A combinação entre arquitetura Zero Trust e identidade digital permite construir confiança em um mundo cercado de ameaças digitais
À medida que processos são automatizados, os limites entre online e offline, local e nuvem, se diluem e os cyber ataques ficam cada vez mais sofisticados. Como manter o controle sobre os ambientes e as ações dos usuários em um universo tão amplo?
As organizações estão enfrentando desafios crescentes com a necessidade de fazer migrações aceleradas do on-premise para a nuvem. Entretanto, sem implementação adequada de metodologias de segurança, muitas empresas acabam criando uma superfície maior para ataques cibernéticos.
Se antes havia apenas um castelo para defender, agora as joias da coroa ficam espalhadas em vários castelos (TI híbrida), tornando mais complexa sua defesa. Soma-se a isso que as empresas possuem colaboradores, fornecedores, parceiros, clientes e dispositivos IOT que precisam de acesso a uma lista crescente de aplicativos nesses castelos. Para cobrir todos os pontos cegos dessa defesa, é preciso repensar a segurança de dentro para fora.
O conceito de “nunca confie, sempre verifique”, é a essência do Zero Trust — abordagem moderna e compreensiva para segurança de todos acessos na rede, aplicações e ambientes da empresa —, que ajuda a proteger usuários, dispositivos do usuário final e outros recursos. Além de assegurar os acessos globalmente nas interações do dia-a-dia, a arquitetura com confiança zero protege também os objetivos estratégicos da organização.
O Zero Trust permite explorar melhor as tecnologias já conhecidas, como Single Sign On (SSO) e OAuth, e as novas, como autenticação sem senha, autenticação dinâmica e automação de processos e monitoramento. Ou seja, não é apenas um meio poderoso de melhorar a segurança, mas também de facilitar a rotina das pessoas. Com essa implementação, além de “as pessoas certas, com o nível certo de acesso” e “os recursos certos, na hora certa”, é dado um passo a mais na jornada de segurança da identidade: a garantia de estar também “no contexto certo, sendo avaliado continuamente”.
A identidade Zero Trust é baseada em contexto, como localização, horário, dispositivo, além do perfil, da autenticação e aplicação acessada.
Por exemplo, se você faz login de São Paulo todos os dias durante o horário de trabalho e acessar de Cingapura à meia-noite, terá que passar por controles de segurança muito mais rígidos. A lógica oposta também é válida, se você precisar atualizar rapidamente um ticket e o dispositivo e função forem conhecidos, não precisará autenticar no nível mais rígido.
O princípio do menor privilégio, outra lógica da abordagem, exige que cada usuário receba a menor quantidade de permissão possível para efetuar suas tarefas com sucesso.
É preciso elevar as estratégias de segurança rapidamente para aumentar a escalabilidade e agilidade, por meio da nuvem, e se preparar para a próxima onda de inovação, com a ajuda de inteligência artificial, automação e ‘phygital’.
Embora a implementação de Zero Trust exija um planejamento adequado, há uma série de ações que podem começar a agregar valor imediatamente, sem comprometer a estratégia de longo prazo:
A Deloitte pode ajudar a sua organização a definir esse roadmap para implementação de Zero Trust de forma ampla ou especificamente para serviços de identidade. Por meio do framework desenvolvido pela inteligência e experiência das equipes de Cyber e de nossas alianças estratégicas, é possível conduzir desde a concepção até a implementação de programas Zero Trust e aplicar as soluções mais compatíveis com o seu cenário.