Zero Trust precisa ser comprovado em 2024

Fazer a transição para uma arquitetura de TI de confiança zero tem sido uma jornada para a maioria das organizações, que começou com mais sensibilização a partir de 2021, seguida por esforços de implementação em ambientes de produção que, em grande parte, começaram em 2023. A caminho de 2024, muitas organizações que adotaram a TI de confiança zero precisarão demonstrar que alcançaram, pelo menos, alguns marcos. O problema é que não existem padrões reais de confiança zero, por isso pode ser difícil definir um conjunto de métricas que validem se alguma capacidade específica foi alcançada e está a ser mantida.

Na ausência de quaisquer normas, é provável que mais organizações precisem de depender mais de avaliações de terceiros para, pelo menos, validar as suas iniciativas de zero-trust. Por exemplo, o Veterans Cybersecurity Group, um fornecedor de serviços de formação em cibersegurança para agências federais, estabeleceu um Zero Trust Proving Ground (ZTPG) para testar e avaliar iniciativas. Qualquer organização que espere aproveitar os seus esforços de zero-trust para reduzir os seus prémios de seguro de cibersegurança provavelmente exigirá validações semelhantes.

Teoricamente, as arquiteturas de zero-trust baseiam-se, no seu núcleo, na capacidade de autenticar utilizadores individuais, máquinas e até componentes de software de uma aplicação. Muitas organizações hoje em dia estão focadas em ir além das palavras-passe para identificar quem está a aceder a quais serviços, mas não tantas ainda estão tão concentradas em atribuir identidades a máquinas e aplicações individuais. Por mais importante que seja ir além das palavras-passe que são facilmente roubadas, é apenas o primeiro passo para implementar um ambiente de TI de zero-trust que requer que as equipas de cibersegurança integrem múltiplas tecnologias. Não existe uma plataforma de TI de zero-trust completamente turnkey.

No entanto, quanto mais moderna for uma plataforma de TI, maior é a probabilidade de ter incorporado princípios de zero-trust, pelo que não há dúvida de que são necessárias atualizações de infraestrutura e de aplicações. O maior desafio não é tanto gerir essa transição, mas sim fazer com que as equipas de TI e de cibersegurança estejam de acordo sobre o que qualifica para ser considerado uma plataforma ou aplicação de zero-trust.

Agora é apenas uma questão de tempo até que a arquitetura de zero-trust se torne um mandato, à medida que as regulamentações se tornam cada vez mais rigorosas. Um recente survey de 800 tomadores de decisão em segurança da informação, realizado pela Okta, um fornecedor de plataformas de gestão de identidade e acesso, descobriu que 61% dos entrevistados trabalhavam para organizações que implementaram uma iniciativa de TI de zero-trust, com outros 35% planejando fazê-lo em breve. Um total de 80% disse que os orçamentos para essas iniciativas aumentaram ano após ano, com 20% relatando um aumento de gastos de 25% ou mais. Isso sugere que, apesar dos ventos econômicos contrários, muitas organizações continuam a priorizar essas iniciativas dentro do contexto de sua estratégia geral de TI.

Claro, as iniciativas de zero-trust, de uma forma ou de outra, serão colocadas à prova. Os cibercriminosos estão, afinal de contas, a observar atentamente estes esforços. Muitas organizações irão, sem dúvida, experimentar uma quantidade razoável de tentativa e erro à medida que os cibercriminosos ajustam as suas táticas e técnicas. Nesse sentido, a cibersegurança continuará a ser um jogo de gato e rato. Espera-se apenas que as probabilidades sejam um pouco mais a favor do gato, em vez dos ratos que sempre os superam em número.