Walter Ezequiel Troncoso (*)
Empresas no Brasil e no mundo têm sido alvos de constantes ataques virtuais.
De acordo com a Check Point Research (CPR), a média de ataques por semana no mundo às organizações aumentou 40% este ano em comparação ao ano passado. Aqui na “terra brasilis”, o aumento foi ainda maior, com uma média semanal de 967 ataques, em um aumento de 62%.
No cibercrime, as formas de agir são diversas. Via de regra, os criminosos buscam coletar dados sobre a Tecnologia da Informação (TI) das organizações, entender suas estruturas, aplicativos e software, identificando os pontos de vulnerabilidade.
Esses pontos podem ser explorados através de diferentes métodos como iscas por e-mail (phishing) ou por mensagens instantâneas. Há casos em que eles procuram saber até sobre as relações no ambiente interno (engenharia social), sempre com o objetivo de praticar crimes, como infecção de sistemas ou coleta e sequestro de dados valiosos através do cada vez mais comentado ransomware.
Uma vez que a violação da segurança acontece, as organizações infiltradas – uma das mais recentes vítimas de ataque hacker no Brasil foi a CVC – sofrem de diferentes maneiras, assim como seus clientes. São ataques que desafiam a segurança da informação e que podem causar enormes prejuízos financeiros e à reputação. Segundo a IDC Brasil, 44% das empresas da América Latina por ela ouvidas ampliaram seus investimentos em segurança em 2021.
Neste cenário e não à toa, tenho notado diferentes empresas solicitando a implementação de uma arquitetura de sistemas bem específica. Ela é chamada de Zero Trust, ou Confiança Zero. Esta adoção é altamente recomendável para as organizações que querem ir além em sua gestão de TI, a fim de impedir estes graves problemas.
Filosofia de segurança integrada – Como premissa para adotar o modelo de arquitetura de sistemas Confiança Zero e aumentar de forma exponencial a cibersegurança, é vital realizar um diagnóstico para compreender os requisitos organizacionais, as tecnologias já implementadas e níveis de segurança. Um modelo de maturidade digital que permita a avaliação da TI e a construção de um plano para chegar à Confiança Zero irá garantir a cobertura de todo o patrimônio digital empresarial, de ponta a ponta.
De um ponto de vista mais técnico, este modelo segue alguns princípios. São eles: a verificação explícita; a delimitação (privilégio mínimo) e controle de acesso dos usuários; e a inspeção e registro de, basicamente, tudo.
Neste tipo de arquitetura, a empresa passa a identificar uma espécie de superfície de proteção exclusiva em sua tecnologia, formada por seis elementos: identidades, dispositivos (smartphones, computadores, tablets, servidores), aplicativos (programas, sistemas), dados (informação de pessoas e da empresa), infraestrutura (servidores, banco de dados) e redes (conexões entre dispositivos, cabeada ou Wi-Fi).
Cada um deles ganha um plano de controle para reforçar seus pontos críticos, com consequente investimento em TI. Com isso, é possível identificar todo o tráfego de dados na organização em relação à superfície de proteção. Este rigoroso controle e entendimento sobre usuários, aplicativos e conexões é o que está por trás da garantia de acesso seguro aos dados.
Um detalhe: as organizações que implementam esta filosofia de segurança não podem relaxar. Precisam continuar a monitorar em tempo real e a vasculhar coisas e interdependências ainda não consideradas, para melhorar cada vez mais sua TI.
(*) – Engenheiro de sistemas de informação pela Universidad Tecnológica Nacional e Arquiteto em soluções SAP, é sócio-fundador da Inove Solutions, especializada em transformação digital e cibersegurança (www.linkedin.com/in/waltertroncoso/).