Por Alexandra Baptista Reyes (*)

 

A pandemia veio exigir que num curto espaço de tempo as empresas tivessem uma resposta rápida para o trabalho remoto, que passou, em muitos casos, pela aquisição de recursos para implementar ou aumentar a capacidade da VPN (Virtual Private Network). Tal acabou por ser a melhor opção, a curto prazo, para garantir o acesso, remoto e em segurança, aos recursos organizacionais, e a continuidade do negócio. Contudo, a médio e longo prazo, outra estratégia mais indicada a uma realidade em que tanto os recursos como os utilizadores se encontram fora do perímetro local da empresa, deve ser pensada e adotada. Tendo também em conta que a VPN revela problemas de latência e não previne o movimento lateral caso um hacker consiga o acesso inicial à rede, uma das soluções que surge para dar resposta aos novos desafios, é a Zero Trust, um conceito a ter em mente no desenho de uma estratégia capaz de alinhar os objetivos do negócio com a segurança.

 

Contudo temos de começar por perceber o que é ao certo o conceito Zero Trust, e quais as suas implicações? Podemos começar por dizer que Zero Trust não é uma solução tecnológica e não se baseia num novo perímetro chamado identidade. Zero Trust é, antes de mais, o termo usado para expressar a evolução do próprio paradigma da segurança, que passa de uma defesa estática, fundada no perímetro da rede, para uma defesa focada em utilizadores, ativos e recursos da organização. Essa desperimetrização leva a que a confiança no acesso ao recurso, antes implícita dentro da rede local, passe a basear-se numa avaliação continua do risco dos ativos e das funções de negócio. Desta forma, a lógica maniqueísta “bloquear/dar acesso” é preterida a favor de uma defesa dinâmica, mais apta para acompanhar o negócio e as necessidades do utilizador num novo contexto social e tecnológico.

 

Uma organização empenhada em seguir esta estratégia, deve começar por colocar o negócio à frente e aferir qual o impacto da implementação de uma arquitetura Zero Trust no mesmo. Assim, perceber quais as capacidades instaladas, definir os processos, averiguar o risco que se está disposto a tomar, perceber os requisitos dos utilizadores finais e definir o que queremos proteger, são etapas indispensáveis para o sucesso da implementação. No curto prazo, e ainda antes de optar pela solução tecnológica, alguns quick wins já foram conquistados, nomeadamente, em termos de aumento da maturidade de cibersegurança.

 

Numa atitude Zero Trust, a identidade torna-se um fator critico, ajudando-nos a estabelecer regras e políticas com base nas necessidades de acesso do individuo. Contudo, outros atributos de contexto devem concorrer para a verificação das políticas e regras de acesso. Entre eles temos, por exemplo, quais os dados e as aplicações que estamos a proteger, ou qual o comportamento do utilizador. A análise do comportamento permite também desenvolver awareness em tempo real (em vez de bloquear avisar o utilizador que está a ter comportamentos que comprometem a segurança da informação). O objetivo é evitar que o utilizador tenha que decidir entre seguir as regras de segurança ou executar a tarefa que quer, implementando uma segurança efetiva que não comprometa a experiência do mesmo.

(*) Information Security Senior Consultant at everis NTT DATA Portugal