Modelo Confiança Zero ajuda segurança das empresas na LGPD

por Alfredo Santos Quarta-feira, 18 de setembro de 2019   Tempo de leitura: 7 minutos

“A confiança é uma vulnerabilidade perigosa que pode ser explorada”, disse John Kindervag, ex- analista da Forrester (empresa norte-americana voltada para pesquisa de mercado) e criador da estratégia Zero Trust Model (Modelo de Confiança Zero), em 2010.

O Modelo de Confiança Zero baseia-se em segurança cibernética, cujo principal conceito é não confiar em nada dentro ou fora da rede de infraestrutura de TI da sua empresa. A intenção não é desencorajar as organizações a confiarem em seus usuários, mas rastrear o tráfego da rede, auditar e controlar os acessos para garantir mais segurança ao ambiente.

Zero Trust Model é não confiar em ninguém, o que engloba, inclusive, usuários da empresa, principalmente, os que possuem acessos privilegiados, pois o cenário de violação de dados mais provável é causado por usuários, mal-intencionados ou descuidados.

Vulnerabilidades internas

Segundo a pesquisa Insider Threat Report, realizada pela CA Technologies (Broadcom), 51% das empresas entrevistadas estão preocupadas com ameaças que são causadas por usuários. Além disso, aponta os principais fatores que habilitam as vulnerabilidades internas:

  • 37% acessos privilegiados;
  • 36% gestão de dispositivos;
  • 35% complexidade da segurança da informação.

Ameaças internas

As ameaças internas consistem em:

  • funcionários
  • ex-funcionários
  • parceiros de negócios
  • provedores de serviços
  • qualquer indivíduo que tem ou teve acesso a informações privilegiadas é considerado um risco de vulnerabilidade.

A grande dificuldade das empresas está em rastrear tais ameaças com rapidez, afinal essas vulnerabilidades, muitas vezes, não estão presentes no planejamento de segurança, pois não é antecipada pela empresa, visto que a índole ou erros de pessoas não são previsíveis.

LGPD

Com Lei Geral de Proteção de dados (LGPD) prestes a entrar em vigor, as organizações analisam os melhores métodos para promover a segurança das informações. Logo, a estratégia Zero Trust Model (Modelo Confiança Zero) se torna um modelo atraente e eficiente para evitar ameaças, pois é um processo contínuo que ajuda as organizações a manterem a segurança. Para a implementação dessa estratégia foram estabelecidos alguns princípios:

1 – Certificação

Identificar e proteger os dados internos e externos da organização, independe de onde estão armazenados.

2 – Registro e inspeção

Há dois métodos de ganhar visibilidade do tráfego na rede: registros e inspeção.

Os registros servem para identificar o tráfego na rede. Por exemplo, se um arquivo for apagado, a equipe de segurança consegue ver quem, quando e por onde o documento foi excluído.

Para ser bem-sucedida, a inspeção pode ser automatizada, com alertas em tempo real, assim, a equipe de segurança consegue agir com mais rapidez caso alguma anomalia seja detectada.

3 – Menos privilégios, mais segurança

“Um soldado só deve saber o necessário para concluir sua missão”. Esse conceito é usado para garantir a segurança dos soldados no exército e pode ser aplicado para elevar a segurança no ambiente de TI. Trocamos a frase por: “o usuário só deve acessar o necessário para realizar a suas atividades”. Isto é, revisar privilégios constantemente em busca de permissões desnecessárias e usuários inativos, garante uma política de privilégios mínimos.

4 – Segurança extra nunca é de mais

Um dos focos é a autenticação segura dos usuários e obter o conhecimento de suas funções, privilégios de acesso e ser capaz de identificar o comportamento anormal do indivíduo e do dispositivo. Nesse ambiente, soluções como a autenticação multifator (MFA) e a análise comportamental do usuário são fundamentais para estabelecer a segurança.

O objetivo com o Modelo de Confiança Zero é estabelecer um método de nunca confiar e sempre verificar. Não há uma fórmula específica para a implementação. De maneira geral, as empresas adquirem Firewall que fazem filtragens, inspeção profunda, detectam malware, entre outros. Além de aplicarem o modelo de privilégios mínimos, registrarem acessos e implementarem autenticações fortes.

Modelo Confiança Zero

Um exemplo de projeto bem-sucedido de Zero Trust Model é o Google. A grande empresa de buscas é tão consistente com a estratégia que criou seu próprio framework de segurança: o BeyondCorp. Por meio dele, é possível fazer um controle através dos dispositivos individuais e de usuários sem usar a VPN (Virtual Private Network), além dos acessos aos serviços serem autenticados, autorizados e criptografados.

É importante termos em mente que, não importa o segmento, toda organização está sujeita às ameaças internas, por esse motivo, para promover mais segurança no o ambiente de TI, devemos entender quais são os desafios internos e aplicar estratégias como a Zero Trust Model, assim, além de elevar a segurança a adequação a LGPD torna-se mais eficiente.

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

0 comentários

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.