A massificação acelerada do teletrabalho, um dos grandes desafios para TI e cibersegurança no ano passado, já é consolidada e trouxe mudanças definitivas, como, por exemplo, admissões em múltiplas regiões. A agenda relacionada à LGPD continua a ter foco, mesmo para as empresas mais maduras que já estão na fase de sustentação. Ao mesmo tempo, o repertório de riscos e ameaças se amplia, com novas modalidades de fraudes e vandalismo digital. Junto a tudo isso, o déficit de recursos humanos em segurança da informação é ainda mais grave onde há déficit de educação técnica. A boa notícia é que a boa engenharia tem desenvolvido respostas para todas essas mudanças no sentido de incluir segurança e compliance no jeito de pensar a organização do trabalho e os produtos, em todo seu ciclo. 

Apesar disso, neste novo ano os líderes de diferentes perfis, de CIOs e CISOs ao pessoal de RI, comercial ou marketing precisarão se preocupar com algumas questões como : 

Zero Trust para um mundo hiperconectado. 

Evidentemente, cada informação sobre um acesso – dispositivo, localização, método de autenticação, buscas, parâmetros comportamentais etc. – é importante para sinalização de riscos e bloqueio de ameaças. O fundamento da arquitetura Zero Trust é deixar de pressupor uma confiança implícita em um conjunto limitado de parâmetros. 

As barreiras das organizações não se abriram apenas de dentro para fora, com o teletrabalho e os canais digitais. Além da exposição de suas aplicações e dados a terceiros, movimentos como Open Finance promovem a ampla interconexão, por meio de APIs. O jogo é definir o que olhar, o que correlacionar e como entender o que acontece. 

Apesar de a expressão Zero Trust soar como restritiva, pode ser exatamente o contrário do ponto de vista da Experiência do Usuário. Com um esquema de autenticação forte, criptografia de sessão e DLP no SaaS, por exemplo, a segurança depende menos das condições dos endpoints. (O que deu uma vantagem às empresas mais maduras na jornada à nuvem quando veio a pandemia). A ampliação do leque de alternativas, com segurança, é libertadora. Um exemplo simples é a biometria bancária, como bem sabem os esquecidos física ou logicamente (que deixam o cartão em casa ou têm branco na digitação da senha). 

Corresponsabilidade, quando o digital dá o leite das crianças e deixa de ser apenas um problema de TI. 

Dependendo do tempo de resposta a um ataque, um incidente pode provocar perda da produção individual, comprometer as operações, ou fazer a empresa “sumir”, temporária ou definitivamente. Mas este argumento extremo é uma motivação secundária para os líderes de negócios e product owners se aproximarem cada vez mais da segurança da informação. 

Seja qual for o setor, praticamente qualquer iniciativa de ganho de eficiência e geração de valor depende de um conjunto de serviços digitais. Portanto, a visão dos itens relacionados a Qualidade e Resultados (funcionalidades, performance, usabilidade), assim como a Segurança e Compliance, tem que estar presente em todo o ciclo. Ou seja, não funciona empilhar projetos – seja um aplicativo ou o redesenho de algum processo – para as equipes de testes e controles. Corrigir defeitos é caro e deixar de corrigir é mais caro. Melhor colaborar para evitá-los na raiz. 

Inteligência e automação para o protagonismo das pessoas. 

Entre os CISOs e equipes de SOC (centro de operações de segurança), a aplicação dos avanços da Inteligência Artificial já é há algum tempo imprescindível para conseguir fazer monitoramento e contramedidas no ritmo dos riscos e ameaças. Sem ferramentas inteligentes, seria impraticável entender todos os logs e mais difícil ainda orquestrar todas as ativações de serviços e configurações para bloquear as vulnerabilidades. Os recursos de automação e analytics em tempo real se tornam ainda mais importantes diante do ritmo de mudanças em diversas camadas do ambiente, desde a infraestrutura multicloud às classificações de dados e perfis de usuários. 

Contudo, as ferramentas baseadas em IA servem também para que os corresponsáveis por segurança cumpram sua responsabilidade. Por exemplo, os gestores de times contam com consoles mais simples para definir e revisar as autorizações e sua gestão de identidades, podendo ele mesmo identificar credenciais “esquecidas” ou direitos de acesso indevidos. No tema de Privacidade e Proteção de Dados, o Controlador também passa a definir as regras, até para que as áreas de desenvolvimento, análises ou operações contem com dados sadios. 

Fim do perímetro e do tapete. 

Mesmo que as fronteiras entre as LANs, WANs e web já tenham se reduzido há bem mais tempo, a pandemia e a consolidação do “modelo híbrido” acentuaram alguns riscos. Por exemplo, um servidor desatualizado podia ser segregado em baixo nível, enquanto a vulnerabilidade se torna mais crítica ao se habilitar o acesso remoto. 

Além do fim do perímetro, a segurança da informação hoje precisa se alinhar às atuais metodologias de gestão e ao ciclo de vida dos produtos. Na prática, revisões, auditorias e testes de segurança precisam compor cada sprint; ser uma premissa embutida em qualquer MVP (mínimo produto viável). Isso implica processos cadenciados de monitoramento e testes. Caso contrário, a “CD” do jargão ágil deixa de ser traduzida como “entrega contínua” e passaria a significar “desastre contínuo”, como diz um de nossos parceiros. 

Certamente há diversos outros temas na agenda de Cibersegurança e Proteção de Dados. A gestão do ciclo de vida dos dados nos aplicativos de colaboração; governança de mídias sociais; novos ecossistemas (como Open Finance) e outros desafios já são realidade. A trabalheira nestes últimos dois anos foi aquecimento para o que ainda tem pela frente e uma coisa é certa, não dá mais para colocar embaixo do tapete para não ver. 

Pedro Paulo Miyahira, head de Cybersecurity da CYLK Technologing.

Matéria original publicada pela Ti Inside: https://tiinside.com.br/04/01/2022/2022-sera-o-ano-do-zero-trust-sem-virgula/