0
0
Chegamos ao ponto em que o termo “confiança zero” está sendo mal utilizado ou deturpado por alguns fornecedores enquanto eles procuram capitalizar seu impulso no mercado?
É complicado para os fornecedores, pois não é possível rotular qualquer produto ou serviço como uma solução abrangente de confiança zero. Talvez seja melhor considerar o termo arquitetura de confiança zero (ZTA) – uma estrutura que exige que uma organização tome medidas dependendo das prioridades do negócio e de sua infraestrutura de segurança atual.
Portanto, embora seja importante que as organizações comecem a fazer a mudança para a arquitetura de confiança zero, não é tão simples quanto adotar as capacidades de um único fornecedor como uma solução abrangente. Mas com todo o marketing e hype que podem rapidamente sujar as águas quando qualquer nova solução tecnológica chegar, veremos uma “lavagem de confiança zero”? Afinal, todos os produtos legados se encaixam na conta de confiança zero?
Ressaltamos que o ZTA é uma metodologia ou abordagem e não um único produto ou solução que sai da prateleira. Em uma veia semelhante, não há uma resposta “de tamanho único” e diferentes organizações precisarão priorizar de acordo com suas necessidades.
Mas podemos tomar medidas para descrever um modelo “ideal” de confiança zero? Há certamente algumas boas definições lá fora do que deve ser incluído, pelo menos. Por exemplo, nos EUA, o Instituto Nacional de Padrões e Tecnologia (NIST) publicou um conjunto de sete princípios do que deve ser incluído em um ZTA. Muito importante, não implica que quaisquer proteções de segurança existentes sejam excluídas.
Além disso, vimos recentemente o presidente Biden emitir uma Ordem Executiva para melhorar a segurança cibernética do país, o que inclui a adoção da ZTA. Há muitas referências à ZTA dentro da Ordem, incluindo esta: “O Governo Federal deve adotar as melhores práticas de segurança; avançar em direção à arquitetura de confiança zero; acelerar o movimento para proteger os serviços em nuvem, incluindo Software as a Service (SaaS), Infraestrutura como serviço (IaaS) e Plataforma como Serviço (PaaS); centralizar e simplificar o acesso a dados de cibersegurança para impulsionar análises para identificar e gerenciar riscos de cibersegurança; e investir tanto em tecnologia quanto em pessoal para corresponder a essas metas de modernização”.
Como em qualquer outra nova tecnologia ou abordagens, aguardamos qualquer certificação ZTA “oficial” ou padrões práticos. Já mencionamos a NIST que cria padrões para práticas de comunicação, tecnologia e cibersegurança. A NIST ainda não criou nenhuma norma ou certificação para confiança zero – sua Publicação Especial discute metas para a ZTA. Talvez a ausência de certificação ou normas relevantes seja parcialmente culpada pela falta de coesão quando se trata de marketing e venda de ZTA? Com isso em vigor, os fornecedores teriam pelo menos sólida orientação e organizações que buscam investir em ZTA, melhor definição e clareza.
Notwithstanding certification or standards, there is certainly confusion in the marketplace when it comes to ZTA – confusion that can provide fertile conditions for some vendors to take advantage of.
It is possible to build ZTA using a combination of legacy systems and new products – businesses needn’t be worried about having to start completely afresh.
Fazer ao seu fornecedor algumas perguntas simples geralmente ajudará a revelar sua compreensão da ZTA. Por exemplo, pergunte-lhes como sua solução proposta se encaixa dentro de seu ZTA – se eles não podem visualizar isso, então eles provavelmente ainda acreditam que zta é algo que você compra fora da prateleira. Quando os fornecedores podem lançar suas soluções como parte de uma jornada global para o cliente, e uma que provavelmente é muito diferente para cada cliente, então o sucesso é o resultado mais provável.
Revendedores e provedores de serviços gerenciados estão em uma posição ideal para ajudar seus clientes a adotar o ZTA – há uma variedade de tecnologia de vários fornecedores que precisa ser adotada, juntamente com a integração associada à infraestrutura existente. E com base em que essas viagens provavelmente levarão anos e não meses, há uma oportunidade ideal para adotar uma abordagem consultiva para vendas de longo prazo. A zero confiança é uma iniciativa estratégica de TI, e a maioria dos CIOs certamente estão ligados à estratégia e ao planejamento.
Onde quer que você esteja em sua jornada ZTA, você não pode simplesmente arrancar produtos da prateleira para produzir botões de segurança de vitória instantânea. Suas necessidades de negócios e requisitos de segurança diferem de outras organizações, assim como o estado de seus sistemas legados. Um parceiro que entende tudo isso é idealmente colocado para ajudá-lo a continuar essa jornada com frutífera.
FONTE: HELPNET SECURITY