Há alguns dias, o Departamento de Defesa dos Estados Unidos divulgou sua estratégia e roteiro de Zero Trust, ou na tradução para o português, Confiança Zero. Ao destacar como o departamento planeja proteger informações confidenciais de olhares indiscretos, o Pentágono detalha as mais de cem atividades, capacidades e pilares necessários para alcançar um novo paradigma para a segurança cibernética em cinco anos.
Numa explicação mais didática, o anúncio quer dizer que se compararmos essa prática com a segurança de nossa casa, podemos dizer que trancaríamos nossas janelas e portas e que apenas pessoas com uma chave poderiam ter acesso a ela.
Na ocasião, Randy Resnick, diretor do escritório de gerenciamento de portfólio de Zero Trust do Pentágono, mencionou que ao contrário dos modelos de cibersegurança mais antigos, esse assume que as redes estão sempre em risco ou já estão comprometidas – e que, portanto, nada é tão seguro assim.
Com o avanço da digitalização dos negócios de forma global, os ataques cibernéticos são cada vez mais comuns e torna-se um desafio manter os dados protegidos. Por essa razão, todo e qualquer assunto relacionado deve estar no radar de grandes, médios e pequenos varejistas.
Como resultado dessa tecnologia, a validação de usuários, dispositivos e acesso é contínua e ninguém mais ocupa uma posição de confiança. Ou seja, todo mundo é testado a todo momento e o processo de verificação do usuário não pode se resumir apenas às suas credenciais – um contexto que contrasta fortemente com a abordagem tradicional dos governos e companhias que costumam trabalhar com lista de permissões.
Na avaliação de Ricardo Mello, especialista em gestão, acompanhar a evolução deste conceito pode ajudar o varejo – pensando na proteção de lojistas e clientes no cenário atual em que a lei geral de proteção de dados (LGPD) Brasileira prega que as empresas são responsáveis pela proteção de dados de seus clientes.
Além disso, a aplicação do conceito se faz cada vez mais necessária devido a maior importância do comércio eletrônico, das transações que ocorrem entre clientes e varejistas na internet, e dos dados que os usuários confiam aos varejistas ao preencherem cadastros com informações pessoais e financeiras, aponta o especialista.
Mas tudo isso não significa, necessariamente, uma melhor experiência de compra. Pensando em experiência para os consumidores, Mello destaca que a utilização desse princípio faz com que os varejistas chequem mais vezes e por mais motivos a identidade de um usuário. Portanto, se um usuário, por exemplo, acessa o site do varejista de uma localidade distante de sua residência, o site pode pedir uma segunda verificação, por e-mail ou por telefone, para que o usuário comprove que aquele acesso é legítimo. Se por um lado este tipo de verificação agrega segurança para o varejista e para o cliente, por outro, pode piorar a experiencia do usuário por aumentar o tempo da transação.
Mesmo assim, certamente grande parte das empresas que ainda não aplicam o conceito o farão em um futuro breve, segundo o especialista. O primeiro passo para os varejistas que se interessam pelo assunto é fazer com que suas áreas de tecnologia e segurança participem dos fóruns de discussão a respeito de estratégias de segurança da informação.
Fornecedores de soluções Zero Trust e empresas que já se utilizam do conceito costumam discutir o tema nestes eventos, trazendo à tona tendências atuais e os desafios de implementação. O grande desafio atual para a área de tecnologia e segurança levantado por Mello é justamente encontrar o equilíbrio entre proteção e complexidade de rede.
Vale lembrar que as maiores redes sociais e muitas instituições financeiras já têm se utilizado do conceito ao requerer de seus usuários duas ou três autenticações, às vezes enviando códigos de segurança para o celular ou e-mail cadastrado.
Para Ana Claudia Cardoso Braga, advogada especializada em direito digital, a arquitetura de Zero Trust é, sem dúvida, o futuro da segurança cibernética e uma resposta real e proativa às ameaças constantes de invasões. No entanto, ela não costuma se estender além do acesso à rede, e essa é uma lacuna que, eventualmente, poderá afetar a comunidade de segurança da informação.
Há ainda um outro ponto cego, de acordo com Ana Claudia, que não está sendo tratado atualmente, e que provavelmente trará uma diminuição da eficácia do conceito: a proteção de dados. Sem aplicar os mesmos princípios de Zero Trust aos dados, vazamentos causados por ameaças internas – quando funcionários deliberadamente vazam ou vendem informações ou fazem isso involuntariamente, ao deixarem o laptop em um local público ou compartilharem arquivos com o endereço de e-mail errado – continuarão sendo inevitáveis
“O Zero Trust traz uma rara oportunidade de corrigir problemas críticos de segurança cibernética. Mas devemos ir além e mitigar possíveis riscos”, diz.
Texto publicado no Diário do Comércio de 05/12/22
Texto de Mariana Missiaggia
IMAGEM: Pixbay