Com consciência, mas sem adoção
Apesar de as organizações terem consciência da importância do modelo Zero Trust, parecem não estar, necessariamente, a adoptar as soluções mais indicadas. De acordo com o relatório State of Zero Trust da Fortinet, a maioria das organizações afirmou ter uma estratégia Zero Trust (84%) e/ou Zero Trust Network Access (ZTNA) em vigor ou em desenvolvimento, sendo que 22% consideraram a segurança em toda a superfície de ataque digital como o principal benefício do Zero Trust.
Por outro lado, mais de 80% considera que a implementação de uma estratégia de Zero Trust, numa rede de maior dimensão, não ia ser fácil, apontando, como os dois desafios mais proeminentes a falta de fornecedores qualificados com uma solução completa (24%) e a falta de orçamento para fazer alterações de TI neste momento (19%). «Tendo em conta estes dados, chegámos à conclusão de que as organizações reconhecem, quase universalmente, que é vital que as soluções e serviços de segurança Zero Trust sejam integradas com as suas infra-estruturas, trabalhem em ambientes na cloud e on-premises e estejam seguros na camada de aplicação».
Ter controlo sobre os recursos da empresa
Raúl Gordillo, regional sales manager para Portugal e Espanha da Netskope, define o modelo do Zero Trust como a ideia de que ninguém terá acesso aos recursos até que estes tenham sido validados como legítimos e autorizados: «Funciona com base no princípio do privilégio mínimo para todos. Assim, ao utilizador, ou grupo, só é concedida autorização aos recursos a que está autorizado a aceder, nada mais».
O executivo advoga que as principais vantagens deste modelo são, claramente, a segurança e o controlo sobre os recursos da empresa: «Quantas vezes os utilizadores têm permissões de administrador que não necessitam de ter, muitos deles com completo desconhecimento de temas relacionados com cibersegurança?», um simples facto que pode, de resto, abrir a porta aos atacantes: «O conceito de Zero Trust procura limitar estas permissões e controlar todos os potenciais pontos de vulnerabilidade, por exemplo, as máquinas às quais se ligam, se os equipamentos estão protegidos de acordo com as regras da empresa, se estão autenticados no domínio, entre outros tópicos». Para Raúl Gordillo, este assunto é especialmente importante, agora que a maior parte das equipas está a trabalhar a partir de casa ou mesmo noutra geografia.