“A confiança é uma vulnerabilidade perigosa que pode ser explorada”, disse John Kindervag, ex-analista da Forrester (empresa norte-americana voltada para pesquisa de mercado) e criador da estratégia Zero Trust Model (Modelo de Confiança Zero), em 2010. 

O modelo Zero Trust Model baseia-se em segurança cibernética, cujo principal conceito é não confiar em nada dentro ou fora da rede de infraestrutura de TI. Entretanto, a intenção não é encorajar as organizações a não confiar em quem acessa os sistemas, mas rastrear o tráfego da rede, auditar e controlar os acessos para garantir mais segurança ao ambiente.

Sendo assim, o Zero Trust Model é não confiar em ninguém. Ou seja, engloba até os colaboradores da empresa, principalmente, os que possuem acessos privilegiados, pois colaboradores mal-intencionados ou descuidados podem gerar violações de dados.

Para termos ideia, segundo a pesquisa Insider Threat Report, realizada pela Broadcom, 51% das empresas entrevistadas estão preocupadas com ameaças causadas pelas pessoas que acessam seus sistemas. Além disso, a pesquisa aponta que os principais fatores que habilitam as vulnerabilidades internas são:

  • acessos privilegiados (37%);
  • gestão de dispositivos (36%);
  • complexidade da segurança da informação (35%).

Além disso, as ameaças internas, apontadas na pesquisa, consistem em: 

  • funcionários;
  • ex-funcionários;
  • parceiros de negócios;
  • provedores de serviços;
  • qualquer indivíduo que tem ou teve acesso a informações privilegiadas da empresa. 

Então, podemos dizer que, a grande dificuldade das empresas está em rastrear tais ameaças com rapidez. Afinal, essas vulnerabilidades não estão no planejamento de segurança, visto que, a índole ou erros de pessoas não são previsíveis.

Zero Trust Model e a Privacidade de Dados

Com a Lei Geral de Proteção de Dados (LGPD), as organizações analisam os melhores métodos para promover a segurança das informações. Logo, a estratégia Zero Trust Model se torna um modelo atraente e eficiente para evitar ameaças, pois é um processo contínuo que ajuda as organizações a manterem a segurança. 

Então, para a implementação dessa estratégia, listamos alguns princípios. Veja abaixo!

1 – Certificação

Identificar e proteger os dados internos e externos da organização, independente de onde estão armazenados.

2 – Registro e inspeção

Há dois métodos de ganhar visibilidade do tráfego na rede: registros e inspeção.

Sendo que, os registros identificam o tráfego na rede. Logo, quando um arquivo for apagado a equipe de segurança visualiza quem, quando e por onde o documento foi excluído.

A inspeção pode ser automatizada, com alertas em tempo real. Assim, se alguma anomalia for detectada a equipe de segurança agirá com mais rapidez e eficiência.

3 – Menos privilégios, mais segurança

“Um soldado só deve saber o necessário para concluir sua missão”, esse conceito é usado para garantir a segurança dos soldados no exército e pode ser aplicado para elevar a segurança no ambiente de TI. 

Trocamos a frase por: “o funcionário só deve acessar o necessário para realizar a suas atividades.” Isto é, revisar privilégios, constantemente, em busca de permissões desnecessárias e indivíduos inativos, garantindo uma política de privilégios mínimos.

4 – Segurança extra nunca é de mais

Um dos focos para a autenticação segura dos colaboradores é obter o conhecimento de suas funções e privilégios de acesso. Além de ser capaz de identificar o comportamento anormal do indivíduo e do dispositivo. Nesse ambiente, soluções como a autenticação multifator (MFA) e a análise comportamental são fundamentais para estabelecer a segurança.

Sendo assim, o objetivo da Confiança Zero é estabelecer um modelo de nunca confiar e sempre verificar. Porém, não há uma fórmula específica para a implementação, mas de maneira geral, as empresas adquirem Firewall que realizam a filtragem, inspeção profunda, detecção de malware, entre outros. Além de, aplicarem o modelo de privilégios mínimos, registrarem acessos e implementarem autenticações fortes.

Google e Zero Trust Model

Um exemplo de projeto bem-sucedido de Zero Trust Model é o Google. A grande empresa de buscas é tão consistente com a estratégia que criou seu próprio framework de segurança: o BeyondCorp

Por meio desse framework, é possível fazer um controle através dos dispositivos individuais e de indivíduos, sem usar a VPN (Virtual Private Network), além dos acessos aos serviços serem autenticados, autorizados e criptografados.

Em suma, é importante termos em mente que não importa o segmento, toda organização está sujeita às ameaças. Por esse motivo, para promover mais segurança no ambiente de TI, devemos entender quais são os desafios internos e aplicar estratégias como a Zero Trust Model. Dessa forma, além de elevar a segurança, a empresa garante a adequação à LGPD de forma eficiente.