Desconfiar para proteger as organizações

O conceito não é novo, mas foi nos últimos anos que se tornou numa tendência. A Forrester Research indica que “estamos nos primeiros passos de uma nova revolução tecnológica, com métodos mais inventivos para capitalizar informações” e conseguir avançar com os objetivos das organizações.

Refere a consultora que “operar em zero trust significa que a segurança por definição [security by design] não é uma reunião ou uma apresentação, mas um modelo do dia a dia para proteger” as empresas e os seus objetivos. Zero trust não é um produto ou um serviço que se possa adquirir; é um conceito que deve ser implementado na cibersegurança.

Carla Bouça, Information Security Delivery Manager na Everis Portugal, refere que “o modelo zero trust consiste numa abordagem simples de entender, mas talvez menos simples de implementar, baseado no princípio de ‘não confiar em ninguém’ nem interno, nem externo” e “tem como objetivo aumentar a proteção contra incidentes de segurança, garantindo a validação contínua dos processos associados às tecnologias de informação”.

Alberto R. Rodas, Sales Engineer Manager da Sophos Iberia, explica que num modelo zero trust “o facto de um utilizador ter feito a sua autenticação de forma correta não significa que devamos dar-lhe acesso a todas as ferramentas da organização através de uma VPN” e que daí surge, então, “a necessidade de contar com controlos mais granulares”.

Luís João, Senior Modern Work and Cybersecurity Specialist na Microsoft Portugal, refere que “num modelo zero trust, cada pedido de acesso é autenticado com segurança forte, autorizado dentro das restrições definidas pelas políticas de segurança internas e inspecionado de acordo com sinais de inteligência antes de ser concedido o acesso” ao utilizador. Ao contrário das abordagens tradicionais de segurança perimétrica, este modelo segue um paradigma de validação constante, “independentemente da rede, do dispositivo de origem e do recurso que esteja a ser acedido”.

Utilização em Portugal

Tal como indica a representante da Everis Portugal, o conceito de zero trust não é novo e tem, pelo menos, dez anos. No entanto, “há ainda um processo longo pela frente, apesar de algumas organizações já terem identificado este princípio como a estratégia a seguir no âmbito da Cibersegurança. A sua adoção tem vindo a crescer, mas o conceito ainda é vago em termos de tecnologia a implementar”.

Luís João, da Microsoft, indica que existem algumas organizações que já adotaram o modelo, “principalmente as organizações que começam a tirar partido de soluções de Software-as- -a-Service” e que têm uma maior necessidade de mobilidade e/ou de trabalho remoto. “As abordagens tradicionais de segurança de IT baseadas no perímetro de rede não respondem a estes desafios, uma vez que nem os utilizadores, nem os dispositivos, nem as aplicações se encontram dentro do perímetro físico da organização”, explica.

O representante da Microsoft indica, ainda, que “algumas organizações nacionais começaram a jornada para o modelo zero trust ao considerar a identidade como novo perímetro de segurança” e que estas organizações se focaram “em reforçar a autenticação forte e autorização dos utilizadores no acesso às aplicações, independentemente da sua localização”. Por fim, “a gestão centralizada de identidade e acessos torna-se essencial para garantir o que os acessos são realizados com segurança e de acordo o perfil de cada utilizador”.

Por onde começar

Alberto R. Rodas partilha que um dos pontos iniciais para adotar o modelo zero trust dentro das organizações pode ser os acessos remotos. “Estes devem ser simples, e ao mesmo tempo eficazes, mas não por isso uma porta aberta aos ciberataques. Se, para além disso, estes acessos forem incorporados no endpoint e geridos a partir de uma mesma consola, a sua implementação será ainda mais rápida e fácil”, indica.

Luís João, por seu lado, refere que o planeamento da implementação deste modelo depende de inúmeros fatores, como os requisitos das organizações, as implementações tecnológicas já existentes e dos estágios de segurança. Para a Microsoft, o modelo de maturidade de zero trust apresenta-se em três fases – tradicional, avançado e ótimo. O primeiro é onde as organizações ainda não iniciaram a sua jornada e têm uma visibilidade limitada da conformidade dos dispositivos, ambientes cloud e logins; na segunda fase é onde as organizações já começaram a sua jornada e estão a progredir em algumas áreas; na última fase, as organizações “criaram grandes melhorias na segurança” e onde “as decisões de acesso aos dados são geridas pelas políticas de segurança e a partilha é protegida com criptografia e rastreamento”.

Para Carla Bouças, e à semelhança de “qualquer outra abordagem à segurança da informação”, a implementação do modelo zero trust deve começar pelas pessoas. “Os colaboradores, independentemente da sua função, enquanto os maiores defensores da segurança da organização, devem ser os principais atores na implementação deste modelo. Não se trata de implementar um clima de desconfiança na organização, mas sim de cuidado atento e resguardo proativo”, diz.

“A par da utilização de um sistema de controlo de acessos e privilégios segmentados, como mencionado anteriormente, algumas áreas devem participar ativamente na implementação deste modelo, nomeadamente durante a identificação e segmentação da informação; definição dos processos críticos de negócio, mapeados com as tecnologias e riscos associados; (re)definição de uma arquitetura de segurança para a infraestrutura existente; e, por fim, na implementação de mecanismos de monitorização, automatização e orquestração, garantindo um total alinhamento com a estratégia e políticas definidas na organização”, explica Carla Bouças.