Operacionalizando o Zero Trust — Etapa 1: Identificar o que proteger

Esta série de blogs se baseia em ideias apresentadas em minha postagem recente,”Zero Trust não é difícil... Se você é pragmático”.

Em meu post anterior, descrevi seis etapas para alcançar o Zero Trust. Nesta série, explorarei cada uma das seis etapas descritas anteriormente para fornecer uma estrutura sólida que possa ser usada por profissionais de microssegmentação em organizações grandes e pequenas para tornar seus projetos mais bem-sucedidos. Antes de começar, aqui está uma representação visual de cada etapa:

Etapa 1: Identificar o que proteger

Nos primórdios da tecnologia no local de trabalho, antes de se tornar onipresente, as organizações adotavam uma abordagem muito simples. Em termos corporativos, isso significava uma abordagem tática para adotar novos recursos — sejam novos hardwares, sistemas operacionais ou software, sempre se tratava do que era mais adequado para o trabalho específico em questão, em vez de tentar resolver um caso de uso genérico.

Como a tecnologia foi implantada em pequena escala, as soluções ad hoc eram gerenciáveis e mais produtivas do que tentar obter economias de escala ou buscar soluções estratégicas que pudessem ser relevantes em todos os setores.

Mas agora sabemos que, à medida que as organizações crescem, há um ponto de inflexão em que o custo e a eficácia da execução de soluções ad hoc são superados pela capacidade de aproveitar componentes genéricos que podem ser usados para criar soluções eficazes em qualquer lugar.

A adoção e a implantação de tecnologias de segurança não são diferentes, e é por isso que a introdução de uma nova capacidade de segurança na rede é uma tarefa tão complexa, longa e demorada, especialmente se essa capacidade for preventiva.

Então, por que estou afirmando tudo isso? Esse contexto ilustra como você pode progredir rapidamente com uma iniciativa estratégica (ou seja, abrangente, de longo prazo e complexa), como a adoção de um Mentalidade de Zero Trust começando com etapas táticas (ou seja, altamente específicas, de curto prazo e relativamente simples).

Em última análise, nosso objetivo deve ser implementar uma estrutura de Zero Trust em toda a nossa organização. Ter essa meta de longo prazo é essencial para validar esse progresso, e cada etapa nos aproximará desse objetivo. Mas alcançar o Zero Trust completo requer muitas dessas etapas, em um longo período de tempo, e mostrar o ROI pode ser difícil com uma abordagem de “tudo ou nada”. Se você não conseguir mostrar um progresso mensurável no curto prazo (trimestre a trimestre, se não tão agressivo quanto mês após mês), o apoio e o interesse pela iniciativa podem diminuir à medida que outras prioridades ocupam o centro das atenções.

Em vez disso, procure atingir sua meta de longo prazo — a adoção do Zero Trust em toda a empresa — visando um aplicativo ou conjunto de aplicativos que:

• Tenha um forte motivador para adotar os princípios de segurança Zero Trust. Idealmente, isso seria uma exigência regulatória ou de conformidade ou uma constatação de auditoria que deve ser corrigida. O outro forte fator para a adoção do Zero Trust vem de um “incidente” — todo mundo tem um e, como diz o velho ditado, “nunca desperdice uma crise”. Isso garante que haja vontade (e necessidade) de aceitar mudanças.
• São marcados como aplicativos críticos. O foco nas aplicações mais importantes no início do processo oferece as melhores oportunidades de aprendizado, mas, se for bem-sucedido, pode proporcionar confiança nos benefícios da tecnologia para outras partes menos críticas da empresa. Essas também são aplicações que os principais tomadores de decisão geralmente conhecem melhor, portanto, o progresso lhes dará uma visão direta do ROI da iniciativa Zero Trust.
• Tenha vontade de ser cobaia. Este é um experimento e não há dúvida de que ele vem com os riscos associados. Ao adotar o Zero Trust, você está invertendo os modelos de acesso usuais, o que pode resultar em dores de crescimento. Trabalhar com equipes de aplicação que estão confortáveis com os riscos de adoção é extremamente valioso. Eles serão seus futuros campeões à medida que você busca ampliar a adoção.

Acho que SWIFT ou PCI-DSS sistemas, cargas de trabalho de desenvolvimento em uma rede de produção, serviços essenciais de segurança, aplicativos executados sem patches e/ou componentes em fim de vida útil são todos ótimos candidatos para serem os primeiros a adotar a segmentação Zero Trust, pois atendem a pelo menos dois dos requisitos acima. Quais aplicativos você tem que se encaixam nessas categorias?

Depois de identificar o que deseja proteger, você pode determinar em qual pilar do Zero Trust se concentrar e, mais especificamente, exatamente qual controle você aplicará — os quais serão abordados na próxima postagem desta série.

Mal posso esperar pela minha próxima postagem para saber mais? Visite nossa página sobre como operacionalizar sua estratégia Zero Trust com microssegmentação para obter informações privilegiadas.