Vamos começar com três perguntas rápidas:
1) Qual é o valor real que as informações armazenadas em seus computadores, servidores, e-mail etc. tem para sua empresa?
2) Seu negócio sobreviveria se todos estes dados fossem perdidos, criptografados por um ataque ransomware por exemplo
3) Como ficaria sua reputação (e o seu bolso) caso mesmo parte destes dados fosse vazada?
Empresas ao redor do mundo são atacadas e comprometidas todos os dias e não é de hoje que crimes cibernéticos assombram governos e pessoas. Gostaríamos de dizer que existe uma solução pronta e 100% eficaz para este problema, mas estaríamos mentindo grosseiramente. A verdade é que não existe uma solução pronta ou homogênea, porém podemos contar com medidas eficazes para proteger o que hoje parece ser o ativo mais valioso que você ou sua empresa podem ter: seus dados.
Mas como podemos garantir a máxima segurança para os nossos dados? A resposta pode parecer estranha, mas é: “eliminando a confiança”.
Os modelos de cibersegurança tradicionais herdam a abordagem dos modelos de segurança do mundo real, ou seja, definimos um perímetro, criamos dificuldade para acesso àquele perímetro, mas dentro dele todos são confiáveis por padrão. Como uma residência com grades, muros, câmeras etc. mas dentro estão os moradores ou convidados destes, ou seja, pessoas confiáveis por padrão.
Esta abordagem não funciona para Segurança da Informação e vamos explicar de forma bem resumida o porquê:
- Antes as pessoas iam até a empresa e lá encontravam tudo que precisavam para trabalhar, computadores, informações, telefone, impressoras, entre outros; mas estes dias ficaram no passado e não existe mais um perímetro para os dados de sua empresa. Seus colaboradores acessam estes dados de seus smartphones, dos computadores de casa no home office, de cafeterias e por aí vai. Então você tem que proteger os dados da empresa mesmo quando eles não estão na empresa.
- Sabemos que a maioria das pessoas é honesta e correta e que sua empresa contrata super bem, mas você pode realmente confiar em todos cegamente? A figura do “insider”, pessoa de dentro da empresa que extravia ou vaza dados sigilosos por motivos diversos, é cada vez maior. Temos aí o nosso conhecido Snowden como exemplo maior.
- Mesmo que ninguém na sua empresa tenha esta intenção e torcemos muito para que não tenha. Todos são experts em segurança da informação? E se aquele camarada que coloca a senha abc123 tiver suas credenciais comprometidas? Pronto! O hacker está dentro da sua empresa e você não tem nem ideia porque todos os acessos vão parecer de um legítimo colaborador.
Estes são só alguns motivos por que a abordagem perimetral não funciona mais hoje em dia, mas acho que já deu para convencer né? Então em 2010 o analista John Kindervag da Forrester Research cunhou o termo Zero Trust, que em uma tradução livre significa “Confiança Zero”, basicamente uma nova abordagem onde assumimos que não há perímetro confiável, não há computador confiável, não há usuário confiável. A confiança é estabelecida mediante verificação.
De lá pra cá a ideia ganhou força e gigantes como Microsoft e Cisco abraçaram este modelo como ideal para estabelecer uma abordagem verdadeiramente eficiente para Segurança da Informação nas empresas. Os princípios são básicos e bastante simples:
Sempre autentique e autorize acesso baseado em todas as variáveis possíveis. Usuário, senha, dispositivo, local, comportamento do usuário e o máximo de fatores possíveis. Aqui para começar precisamos pensar em autenticação multifatorial, porque senha sozinha não protege mais nada.
Acabaram aqueles super usuários com acesso irrestrito a tudo o tempo todo. Nem o dono da empresa pode ter acesso a tudo o tempo todo, porque se ele for comprometido, toda a empresa está em risco. As pessoas devem ter o acesso que precisam pelo tempo que precisam, nem mais, nem menos.
É basicamente entender que não há perímetro seguro, não há dispositivo ou usuário confiável. Cada solicitação é verificada e basicamente os dados precisam aprender a se proteger onde quer que estejam.
A pergunta do milhão agora é: como eu implemento isso na minha empresa?
Bom, esta é a nossa parte, mas podemos adiantar aqui que você precisa de uma abordagem 360º com ferramentas como por exemplo o Microsoft 365 Business Premium, que garantam estes 4 pilares:
Segurança da Informação é um investimento com retorno garantido: a existência e continuidade do seu negócio. Nós da Forward Computers temos uma metodologia única para direcionar sua empresa para o Modelo Zero Trust e garantir de fato a segurança de seus dados.
Rodrigo Cesar Lopes
Diretor Executivo da Forward Computers
