Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Como escolher ZTNA (Zero Trust Network Access) com sucesso?

Por Juliana Gaidargi em 6/06/2022 em Segurança

A maioria das empresas entende que precisa migrar da segurança baseada em perímetro para um modelo Zero Trust. No entanto, elas também sabem que não podem comprar Zero Trust como um produto de prateleira. Portanto, aqui estão as principais perguntas para fazer a fornecedores de ZTNA (Zero Trust Network Access) em potencial.

ZTNA (Zero Trust Network Access)

O aumento da implantação dos principais aplicativos de negócios na nuvem e a mudança para o trabalho remoto provocada pela pandemia obliteraram qualquer noção do estilo tradicional de segurança do “fosso corporativo”. Afinal, com o local de trabalho híbrido de hoje, os funcionários estão em trânsito, trabalhando em casa e talvez visitando o escritório uma ou duas vezes por semana. Essa nova realidade forçou as equipes de rede e segurança a adotar uma abordagem mais flexível para gerenciar a rede, identidades e autenticação.

Novos desafios

O ZTNA (Zero Trust Network Access) surgiu como a abordagem preferida para enfrentar os desafios de segurança atuais. O conceito é relativamente simples: 

  • Tira-se o foco de construir uma defesa de perímetro em camadas de firewalls, IDS/IPSes e software antivírus;
  • Então, o ZTNA (Zero Trust Network Access) assume que cada usuário ou dispositivo não é confiável até que seja suficientemente verificado.

A implementação, no entanto, pode ser complexa. Afinal, a maioria das empresas entende que, apesar do hype dos fornecedores que chegam ao Zero Trust de todos os pontos de vista, os executivos de TI não podem comprar o Zero Trust de prateleira e implantá-lo durante o verão.

ZTNA (Zero Trust Network Access) não é um produto, é um framework. Ou seja, é uma arquitetura, uma filosofia, que pode assumir muitas formas e requer um pouco de tempo e esforço para ser implementada com sucesso. Então, confira a seguir uma lista de perguntas para fazer aos fornecedores sobre como eles podem ajudar sua empresa a adotar os princípios de Zero Trust.

  1. Como posso aproveitar minha infraestrutura de rede e segurança existente como parte de uma transição para a ZTNA (Zero Trust Network Access)?

As empresas investiram quantias significativas de dinheiro ao longo dos anos em hardware e software de segurança e rede. Portanto, um dos principais desafios é fazer a transição para a ZTNA (Zero Trust Network Access), aproveitando ao máximo a tecnologia existente.

Felizmente, a maioria das empresas já possui peças do quebra-cabeça da ZTNA (Zero Trust Network Access). Seja gerenciamento de identidade, controle de acesso, autenticação de dois fatores, segmentação de rede ou gerenciamento de políticas. No entanto, poucos dominam todos os aspectos do Zero Trust de maneira abrangente, integrada, escalável e orientada por políticas.

“As empresas precisam procurar um fornecedor que possa ajudá-las a identificar quais elementos são mais fáceis de proteger com uma revisão mínima da infraestrutura existente da empresa”, diz Tim Silverline, vice-presidente de segurança da Gluware, fornecedora de automação de rede.

  1. Quais são as metas de negócios que a empresa deseja alcançar com Zero Trust e como o fornecedor pode ajudar a fazer isso acontecer?

Procure fornecedores que não iniciam discussões sobre ZTNA (Zero Trust Network Access) falando sobre tecnologia. Mas sim aqueles que começam pedindo que você defina os desafios de negócios que você enfrenta e os benefícios que está buscando.

David Berliner, diretor de estratégia de segurança da SimSpace, uma empresa de gerenciamento de risco cibernético, diz que as metas podem incluir:

  • acesso remoto seguro para funcionários que trabalham em casa;
  • proteger dados confidenciais no local e na nuvem;
  • aumentar a segurança de API para desenvolvedores de software, entre outros.

Ou seja, as empresas precisam identificar como o fornecedor irá adaptar sua solução às necessidades de negócios da sua organização.

  1. Qual é o plano para gerenciar a identidade e aplicá-la aos controles de segurança na rede corporativa?

Os fornecedores da ZTNA (Zero Trust Network Access) devem se nivelar com os clientes e reconhecer que a aplicação de controles de identidade em uma rede corporativa é mais fácil falar do que fazer, diz Silverline. Por exemplo, muitas empresas negligenciam a aplicação de gerenciamento de identidade granular em cenários como o acesso de funcionários a aplicativos da web.

“Existem muitas lacunas no momento e muitas soluções pontuais. É o caso de firewalls de aplicativos da Web que tentam preencher essas lacunas, contudo não se integram o suficiente para ser uma solução única para todos os casos de uso de identidade”.

No lado positivo, Silverline diz que as organizações de segurança mais maduras estão aproveitando as ferramentas de Orquestração de Segurança, Automação e Resposta (SOAR) ou Detecção e Resposta Estendida (XDR) para tentar suavizar ao máximo as complexidades da integração.

  1. Como o fornecedor nos ajudará a priorizar o que é importante para que possamos criar uma vitória inicial com Zero Trust e ganhar a confiança da equipe e da alta administração?

Den Jones, diretor de segurança da Banyan Security aconselha as empresas a procurar fornecedores que priorizem a experiência do usuário. Afinal, as empresas precisam tornar o Zero Trust o mais simples possível. Caso contrário, os trabalhadores encontrarão uma maneira de contornar quaisquer novos controles de segurança.

Uma abordagem é implantar a autenticação baseada em certificados digitais e eliminar gradualmente esses nomes de usuário e senhas irritantes. Quando os usuários estão acessando seus aplicativos de produtividade pela nuvem ou outros aplicativos voltados para a Internet e fazendo isso sem senha e com o backup de autenticação de dois fatores, eles aceitarão mais outras etapas do processo Zero Trust que podem afetar suas vidas.

Além disso, Jones ressalta que a alta administração perceberá esse sucesso inicial. Portanto, ela será mais receptiva ao financiamento de projetos ZTNA (Zero Trust Network Access) mais complexos, como automatizar o monitoramento contínuo da atividade do usuário na rede.

Contudo, Jones recomenda que, quando um executivo de TI estiver explicando Zero Trust para a alta administração, é melhor simplificar. Ele resume tudo em três resultados simples: 

  1. As pessoas querem ouvir que Zero Trust custará menos;
  2. Que será mais fácil para os usuários;
  3. Irá melhorar a segurança geral.
  1. Como o fornecedor nos ajudará a priorizar quais dados precisam ser protegidos. E como nos ajudará a gerenciar continuamente os dados em toda a empresa a partir de uma perspectiva de Confiança Zero?

Dan Weiss, vice-presidente sênior de aplicativos e serviços de segurança de rede da empresa de testes de caneta GRIMM, diz o seguinte:

O setor passou de “definir a rede” no antigo mundo centrado em perímetro para “definir os dados” à medida que as empresas administram as redes remotas e híbridas de hoje .

Então, Weiss diz que as empresas devem começar realizando a descoberta de ativos para descobrir quais dados a empresa possui na rede. Isso, além de onde estão armazenados e como são rastreados. Em seguida, identifique quais ativos de dados específicos são mais confidenciais, configure políticas de classificação de dados e automatize o gerenciamento e o rastreamento dos ativos.

  1. Como podemos configurar controles de acesso granulares para cada usuário final?

Para implementar o ZTNA (Zero Trust Network Access) as empresas precisam entender seus usuários finais. Quem deve fazer login e o que cada usuário deve ter permissão para fazer? Por exemplo, uma pessoa de contas a receber só deve ter acesso a determinadas pastas uma vez por mês quando as contas são pagas.

“O ponto principal do Zero Trust é que as empresas não confiem até que o usuário seja suficientemente verificado”, diz Weiss. “Eles precisam estar confiantes de que esta é a pessoa que eles pensam que é, fazendo o que deveriam estar fazendo.” 

Portanto, configurar e aplicar o controle de acesso em toda a sessão do usuário é onde muitas empresas falham, segundo ele.

  1. Como o fornecedor nos ajudará a configurar microsegmentos para que possamos diminuir a superfície de ataque e reduzir as lacunas na rede?

A segmentação de rede existe há muito tempo. Contudo, o ZTNA (Zero Trust Network Access) leva o conceito um passo adiante para uma abordagem extremamente granular chamada microssegmentação.

Em uma rede Zero Trust, as empresas podem criar um segmento em torno de um único endpoint ou de um único servidor com acesso muito restrito. Por exemplo, tradicionalmente, o departamento de RH pode estar em seu próprio segmento de rede. Entretanto, agora o diretor de RH pode ter seu próprio segmento com regras de firewall bem definidas sobre o que eles podem e não podem fazer.

Então, sob uma abordagem de microssegmentação, um funcionário da folha de pagamento pode ter permissão para acessar o aplicativo de folha de pagamento. No entanto, ele não tem acesso aos dados salariais. “Portanto, trata-se de um processo muito mais exigente em configuração de rede e controle de rede”, diz Weiss.

  1. Qual é a política de notificação de violação do fornecedor? Eles têm um plano de backup se nossa plataforma principal de gerenciamento de identidade ficar inativa?

Os executivos das empresas podem não ter feito essa pergunta aos fornecedores há 10 anos. No entanto, Berliner diz que, após a recente violação do Okta na qual um grande fornecedor de identidade foi infiltrado, as empresas realmente precisam recuar e perguntar ao fornecedor o que acontecerá em caso de violação.

Ou seja, os clientes corporativos precisam considerar não apenas a falha pontual, mas pensar nas ramificações mais amplas. As empresas precisam fazer as seguintes perguntas: .

Quais sistemas e usuários foram expostos? 

Que tipo de dados estavam acessíveis? 

Houve movimento lateral de um mau ator que poderia ter contornado nossas camadas de defesa? Qual é a minha estratégia de remediação?

“Em alguns casos, é um rip-and-replace, dependendo da gravidade”, disse Berliner. “Em outros, pode ser uma violação limitada que coloca um único terminal ou funcionário offline, revogando mais privilégios de acesso.”

Berliner diz que, idealmente, as empresas têm equipes que praticam consistentemente lidar com o comprometimento de uma solução de identidade – ou um sistema semelhante em sua arquitetura Zero Trust. Tudo para que tenham a memória muscular de como responder.

Prepare-se

É muito importante que as empresas tenham equipes configuradas para quando o “grande” ocorrer. Seja uma violação do sistema de identidade, um ataque de estado-nação ou violações comuns causadas por erros de usuários de funcionários.

Portanto, contar com um suporte de TI experiente e de qualidade é fundamental para empresas sérias que buscam crescimento.

Diferenciais da Infonova

A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.

BACKUP

Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.

VALOR FINANCEIRO

O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.

LIBERAÇÃO DO RH

O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.

FLEXIBILIDADE – HUB DE TECNOLOGIA

A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como: 

  • Ar condicionado;
  • Outsourcing de impressão;
  • Links de internet;
  • Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES

A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.

RETENÇÃO DE COLABORADORES

Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.

LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES

Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.

NÃO TEM MULTA DE CONTRATO

A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.

PODE PARAR QUANDO QUISER

Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.

CONTINUAMOS AMIGOS

Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.

DORMIR TRANQUILO

Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.

 

FALE
COM UM
ESPECIALISTA

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA