No post de estreia da nossa série sobre como simplificar a adoção de um modelo de segurança Zero Trust, apresentamos as etapas de planejamento que precisam ser cumpridas antes da implementação entrar em curso.
Uma das partes mais complexas listadas no conteúdo é a jornada, composta por quatro fases (preparação, planejamento, controle de acesso e implementação) e que engloba vários processos.
Assim como as demais etapas do processo, a jornada pode ser simplificada em diversos pontos, a começar pela preparação, fase que abordaremos neste blog post.
O que é a fase de preparação na jornada Zero Trust?
Uma visibilidade completa, precisa e oportuna é a fundação da arquitetura Zero Trust, e tudo começa pela preparação. A fase de preparação consiste na criação de missões que englobam tarefas para estabelecer objetivos e inserir os stakeholders no processo.
A preparação é dividida em quatro etapas: estratégia, infraestrutura, orçamento e roadmap. A seguir, vejamos o que cada uma delas implica.
Estratégia
Na estratégia são definidos os objetivos, ações e planos que, juntos, fornecem uma visão completa de como a implementação de Zero Trust deve ser conduzida dentro da empresa. Além de tornar a jornada transparente para os envolvidos, a elaboração da estratégia traz à tona percepções que podem gerar oportunidades para redução de custos e prevenir possíveis gargalos.
Por exemplo, avaliar a maturidade do status atual de Zero Trust da empresa é uma das melhores práticas na elaboração de uma estratégia, que permite, segundo a Forrester:
- entender os atuais projetos de negócios e iniciativa de segurança;
- documentar onde as atuais capacidades de TI podem ser reutilizadas;
- estabelecer objetivos para o estado de maturidade desejado e o tempo para alcançá-lo.
Como veremos mais adiante, a estratégia pavimentará a construção de um roadmap pelo qual todos os envolvidos serão guiados.
Infraestrutura
Toda a infraestrutura de TI da organização precisa ser documentada para que os princípios de Zero Trust sejam efetivamente aplicados. Isso inclui arquitetura de sistemas e ativos e suas características, como o ambiente no qual são executados (cloud, on-premise ou híbrido, por exemplo) e se a tecnologia é operacional ou integrada aos negócios.
No tópico anterior, mencionamos o reuso de capacidades de TI; a documentação de infraestrutura traz a possibilidade de descobrir como um processo em andamento ou que já estava nos planos, como a migração para uma plataforma de edge computing, pode contribuir para acelerar a jornada Zero Trust e torná-la mais eficiente.
Orçamento
Adotar um modelo Zero Trust é transformar a cultura e a postura da organização em relação à segurança. Logo, não se trata apenas do conjunto de soluções que se pretende utilizar, mas de todos os recursos e esforços humanos na aplicação global da política de segurança Zero Trust.
O ideal é que o orçamento seja baseado em uma visão macro da jornada, compreendendo os processos e necessidades de cada etapa. Por exemplo, uma microssegmentação eficiente requer uma série de componentes, como uma arquitetura que permita trabalhar com múltiplas infraestruturas e API gateway, o que traz à tona outros requisitos.
Roadmap
Depois de levantar e reunir tantas informações e definições, o próximo passo é tornar tudo isso visível criando um roadmap. Podemos considerar o roadmap um plano bem detalhado no qual são elencados: missão, atividades, áreas, fornecedoras de tecnologia, entre outros elementos-chave para se chegar à arquitetura Zero Trust.
A partir da visibilidade trazida pelo roadmap, as dependências e os requisitos para a jornada Zero Trust podem ser analisados pelos stakeholders com objetivo de identificar gaps e destravar ações e iniciativas-chave, promover melhorias necessárias, e lidar com os aspectos financeiros do projeto, bem como alinhar os papéis que cada um exercerá.
Quem são os stakeholders?
Alguns exemplos comuns de stakeholders na implementação de Zero Trust são: Chief Executive Officer, Chief Information Officer, Chief Data Officer, Chief Human Resource Officer, Mission Owner e líderes na área de operações de TI.
Assim como C-Levels e líderes das áreas da empresa, os próprios clientes e consumidores também são stakeholders críticos, visto que muitos dos dados cobertos pela arquitetura Zero Trust pertencem a eles. O gerenciamento desses stakeholders está relacionado ao princípio de Customer Relationship Management.
Independentemente do organograma da sua empresa, as pessoas são os elementos mais importantes do processo. A maior razão para isso é que, como veremos nos próximos conteúdos, os stakeholders oferecem todo o suporte necessário para o sucesso da jornada.
A importância de levar a maturidade de segurança em consideração
A partir da visão geral de cada etapa da fase de preparação na jornada Zero Trust, vale reiterar o que a própria Forrester afirma sobre o assunto: estamos falando de uma maratona, não de um sprint. A implementação é um processo gradual que, de acordo com o nível de maturidade de segurança da empresa, pode demandar mais tempo para ser concluído.
Em breve, publicaremos o próximo post da série, no qual apresentaremos dicas e melhores práticas para a fase seguinte da jornada: o planejamento. Por isso, fique por dentro das próximas postagens no Blog ou inscreva-se para receber a nossa newsletter.
