Como colocar o modelo ZTNA ao alcance das pequenas e médias empresas brasileiras
Juan Alejandro Aguirre*
O modelo Zero Trust Network Access é o novo paradigma de segurança para as empresas usuárias de Cloud e Edge Computing. Independentemente do local de onde o usuário acessa a nuvem, o ZTNA promove o menor privilégio necessário para se completar tarefas e consumir dados. Segundo o Gartner, até 2025 pelo menos 70% das novas implementações de acesso remoto dependerão de serviços ZTNA. Esse é o segmento de mais rápido crescimento em segurança de redes, e sua perspectiva de crescimento é de 31% até o final de 2024. Segundo estimativas da Markets and Markets, espera-se que, até 2027, empresas globais invistam até 60 bilhões de dólares por ano em ZTNA.
A complexidade de projeto e implementação deste modelo – além das mudanças culturais impostas por uma abordagem em que todos os acessos são checados por princípio, sem exceções – parece colocar os ganhos do ZTNA ao alcance somente de empresas com grandes times de cybersecurity.
A acelerada digitalização do segmento PME brasileiro, no entanto, está levando os gestores dessas empresas a estudar o modelo ZTNA e buscar estratégias para dar um salto de qualidade em sua cultura de segurança. A premência é real.
Prejuízos
De acordo com um estudo realizado pelo Ponemon Institute, 76% das pequenas e médias empresas sofreram um ataque cibernético em 2022. As pequenas e médias empresas são um alvo fácil porque muitas vezes têm recursos limitados para dedicar à segurança cibernética. De acordo com um relatório da AppRiver, o prejuízo de uma violação de dados pode ser devastador para este segmento, com o custo médio estimado em US$ 149.000 (quase R$ 820.000).
Abordagem sob medida para a realidade brasileira
É neste contexto que entram em cena abordagens ZTNA desenhadas de acordo com a realidade do mercado SMB. O desafio é atender organizações com equipes de trabalho cada vez mais remotas em suas jornadas de migração para a nuvem. Com soluções flexíveis e econômicas para acesso remoto e acesso à internet, a meta é conectar com simplicidade e segurança funcionários e usuários externos a recursos de qualquer dispositivo e local. Nessa estratégia, é crítico o papel de MSSPs (Managed Security Services Providers, provedores de serviços gerenciados de segurança).
Deixa-se de lado soluções complexas e passa-se a contar com uma solução ZTNA escalável e direta, ideal para MSSPs e seus clientes de médio e pequeno porte. Um diferencial dessa estratégia é a compatibilidade entre a tecnologia ZTNA para o segmento PME e outras plataformas de cybersecurity em uso na empresa. O objetivo é ir ao encontro da realidade de digital de cada organização, ajudando essa empresa a evoluir no consumo de nuvem com segurança e processos bem desenhados.
Diante do fato de que as vulnerabilidades geralmente aparecem quando as empresas confiam demais em indivíduos ou dispositivos, o modelo ZTNA sugere que nenhum usuário deve ser confiável por default. Essa quebra de paradigma, para ser bem-sucedida, têm de ser antecedida por ações de comunicação com os líderes de negócios e os usuários finais, para que todos compreendam a razão dessa mudança. É recomendável, ainda, adotar soluções de ZTNA com baixíssimo atrito – a checagem é realizada sem atrasos e sem impor desconforto ao usuário.
Um elemento é chave na concretização dessa proposta: a expertise do MSSP que leva o modelo ZTNA para a empresa média ou pequena.
É fundamental analisar MSSPs que se destacam nos seguintes pontos:
• Treinamento e educação – Os profissionais do MSSP têm de estar preparados para educar os colaboradores da emprsa PME.
• Avaliação e planejamento – Os MSSPs podem revisar a estrutura de segurança de uma empresa e desenvolver soluções personalizadas que atendam às necessidades específicas do cliente.
• Implementação e Integração – Os MSSPs devem comprovar sua expertise em implementar e integrar a plataforma ZTNA com outras soluções de forma rápida e eficaz.
• Serviços Gerenciados – Os MSSPs cuidam de todo o gerenciamento e manutenção contínuos das soluções de seus clientes. Neste ponto, é fundamental checar as certificações e planos de treinamento continuo dos times do MSSPs nas plataformas ZTNA.
• Conformidade – É fundamental contratar um MSSP com conhecimento nas regulamentações e padrões do setor da empresa usuária. A responsabilidade do MSSP é tal que esse time tem de colaborar com a conformidade do cliente.
Gestão compartilhada
O MSSP torna-se co-gestor do ambiente da empresa média e pequena. A instantaneidade da gestão de segurança baseada num SOC que monitora 24×7 o ambiente do cliente faz com que, em médio prazo, esse provedor de serviços efetivamente ganhe uma visão preditiva, baseada em fatos, sobre a maturidade digital do cliente e o que falta ser feito para aumentar a postura de segurança desta empresa.
Na era da computação em nuvem, o modelo ZTNA é mandatório, e está ao alcance do CEO da PME que, para fazer seu negócio crescer, precisa de garantias de continuidade e segurança de processos. Neste contexto, é fundamental estudar o perfil do MSSP que atenderá a organização e o valor de soluções ZTNA oferecidas em forma de serviço, com custos diluídos ao longo do tempo. Quem seguir esse caminho acelerará seus negócios e a economia digital do Brasil.
*Juan Alejandro Aguirre é Diretor de Soluções de Engenharia da SonicWall América Latina.