque implementaram uma solução de “Zero Trust”, quando, na verdade eles ainda são extremamente vulneráveis porque um único produto sozinho não equivale a uma postura de Confiança Zero”, acrescenta Leite.
Segundo a Veritas, há seis etapas para implementar uma verdadeira estratégia Zero Trust:
1.Comprometimento de toda a organização
Os departamentos da empresa toda devem estar alinhados com as prioridades, parâmetros e com as políticas de acesso e segurança. Cada conexão — de dados a usuários e dispositivos a aplicativos, cargas de trabalho e redes — deve ser arquitetada com uma estratégia de Confiança Zero e deve ter a capacidade de evoluir conforme necessário;
2.Liderança multifuncional
As organizações devem criar uma equipe de Confiança Zero multifuncional dedicada, encarregada de planejar e implementar uma migração. Essa equipe deve incluir membros de segurança de aplicativos e dados, infraestrutura e governança de identidade e segurança de rede, mas também deve envolver outras áreas de TI. A equipe deve fazer avaliações regulares do inventário para orientar a governança e a aplicação, o que requer total apoio da liderança;
3.Processo e política
A TI deve garantir que os processos e procedimentos corretos estejam em vigor para a governança de identidade. Outro elemento importante é limitar o acesso a backups, especialmente backups de dados críticos para os negócios, e atribuir acesso estrategicamente apenas a grupos que precisam dele;
4.Treinamento e construção de cultura
As organizações devem tornar fáceis e transparentes a educação e a informação de todos os funcionários. Eles devem exigir treinamento de Confiança Zero para todos os colaboradores, parceiros e fornecedores, para que a mentalidade seja definida em toda a organização e cadeia de valor;
5.Alinhamento de produtos e ferramentas
A TI deve procurar a tecnologia que tenha o conceito de Confiança Zero integrado em todas as partes de sua plataforma, em vez de simplesmente anunciar “Confiança Zero” como um recurso ou benefício. A tecnologia deve ajudar a monitorar o acesso, controles de privilégios e proteção de sistemas, além de fornecer visibilidade completa por meio de mecanismos como microssegmentação e controles de acesso a dispositivos;
6.Monitorar e manter
As organizações devem revisar e refinar regularmente suas estratégias de Confiança Zero — nunca esquecendo que se trata de um processo interativo.
“Como a última palavra da moda, sem dúvida continuaremos a vê-la mal utilizada em muitos contextos. Lembre-se: uma verdadeira postura de Confiança Zero não pode vir de um único produto ou solução, mesmo que seja comercializado dessa maneira. Na realidade, é um processo interativo contínuo baseado nos princípios que descrevemos, os quais devem estar sempre evoluindo”, conclui Leite.