November 2022 / 5 Min Read

Adoção de Confiança Zero (Zero Trust). Pense grande, comece pequeno, mova-se rápido

O ciber crime é uma indústria de 6 trilhões de dólares anuais, o que a qualificaria como a terceira economia do mundo depois dos Estados Unidos e China.¹

Tomemos como exemplo o ransomware. O movimento para o ransomware como serviço (RaaS) está baixando o nível técnico aos responsáveis por ciberataques e contribuindo para que se tornem tão fáceis como utilizar uma página de leilão online.² Devemos descartar a ideia de que uma organização pode assegurar seu perímetro. Em particular, quando seu elo mais frágil é o elemento humano, ou seja, as pessoas.

Vem se produzindo uma mudança de paradigma que supõe que nada é seguro e que todas as portas de acesso estão abertas. Nada que esteja atrás do firewall é seguro. Com esta mentalidade, como você aborda a segurança?

Entre no modelo de segurança confiança zero. A confiança zero se adapta de forma mais eficaz à complexidade do entorno moderno, acolhe a força de trabalho móvel e ajuda a proteger as pessoas, os dispositivos, os aplicativos e os dados onde quer que se encontrem.³ Soa complicado, mas em realidade defende a simplicidade com três princípios: “verificar explicitamente”, “usar o menor privilégio” e “assumir a violação”.

A confiança zero surgiu como uma melhor alternativa às defesas tradicionais baseadas no perímetro, especialmente levando em conta a mudança ao trabalho remoto e a expansão da superfície de ataque. A confiança zero ajuda os líderes de segurança a articular melhor as métricas de habilitação do negócio, a eficácia dos controles, as metas de melhora contínua e as capacidades de resposta.

Demos uma olhada a dois desafios comuns que enfrentam as organizações hoje em dia:

Gestão de dispositivos:

As organizações modernas possuem uma incrível diversidade de endpoints (dispositivos remotos) que acessam os dados, mas nem todos os dispositivos são gerenciados ou são propriedade da organização, levando a diferentes configurações de dispositivos e níveis de correções de erro de software. Isto cria uma superfície de ataque mais vulnerável. A confiança zero ajuda as organizações a superar este desafio exigindo que os dispositivos se inscrevam em um sistema moderno de gerenciamento de dispositivos com políticas de acesso baseadas na nuvem para controlar o acesso do dispositivo aos recursos da empresa e validar seu estado. A confiança zero pode melhorar significativamente a segurança dos endpoints e permitir um trabalho híbrido mais seguro que aproveite as estratégias dependentes dos dispositivos, como a Internet das coisas (IoT) e a computação fronteira (edge computing).

TI na sombra:

Os aplicativos, os serviços e a infraestrutura que se desenvolvem e se gerenciam fora dos estândares definidos de TI e de segurança são um problema comum do setor. Muitas soluções de TI na sombra (shadow IT) possuem muito sentido para o negócio, mas muitas vezes se constroem fora dos limites dos sistemas de engenharia da organização; supõem um risco potencial de cumprimento para a empresa, especificamente nas áreas de segurança, privacidade, governo de dados e acessibilidade. A confiança zero ajuda as organizações a aplicar um enfoque baseado em dados para compreender seus endpoints, dados, infraestrutura, rede, inquilinos e assinantes na nuvem, e aplicativos. Os dados generalizados e a telemetria permitem a aplicação automatizada de políticas de segurança para garantir uma melhor tomada de decisões em matéria de acesso. A confiança zero ajuda as equipes de segurança a compreender o nível de segurança, identificar as brechas potenciais ou reais na cobertura, validar o impacto dos novos controles e correlacionar os dados em todos os aplicativos e serviços do entorno.

O benefício da segurança é evidente, mas o modelo também aborda a brecha do talento de TI. Todas as organizações trabalham incansavelmente para assegurar um panorama digital cada vez mais complicado, com menos recursos. O número de vagas para os postos de trabalho em ciber segurança em todo o mundo cresceu cerca de 350%, até atingir os 3,5 milhões em 2021, o suficiente para ocupar os lugares de 50 estádios da Liga Nacional de Futebol dos Estados Unidos. A IA e os modelos de aprendizagem automático se necessitam desesperadamente.

Autores:

Kris Kimmerle
Vice President, Security Advisory Services

Sergio Ivan Torres Bustamante
Specialty Leader LATAM - Financial & Professional Services & Cyber

Michael Parrant
Client Director & Cyber Insurance Practice Leader

Peter Hawes
Vice President, Cyber Security

Com a confiança zero, as organizações podem tomar decisões mais simples – e melhores – para um mundo mais seguro.

#Sejaciberinteligente:

Pense grande. Comece pequeno.

Implemente a confiança zero. Enfoque-se nos objetivos de 25 metros e nas vitórias rápidas. Leve em conta que não se pode mudar os processos de controle em um dia. Os múltiplos entornos na nuvem e a tecnologia herdada somam camadas de complexidade. Construa um caso de negócio enfocado nos resultados que estão mais alinhados com os riscos e objetivos estratégicos de sua organização. Pergunte-se, como podemos modernizar e assegurar o que temos?

Faça um acompanhamento do sucesso da sua viagem até a confiança zero.

Demonstre às partes interessadas e aos principais responsáveis das tomadas de decisões que as iniciativas de confiança zero podem aportar melhoras significativas no nível de segurança da organização e do negócio. Procure métricas e casos de melhores práticas para compartilhar com as partes interessadas e os principais responsáveis das tomadas de decisões.

A segurança é um esporte de equipe.

Estabeleça associações, reduza o atrito do negócio com a segurança, identifique oportunidades para adotar melhorias contínuas nas pessoas, nos processos e nas tecnologias. Os seres humanos costumam ser o elo mais frágil quando se trata de proteger a sua organização em um ciber ataque. Inclusive com um modelo de confiança zero implementado, não esqueça a conscientização dos empregados e a capacitação de equipe. Como esporte de equipe, um modelo de confiança zero terá que envolver a todos, desde os diretores executivos até os empregados, já que cada um pode ser alvo de diferentes maneiras, mas definitivamente exercerá um papel importante na defesa.

¹The new threat economy: A guide to cybercrime’s transformation – and how to respond Opens in a new tab | Lyndo Brown. Security. Extraído de

² 2022 Unit 42 Ransomware Report Opens in a new tab | Palo Alto Networks. 2022. Extraído de

³ The Total Economic Impact of Zero Trust Solutions from Microsoft. Opens in a new tab | Forrester. Dezembro de 2021. Extraído de

Obtenha o Relatório de Impacto de Ativos Intangíveis

Os líderes da inovação necessitam identificar, valorar e dar seguimento aos ativos digitais, a propriedade intelectual e as novas tecnologias. Ao fazê-lo, podem ajudar empresas a tomar melhores decisões com respeito às novas soluções, aproveitar a propriedade intelectual, transformar suas operações e mitigar riscos.

Baixe o Relatório

Sobre Soluções Cibernéticas:

As Soluções Cibernéticas da Aon oferecem uma gestão holística dos riscos cibernéticos, habilidades de investigação insuperáveis e tecnologias próprias para ajudar os clientes a descobrir e identificar os riscos cibernéticos, proteger os ativos críticos e recuperar os incidentes cibernéticos.

As informações contidas neste documento e as declarações expressas são de caráter geral e não pretendem abordar as circunstâncias de nenhuma pessoa física ou moral em particular. Embora nos esforcemos para fornecer informações precisas e oportunas e as fontes de uso que consideramos confiáveis, não podemos garantir que essas informações sejam precisas na data em que serão recebidas ou que continuarão no futuro. Nadie deve atuar com base nesta informação no aconselhamento profissional adequado após uma revisão exaustiva da situação particular.

Isenção geral de responsabilidade
Este material foi preparado apenas para fins informativos e não deve ser invocado para nenhuma outra finalidade. Você deve entrar em contato com seus próprios consultores profissionais ou o Departamento de Tecnologia antes de implementar qualquer recomendação ou seguir as orientações fornecidas aqui. Além disso, as informações fornecidas e as declarações expressas não se destinam a abordar as circunstâncias de nenhum indivíduo ou entidade em particular. Apesar do nosso esforço para fornecer informações precisas, oportunas e usar fontes que consideramos confiáveis, não podemos garantir que tais informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.

Sobre Nós
Os serviços de segurança cibernética são oferecidos pela Stroz Friedberg Inc., suas subsidiárias e afiliadas. A Stroz Friedberg faz parte das Soluções Cibernéticas da Aon, que oferecem uma gestão holística de riscos cibernéticos, habilidades investigativas insuperáveis e tecnologias exclusivas para ajudar os clientes a descobrir e quantificar riscos cibernéticos, proteger ativos críticos e se recuperar de incidentes cibernéticos.

General Disclaimer
The information contained herein and the statements expressed are of a general nature and are not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information and use sources we consider reliable, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

Terms of Use
The contents herein may not be reproduced, reused, reprinted or redistributed without the expressed written consent of Aon, unless otherwise authorized by Aon. To use information contained herein, please write to our team.