Transformações no modo de acesso e na interação dos usuários com a rede são sintomas da atual realidade cibernética em que nos encontramos. A maneira como nos relacionamos com as possibilidades tecnológicas dita também o modo como encaramos vínculos de confiança, sejam eles firmados em contratos jurídicos, sejam puramente sociais. Foi nesse contexto que surgiu o conceito Zero Trust, termo originalmente cunhado por Stephen Paul Marsh, em 1994, e popularizado por John Kindervag após. Em tradução simples e direta, a ideia demonstra que ninguém é 100% confiável tratando-se de segurança de dados.
As adaptações ao home office e ao trabalho híbrido, adotadas pelas empresas nos últimos dois anos, refletem a necessidade de pensar sobre comportamentos dos usuários e suas respectivas conexões. A viabilidade de acessar remotamente informações corporativas – sigilosas ou não – coloca em perspectiva a ideia quase filosófica do que significa de fato uma relação de confiança. Dentro disso, o Zero Trust não busca ser um inimigo assustador, e sim um ponto de convergência para pensar a proteção, auxiliando organizações a criarem estratégias para a melhora contínua da segurança.
A confiança implícita que existe nas relações de trabalho é uma das premissas diretamente afetadas pelo conceito. Transitar em ambientes virtuais implica a certeza de que o usuário do outro lado da tela está sendo honesto e íntegro. Por este motivo, acessos remotos por VPN, por exemplo, são alvos preferidos de cibercriminosos, pois permitem a livre circulação em ambientes teoricamente seguros e controlados.
Para mitigar riscos, alguns cuidados importantes sugeridos pelo Zero Trust podem ser aliados na esfera do pensar a cibersegurança na empresa:
• Acima de todas as coisas, presuma que vai ser violado
• Ninguém é confiável
• Você não vai fornecer acesso sem antes verificar
• Você não vai basear o acesso no IP
• Você vai estabelecer os seus acessos de acordo com o contexto
• Você vai cuidar dos seus recursos locais e remotos
• Você vai autenticar, autorizar e depois se conectar
• Você não vai alterar a sua rede, vai focar no usuário
• Você vai inspecionar os acessos dos seus usuários
• Você não vai conceder mais privilégios do que o necessário A ideia de manter uma confiança contínua e adaptativa engloba a compreensão de permitir acessos necessários para questões pontuais, evitando oportunidades de um usuário ter acesso a ambientes que não se relacionam com a rotina de trabalho. Assim, a definição de quem pode acessar o quê estabelece liberdade e limite de forma mais equilibrada, sem burocratizar o processo. O alerta de confiança zero deve servir como norteador de condutas de segurança e precaução. Todas as circunstâncias da empresa e dos profissionais/usuários da rede corporativa devem ser levadas em consideração na hora de criar um login. A busca pela conscientização de boas práticas em cibersegurança é o caminho para a ponderação do contexto individual e coletivo.
