Future of Money

A estratégia cara-crachá da segurança cibernética

A importância de implementar uma estratégia moderna de segurança, baseada em confiança zero (Zero Trust), permitindo a transformação segura e ágil dos negócios

 (MF3d/Getty Images)

(MF3d/Getty Images)

MZ
Marcello Zillo Neto

Líder de segurança LatAm na Amazon Web Services

Publicado em 18 de novembro de 2023 às 10h00.

Última atualização em 20 de novembro de 2023 às 14h01.

Quem não se lembra do saudoso Paulo Silvino, grande ator brasileiro que interpretou o personagem que utilizava frequentemente o bordão “cara-crachá”? O objetivo do personagem era validar continuamente a existência de possíveis intrusos ou visitantes indesejados, cujos rostos não correspondiam ao crachá e poderiam assim trazer riscos ao ambiente.

Nesse caso, o personagem fazia uma validação contínua e em tempo real da veracidade da identidade do usuário, partindo da premissa que a pessoa em questão inicialmente não era confiável, até que todas as validações necessárias fossem bem-sucedidas. E como veremos a seguir, uma estratégia moderna de segurança, baseada em confiança zero (Zero Trust), permite realizar o “cara-crachá” no mundo digital.

  • O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Pense em um cenário com empresas e negócios distintos super conectados e interdependentes, onde usuários e colaboradores necessitam acessar dados e informações corporativas em tempo real, de qualquer lugar, com qualquer dispositivo, inclusive equipamentos pessoais.

Nesse cenário é preciso garantir que os acessos estejam devidamente protegidos, de onde quer que eles venham, seja da sua rede ou fora dela. Além disso, é fundamental validar continuamente se o usuário é realmente quem diz ser antes de acessar os dados.

Também é primordial garantir que o dispositivo e a rede em uso são suficientemente seguros, além de implementar as validações de segurança com a menor fricção possível para os usuários.

A fim de atingir os objetivos mencionados acima, temos que nos remeter ao ano de 2010. Foi nesse ano que a Forrester, empresa de pesquisa em tecnologia presente há mais de 40 anos no mercado, apresentou pela primeira vez o termo Zero Trust, ou "Confiança Zero", em português.

Uma estratégia de Confiança Zero permite que usuários e dispositivos trabalhem de qualquer rede e de qualquer lugar mantendo o nível de segurança desejado pelo negócio. Nesse caso ocorre a execução do “cara-crachá” contínuo de usuários e dispositivos remotamente, sempre partindo da premissa de que todos os dispositivos e usuários, inicialmente, não são confiáveis. Essa abordagem viabiliza a mobilidade, agilidade e inovação sem renunciar à segurança e à proteção dos dados.

Engana-se quem imagina que para implementar uma estratégia de Confiança Zero basta adquirir e ativar soluções tecnológicas. A realidade é que antes de embarcar nessa jornada é preciso garantir engajamento das partes interessadas, e envolver diretores de Experiência, vice-presidentes e gerentes seniores, a fim de entender suas visões e prioridades para a segurança da organização.

Ao envolver as partes interessadas é possível obter o suporte e os recursos necessários, pois uma bem-sucedida jornada de Confiança Zero dependerá de mudanças culturais e da forma de trabalhar da organização. Por exemplo, se a empresa adota uma estratégia de trabalho híbrido, remoto e uso intensivo da nuvem, deve-se considerar formas de conexão, autenticação de usuários e validação do nível de segurança dos dispositivos utilizados, a fim de permitir o acesso seguro aos dados e informações, buscando a menor fricção possível para os usuários.

Sendo assim, a implementação de práticas de gerenciamento de mudanças é fundamental, pois garante a transição e aceitação suaves em toda a organização. Adicionalmente, fornecer treinamentos sobre as novas práticas de segurança e promover uma cultura consciente da segurança como responsabilidade compartilhada é primordial.

Além da prática do gerenciamento de mudanças anteriormente mencionada, adotar uma estratégia para avaliação de riscos de segurança é crucial, uma vez que permite identificar quais são os ativos críticos da organização e os locais de armazenamento de informações sensíveis e confidenciais.

Essa visão sistêmica sobre os riscos de segurança permite que as partes interessadas tomem melhores decisões sobre investimentos e priorização de controles de segurança. Por exemplo, pode fazer sentido priorizar a adoção de um segundo fator de autenticação e controles de segurança mais rígidos para toda interação de usuários que administram ambientes tecnológicos - ou que possuem acesso a informações sensíveis.

Por outro lado, talvez seja possível ser um pouco mais flexível no caso de usuários sem acesso privilegiado ou a informações e sistemas críticos.

Se voltarmos ao exemplo do ator Paulo Silvino, ele usava uma “tecnologia” já existente para implementar o modelo de validação contínuo (cara-crachá). Ou seja, vale considerar a avaliação das tecnologias em uso, já adquiridas, pagas e existentes no seu ambiente.

Se você já usa a nuvem como uma tecnologia relevante para suportar o seu negócio, saiba que normalmente existem controles de segurança nativos que suportam a adoção de uma estratégia de Confiança Zero, e muitas vezes sem custo adicional.

Isso mesmo, já presenciei casos de empresas que tinham a possibilidade de usar controles avançados de segurança e não estavam utilizando apenas por desconhecimento. A dica aqui é perguntar ao seu provedor de serviços de nuvem quais são os controles e tecnologias de segurança disponíveis para acelerar a adoção de uma estratégia de Confiança Zero.

Já para as equipes de tecnologia, é importante repensar a arquitetura da rede, as formas de gerenciar as identidades de usuários, os mecanismos de autenticação de usuários e dispositivos e os recursos de criptografia, além das capacidades de monitoramento. Afinal, o conjunto das tecnologias certas é crucial para se adequar ao modelo.

Como em qualquer mudança de cunho organizacional e cultural, espera-se que a adoção de uma estratégia de Confiança Zero traga consigo resultados positivos ao negócio, como, por exemplo, a redução dos riscos de segurança e os possíveis impactos causados por um incidente de segurança, além da comprovação do compromisso com a proteção de dados, a privacidade e a conformidade regulatória, evitando possíveis penalidades e danos à reputação.

No caso desse último objetivo, a modernização das práticas de segurança em uma estratégia de Confiança Zero tem como principal finalidade a proteção dos dados onde quer que eles estejam, independentemente do tipo de acesso, do usuário ou do dispositivo utilizado para acessar, processar ou armazenar informações.

Com isso, o atendimento a regulações como LGDP (Lei Geral de Proteção de Dados) e regulações setoriais de proteção de dados podem ser obtidas com menor fricção.

3 dicas para acelerar a adoção da Confiança Zero

Caro leitor, para você que chegou até aqui, deixo três dicas que podem acelerar a adoção bem-sucedida de uma estratégia de Confiança Zero:

1. Valide o que já está disponível: Se você usa soluções em nuvem, valide com seu provedor de serviços quais recursos de segurança já estão disponíveis, como, por exemplo, a existência de mecanismos de segundo fator de autenticação, recursos de automação, orquestração, monitoração e microsegmentação (prática de segurança que divide uma rede em segmentos menores e isolados para conter ataques à infraestrutura tecnológica).

2. Adote a política de menor privilégio possível: Ao adotar o princípio do menor privilégio, você concede aos usuários o nível mínimo de acesso necessário para realizar suas tarefas. Essa abordagem limita os possíveis danos que podem ser causados por contas comprometidas ou pessoas internas mal-intencionadas e cria uma consciência de segurança coletiva. Afinal, o menor privilégio protege o próprio usuário e toda a organização.

3. Monitore e analise continuamente os acessos: O monitoramento e as análises contínuas envolvem a coleta, análise e correlação de eventos e dados relacionados à segurança em todo o ambiente da sua organização. Esse princípio enfatiza a importância da visibilidade do comportamento do usuário, do tráfego de rede e das atividades do sistema para identificar anomalias e possíveis ameaças à segurança. Por exemplo, se ocorrer uma tentativa de acesso sem o segundo fator de autenticação configurado, como o alerta será gerado? Quem vai investigar? Afinal, pode ser o início de uma tentativa de ataque.

E lembre-se que uma estratégia de Confiança Zero permite transformar o negócio de forma ágil sem renunciar à segurança. Pelo contrário, estará modernizando as suas práticas de segurança. Agora deixo aqui mais duas reflexões para você: sua empresa já implementa uma estratégia de Confiança Zero? E você, como poderia implementar uma estratégia de Confiança Zero na sua vida pessoal?

O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube Telegram | Tik Tok  

Acompanhe tudo sobre:seguranca-digital

Mais de Future of Money

Criptomoedas movimentam mais de R$ 100 bilhões no Brasil pela 1ª vez na história

Regulamentação de cripto pelo BC vai continuar em 2025; stablecoins e tokenização serão prioridades

Na contramão dos mercados globais, Brasil retira R$ 61 milhões de fundos de criptomoedas

Stablecoins no Brasil: caminhos regulatórios e considerações globais