Acesso rápido

Modelo Confiança Zero ajuda segurança das empresas na LGPD

por Alfredo Santos Quarta-feira, 18 de setembro de 2019   Tempo de leitura: 7 minutos

“A confiança é uma vulnerabilidade perigosa que pode ser explorada”, disse John Kindervag, ex- analista da Forrester (empresa norte-americana voltada para pesquisa de mercado) e criador da estratégia Zero Trust Model (Modelo de Confiança Zero), em 2010.

O Modelo de Confiança Zero baseia-se em segurança cibernética, cujo principal conceito é não confiar em nada dentro ou fora da rede de infraestrutura de TI da sua empresa. A intenção não é desencorajar as organizações a confiarem em seus usuários, mas rastrear o tráfego da rede, auditar e controlar os acessos para garantir mais segurança ao ambiente.

Zero Trust Model é não confiar em ninguém, o que engloba, inclusive, usuários da empresa, principalmente, os que possuem acessos privilegiados, pois o cenário de violação de dados mais provável é causado por usuários, mal-intencionados ou descuidados.

Vulnerabilidades internas

Segundo a pesquisa Insider Threat Report, realizada pela CA Technologies (Broadcom), 51% das empresas entrevistadas estão preocupadas com ameaças que são causadas por usuários. Além disso, aponta os principais fatores que habilitam as vulnerabilidades internas:

  • 37% acessos privilegiados;
  • 36% gestão de dispositivos;
  • 35% complexidade da segurança da informação.

Ameaças internas

As ameaças internas consistem em:

  • funcionários
  • ex-funcionários
  • parceiros de negócios
  • provedores de serviços
  • qualquer indivíduo que tem ou teve acesso a informações privilegiadas é considerado um risco de vulnerabilidade.

A grande dificuldade das empresas está em rastrear tais ameaças com rapidez, afinal essas vulnerabilidades, muitas vezes, não estão presentes no planejamento de segurança, pois não é antecipada pela empresa, visto que a índole ou erros de pessoas não são previsíveis.

LGPD

Com Lei Geral de Proteção de dados (LGPD) prestes a entrar em vigor, as organizações analisam os melhores métodos para promover a segurança das informações. Logo, a estratégia Zero Trust Model (Modelo Confiança Zero) se torna um modelo atraente e eficiente para evitar ameaças, pois é um processo contínuo que ajuda as organizações a manterem a segurança. Para a implementação dessa estratégia foram estabelecidos alguns princípios:

1 – Certificação

Identificar e proteger os dados internos e externos da organização, independe de onde estão armazenados.

2 – Registro e inspeção

Há dois métodos de ganhar visibilidade do tráfego na rede: registros e inspeção.

Os registros servem para identificar o tráfego na rede. Por exemplo, se um arquivo for apagado, a equipe de segurança consegue ver quem, quando e por onde o documento foi excluído.

Para ser bem-sucedida, a inspeção pode ser automatizada, com alertas em tempo real, assim, a equipe de segurança consegue agir com mais rapidez caso alguma anomalia seja detectada.

3 – Menos privilégios, mais segurança

“Um soldado só deve saber o necessário para concluir sua missão”. Esse conceito é usado para garantir a segurança dos soldados no exército e pode ser aplicado para elevar a segurança no ambiente de TI. Trocamos a frase por: “o usuário só deve acessar o necessário para realizar a suas atividades”. Isto é, revisar privilégios constantemente em busca de permissões desnecessárias e usuários inativos, garante uma política de privilégios mínimos.

4 – Segurança extra nunca é de mais

Um dos focos é a autenticação segura dos usuários e obter o conhecimento de suas funções, privilégios de acesso e ser capaz de identificar o comportamento anormal do indivíduo e do dispositivo. Nesse ambiente, soluções como a autenticação multifator (MFA) e a análise comportamental do usuário são fundamentais para estabelecer a segurança.

O objetivo com o Modelo de Confiança Zero é estabelecer um método de nunca confiar e sempre verificar. Não há uma fórmula específica para a implementação. De maneira geral, as empresas adquirem Firewall que fazem filtragens, inspeção profunda, detectam malware, entre outros. Além de aplicarem o modelo de privilégios mínimos, registrarem acessos e implementarem autenticações fortes.

Modelo Confiança Zero

Um exemplo de projeto bem-sucedido de Zero Trust Model é o Google. A grande empresa de buscas é tão consistente com a estratégia que criou seu próprio framework de segurança: o BeyondCorp. Por meio dele, é possível fazer um controle através dos dispositivos individuais e de usuários sem usar a VPN (Virtual Private Network), além dos acessos aos serviços serem autenticados, autorizados e criptografados.

É importante termos em mente que, não importa o segmento, toda organização está sujeita às ameaças internas, por esse motivo, para promover mais segurança no o ambiente de TI, devemos entender quais são os desafios internos e aplicar estratégias como a Zero Trust Model, assim, além de elevar a segurança a adequação a LGPD torna-se mais eficiente.

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

0 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.