Falta de conhecimento e o buy-in limitado impedem implantações do Zero Trust

Falta de conhecimento e o buy-in limitado impedem implantações do Zero TrustO cenário de ameaças cada vez maior levou o setor a se unir em torno de uma arquitetura de confiança zero (ZTA).

A ideia de um ambiente em que autenticação e autorização são explicitamente verificadas e apenas o acesso com privilégios mínimos é concedido, enquanto os sistemas são projetados para minimizar o impacto da violação por meio de redes segmentadas tornou-se tão amplamente aceita que a administração Biden especificou uma ZTA em sua ordem executiva de maio de 2021 .

No entanto, embora uma ZTA ofereça uma ferramenta poderosa para proteger os complexos ambientes de TI atuais e reduzir a superfície de ataque, a implantação generalizada tem sido lenta, de acordo com a pesquisa de setembro de 2022 da CRA Business Intelligence com 216 líderes de segurança e TI.

Aqui estão algumas conclusões importantes da pesquisa CRA:

  • A confiança zero ainda não foi amplamente adotada pelas organizações como uma estrutura padrão para segurança cibernética. No momento deste estudo, apenas 1 em cada 4 entrevistados relatou que sua organização implementou a confiança zero, embora 30% estejam em fase de planejamento/avaliação e outros 35% digam que estão considerando isso.
  • Forças de trabalho remotas e proteção de dados estão impulsionando a adoção atual e futura de confiança zero para a maioria dos entrevistados. As maiores proporções de adotantes de confiança zero atuais e futuros relataram que seus principais motivadores são fornecer segurança aprimorada para suas forças de trabalho remotas (60%) e proteção de dados (59%). Além disso, aproximadamente metade de todos os entrevistados disse que riscos de segurança cada vez maiores (50%) e o aumento de ameaças e ataques de ransomware (45%) obrigaram suas organizações a implementar uma arquitetura de confiança zero. Requisitos de segurança específicos do setor também estão impulsionando a adoção de confiança zero. Por exemplo, os requisitos regulatórios – um motivador para 33% do total, foi considerado o principal fator para 65% no setor de serviços financeiros e 42% nas empresas de alta tecnologia.
  • A maior parte dos adotantes de confiança zero (83%) indicou que implementam confiança zero para verificar a identidade: atributos que descrevem um usuário ou entidade da agência. A confiança zero também é comumente usada para proteger dispositivos e endpoints (70%) e ambientes/redes internos, sem fio ou da Internet (64%). Isso difere um pouco para aqueles que consideram ou planejam confiança zero: quase 3 de 4 (71%) disseram que estão considerando ou planejando implementá-la para ajudar a proteger dispositivos e endpoints, seguidos por rede/ambiente (61%) e identidade (60% ).
  • Com base nos comentários gerais dos entrevistados, a implementação da confiança zero é percebida como um empreendimento significativo por adotantes e não adotantes de confiança zero. A execução técnica foi frequentemente identificada como uma luta para as organizações que implementam a confiança zero, assim como o impacto da confiança zero no atrito e na produtividade do usuário final. Entre aqueles que disseram que sua organização não está usando, planejando ou considerando um modelo de confiança zero, quase 1 em cada 4 (23%) acredita que seria muito difícil fazer a transição para um modelo de segurança de confiança zero completo, enquanto a mesma proporção disse eles não tinham o orçamento para apoiá-lo. No entanto, as duas principais barreiras indicadas por quase 1 em cada 3 entrevistados (31%) são a falta de conhecimento sobre confiança zero e a falta de adesão da alta administração. 

Em uma nota mais positiva, pouco mais da metade (55%) de todos os entrevistados podem ser caracterizados como “campeões de confiança zero” com base em seu status de implementação de confiança zero e sua percepção de sua importância geral. Os campeões geralmente são de grandes organizações com equipes de TI consideráveis. Eles acreditam que um modelo de confiança zero é um componente muito importante (54%) ou extremamente importante (43%) da estratégia geral de segurança cibernética de sua organização. A maioria das pessoas neste segmento (65%) é impulsionada pela proteção de dados como seu principal motivador para a confiança zero, e a maioria (83%) deles que atualmente implementam a confiança zero o fazem para verificar a identidade.

Fonte: SC Magazine

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. 5 formas de proteger os dados das grandes empresas | Minuto da Segurança da Informação

Deixe sua opinião!