Em um post anterior sobre como simplificar a adoção de um modelo de segurança Zero Trust, apresentamos os passos de planejamento necessários antes do início da implementação.
Um dos passos mais complexos listados nesse artigo é a jornada Zero Trust, que consiste em quatro fases (preparação, planejamento, controle de acesso e implementação) e abrange diversos processos.
De maneira semelhante às outras partes deste processo, a jornada Zero Trust pode ser simplificada em muitos pontos, começando pela fase de preparação, que será abordada neste post.
O que é a fase de preparação na jornada Zero Trust?
Visibilidade completa, precisa e oportuna é a base da arquitetura Zero Trust, e tudo começa com a preparação. A fase de preparação consiste em criar missões que incluem tarefas para estabelecer objetivos e envolver stakeholders no processo.
A fase de preparação é dividida em quatro estágios: estratégia, infraestrutura, orçamento e roteiro. Vamos examinar cada um deles mais detalhadamente.
Estratégia
O estágio de estratégia define os objetivos, ações e planos que, juntos, fornecem uma visão completa de como a implementação do Zero Trust deve ser conduzida dentro da empresa. Além de tornar a jornada transparente para os envolvidos, a elaboração da estratégia traz à luz percepções que podem criar oportunidades para reduzir custos e prevenir possíveis gargalos.
De acordo com a Forrester, avaliar a maturidade do status atual de Zero Trust da empresa é uma das melhores práticas no desenvolvimento de uma estratégia. Isso permite que a empresa:
-
entenda os projetos de negócios atuais e iniciativas de segurança;
-
documente onde as capacidades atuais de TI podem ser reutilizadas;
-
estabeleça metas para o estado desejado de maturidade e o tempo necessário para alcançá-lo.
Como veremos, a estratégia pavimentará o caminho para a construção de um roteiro que guiará todos os envolvidos.
Infraestrutura
Toda a infraestrutura de TI da organização precisa ser documentada para que os princípios Zero Trust sejam aplicados de forma eficaz. Isso inclui a arquitetura de sistemas e ativos e suas características, como o ambiente em que são executados (cloud, on-premise ou híbrido, por exemplo), e se a tecnologia é operacional ou integrada ao negócio.
No tópico anterior, mencionamos a reutilização de capacidades de TI. A documentação da infraestrutura oferece a possibilidade de descobrir como um processo em andamento ou um que já estava nos planos da empresa, como a migração para uma plataforma de edge computing, pode contribuir para acelerar a jornada Zero Trust e torná-la mais eficiente.
Orçamento
Adotar um modelo Zero Trust significa transformar a cultura e a postura da organização em relação à segurança. Portanto, não se trata apenas do conjunto de soluções a serem utilizadas, mas de todos os recursos humanos e esforços na aplicação global da política de segurança Zero Trust.
Idealmente, o orçamento para implementação do Zero Trust deve ser baseado em uma visão macro da jornada, considerando os processos e requisitos de cada estágio. Por exemplo, a implementação de uma micro-segmentação eficiente requer vários componentes, como uma arquitetura que facilite o trabalho com múltiplas infraestruturas e API gateway, o que adiciona outros requisitos.
Roteiro
Uma vez reunidas todas as informações e definições necessárias, o próximo passo é torná-las visíveis criando um roteiro. O roteiro é um plano altamente detalhado que inclui a missão, atividades, áreas, fornecedores de tecnologia e outros elementos-chave necessários para alcançar a arquitetura Zero Trust.
A partir da visibilidade trazida pelo roteiro, as dependências e requisitos para a jornada Zero Trust podem ser analisados pelos stakeholders a fim de identificar lacunas e desbloquear ações e iniciativas-chave, promover melhorias necessárias e lidar com os aspectos financeiros do projeto, bem como com como definir os papéis que cada stakeholder desempenhará.
Quem são os stakeholders?
Alguns exemplos comuns de stakeholders na implementação do Zero Trust são: Chief Executive Officer, Chief Information Officer, Chief Data Officer, Chief Human Resource Officer, Mission Owner e líderes na área de operações de TI.
Além dos executivos de nível C e líderes de diferentes departamentos dentro da empresa, clientes e consumidores também são stakeholders críticos na jornada Zero Trust, já que uma quantidade significativa de dados cobertos pela arquitetura Zero Trust pertence a eles. O gerenciamento desses stakeholders está relacionado ao princípio de Gestão de Relacionamento com o Cliente.
Independentemente da estrutura organizacional da sua empresa, as pessoas são os elementos mais importantes do processo. A principal razão para isso é que, como veremos na seção seguinte, os stakeholders fornecem todo o suporte necessário para o sucesso da jornada.
A importância de levar em conta a maturidade de segurança
Após revisar cada estágio da fase de preparação na jornada Zero Trust, é importante destacar o que é enfatizado pela Forrester: esta é uma maratona, não uma corrida. A implementação é um processo gradual que pode levar mais tempo para ser concluído, dependendo do nível de maturidade de segurança da empresa.