Ao refletirmos sobre o primeiro semestre de 2024, parece-me que duas características definidoras até agora foram uma série de ataques cibernéticos significativos a empresas de todos os setores e a adoção generalizada de ferramentas de IA à medida que as empresas buscam inovar. No centro dessa tempestade de ameaças cibernéticas está o CISO, que busca orientar seus negócios com segurança em meio a possíveis perigos.
No mês passado, a Netskope realizou uma pesquisa examinando como os CISOs veem sua função e perguntando como eles estão abordando esses desafios.
Por que os CISOs gostam de confiança zero
À medida que as empresas estão cada vez mais digitalizadas, nossa pesquisa mostrou que os CISOs modernos querem se tornar facilitadores e facilitadores em vez de apenas protetores; eles querem dar a seus negócios a agilidade de se adaptar e inovar enquanto permanecem seguros.
As atitudes dos CISOs em relação aos princípios de confiança zero já são muito favoráveis. A maioria concorda que a confiança zero permite que as empresas avancem mais rapidamente (59%), incentivem a inovação (58%), aumentem a flexibilidade (58%) e melhorem a tomada de decisões (55%). Da mesma forma, 55% dos CISOs acreditam que uma abordagem de confiança zero lhes permite equilibrar melhor as prioridades conflitantes.
Olhando para o futuro, os CISOs chegam ao ponto de apontar a adoção de uma abordagem de confiança zero como o fator mais significativo para que as empresas se tornem mais abertas e flexíveis nos próximos dois anos.
Explicando o paradoxo que está no cerne da confiança zero
Os CISOs sabem muito bem que nenhum modelo de segurança é uma solução mágica por si só, e a confiança zero não é diferente. Mas está claro que as expectativas dos CISOS de confiança zero são consistentemente positivas — e isso está se espalhando para seus colegas da diretoria executiva, que têm grandes esperanças no impacto potencial da confiança zero.
Infelizmente, a filosofia de confiança zero não parece ser bem compreendida pela liderança empresarial em geral, apesar de sua familiaridade com o termo. Enquanto 58% dos CISOs relatam que sua equipe executiva está pedindo que eles adotem uma abordagem de confiança zero, quase o mesmo número (51%) afirma que sua equipe executiva ou conselho não entende realmente o que isso significa. A confiança zero é simples de visualizar, mas tem mais nuances na execução. Os conceitos de confiança zero (e atrito zero) são importantes apenas em termos do que eles oferecem: mitigação de riscos e capacitação de negócios.
Embora uma abordagem de confiança zero pareça rígida em teoria, paradoxalmente, na prática, ela ajuda as empresas a alcançar maior agilidade, talvez explicando seu apelo generalizado. Os princípios de confiança zero introduzem mais controles e reduzem o acesso à rede e aos aplicativos corporativos. Contraintuitivamente, em vez de aumentar o atrito e desacelerar a empresa, os princípios na verdade aumentam a flexibilidade e a velocidade. A criação de políticas com base em uma ampla variedade de sinais contextuais oferece controle granular, que alcança o equilíbrio certo entre permanecer seguro e realizar o trabalho e melhora a confiança na tomada de decisões — as principais prioridades dos líderes de negócios no mundo em rápida evolução de hoje.
Em outras palavras, o paradoxo da confiança zero é que o ambiente fechado definitivo cria os negócios mais abertos, ágeis e inovadores.
Implementando confiança zero
Às vezes, o entusiasmo pelo modelo de confiança zero pode superar o que a maioria dos profissionais de segurança e suas empresas estão fazendo na prática. Nossa pesquisa descobriu que menos da metade dos entrevistados em todo o mundo (44%) operam com princípios de confiança zero atualmente, embora outros 38% digam que planejam adotar a confiança zero em breve. Uma estratégia de confiança zero exige ferramentas que forneçam sinais e contexto para obter a visibilidade e o controle granulares necessários para criar políticas que forneçam o acesso certo pelas pessoas certas aos recursos certos, no momento certo e pelos motivos certos. É impossível oferecer com segurança o verdadeiro valor da confiança zero se você ainda estiver operando com tecnologia ou estratégia antigas.
Quando os colegas da diretoria executiva perguntam aos CISOs sobre confiança zero, eles precisam se lembrar de seu objetivo: serem facilitadores de negócios. Eles devem fazer com que a conversa sobre confiança zero deixe de ser uma discussão tática sobre ferramentas e políticas específicas e se torne uma discussão estratégica sobre a postura de segurança da empresa. Com esse panorama estratégico mais amplo e a adesão de toda a diretoria executiva, um CISO bem informado pode conduzir a conversa sobre como essa postura pode viabilizar as operações comerciais.
Confiança traz crescimento
Zero trust é a última de uma longa série de frases da moda em segurança da informação e, como muitas outras, conquistou força entre partes interessadas seniores não técnicas que estão cientes da necessidade de segurança, mas não sabem como alcançá-la. É uma oportunidade para os CISOs usarem esse interesse como um trampolim para participar de conversas de alto nível sobre o crescimento dos negócios.
Os CISOs que podem responder perguntas como “Como habilitamos esse caso de negócios com segurança?” e definir como estão ajudando seus colegas de alto escalão a adquirir novas receitas, impulsionar a eficiência e lidar com os requisitos regulatórios serão reconhecidos como colaboradores valiosos nos mais altos níveis.
Para obter mais informações práticas para ajudar a dissipar mitos comuns sobre a implementação de confiança zero, inscreva-se no meu próximo webinar Zero Trust: Perceptions, Adoption, Ambitions and Approach em 28 de agosto.