Tendências do modelo confiança zero na cibersegurança

O que vem a ser esse modelo, como o mercado vêm enxergando o tema e o que esperar do futuro?

Em um passado não muito distante, a segurança da informação era orientada quase que exclusivamente por um modelo de segurança de rede baseado em perímetro, ou a popular, segurança perimetral. Esse modelo assumia que qualquer usuário dentro do limite da rede de uma empresa era considerado «confiável» e quem estivesse fora desse perímetro, “não confiável”.

As equipes de segurança se concentravam em aprimorar a experiência do usuário final com controles básicos para gerenciamento de acesso e identidade, provisionamento de usuário dentre outros. Com o tempo, esses controles tornaram-se insuficientes, especialmente com o advento de leis de conformidade que todas as organizações independentes de seu porte já devem se preocupar.

Durante muitos anos, essa ideia de confiança serviu e muito bem como argumento para decisão de quais aplicativos ou recursos as pessoas poderiam acessar, mas isso “caiu por terra” e é onde adentro um pouco sobre o tema de modelo confiança zero (ou zero trust).

Mas o que é de fato esse modelo de segurança confiança zero?

Trata-se de um modelo de segurança com capacidade de proteger empresas e proporcioná-las progresso mediante desafios e implicações significativas impostas pela transformação digital.

Esse modelo tem como base um rígido processo de verificação de identidade, onde a estrutura estabelece que apenas usuários e dispositivos autenticados e autorizados podem acessar determinados dados e aplicações.  Ele tira proveito de um conjunto de ações, processos e soluções integradas de segurança que permite às empresas identificar e classificar todos os usuários e dispositivos que buscam acesso à rede, avaliar seu status de conformidade com as políticas de segurança próprias, atribuí-los automaticamente a zonas de controle e monitorá-los continuamente.

Ao longo dos últimos anos, em diversas publicações de tendências tecnológicas, esse conceito de “confiança” aparece fortemente. O contexto pode alterar um pouco, ora centrado na confiança na utilização dos dados, na confiança na segurança dos sistemas, ora na necessidade de confiar que as organizações estão agindo corretamente, mas sempre está lá, como uma das principais tendências desse mercado de segurança da informação.

Cloud, mobilidade, Lei Geral de Proteção de Dados (LGPD) e confiança zero: qual a relação entre eles?

A pandemia colocou em evidência o acesso remoto seguro para colaboradores que passaram a trabalhar de seus lares, expondo às falhas da VPN tradicional assim como a complexidade de operá-las, experiencia não tão boa para os usuários, além é claro, de ser parte integrante do modelo legado de perímetro exposto anteriormente. Como uma referência significativa, de acordo com Gartner, até 2023, 60% das empresas eliminarão gradualmente VPNs de acesso remoto em favor do acesso à rede de confiança zero.

A migração para nuvem já era um movimento que estava acontecendo naturalmente, entretanto, teve seu processo acelerado por conta do exposto acima. Pegando carona com a ida de seus funcionários para casa, as empresas providenciaram ou escalaram ferramentas que assegurassem a produtividade mesmo fora do ambiente organizacional tradicional, sem que fosse preciso seus empregados carregarem todo o escritório consigo, fazendo todo sentido apostar da adesão do modelo de confiança zero para melhoria da experiência deles.

Outro fator que têm impulsionado bastante a adoção do modelo de confiança zero no Brasil é a LGPD (ou GDPR, lei semelhante aplicável na Europa). Em vigor desde 2020, ela visa garantir maior proteção aos dados pessoais na internet implicando às empresas darem garantias de segurança a seus funcionários, clientes e usuários. As organizações vêm se deparando com diferentes opções, sendo o modelo de confiança zero uma alternativa muito atrativa devido principalmente ao modelo se basear em um processo contínuo e eficaz para evitar riscos capazes de levar ao vazamento de dados e ao descumprimento de requisitos que garantem a adequação à LGPD.

E o que esperar do futuro desse modelo?

A segurança cibernética é um tema prioritário para os negócios digitalizados e os métodos de defesa utilizados anteriormente não suportam mais o que encontramos na realidade. Dessa forma, transportar o conceito de confiança zero para o negócio se torna essencial para um crescimento sustentável de uma corporação. 

Espera-se que a estratégia confiança zero continue a ser a prioridade de segurança. Estudos indicam inclusive que as organizações já preveem elevar seus investimentos para contarem com esse modelo dentro de casa e acreditam que superar desafios com seus funcionários será a chave para elevar o investimento com o tema.

Estamos construindo um novo padrão corporativo, pautado pela virtualização, experiência, dinamismo e maleabilidade. Para antecipar as necessidades de mudança do mundo moderno, o espaço de trabalho digital, a nuvem e uma abordagem de segurança de confiança zero serão pilares que permitirão que as empresas tenham sucesso neste novo contexto.