Zero Trust: os desafios de implementação de uma das grandes tendências da cibersegurança para 2024

por Ana Carolina Lahr

Enquanto o comportamento digital impulsionado pela pandemia estimulou a transformação digital do ambiente corporativo e fortaleceu práticas como o home office, no âmbito da cibersegurança as ameaças estão em constante evolução com os usuários, os dispositivos, as aplicações e os dados saindo do perímetro corporativo e da zona de controle. Nesse cenário, ganha força o modelo Zero Trust Architecture.

Considerado um diferencial entre as organizações que enfrentam desafios de segurança da era digital, uma pesquisa da statista mostrou que o Zero Trust pode reduzir o custo de uma violação de dados em aproximadamente US$ 1,76 milhão e que as organizações que utilizam a abordagem têm 2x mais chances de evitar interrupções críticas devido a ataques nos últimos 24 meses.

Com base nesses e outros benefícios, constatou ainda que 72% das organizações entrevistadas estavam em processo de adoção ou já haviam adotado o Zero Trust em junho de 2022, e 90% delas tinham a sua implementação como uma das suas três principais prioridades de TI e segurança.

Dois anos mais tarde, a implementação da abordagem ainda é considerada uma das grandes tendências de cibersegurança em 2024, de acordo com a consultora Gartner, sendo que até 2026 a expectativa é que 10% das grandes empresas tenham um programa abrangente, maduro e mensurável em vigor, acima dos menos de 1% existentes hoje.

Desafios

O “Zero Trust” surgiu em 2010, em uma proposta do analista da Forrester Research, John Kindervag, e enfatiza a importância da verificação contínua e da não confiança automática, e ajuda a proteger ativos críticos em um ambiente de ameaças em constante evolução. Apesar da sua relevância pouco questionada, porém, sua implementação ainda é considerada um desafio por diversas empresas, dada as integrações e detalhes técnicos que exigem conhecimento específico. 

Uma das dificuldades de implementação da abordagem está justamente no seu entendimento conceitual. “Zero Trust não é uma tecnologia. Ele reagrupa e enfatiza um conjunto de princípios de segurança cibernética que podem ser implementados numa gama de tecnologias para abordar riscos específicos para uma organização”, afirmam os analistas da Gartner no artigo “2023 Strategic Roadmap for Zero Trust Security Program Implementation” (em português: “Roteiro estratégico de 2023 para implementação do programa de segurança Zero Trust”), publicado em abril deste ano.

No documento, os consultores listam os obstáculos mais comuns à sua implantação: 

• tecnologia legada
• escalabilidade
• integração e lacunas de capacidade em implementações da tecnologia
• resistência organizacional 
• falha em considerar o impacto nos processos de negócios.

Implementação

Se a sua empresa ainda não adota a Zero Trust Archteture na estratégia de cibersegurança, mas tem esse objetivo para o próximo ano, o guia “Embracing a Zero Trust Security Model”, publicado pela Agência Nacional de Segurança dos Estados Unidos em 2021, recomenda que os esforços sejam planejados como um roteiro de amadurecimento contínuo. Desde a preparação inicial até os estágios básicos, intermediários e avançados, eles destacam que a proteção da segurança cibernética, a resposta e as operações devem melhorar ao longo do tempo. 

Fonte: NSA

Os especialistas da Gartner também salientam a importância do planejamento cuidadoso. “As organizações que implementam tecnologias sem uma estratégia clara e um planejamento cuidadoso desperdiçam tempo e recursos em implementações incompletas e criam potencialmente uma falsa sensação de segurança”, afirmam no artigo. 

Além disso, eles destacam que “há despesas operacionais significativas, especialmente quando as organizações não têm uma definição formal de “quem deve ter acesso a quê” e não integram controles técnicos que se adaptem a um ambiente dinâmico”.

Para saber mais sobre o Zero Trust e outras tendências da cibersegurança, acompanhe o blog do Web Security Hub, que reúne executivos de tecnologia de setores estratégicos da economia do Brasil em discussões atualizadas sobre o tema.