Guillem Alsina Gonzàlez
Mais de quinze anos após a abordagem de cibersegurança zero trust ter sido proposta pela primeira vez, muitas organizações continuam a ter dificuldades em aplicá-la de forma completa. A fragmentação das ferramentas, as infraestruturas herdadas e os projetos que se prolongam tornaram o zero trust um objetivo que, em muitos ambientes corporativos, permanece mais no plano teórico do que na prática, de acordo com uma análise recente baseada num relatório da Accenture e em entrevistas com vários responsáveis pela cibersegurança, tal como ecoado por John Leyden na CSO.
O zero trust é concebido como um quadro de controlo de acesso em que nenhum utilizador ou dispositivo goza de confiança por defeito e, por isso, cada tentativa de acesso é acompanhada de mecanismos de autenticação da identidade e de verificação do estado do dispositivo, independentemente de a ligação ocorrer dentro ou fora da rede da organização. Esta abordagem contrasta com os modelos tradicionais de «castelo e fosso», nos quais os dispositivos localizados dentro do perímetro da rede eram considerados, na prática, fiáveis.
A implementação deste modelo exige uma mudança profunda tanto na mentalidade como na infraestrutura. Entre os obstáculos mais frequentes encontram-se os sistemas herdados que não respondem aos princípios do zero trust, a fragmentação das ferramentas de identidade e acesso que dificulta uma aplicação unificada das políticas e a resistência cultural e organizacional em abandonar modelos de confiança consolidados ao longo dos anos.
Para alguns especialistas, um dos problemas fundamentais é que o zero trust continua a ser uma das transformações mais mal compreendidas na cibersegurança. Como Leyden continua a explicar no seu artigo, Kyle Wickert, CTO de campo da AlgoSec, observa que muitas empresas continuam a associar esta abordagem a arquiteturas rígidas, elevada complexidade operacional e custos de implementação consideráveis. Na sua opinião, esta perceção é alimentada por experiências anteriores em que a segmentação exigia a reatribuição de endereços IP, o redesenho do encaminhamento ou a refação física de cabos e VLAN para impor políticas de isolamento.
A mudança do setor para centros de dados definidos por software e ambientes com uso intensivo da nuvem mitigou parte dessas limitações físicas, mas introduziu novas dificuldades relacionadas à complexidade das políticas e das aplicações. Neste contexto, Wickert argumenta que o desafio já não está tanto na infraestrutura, mas na capacidade de definir, governar e manter políticas coerentes em redes híbridas que abrangem firewalls locais, controlos nativos na nuvem, SDN, SD-WAN e tecnologias SASE. Do seu ponto de vista, é mais eficaz deslocar o foco da segmentação de dispositivos e sub-redes para as próprias aplicações e suas relações de conectividade.
Outros responsáveis pela segurança com quem Leyden conversou insistem que o zero trust deve ser interpretado menos como um catálogo de produtos e mais como um método para amadurecer a postura de segurança da organização. Richard Holland, CISO de campo na Quorum Cyber, considera que a tecnologia necessária para avançar para esse modelo já está disponível há algum tempo e que muitos departamentos de TI já iniciaram esse caminho sem identificá-lo explicitamente como zero trust. Em vez de grandes projetos monolíticos, o CISO propõe uma abordagem incremental, baseada em pequenas melhorias sucessivas que, acumuladas, elevam o nível de proteção.
Da teoria à implementação: cultura, política e alcance
As barreiras à implementação não são apenas técnicas. George Finney, CISO da Universidade do Texas, também citado por Leyden no seu artigo, discutiu o zero trust com centenas de responsáveis pela segurança e detetou padrões recorrentes em projetos que não chegam a bom termo. Um deles é o peso da política interna: em muitas organizações, a tecnologia é gerida em silos e as diferentes áreas nem sempre partilham uma visão clara do risco que uma brecha de cibersegurança acarreta, o que se traduz em resistência à mudança. Em contrapartida, Finney observa que, onde a transição progrediu, as diferentes unidades da organização concordam em considerar a segurança como um componente central do sucesso global.
Finney também identifica a falta de formação como outro obstáculo significativo. Na sua opinião, iniciar um projeto de zero trust implica muito mais do que redesenhar a topologia da rede ou modificar determinados parâmetros numa aplicação. O pessoal envolvido na iniciativa precisa compreender o que é exatamente zero trust, por que a organização aposta nesse modelo e qual o papel de cada equipa na sua execução. Nessa perspetiva, todo projeto de zero trust deve começar com um esforço estruturado de educação que ajude a transformar não apenas a tecnologia, mas também a cultura corporativa.
A generalização da inteligência artificial nos processos de negócio adiciona uma nova camada de complexidade ao panorama e, à medida que os agentes de IA são integrados no dia a dia das organizações, os especialistas consideram necessário alargar os princípios padrão do zero trust para além das pessoas e dos dispositivos tradicionais, de modo a incluir também estes agentes de software. Na prática, isso se traduz no estabelecimento de limites de contexto rígidos, domínios de confiança claramente delimitados e revisões de segurança específicas para as capacidades de IA. De acordo com as previsões da empresa de análise IDC citadas no artigo, o crescimento dos agentes de IA levará, até 2027, aproximadamente metade dos CIO a reestruturar e automatizar a gestão de identidades, acessos a dados e autorizações dentro de arquiteturas zero trust, com o objetivo de reduzir usos indevidos e fugas de informação
