Fazendo Zero Trust da maneira certa

6. pode 2023
| Sem comentários
Fazendo Zero Trust da maneira certa

Compartilhar postagem

Para combater os novos riscos associados à atual maneira híbrida de trabalhar, muitos executivos e fornecedores de segurança cibernética descobriram o “Zero Trust”: essa estrutura visa reforçar a segurança no ambiente de TI e, ao mesmo tempo, aumentar a produtividade de toda a empresa aumentar.

A forma como as pessoas trabalham mudou drasticamente na última década. Os funcionários corporativos hoje trabalham de qualquer lugar, usando dispositivos e redes que não estão mais sob seu controle direto, para acessar recursos corporativos na nuvem. Embora isso tenha aumentado muito a produtividade, também tornou muito mais difícil proteger as empresas. Colocar isso em prática não é isento de problemas, pois não existe uma definição única de confiança zero.

Abordagem de segurança atual

Ouve-se de alguns setores que a autenticação multifator (MFA) deve ser suficiente, enquanto outras soluções vão um passo além e exigem "acesso com menos privilégios".

Em termos gerais, confiança zero é a ideia de que qualquer objeto, interno ou externo, deve ser autenticado e avaliado periodicamente antes de receber acesso. Quando a maioria dos usuários, dispositivos, aplicativos e dados não está mais dentro de um determinado perímetro de segurança, não pode mais haver nenhuma suposição firme de que um usuário ou seu dispositivo deve ser confiável.

Em meio às complexidades que acompanham a adoção de tecnologias como a nuvem e o trabalho de qualquer lugar, é complicado para as autoridades de segurança descobrir por onde começar - e isso inclui o Zero Trust. Mas você deve primeiro pensar no que é importante para sua própria empresa. O uso de uma solução de detecção e resposta de endpoint protege seus dados contra riscos de endpoint. O mesmo se aplica à segurança na nuvem: você protege seus dados na nuvem contra acessos e ataques arriscados ou maliciosos. Em outras palavras, para usar o Zero Trust com eficiência, você deve se concentrar em todos os vetores nos quais seus dados estão inseridos.

dados como ponto de partida

Quando a maioria das organizações adota o Zero Trust pela primeira vez, elas tentam se concentrar na maneira como os funcionários realizam seus trabalhos, como exigir que os funcionários usem redes privadas virtuais (VPNs) com um segundo fator de autenticação ao acessar os recursos da empresa. Em contrapartida, porém, acredito que o foco não deve estar no que se deve (não) fazer, mas nos dados.

Os funcionários estão constantemente criando e editando dados. Como o objetivo final de um invasor na TI corporativa é roubar dados, simplesmente autenticar um usuário no momento do acesso não é mais suficiente. Em vez disso, você precisa se concentrar em quais tipos de dados você possui, como eles são acessados ​​e como são manipulados. Também é importante ter em mente os níveis de risco em constante mudança dos usuários e dos dispositivos que eles usam.

Definir prioridades

Os dados estão em toda parte. Os funcionários criam dados todos os dias, seja trocando-os por e-mail, copiando e colando conteúdo em um aplicativo de mensagens, criando um novo documento ou baixando-o em seu smartphone. Todas essas atividades criam e manipulam dados, e cada uma tem seu próprio ciclo de vida. Seria extremamente tedioso acompanhar as localizações de todos esses dados e como eles estão sendo tratados.

A primeira etapa na implementação do Zero Trust Security é classificar seus dados por níveis de sensibilidade para que você possa priorizar quais dados precisam de proteção extra. Zero Trust pode ser um processo interminável porque você pode aplicá-lo a qualquer coisa. Em vez de tentar criar uma estratégia de confiança zero em toda a empresa para todos os dados, concentre-se nos aplicativos mais importantes que contêm os dados mais confidenciais.

Acesso de dados

A próxima coisa a observar é como os dados são compartilhados em toda a organização e como são acessados. Os funcionários compartilham dados principalmente por meio da nuvem? Ou os documentos e informações são enviados por e-mail ou Slack?

Entender como as informações se movem pela organização é fundamental. Se você não entender primeiro como os dados se movem, não poderá protegê-los com eficiência. Por exemplo, se uma pasta comum na nuvem da empresa contiver várias subpastas, algumas das quais protegidas, esse parece ser um método seguro. E é isso até que alguém compartilhe a pasta principal com outro grupo de trabalho e não perceba que isso altera as configurações de acesso para as subpastas privadas. Como resultado, seus dados privados agora estão acessíveis a muitas pessoas que não deveriam ter acesso a eles.

Nenhuma solução pronta

Todo mundo provavelmente já ouviu a frase: "Existe um aplicativo para isso!". E em geral isso é verdade. Parece haver uma solução de aplicativo ou software para cada problema moderno atualmente. Por outro lado, você pode ver que este não é o caso do Zero Trust. No entanto, existem muitos fornecedores que desejam vender seus produtos como as chamadas "soluções" para implementar o Zero Trust Data Security. Mas esse método fingido simplesmente não funciona.

Em essência, o Zero Trust é uma mentalidade e filosofia, mas não deve ser confundido com um problema que pode ser resolvido por software. Se você pretende adotar o Zero Trust como a metodologia de segurança da sua organização, precisa entender como essa abordagem funciona e como implantá-la de forma confiável em toda a sua organização.

O papel dos funcionários

A segunda parte da implementação de dados de confiança zero é envolver seus funcionários. Você pode comprar software e soluções existentes e definir regras, mas se seus funcionários não entenderem o que você está fazendo ou por que deveria usar algo, você estará comprometendo seu progresso e sucesso e provavelmente expondo seus dados a certos riscos.

Na conferência RSA 2022, um colega meu realizou uma pesquisa e descobriu que 80% dos participantes ainda usam uma planilha tradicional para registrar e calcular seus dados. E, de acordo com uma pesquisa de 2021, apenas 22% dos usuários do Microsoft Azure usam MFA. Esses números sugerem que você deve começar com seus funcionários desde o início. E você deve explicar a eles a importância da segurança de dados e como colocá-la em prática em seus próprios dispositivos.

Zero Trust não é um produto

Uma das coisas mais importantes a lembrar ao implementar o Zero Trust Security em sua organização é que é uma filosofia, não uma solução simples. Zero Trust não é algo que você pode instalar casualmente da noite para o dia. E não é um software pronto que você pode comprar em algum lugar para resolver todos os problemas de uma vez. A confiança zero é mais uma ideia fundamental que precisa ser implementada a longo prazo.

Antes de investir em uma solução de tamanho único que simplesmente não funciona, é importante conhecer melhor seus dados existentes e entender quais dados particularmente confidenciais precisam ser priorizados e protegidos. É também sobre como eles devem ser tratados em detalhes para depois se concentrar no treinamento e na educação continuada de seus funcionários. “Zero Trust” parece uma ótima ideia, mas implementá-la só funciona se você entender que é algum tipo de filosofia ou estrutura que precisa ser configurada em etapas e continuamente aprimorada – e não apenas uma solução única e fixa.

Mais em Lookout.com

 

Sobre o Mirante

Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

 

mensagens de relações públicas
, , , ,