justinkendra - Fotolia
Planejando uma estratégia de confiança zero em 6 passos
Lançar uma estratégia de confiança zero em seis etapas. Saiba como formar uma equipe dedicada, fazer perguntas sobre os controles de segurança existentes e avaliar a prioridade de iniciativas de confiança zero.
Confiança zero não é um projeto do tipo chave-na-mão. Empresas devem criar uma estratégia de confiança zero que possa endereçar como a organização irá abordar a mudança e quem irá liderar os esforços, entre outros fatores importantes.
Antes de começar o planejamento, no entanto, certifique-se de que a equipe de segurança cibernética está alinhada em relação aos atributos da abordagem de confiança zero.
- Confiança zero é altamente granular. Apenas o acesso mínimo possível é concedido à menor unidade de recursos.
- Confiança zero é dinâmica. A confiança é constantemente reavaliada através da interação entre o usuário e o recurso.
- Confiança zero é ponta-a-ponta. A segurança se estende da entidade requerente até o recurso solicitado.
- Confiança zero é independente de classificações preexistentes. Os termos dentro e fora do perímetro não têm nenhum significado no mundo de confiança zero.
Depois que todos estiverem alinhados sobre os conceitos base de confiança zero, equipes de segurança cibernética podem criar uma estratégia baseada em seis etapas.
Passo 1. Crie uma equipe dedicada de confiança zero
A confiança zero é uma das iniciativas mais importantes que uma empresa pode realizar. Então, ao invés de fazer uma "mudança para a confiança zero" uma tarefa que está abaixo das prioridades na lista de tarefas de todos, dedique uma pequena equipe encarregada de planejamento e implementação da migração para o modelo de confiança zero.
Essa equipe deve incluir membros dos times de aplicativos e segurança de dados, segurança de rede e infra-estrutura e identidade de usuário e dispositivo, porque essas áreas são as rampas mais fáceis para a confiança zero. A equipe deve também incluir membros de operações de segurança - particularmente o centro de operações de segurança - e gestão de riscos.
Passo 2. Avalie o ambiente
Compreender os controles em todo o ambiente vai tornar a implantação de uma estratégia de confiança de zero mais simples. Aqui estão algumas perguntas que devem ser feitas.
Onde estão os controles de segurança?
Em um ambiente de rede, esses controles incluem firewalls, gateways de aplicativos web e afins. Em um ambiente de usuário/identidade, os controles podem ser segurança de endpoints - detecção de endpoints e resposta ou detecção estendida e resposta - e gerenciamento de identidade e acesso (IAM). Em um ambiente de aplicativos e dados, que incluem a segurança dos containers, prevenção de perda de dados, a autorização para microsserviços e controles semelhantes.
Até que ponto esses controles fornecem estruturas de confiança dinâmicas, granulares, ponta-a-ponta que não dependem de classificações preexistentes?
Os firewalls normalmente não são granulares, ponta-a-ponta ou dinâmicos, e contam com classificações simplistas - fora = ruim e dentro = bom.
Quais são as lacunas de conhecimento?
É impossível fornecer acesso granular aos dados se você não entender a classificação de segurança daqueles dados. Dados não-classificados representam uma lacuna de conhecimento que terá de ser abordada em uma estratégia de confiança zero.
Passo 3. Revise a tecnologia disponível
Seja ao mesmo tempo ou após a avaliação, reveja tecnologias emergentes para a rampa da sua iniciativa de confiança zero. Equipamentos de rede de próxima geração incluem recursos como segmentação profunda - ou microssegmentação - roteamento virtual e gerenciamento de sessão com estado que podem transformar esses dispositivos em componentes chave de uma arquitetura de confiança zero. Recursos IAM estão rapidamente se tornando mais granulares e dinâmicas.
Passo 4. Lance iniciativas de confiança zero
Compare os resultados de sua revisão de tecnologia com as tecnologias que você precisa. A comparação informará como desenvolver iniciativas, priorizar e lançar iniciativas como "atualizar a infraestrutura de rede existente para um equipamento capaz de fazer a segmentação profunda da rede" ou "implementar a autenticação de microsserviços."
Passo 5. Defina alterações operacionais
Uma estratégia de confiança zero pode mudar fundamentalmente as operações de segurança. Por exemplo, como as tarefas são automatizadas, tarefas manuais correspondentes talvez precisem ser modificadas ou automatizadas para manter o ritmo e evitar lacunas na segurança.
Passo 6. Implemente, enxágue e repita
A medida em que a organização implantar novas tecnologias, avalie o valor delas de acordo com KPIs de segurança, incluindo o tempo total médio para conter incidentes, que deve diminuir drasticamente à medida em que a organização se encaminha para a confiança zero.