Zero trust não vem numa caixa; vem com resistência interna

O mercado de segurança zero trust movimentou 36,96 mil milhões de dólares em 2024 e projeta-se que atinja os 92,42 mil milhões até 2030, segundo a Grand View Researh. Os números refletem uma transformação profunda, mas entre o hype do mercado e a realidade da implementação, existe um território onde muitos projetos morrem ou ficam reduzidos a implementações cosméticas.

David Grave, Security Director da Claranet Portugal, defende que “ter ferramentas isoladas é segurança em silos, não é zero trust” e indica que “o que falta é a orquestração política unificada e a avaliação contínua de contexto”. Assim, a chave está na palavra “trust”: a confiança não pode ser estática, tem de ser reavaliada a cada pedido.

Pedro Soares, National Security Officer da Microsoft Portugal, concorda que os componentes como MFA, microssegmentação e PAM “cobrem alguns pilares, mas não representam uma implementação completa”. O modelo “é holístico e parte do princípio de que nenhum acesso é confiável por defeito”.

	“Zero trust não deve ser visto como resultado, mas prática contínua. Quem entra à espera de chegar ao fim desiste rapidamente e quem entra para evoluir colhe resultados reais” Ricardo Marciano, Business Development Manager SASE da Fortinet

Já Ricardo Marciano, Business Development Manager SASE da Fortinet, aponta que “estamos a falar de controlos isolados em silos que não comunicam entre si nem alimentam decisões de acesso em tempo real”.

Manfred Ferreira, Business Developer Manager de Cyber Security & Network da Noesis, enquadra a questão numa perspetiva mais ampla: o foco do CISO deve ser equilibrado entre múltiplos pilares, desde iniciativas estratégicas à governação corporativa, passando pelo cumprimento regulatório e pela gestão do risco. “A adoção de MFA, microssegmentação ou PAM são medidas fundamentais. No entanto, estas iniciativas, por si só, não constituem a aplicação integral do modelo zero trust”.

Para lá da checklist

A Gartner estima que, até 2026, apenas 10% das grandes empresas vão ter um programa zero trust maduro e mensurável, uma subida face a menos de 1% em 2022.

Quando questionados sobre os componentes técnicos não negociáveis, os especialistas convergem: identidade forte e centralizada com capacidade de integrar sinais de risco em tempo real, avaliação de postura do dispositivo com telemetria contínua e EDR/MDR integrado e enforcement granular através de Zero Trust Network Access (ZTNA) ou microssegmentação.

David Grave sublinha a importância da orquestração. “Se um atacante roubar as credenciais de um administrador, consegue mover-se lateralmente sem ser detetado durante quanto tempo? O acesso é revogado automaticamente? Se a resposta é não, então não é zero trust”. Ricardo Marciano alerta que “sem identidade como plano de controlo central, o zero trust transforma-se apenas numa versão mais sofisticada de controlo do perímetro”.

A resistência “manifesta-se em atrasos, falta de prioridade ou exceções em excesso”. Quando não é bem comunicado, “é percebido como entrave, gerando resistência informal: colaboradores contornam políticas, usam dispositivos pessoais, guardam documentos localmente” Pedro Soares, National Security Officer da Microsoft Portugal

Pedro Soares diz que “sem estes três elementos não há mínimo viável” e que “seria como tentar montar um banco com uma perna a menos”. Manfred Ferreira adota uma perspetiva mais abrangente, recusando limitar a abordagem. Assim, para além dos pilares iniciais, como acessos internos, SASE para externos e DLP, defende uma evolução transversal que abranja gestão de vulnerabilidades, governação de IA e quantificação do risco em impacto financeiro.

Quando o zero trust falha

O erro mais comum, segundo David Grave, é “tentar implementar zero trust na rede antes de mapear as aplicações”. É fácil bloquear tráfego lateral com base em suposições teóricas, mas aplicações legacy críticas param por dependências não documentadas. “A falha não é tecnológica; é de visibilidade”. Assim, “primeiro monitorizamos em modo audit only para descobrir o mapa real de tráfego; só depois aplicamos o deny all”.

Com base numa situação que acompanhou, o representante da Claranet Portugal menciona que os sistemas legacy foram retirados “temporariamente” do zero trust, mas quando o sistema entrou em produção, os técnicos continuaram a usar acessos legacy nunca removidos. Numa auditoria, detetaram que 40% dos acessos não passavam pelo PEP. “O zero trust existia, mas não era enforced na realidade”.

Pedro Soares partilha um caso de uma empresa que comprou um pacote completo sem faseamento: “uma micro-segmentation appliance para a rede, um sistema de ZTNA para substituir VPN e integração com a plataforma de IAM corporativa”. A expectativa foi alta, com um investimento significativo, diz. O projeto foi planeado para 12 meses, mas falhou na execução e adoção. “A equipa aplicou políticas muito restritivas inicialmente e, de repente, aplicações legítimas começaram a falhar”, explica. Ao desligar a VPN antiga, por exemplo, os utilizadores ficaram sem acesso a aplicações durante dias “até se criar uma exceção emergencial”. “Quando as queixas chegaram ao nível executivo, ficou claro que o projeto estava a falhar e que, apesar de se ter gastado o dinheiro nas ferramentas, muitas delas não estavam de facto em uso efetivo. Grande parte do software caro tornou-se shelfware”, afirma.

	“É essencial comunicar à organização o propósito desta jornada, os objetivos e impactos esperados, promovendo participação ativa e mantendo a comunicação aberta. Só assim a transição se torna responsabilidade partilhada” Manfred Ferreira, Business Developer Manager de Cyber Security & Network da Noesis

Para Manfred Ferreira, há um padrão de fundo. “O sucesso do zero trust está diretamente relacionado com o nível de expectativa, preparação e alinhamento para a sua adoção”. Quando não é concedido tempo necessário para interiorizar a dimensão e impacto, os efeitos são claros: “atrasos na execução, decisões tardias, repetição de discussões, menor cobertura face ao potencial esperado”. Este cenário pode gerar resistência e transições ruidosas.

As lições passam pela implementação faseada com pilotos, mapear dependências previamente e criar uma equipa multidisciplinar com governança definida. Ricardo Marciano assume que as “organizações que começam por ZTNA sem maturidade em identidade e catalogação de aplicações enfrentam fricção excessiva e pressão para exceções” e, muitas vezes, “o erro não é tecnológico, mas de sequência e governance”.

O obstáculo organizacional

Um estudo da StrongDM de novembro de 2024 revelou que 48% dos profissionais de segurança apontam restrições de custo e recursos como o maior desafio, enquanto 22% reportam resistência interna.

David Grave identifica as equipas que construíram carreiras a gerir perímetros, firewalls e VPN como um obstáculo, uma vez que o “zero trust exige redefinir totalmente o modelo mental de ‘rede interna de confiança’ que estas equipas dominam há décadas”. Também destaca resistência de administradores seniores habituados a “acesso total”. “É preciso convencer que os ‘super-admins’ também precisam de acesso ‘just-in-time’”, diz.

Ricardo Marciano aponta “fragmentação da responsabilidade” como um obstáculo organizacional. “A identidade pertence a uma equipa, endpoints a outra, rede a outra. O zero trust exige decisões transversais e isso expõe zonas cinzentas de ownership”, explica. Assim, o bloqueio manifesta-se como resistência passiva: adiamentos, exceções constantes, narrativa de que “o negócio não está preparado”.

Pedro Soares observa que a resistência “manifesta- se em atrasos, falta de prioridade ou exceções em excesso”. Quando não é bem comunicado, “é percebido como entrave, gerando resistência informal: colaboradores contornam políticas, usam dispositivos pessoais, guardam documentos localmente”. Manfred Ferreira sublinha que a transição “trata-se de uma transformação organizacional que deve ser top-down".

Custo real e arquitetura

Para uma empresa portuguesa entre 500 e mil colaboradores, Pedro Soares estima um total cost of ownership entre os 600 mil e os 800 mil euros ao longo de três anos que inclui licenciamento (150 mil a 180 mil euros por ano), integração e consultoria (50 mil a 150 mil euros no primeiro ano), formação (20 mil a 50 mil euros) e custos operacionais contínuos.

“O custo mais subestimado é o esforço humano: tempo das equipas internas para gerir mudanças, ajustar políticas e responder a incidentes”, alerta o representante da Microsoft Portugal. “Muitos clientes focam-se no preço das licenças e ignoram que é necessário investir em pessoas e processos”.

Ricardo Marciano indica que “a complexidade operacional quando se opta por múltiplos fornecedores” é sistematicamente subestimada. David Grave aponta que, “para 95% das empresas portuguesas, a plataforma única”, em vez do best-of-breed, “vence. A complexidade de integrar cinco soluções cria lacunas de segurança onde os dados não fluem”.

Para Manfred Ferreira, a abordagem deve ser contextual. “O ponto de partida passa por uma análise da realidade atual (as-is), da génese da organização e das suas necessidades imediatas e de médio prazo, permitindo definir prioridades claras e uma visão futura viável (to-be)”. Em muitos cenários, a consolidação numa única plataforma best-of-breed apresenta vantagens claras. Noutros, mais específicos ou de nicho, uma abordagem multi-vendor pode revelar-se mais adequada. “Cada situação deve ser analisada de forma individual, com foco nas necessidades reais da organização e no valor que pode ser gerado”, defende.

Roadmap e timeline

David Grave recomenda uma sequência clara: identidade (consolidar diretórios, MFA forte), acesso condicional e ZTNA com visibilidade dos endpoints, segmentação de workloads críticos e microssegmentação com DLP. O timeline serão 12 a 18 meses para uma maturidade média.

Manfred Ferreira, da Noesis, propõe uma abordagem estrutura em três fases seguindo o conceito “crawl, walk & run”:

• Segurança da força de trabalho (crawl): três meses iniciais, podendo estender-se a 12 meses em grandes organizações. Foco human-centric com canais de acesso seguros baseados em ZTNA que substituem progressivamente as VPN tradicionais. Desde o primeiro dia, apenas utilizadores autenticados e autorizados, utilizando equipamentos conformes, acedem aos recursos adequados ao seu perfil. Esta transição deve abranger também prestadores de serviços externos – um vetor que, nos últimos anos, foi origem de parte significativa dos acessos indevidos;
• Segurança dos data centers e cloud (walk): inicia- se tipicamente entre o terceiro e quarto mês, com duração de três a seis meses dependendo da complexidade das aplicações. Estende o zero trust às infraestruturas on-premises, ambientes híbridos, cloud (IaaS, PaaS, SaaS) e workloads. Permite inspeção transversal de ameaças, visibilidade dos fluxos de comunicação e controlo rigoroso dos acessos privilegiados com auditoria centralizada. Contribui para redução de latências e otimização de custos através da simplificação da arquitetura;
• Segurança B2B e IoT/OT (run): representa a maturidade do modelo. Duração de quatro a oito meses, em função da heterogeneidade dos ambientes e nível de interação com parceiros. Aplica-se às comunicações B2B, ambientes críticos incluindo IoT/OT, sistemas legacy e acessos de terceiros. Inclui proteção de localizações remotas (sucursais, agências, quiosques) e novas tendências como motores de IA e LLM.

Um fator crítico, sublinha Manfred Ferreira, é a existência de conhecimento prévio da arquitetura e estrutura dos ambientes. Ricardo Marciano e Pedro Soares reforçam a importância de começar pequeno e evoluir progressivamente. “O zero trust não falha por ser restritivo; falha quando é aplicado sem contexto de negócio”, defende Ricardo Marciano.

Funcionalidades compradas, mas não utilizadas

Pedro Soares admite que os clientes adquirem pacotes completos, mas não usam funcionalidades avançadas. As ferramentas de microssegmentação granular são um exemplo frequente: “muitas empresas compram soluções sofisticadas, mas acabam por aplicar apenas regras básicas, porque mapear todas as dependências entre aplicações é complexo e demorado”. O resultado são funcionalidades premium que ficam paradas.

Módulos de análise avançada com IA em plataformas XDR ou SIEM seguem o mesmo padrão. “Os clientes adquirem Defender for Cloud Apps ou Sentinel esperando usar UEBA, mas não têm equipa para acompanhar alertas ou ajustar algoritmos e acabam por desligar porque geravam falsos positivos”, explica o representante da Microsoft Portugal. O mesmo acontece com o PAM sofisticado e proteção de dados com classificação automática, onde os “clientes compram soluções para etiquetar e encriptar informação sensível, mas não avançam com projetos de taxonomia, deixando a funcionalidade desligada”.

Ricardo Marciano identifica “funcionalidades avançadas de automação e resposta contextual” compradas antes da maturidade operacional necessária. “O problema não é a tecnologia, é a falta de processos e confiança para delegar decisões à automação”. A lição passar por fasear a adoção, garantindo que cada capacidade é utilizada de forma consistente antes de avançar para a seguinte.

O que os CISO devem fazer

“Se um atacante roubar as credenciais de um administrador, consegue mover-se lateralmente sem ser detetado durante quanto tempo? O acesso é revogado automaticamente? Se a resposta é não, então não é zero trust” David Grave, Security Director da Claranet Portugal

David Grave defende que o “zero trust é uma mudança de paradigma. E mudanças de paradigma falham mais por tentarmos concretizar de uma só vez projetos demasiado ambiciosos do que por causa da tecnologia. Não procurar a perfeição, procurar a progressão”. A recomendação para o representante da Claranet Portugal é começar por proteger o ativo mais crítico, como se o resto da rede já estivesse comprometida. “Muitos projetos morrem na fase de planeamento porque tentam mapear a organização inteira. A tecnologia é a parte fácil; mudar a cultura de confiança implícita para verificação explícita é o verdadeiro desafio”.

Ricardo Marciano enquadra que “o zero trust é, acima de tudo, um exercício de gestão de risco e de clareza organizacional”. Partindo do princípio de que nenhum utilizador ou dispositivo é automaticamente confiável, o essencial é medir tudo e aceitar que a infraestrutura deve ajustar-se constantemente. “Zero trust não deve ser visto como resultado, mas prática contínua. Quem entra à espera de chegar ao fim desiste rapidamente e quem entra para evoluir colhe resultados reais”.

Pedro Soares estrutura em cinco pontos aquilo que, na sua opinião, os responsáveis de cibersegurança devem fazer: garantir patrocínio executivo visível do board e CIO; priorizar e fasear com quick wins (MFA universal, segmentação de acessos privilegiados) e roadmap com marcos trimestrais; investir em pessoas e processos, preparando equipas e comunicando mudanças aos utilizadores; medir e comunicar resultados com KPI claros desde o início; adotar melhoria contínua sem procurar perfecionismo. “A implementação não será linear: vão surgir exceções e ajustes. Mantenha os princípios e adapte regras quando necessário. Em zero trust, done is better than perfect”.

Já Manfred Ferreira recomenda um master plan centrado em iniciativas alinhadas com as metas do negócio, permitindo identificar o valor de cada iniciativa, definir prioridades e estabelecer KPI suportados por observabilidade contínua. É fundamental integrar desde o início governação corporativa, cumprimento regulatório e aspetos operacionais relacionados com resiliência. “Mas não menos importante, a componente de cultura e pessoas. É essencial comunicar à organização o propósito desta jornada, os objetivos e impactos esperados, promovendo participação ativa e mantendo a comunicação aberta. Só assim a transição se torna responsabilidade partilhada”.

Entre o mercado de 92 mil milhões de dólares projetados para 2030 e a realidade de que 75% das agências federais americanas vão falhar a implementação das suas políticas zero trust até 2026 segundo a Gartner, fica clara a distância entre aspiração e execução.

O consenso entre os quatro especialistas é unânime: zero trust não é um produto que se compra, é uma jornada que exige estratégia, governança e mudança cultural. As organizações que tratam a implementação como um projeto tecnológico isolado em vez de uma transformação organizacional sustentada estão, quase inevitavelmente, destinadas a juntar-se às estatísticas de falhar.