Blue team
A Segurança da Informação e dos Sistemas de ti passa cada vez mais pelo conceito de Security by Design. Mas há que encontrar um equilíbrio com a conveniência de utilização.
Por David Grave, Senior Cybersecurity Consultant, Claranet Portugal . 06/04/2022
Com o aumento das ameaças de cibersegurança, a confiança tornou-se num bem escasso e cada vez mais valorizado. Mas como podemos confiar nas soluções, no software ou nos produtos tecnológicos que usamos quando vemos um sem-número de novos ataques e ameaças a surgirem continuamente? A realidade é que, pelo tipo de controlo distribuído - que sempre foi característico da Internet, e que se estende para lá de qualquer fronteira - é difícil, se não impossível, garantir a segurança na Internet de forma tradicional. É praticamente impossível policiar, investigar e validar algo tão vasto e em expansão diária. Cabe, assim, às organizações garantir a segurança dos dados que recolhem dos seus utilizadores e colaboradores. Num mercado global altamente competitivo, o foco dos responsáveis pela cibersegurança e pela proteção e privacidade dos dados deve assentar em dois objetivos principais: reduzir as vulnerabilidades nos seus sistemas, dispositivos e infraestruturas; e responder com objetividade, diligência e demonstrar abertamente as normas de segurança e privacidade implementadas, comunicando claramente os seus esforços aos clientes. Veremos cada vez mais os utilizadores e os clientes a exigirem maior transparência sobre a utilização dos seus dados, bem como sobre os controlos de segurança aplicados, tanto por parte das empresas, como também da administração pública. "Trust nothing, verify everything"A cibersegurança e a privacidade dos dados são agora intrínsecas às empresas tecnológicas e são, por natureza, domínios inerentemente holísticos - abrangendo pessoas, processos e tecnologia. Não é possível ter privacidade dos dados sem cibersegurança, uma vez que esta deixou de ser apenas da responsabilidade do CISO e adicionada posteriormente. Fará, por isso mesmo, cada vez mais sentido falar de Zero Trust by Design. Esta tendência irá tornar-se rapidamente em prática comum, já que a própria essência do modelo de segurança Zero Trust, como o termo implica, tem por base o princípio “trust nothing, verify everything”. Embora o Zero Trust seja um princípio importante, trata-se apenas de uma mudança de mentalidade. Ela reflete a transferência de cada vez mais workloads para a cloud, bem como a explosão do número de dispositivos conectados, que armazenam e fornecem acesso a dados sensíveis. Como tal, são alvos privilegiados de ciberataques cada vez mais sofisticados, bem como de um panorama regulamentar mais complexo. Uma das formas de enfrentar estas ameaças é considerar o modelo de segurança Zero Trust com um conceito fundamental de Security By Design, garantindo que a segurança está enraizada em todos os produtos e serviços - desde o design até à implementação. Dado que a maturidade das organizações varia significativamente, definir uma abordagem padrão para o modelo de segurança Zero Trust acaba por ser um desafio e não podemos adotar uma abordagem “one size fit all”. É fundamental determinar quais os métodos e ferramentas mais apropriados para proteger as aplicações baseadas na cloud e na Web, assegurando ao mesmo tempo que estas medidas de segurança criam a mínima fricção possível na utilização diária das soluções. Atingir o equilíbrio entre um ambiente com o nível de segurança adequada para o negócio de cada organização e a conveniência de utilização, será uma meta a atingir e um desafio constante para os CIO e os CISO. Para o fazer, as organizações necessitam de soluções de segurança flexíveis que sejam resilientes e construídas para um ambiente de Multi e Hybrid cloud. Só assim as organizações conseguirão alcançar um modelo Security by Design | Zero Trust by Design que satisfaça tanto as suas necessidades de cibersegurança, como as obrigações regulamentares e a exigência de maior transparência e de conveniência de utilização por parte dos utilizadores e dos clientes.
Conteúdo co-produzido pela MediaNext e pela Claranet Portugal |