Zero Trust: Organizações devem custear segurança em dispositivos pessoais

Quem lida com segurança da informação com frequência adota o mantra da confiança zero, ou ‘zero trust’, como pilar básico do trabalho de evitar ataques. E como defendeu durante o Tech Gov Forum 2024 o chefe da divisão de tecnologia da informação e comunicações do Comando de Defesa Cibernética do Exército, Nestor Lana Silva, a confiança zero deveria ser estendida aos dispositivos pessoas dos funcionários.

“Todo mundo hoje utiliza o seu dispositivo particular, seja o celular, o notebook, o computador, para fazer algum documento do trabalho. E vai abrir o e-mail, fazer um trabalho no seu celular, no computador de casa. Mas às vezes essa pessoa opta por não comprar um software licenciado, então esse computador pode ser uma porta para um ataque”, lembrou o especialista. 

“É interessante a empresa pensar em pagar uma suíte de escritório, pagar um sistema operacional tipo Windows licenciado, pagar antivírus para o funcionário, porque ele, ao usar o documento do trabalho feito no seu ambiente particular, não contamine quando voltar para o ambiente corporativo”, defendeu ao mediar o painel Segurança Cibernética: Estratégia e ferramentas para mitigação de riscos. 

O lema, afinal, é mencionado zero trust. “A ideia é reduzir ao máximo a superfície de ataque, separar os ambientes fazendo micro segmentação de rede, de forma que uma secretária, um chefe, o presidente da empresa, não tenha uma máquina com permissão de instalar programa, com modo administrador, no mesmo segmento de rede que outras máquinas”, insistiu. 

Até porque, os ataques tendem a buscar aqueles com licença para acessar os ambientes corporativos. “Normalmente, quando um atacante mira um alvo, ele mira em uma pessoa que tem uma credencial privilegiada. Então, é a ideia do não confiar, não se comprometer e sempre checar.”