A estratégia de cibersegurança conhecida como “zero trust” (confiança zero) tornou-se amplamente adotada por empresas ao redor do mundo. Segundo a consultoria Gartner, 63% das organizações implementaram essa abordagem parcial ou totalmente.
O conceito de zero trust parte do princípio de que nenhum usuário ou processo pode ser considerado confiável, exigindo verificação contínua de todos os acessos. Nesse modelo, todo o tráfego na rede corporativa é inspecionado, com controle rigoroso sobre quem pode acessar quais recursos.
Na prática, os usuários em ambientes zero trust precisam solicitar acesso a cada recurso protegido separadamente, geralmente utilizando autenticação de múltiplos fatores. Um exemplo comum é fornecer uma senha para login e, em seguida, receber um código de autenticação no celular.
Dentro dessa abordagem, os dados e recursos são inacessíveis por padrão. Os usuários só podem acessá-los em circunstâncias específicas e de forma limitada. John Kindervag, da empresa de pesquisa Forrester Research, desenvolveu os conceitos iniciais do zero trust em 2008 e publicou o primeiro relatório sobre essa nova estratégia de cibersegurança em 2010.
Embora tenham surgido diferentes definições nos anos seguintes, elas ainda se baseavam nos princípios estabelecidos por Kindervag. O zero trust ganhou grande impulso em maio de 2021, quando o presidente dos EUA, Joe Biden, emitiu uma ordem executiva determinando sua adoção em sistemas computacionais do governo.
Implementação em etapas
Para implementar o modelo zero trust em organizações, o Comitê Consultivo de Segurança Nacional (NSTAC) recomenda cinco etapas principais, divididas em partes menores e gerenciáveis devido à complexidade do processo:
- [Etapa 1]
- [Etapa 2]
- [Etapa 3]
- [Etapa 4]
- [Etapa 5]
