Setor de saúde se destaca na adoção da prática Zero Trust 

Como tem sido a evolução do uso do conceito Zero Trust, que prega nunca confiar; sempre verificar, nos últimos tempos? As empresas já tomaram consciência de que não há como aplicar com eficácia a mentalidade castelo protegido por fosso no campo da segurança cibernética e de que, em um mundo domiando por nuvens, não há perímetro que se possa estabecer para armar uma defesa contra cibercriminosos.

Em resumo, Zero Trust é um modelo de segurança baseado em três princípios fundamentais: ninguém e nada é confiável por definição; deve-se usar a regra do privilégio mínimo; e é preciso implementar um esquema de monitoramento abrangente.

Segundo o relatório “Okta State of Zero Trust Security 2021” divulgado no ano passado, o percentual de empresas com uma iniciativa Zero Trust em andamento havia mais do que dobrado, passando de 24% para 55%, mas como as coisas evoluíram nos últimos meses?

De acordo com a edição de 2022 da mesma pesquisa, pode-se dizer que mentalidade Zero Trust é essencial atualmente. Mais da metade das organizações pesquisadas (55%) têm uma iniciativa Zero Trust em vigor, e a grande maioria (97%) planeja ter uma nos próximos 12 a 18 meses. Mais do que isso, o estudo também deixou claro que essas ações não estão limitadas pelo porte das organizações, localização geográfica ou setor de atividade.

Não surpreendentemente, dados, redes e dispositivos continuam sendo apontados como as categorias de mais alta prioridade, embora a pesquisa prevêjamos que isso pode mudar ao longo do tempo, com o aspecto das pessoas ganhando estatura gradualmente ao se colocar mais ênfase nos usuários e menos nos equipamentos. “Identidade é um poderoso multiplicador de força para as iniciativas Zero Trust, ainda que não seja seu único componente importante”, reforça o estudo, explicando que garantir que cada pessoa sempre tenha o nível de acesso adequado aos recursos adequados foi tão importante para cibersegurança, mas também para gerenciamento, conformidade e muitas outras preocupações associadas ao universo tecnológico.

E parece que o conceito de identidade está ganhando espaço na prática – 80% das entrevistadas disseram que a identidade é importante na estratégia de segurança Zero Trust, e 19% chegaram a afirma que identidade é algo crítico para os negócios. Então não foi à toa que o Gartner elencou recentemente em um artigo a “defesa do sistema de identidades” entre as sete principais tendências em cibersegurança para 2022.

Saúde em alta

Neste ano, a pesquisa aprofundou sua análise em quatro setores principais – saúde, serviços financeiros, software e, pela primeira vez, governo – para tentar entender suas necessidades específicas estão influenciam a adoção do Zero Trust, em particular, como equilibram forças de segurança e usabilidade, muitas vezes opostas.

O que foi interessante observar, segundo a pesquisa, é que os entrevistados consideraram, neste ano, a segurança como uma prioridade ligeiramente maior do que usabilidade — uma mudança em relação a 2021. Um exemplo disso veio do segmento de saúde, que está reduzindo sua dependência de fatores de baixa garantia e vulneráveis, como senhas, colocado maior atenção em segurança com soluções mais seguras e, nem sempre, mais fáceis de usar.

O número de entrevistados da área de saúde com uma iniciativa Zero Trust já em andamento ou planos para dar início a essas iniciativas nos próximos 12-18 meses subiu de 91% em 2021 para 96% em 2022. A parcela de 58% dos entrevistados desse setor já começou a implementar suas iniciativas, representando impressionantes 21 pontos percentuais a mais sobre o patamar de 37% do ano passado.

Um dos maiores avanços em termos de projetos de identidade nos próximos meses para este setor será adotar políticas de acesso baseadas em contexto: apenas 6% dos entrevistados afirmaram já ter essas políticas em vigor, mas outros 40% esperam implementá-las nos próximos 12-18 meses. Todos os entrevistados da área de saúde disseram que planejam estender Single Sign–On (SSO), MFA ou ambos para aplicativos SaaS, aplicativos internos e servidores nos próximos 12 a 18 meses. As organizações de saúde também estão se concentrando em IaaS.

Desafios ainda a enfrentar

Apesar dos significativos progressos das iniciativas Zero Trust em relação ao passado, ainda há vários desafios preocupantes. Quando foi perguntado aos líderes de segurança quais os principais obstáculos para implementar Zero Trust, a escassez de talentos e habilidades foi listada como o principal nas regiões da América do Norte, APAC e entre os Global 2000. Já na EMEA, custo foi considerada um desafio equivalente e conscientização foi classificada com uma precupação ainda maior.

É importante ressatar que Zero Trust é um princípio orientador que exige várias soluções de segurança trabalhando de forma perfeitamente integradas. Cada empresa tem uma situação inicial diferente, recursos e prioridades também diferentes, portanto trilhar o caminho na direção do Zero Trust, mesmo que leve ao mesmo destino, será uma experiência particular para cada uma.