Segurança
Como construir uma arquitetura de segurança adaptativa
01/04/2021 | Escrito por: Alisson Lara Resende de Campos
Categoria: Segurança
Compartilhe:
A Transformação Digital e a adoção da computação em nuvem estão modificando o panorama de Tecnologia da Informação (TI) nas empresas. As organizações evoluíram a arquitetura de segurança para atender ambientes híbridos e multicloud.
Atualmente, ouvimos falar muito sobre arquitetura de segurança adaptativa para cumprir as exigências trazidas pela Transformação Digital, e sobre como as organizações analisam a viabilidade de implementá-la. Mas o que seria uma arquitetura de segurança adaptativa?
Em resumo, é uma arquitetura que realiza a proteção dos ativos de uma empresa considerando como contexto o permissionamento: usuário correto, em condições corretas, solicitando os acessos corretos aos dados corretos. Por exemplo: para permitir o acesso, será avaliado o usuário/senha, um duplo fator de autenticação, se o dispositivo está atualizado, se possui um agente instalado e se a requisição foi realizada de uma localização conhecida. A proteção é realizada de forma contínua, através de políticas dinâmicas (podendo-se negar o acesso a qualquer instante caso seja detectado algo suspeito), em vez de usar controles estáticos como sim/não.
Diversos frameworks de Segurança do mercado já falam sobre arquitetura adaptativa há algum tempo, como o Gartner CARTA (Continuous Adaptive Risk and Trust Assessment), que prega desde 2017 uma abordagem de adaptação contínua em um cenário de segurança em mudança. A filosofia é que, no mundo digital moderno, algumas transações devem ser permitidas mesmo quando a segurança ainda não é totalmente certa, através de ações para a mitigação dos riscos e maximizando a experiência do cliente.
Outra abordagem similar, que virou buzzword na atualidade, é o ZT (Zero Trust Security Framework), defendido inicialmente pelo Forrester e posteriormente pelo NIST (National Institute of Standards and Technology). Diferente da segurança tradicional baseada em perímetro, o ZT permite que a arquitetura de segurança se adapte aos requisitos de negócio, suportando o novo paradigma da TI pervasiva e permitindo somente o acesso aos recursos estritamente necessários e nas condições corretas.
É importante ressaltar também que o ZT e o CARTA não são simplesmente soluções tecnológicas, podemos compará-los a regulamentações de mercado. Ou seja, uma empresa está em conformidade com esses frameworks através da adoção conjunta de processos e tecnologia.
Por onde devemos começar?
O primeiro passo é criar uma governança corporativa sobre o tema e em seguida construir um roadmap de implementação. É importante tomar alguns cuidados na criação desse roadmap:
- Avaliar as soluções existentes na infraestrutura atual e verificar se elas podem ser o ponto de partida. Essa avaliação deve levar em consideração a maturidade das tecnologias, processos e cultura;
- Não existe uma solução “one size fits all”, é necessário pensar em uma estratégia mais ampla que envolva componentes mistos. Neste sentido, vale a pena considerar uma arquitetura com soluções e plataformas abertas que disponibilizem interoperabilidade, com APIs e protocolos abertos;
- Alinhar o apetite ao risco da empresa e sua cultura; levar em consideração essas variáveis, tanto na definição da sua arquitetura adaptativa quanto na estratégia de longo prazo;
- A implementação de uma segurança adaptativa não acontece em um piscar de olhos, a jornada deve ser encarada como uma maratona e não uma corrida de 100 metros rasos. A escolha correta dos parceiros de negócio durante a jornada também é fundamental;
- A governança deve contemplar um processo analítico de coleta de informações e mapeamento de riscos, para análise a efetividade das implementações realizadas, assim como refinar e retroalimentar as políticas de segurança estabelecidas;
- Implementar processos e tecnologias para orquestração da resposta a incidentes, pois não existe segurança absoluta. Caso um incidente ocorra, é necessário um processo automatizado e conectado à arquitetura de segurança.
Em linha com a Transformação Digital, é possível implementar uma arquitetura de segurança unificada, quantificando riscos, e com entregas ágeis.
Entenda
Descubra como a IBM Security pode ajudar a sua jornada de segurança. Acesse: ibm.biz/segurança
Vamos conversar?
Entre em contato com um representante da IBM.
CTO e Arquiteto de Segurança na IBM
Inovabra – Falamos sobre tendências tecnológicas
Estivemos no Inovabra, ambiente de coinovação do Bradesco, com atuação física e digital, onde grandes empresas, startups, investidores, tech partners se encontram. Nesse evento falamos sobre Automação, Finops, Segurança, Cloud, Inteligência Artificial e Sustentabilidade. Acompanhe a cobertura do evento! Acompanhe o Canal Falando de TI: https://www.youtube.com/@falandodeti_
Conversei com Silvano Sansoni – IBM Digital Sales General Manager
Neste vídeo, tive a oportunidade de fazer duas perguntas para Silvano Sansoni, IBM Digital Sales General Manager. Aproveitei para perguntar sobre Inteligência Artificial, principalmente sobre o Chat GPT. Acompanhe o Falando de TI: https://www.youtube.com/@falandodeti_
O que é governança de dados e como implementar?
A governança de dados é o conjunto de políticas, processos e práticas que visam garantir que os dados sejam geridos de maneira eficaz e eficiente, a fim de maximizar seu valor e minimizar seus riscos. Isso inclui a definição de papéis e responsabilidades, a implementação de processos de gestão de qualidade de dados e a […]