Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Siga estas 3 próximas etapas se sua agência governamental estiver construindo confiança zero

Gary Barlet
,
Arquiteto de soluções principal, setor público
July 18, 2024
23 leitura mínima

Está claro para mim que o Zero Trust deixou de ser uma ideia nova para se tornar uma prática comum, especialmente no governo federal. As agências entendem o que é o Zero Trust e estão trabalhando para incluí-lo em seus planos de segurança cibernética.

Essa é uma grande mudança em relação a alguns anos atrás, quando muitas agências ainda estavam aprendendo sobre o Zero Trust e por que isso é importante.

É bom ver a adoção do Zero Trust no governo, mas as iniciativas de segurança não devem parar por aí. Nesta postagem do blog, compartilho minhas ideias sobre os próximos passos que as agências e os comandos devem dar em suas jornadas com o Zero Trust.

Como o Zero Trust se tornou popular no governo federal?

A mudança em direção ao Zero Trust no setor federal reflete uma tendência maior que está acontecendo em muitos setores. Essa mudança se deve principalmente ao aumento da conscientização e de mandatos, como:

A grande quantidade de educação e informações disponíveis tornou o Zero Trust uma parte fundamental dos planos federais de segurança cibernética. As agências agora têm um guia claro para usar o Zero Trust, o que facilita a adição a seus sistemas de segurança.

Esse uso generalizado não é apenas no governo. As empresas também começaram a usar o Zero Trust. De acordo com Pesquisa de segurança da Forrester, 2023:

  • 72% dos líderes de segurança em organizações corporativas (1.000 funcionários ou mais) estão planejando ou já iniciando um programa Zero Trust.
  • 78% já investiram recursos em um plano de segurança Zero Trust.

Essa importante mudança em direção ao Zero Trust mostra uma grande mudança na segurança cibernética. Em vez de apenas tentar detectar e prevenir ataques, a Zero Trust presume que as violações acontecerão e se prepara proativamente para impedir que elas se espalhem.

Black and white columns, American flag, and Capital Building

3 próximas etapas para agências construírem o Zero Trust

Agora isso Confiança zero é amplamente aceito, as agências precisam se concentrar no que vem a seguir em sua jornada de Zero Trust. Aqui estão as principais coisas em que se concentrar:

1. Crie microssegmentação

Você não pode fazer Zero Trust sem microssegmentação, também chamada Segmentação Zero Trust (ZTS). Embora a microssegmentação tenha sido vista como uma medida de segurança mais avançada, agora ela é vista como um princípio básico do Zero Trust que todos precisam fazer.

Confiar nos métodos tradicionais de segurança para proteger sua rede não é mais suficiente.

A microssegmentação divide uma rede em partes pequenas e separadas para impedir que as violações se espalhem pela rede. Isso mantém seus dados e aplicativos mais importantes seguros e, ao mesmo tempo, dificulta que os invasores causem interrupções.

2. Automatize o máximo possível

À medida que as redes e as organizações se tornam mais complicadas, fica claro que precisamos automação de cibersegurança mais do que nunca. Fazer as coisas manualmente simplesmente não consegue acompanhar todas as novas ameaças e as muitas tarefas necessárias para manter tudo seguro.

A automação ajuda a resolver vários problemas importantes:

  • Complexidade da rede: As redes atuais são grandes e complexas, o que dificulta o gerenciamento manual da segurança. A automação ajuda as organizações a implementar regras de segurança consistentes em todos os ambientes.
  • Lacuna de habilidades: Pesquisa realizada pela O Fórum Econômico Mundial encontrou um déficit de 3,4 milhões de especialistas em segurança cibernética. É claro que há uma crescente escassez de habilidades em segurança cibernética. A automação ajuda a preencher a lacuna de habilidades ao realizar trabalhos rotineiros, liberando as equipes de segurança para se concentrarem em questões mais complexas.
  • Erro humano: Os processos manuais deixam você exposto a erros de segurança. A automação reduz esse risco ao limitar o número de trabalho manual na rede. Ferramentas como a IA podem ajudar a criar segurança com menos erros.

A mudança para uma abordagem de “deslocar para a esquerda” significa mais DevSecOps as equipes estão criando a segurança primeiro durante um projeto. Ao adicionar automação ao início do desenvolvimento, as organizações podem evitar problemas e perda de tempo decorrentes da adição posterior de segurança. Essa forma de trabalhar ajuda a tornar a segurança mais forte e mais capaz de lidar com os desafios.

3. Consolide as ferramentas de segurança e a tomada de decisões

À medida que as ameaças cibernéticas se tornam mais inteligentes, as agências estão consolidando suas ferramentas e estratégias de segurança. Essa consolidação é impulsionada pela necessidade de consistência, acessibilidade e melhor utilização dos recursos. Ao tornar a segurança uma decisão de alto nível, as organizações podem otimizar seus esforços e melhorar a segurança geral.

Enquanto eu era CIO no Gabinete do Inspetor Geral do Serviço Postal dos EUA, trabalhei com a equipe para adotar um modelo consolidado de tomada de decisões de segurança. Embora esses tipos de mudanças não sejam fáceis, eles permitem que você use os recursos com mais eficiência, reduza a complexidade e aprimore ainda mais sua postura de segurança.

Duas coisas a serem observadas durante sua jornada com o Zero Trust

Começar uma jornada de Zero Trust pode melhorar a segurança cibernética da sua organização. Mas há alguns desafios importantes que você deve conhecer. Essas são duas questões principais que você deve observar para garantir que seu trabalho em um plano Zero Trust ocorra sem problemas.

1. Muito foco na segurança de identidade

A certa altura, os especialistas cibernéticos pensaram que, se conseguissem obter a proteção de identidade correta, você resolveria a maioria dos problemas de segurança. Isso foi há 30 anos e o número de violações continua crescendo. Algo não está funcionando. Embora a identidade ainda seja um pilar importante do Zero Trust, agora está claro que a identidade não é a melhor resposta para impedir os ataques cibernéticos.

Acho que a razão pela qual a segurança de identidade se tornou tão popular é porque ela é fácil de entender e obter a adesão multifuncional. Mas só porque é simples não significa que seja a melhor maneira de manter as redes e os dados seguros.

É importante que nos concentremos tanto — se não mais — na segurança da rede. John Kindervag geralmente descreve as redes como tendo uma casca forte, mas como uma bagunça líquida por dentro. Sem tecnologias de contenção de violações, como a microssegmentação, não há como impedir o malware que ultrapassa as ferramentas de identidade.

2. Deixar que a perfeição seja inimiga do bem

É preciso que haja uma grande mudança de mentalidade sobre propriedade de segurança. E isso não é apenas para o setor público — isso é generalizado.

Não podemos esperar que a segurança atual seja perfeita. As violações acontecerão e precisamos estar preparados para reduzir seu efeito em nossas operações.

Não podemos culpar a equipe de segurança por cada problema cibernético. Todos em uma empresa precisam assumir a responsabilidade pela segurança cibernética, não apenas uma equipe ou executivo. Essa mudança de pensamento é muito importante para tornar a segurança uma prioridade com a qual todos se preocupam.

Black and white man running in front of the Capital Building

O futuro da cibersegurança do governo federal

Zero Trust é uma jornada, não um destino. À medida que a segurança cibernética continua mudando, é crucial que as agências e os comandos se certifiquem de que estejam planejando e preparados para o futuro.

Reunir essas estratégias ajudará as agências a lidar melhor com os desafios da cibersegurança. É importante atualizar e adaptar regularmente essas estratégias para ficar à frente das novas ameaças cibernéticas e manter os dados seguros.

Entre em contato hoje com nossos especialistas federais em segurança cibernética para saber como a Illumio pode ajudar a criar sua iniciativa Zero Trust.

Tópicos relacionados

Governo

Artigos relacionados

O braço longo do escritório de advocacia e o futuro da segurança cibernética
Resiliência cibernética

O braço longo do escritório de advocacia e o futuro da segurança cibernética

Para um profissional de segurança em um escritório de advocacia, você deve fazer duas coisas: (1) proteger os dados do seu escritório e (2) fazer isso sem interromper o trabalho diário dos sócios e associados do escritório.

Leia mais
Compreendendo os mandatos de conformidade da UE: Telecomunicações-5G e muito mais
Resiliência cibernética

Compreendendo os mandatos de conformidade da UE: Telecomunicações-5G e muito mais

Na parte 5 desta série, exploramos a superfície de ataque expandida que o 5G traz, juntamente com os requisitos de conformidade de telecomunicações que estão evoluindo rapidamente.

Leia mais
O progresso federal do Zero Trust deste ano fiscal: perguntas e respostas de especialistas
Resiliência cibernética

O progresso federal do Zero Trust deste ano fiscal: perguntas e respostas de especialistas

Obtenha informações sobre o estado da confiança zero no governo, a transformação federal da confiança zero deste ano e como a tecnologia de confiança zero, como a microssegmentação, está modernizando a segurança cibernética federal.

Leia mais
As 3 verdades do Zero Trust de John Kindervag para agências governamentais
Resiliência cibernética

As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Obtenha informações de John Kindervag sobre as principais verdades do Zero Trust que as agências governamentais precisam conhecer ao cumprirem os mandatos do Zero Trust.

Leia mais
6 recomendações de especialistas sobre Zero Trust para agências governamentais
Resiliência cibernética

6 recomendações de especialistas sobre Zero Trust para agências governamentais

Veja as 6 principais recomendações do recente webinar GovExec sobre a implementação do Zero Trust e a segmentação de aplicativos.

Leia mais
10 razões pelas quais os governos estaduais e locais devem implementar a segmentação Zero Trust
Segmentação Zero Trust

10 razões pelas quais os governos estaduais e locais devem implementar a segmentação Zero Trust

Saiba como os governos estaduais e locais podem aproveitar a microssegmentação para proteger seus dados, ativos e sistemas essenciais.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais