Anywhere office é uma tela branca para cibersegurança
Quando as empresas aceleraram suas iniciativas de transformação digital, o número de possíveis vetores de ataque também cresceu
Bússola
Publicado em 19 de junho de 2022 às 11h18.
Por Adriano da Silva Santos*
Padrões de trabalho remotos e híbridos têm se estendido ao mundo corporativo para todos os dispositivos e usuários. À medida que a pandemia global recua, essa é uma tendência que deve se perpetuar a longo prazo. Na verdade, é difícil exagerar o ritmo e a extensão da transformação digital sofrida pelo ambiente empresarial nos últimos dois anos. Conforme o ano passa, a experiência diária de trabalho dos funcionários parece cada vez mais diferente de antes da pandemia.
Por que "a rede" se tornou irrelevante?
Essa perspectiva evoluiu. Hoje existem modelos de trabalho como o "anywhere office", onde os funcionários podem estar em qualquer lugar; no escritório, em casa, em um trem ou em uma cafeteria realizando seus afazeres diários. Do ponto de vista da segurança, bloquear o perímetro corporativo e garantir o acesso à rede não é mais o que importa; em certa medida, a rede tornou-se quase irrelevante. Em vez disso, o foco agora é em torno de garantir aplicações.
Ao mesmo tempo, as organizações precisam aproveitar o poder das implantações e precisam ser altamente produtivas com acesso rápido e fácil. Isso não é apenas essencial, tornou-se fundamental ser um negócio digitalizado e moderno nesse aspecto. Para viabilizar esse ambiente, as empresas precisam de acesso transparente à rede — desde a borda até o núcleo — e métodos de segurança com base em um modelo de confiança zero para garantir acesso a aplicativos essenciais para o cronograma das indústrias.
Quando as empresas aceleraram suas iniciativas de transformação digital, o número de possíveis vetores de ataque também cresceu, já que os sistemas digitais precisam ter vários pontos de acesso para clientes, parceiros e funcionários. Esse movimento criou uma superfície de ataque muito expandida, como resultado, os crimes cibernéticos aumentaram e um número recorde de violações de dados crescentes estão ocorrendo ano após ano.
Operando em uma base de confiança zero
A dura realidade é que essa nova força de trabalho anywhere office traz um nível enorme de risco. Com o trabalho acontecendo em quase qualquer lugar e os ataques cibernéticos surgindo, a segurança deve ser a mesma, não importa quem, o quê, quando, onde e como os aplicativos de negócios estão sendo acessados. Isso torna fundamental que cada conexão funcione em uma base de confiança zero. Os líderes de segurança cibernética historicamente chamam isso de "negação padrão". Contudo, atualmente, graças às plataformas em nuvem que ligam a identidade do usuário e do dispositivo à equação, os controles para torná-la realidade são escaláveis.
Nesse ponto, o que quero dizer é que as organizações efetivamente eliminaram-na implicitamente de seus sistemas de TI, substituindo pela máxima "nunca confie, sempre verifique". Na prática, isso significa apenas confiar naqueles que têm autoridade adequada para acessar. A estratégia considera o reconhecimento de que as ameaças internas e externas são generalizadas e a eliminação de fato do perímetro de rede tradicional requer uma abordagem de segurança diferente. Todos os dispositivos, usuários, rede e fluxo de aplicativos devem ser verificados para remover privilégios de acesso excessivos e quaisquer outros vetores potenciais de ameaças.
No entanto, trabalhar com uma força de trabalho remota não é um conceito novo. Há muitas organizações empresariais visionárias que vêm pensando sobre esse assunto há muito tempo, mas soluções sofisticadas nem sempre estiveram disponíveis. No passado, as empresas contavam com VPNs (Virtual Private Networks, redes privadas virtuais) para ajudar, embora minimamente, a resolver problemas de confiança do usuário. Porém, agora é o momento certo para repensar os modelos de segurança corporativa à luz das modernas soluções disponíveis que podem ser implementadas de forma simples e econômica.
Rebobine a segurança
Qualquer modelo de segurança de alto nível realmente se divide em uma questão de confiança: em quem e em que posso confiar? – o funcionário, os dispositivos e os aplicativos aos quais o funcionário está tentando se conectar. No meio está a rede, mas hoje, na maioria das vezes, a rede é a internet. Pense sobre isso. Os funcionários sentam-se em cafeterias e fazem login em navegadores públicos para acessar seu e-mail.
Todo dispositivo de computação de usuário final “confiável” tem um software de segurança instalado nele pelo departamento de TI corporativo. Esse software garante que o dispositivo e o usuário no dispositivo sejam validados, de modo que o dispositivo se torne o proxy para falar com os aplicativos na rede corporativa. Logo o desafio está em garantir a aplicação.
A infraestrutura em nuvem atual conecta o usuário diretamente ao aplicativo, portanto não há necessidade de ter o usuário conectado através de um servidor corporativo ou rede. O cliente é sempre tratado como um estranho, mesmo sentado em um escritório corporativo. Os servidores nunca sequer constatam o endereço IP real do cliente (porque eles não precisam), e mesmo firewalls de data center são de muito menos valor como o modelo de confiança zero. Políticas e controles aplicados com especialistas agora são exponencialmente melhores.
Morte da VPN
Nesta nova construção, diria que a VPN morreu, graças ao Zero Trust Network Access (ZTNA), e as redes se tornam simplificadas com menores custos operacionais de execução, graças ao SD-WAN. A razão é que estamos agora apenas preocupados com o que confiamos: o usuário, seu dispositivo e o destino. Note que a rede não faz parte disso. Por quê? Porque não confiamos mais nos usuários ou em seus dispositivos na rede corporativa do que em redes públicas. Assim, mesmo quando conectados a uma rede local LAN, eles têm a mesma postura de segurança e acesso, assim como fariam no caso de uma conexão através de um Wi-Fi público.
Novo pensamento
A maioria das empresas percebe que é hora de melhorar as estratégias de acesso remoto e eliminar a dependência exclusiva da proteção baseada em perímetro, com os funcionários se conectando do ponto de vista da confiança zero. No entanto, a maioria das organizações descobrirá que sua jornada não será feita do dia para a noite — principalmente se tiverem sistemas que não transitam bem para este modelo. Portanto, esses empreendimentos estão mudando parte de suas cargas de trabalho para nuvem, ou seja, ambientes greenfield (campo verde).
Desse modo, as organizações podem trabalhar com parceiros, para ajudar na implementação de controles de segurança na nuvem, utilizando uma estrutura. Esse quadro forneceria uma base firme para apoiar iniciativas de transformação cibernética, ajudando as organizações a dar seus primeiros passos para se tornar negócios conectados à confiança zero. Essas configurações seriam feitas abordando áreas comuns de compromisso entre um usuário ou dispositivo e o aplicativo ou fonte de dados sendo acessado.
Em suma, no ambiente anywhere office, a implementação de uma visão geral embasada por meio do conceito de confiança zero proporciona que as instituições comecem a realmente reduzir os fatores de risco, ao mesmo tempo, em que se certificam que a empresa seja voltada às implicações e modernidades dos conceitos empresariais elaborados no século 21. Com a expectativa das ameaças cibernéticas se expandirem e aumentarem, melhor prevenir do que remediar, não é mesmo?
*Adriano da Silva Santos, é um jornalista e escritor, comentarista do podcast "Abaixa a Bola" e colunista de editorias de criptomoedas, economia, investimentos, sustentabilidade e tecnologia voltada à medicina
Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube
Veja também
Guerra da Ucrânia gera falta de insumos eletrônicos e corrida para nuvem
Metaverso: O futuro revolucionário precisa ser inclusivo e diverso
Sua empresa faz bom uso de dados? Seis dicas para aproveitar ao máximo