6 recomendações de especialistas sobre Zero Trust para agências governamentais
O setor público está enfrentando grandes questões quando se trata de abordagens de segurança cibernética. O que pode ser feito para reduzir as vulnerabilidades e mitigar a propagação de violações? Quais estratégias são fundamentais para melhorar a resiliência cibernética em meio a um cenário de ameaças em constante mudança?
Para descobrir, Gary Barlet, CTO federal de campo da Illumio, recentemente se juntou aos especialistas em segurança cibernética do governo Dr. Mark A. Stanley, líder da agência Zero Trust da NASA, e Gerald J. Caron, diretor de informações da Administração de Comércio Internacional, na GovExec TV para discutir a segmentação de aplicativos e seu papel na arquitetura Zero Trust para o setor público.

Continue lendo para obter as seis principais recomendações da discussão sobre a implementação do Zero Trust e a segmentação de aplicativos.
1. Iniciativas de Zero Trust devem ser a prioridade agora
Para começar, o Dr. Stanley falou sobre seu papel na NASA e o cenário da política de Zero Trust que ele encontrou ao chegar.
“Quando chego à NASA, fiquei totalmente impressionado”, disse ele. “Essas pessoas já estavam pensando no Zero Trust e em como chegaríamos lá muito antes mesmo de a ordem executiva sair. Eles já tinham a adesão e muito apoio da equipe de liderança executiva.”
Logo no início de seu mandato na NASA, ele foi nomeado líder do Zero Trust da NASA. Ele ajudou a adicionar o Zero Trust como um dos elementos fundamentais da NASA para a transformação digital.
“Do ponto de vista das prioridades, tudo o que eu puder fazer para ajudar a impulsionar o Zero Trust ocupou a maioria dos nossos ciclos”, explicou ele.
2. A visibilidade é fundamental para implementar com sucesso uma estratégia Zero Trust
A resposta de Barlet abordou o pensamento central que anda de mãos dadas com a estratégia Zero Trust e a segmentação de aplicativos.
“Zero Trust é um termo muito amplo. A primeira coisa que consideramos importante para a segurança é entender como as informações estão realmente fluindo em sua empresa”, disse Barlet.
Barlet recomendou que as organizações que trabalham em prol do Zero Trust comecem com visibilidade. E isso não é apenas um mapa de rede. As redes híbridas atuais não têm perímetro e estão dispersas. As equipes de segurança devem acompanhar como os aplicativos interagem em um nível granular, e Barlet explica que obter visibilidade dos fluxos de comunicação dos aplicativos é fundamental para entender como o aplicativo está funcionando. Depois que a visibilidade é estabelecida, as equipes de segurança podem começar a traçar limites em torno desses aplicativos para segmentar a rede.
“Se algo acontece, a realidade é que não é uma questão de E se você vai ficar comprometido, mas quando. Quando esse compromisso ocorre, o que vem a seguir?” Barlet disse.
Saiba como o mapa de dependência de aplicativos da Illumio oferece visibilidade em seu ambiente de TI híbrida aqui.
3. Se você não está trabalhando no Zero Trust agora, você está atrasado
Barlet continuou explicando as armadilhas das empresas que estão atrasadas na adoção do Zero Trust.
“Hoje, muitas empresas estão abertas”, disse ele. “Quando um adversário se firma, ele tem a capacidade irrestrita de se espalhar por sua empresa.”
Os adversários usam o movimento lateral para se espalhar de uma parte do ambiente para outra. Se esses ambientes estiverem isolados uns dos outros, as violações não podem se espalhar. Isso é obtido com a segmentação, também chamada de Segmentação Zero Trust.
“Com a segmentação, você vê todos esses vários componentes e desenha um anel aplicação por aplicação”, disse Barlet. “Então, uma vez comprometido, ele pode ser contido e não pode infectar outros aplicativos.”
4. As iniciativas Zero Trust exigem colaboração interfuncional
Para alcançar um nível de adoção do Zero Trust com o qual as organizações possam se sentir confortáveis, é importante adotar uma mentalidade colaborativa. O Dr. Stanley comparou a mentalidade da NASA com sua abordagem semelhante à descoberta científica, na qual a NASA adota o mandato de compartilhar pesquisas e descobertas com o mundo para o aprimoramento da humanidade.
“Nós, do lado federal, precisamos começar a pensar em como podemos trabalhar juntos”, disse o Dr. Stanley. “Acredito firmemente que a cibersegurança é um esporte coletivo.”
Caron continuou o sentimento do Dr. Stanley, ilustrando as armadilhas da antiga abordagem de colaboração em segurança cibernética.
“Você tem esses silos de excelência, mas todos esses grupos precisam trabalhar juntos para alcançar o verdadeiro Zero Trust”, explicou Caron. “Antigamente, você tinha um incidente e fazia um round robin. Você continuaria circulando até encontrar o problema.”
Mas, de acordo com Barlet, “Você não pode mais fazer essas coisas manualmente. É impossível acompanhar a disseminação da tecnologia, a disseminação de dados e a disseminação de nossos usuários. A tecnologia é a única maneira pela qual podemos esperar ficar à frente ou à altura dessa curva e dessa mudança.
5. Zero Trust é uma estratégia, não uma receita
À medida que o webinar continuava, os três especialistas exploraram outro lado importante da estratégia governamental de segurança cibernética: a conformidade.
Caron abriu a discussão fazendo uma distinção fundamental entre conformidade e eficácia: “Essas são duas palavras muito diferentes com dois significados diferentes. Conformidade pode significar algo como: “Eu tenho um sistema, então preciso fornecer autenticação”. O nome de usuário e a senha podem estar em conformidade, mas não são eficazes.”
Em outras palavras, só porque algo é um requisito de conformidade não significa que ele alcance a eficácia simultaneamente. Caron incentiva as organizações a verem o Zero Trust como um esforço para serem mais eficazes, além de cumprir os requisitos de conformidade.
“A conformidade entrará em vigor à medida que você se tornar eficaz”, disse Caron. “Essa é a grande coisa que eu aplaudo na estratégia Zero Trust e na ordem executiva que menciona o Zero Trust. Isso está nos levando a sermos mais eficazes. É uma estratégia, não uma receita.”
6. Dê passos incrementais em direção ao Zero Trust
Para finalizar, Barlet e o Dr. Stanley falaram sobre as melhores práticas para a adoção do Zero Trust nas empresas.
De acordo com Barlet, “As organizações mais eficazes dão um passo de cada vez”.
Ele explicou que muitas agências presumem que conseguirão impor de zero a 100% o Zero Trust. Então, quando eles não atingem a meta, a iniciativa perde força ou é considerada muito difícil.
“A realidade é que você nunca vai chegar a 100 por cento”, disse Gary. “No mundo em que vivemos, tentar chegar a 100% de qualquer coisa é uma meta inatingível.”
Em vez disso, a Barlet incentiva as organizações a trabalharem em prol da Zero Trust em pedaços. Ao criar o Zero Trust de forma incremental, as agências podem obter vitórias rápidas e aumentar as defesas, a segurança e a proteção ao longo do tempo.
“Barlet estava absolutamente certo”, disse o Dr. Stanley. “Você precisa abordar todos os pilares do Zero Trust. Você precisa ser capaz de aproveitar a proteção que ele oferece para seus aplicativos e dados, mesmo ao fazer essas melhorias incrementais em sua infraestrutura.”
Saiba mais sobre como a Illumio pode ajudar a proteger sua agência governamental aqui.
Entre em contato conosco hoje para uma demonstração e consulta gratuitas.