Verificação mais rígida passa a incluir, além da identidade do usuário, sua localização e comportamento e a segurança do dispositivo Fernando Zamai: “Dar acesso apenas ao que é estritamente necessário” — Foto: Divulgação O princípio de “confiar, mas verificar” ficou ultrapassado no mundo corporativo. Agora, a regra de ouro é “nunca confie, sempre verifique”, pilar fundamental do modelo de segurança cibernética “zero trust” (confiança zero). Tradicionalmente, as empresas se protegiam como um castelo, e apenas quem estava dentro dele - ou da rede corporativa - era considerado confiável. Nos últimos anos, porém, com a expansão da computação em nuvem, a consolidação do trabalho remoto, o aumento e a sofisticação dos ciberataques e a chegada de agentes autônomos de inteligência artificial, esse modelo ficou insuficiente. “As redes, no passado, eram muito permissivas”, afirma Fernando Zamai, líder em cibersegurança da Cisco Brasil. “As proteções ficavam apenas na fronteira entre a internet e a organização. Quando você conectava o seu dispositivo, tinha acesso a tudo. Mas não dá mais para conceder acesso sem antes saber quem está ali e se aquela conexão é legítima”, salienta. Foi nesse cenário que o “zero trust” ganhou força, partindo da premissa de que qualquer usuário ou dispositivo pode representar uma ameaça. “Ele substitui o modelo de acesso ‘tudo ou nada’ por um controle mais preciso e verificação contínua”, aponta Bert Milan, vice-presidente Latam da Cloudflare. O executivo explica que, a cada tentativa de acesso, a arquitetura analisa fatores como identidade do usuário, segurança do dispositivo, localização e comportamento para decidir se a solicitação deve ser autorizada, bloqueada, limitada ou submetida a uma autenticação reforçada. Zamai compara o modelo à segurança dos aeroportos: após a identificação no guichê, o passageiro recebe um bilhete com acesso restrito às áreas necessárias e ainda tem sua bagagem verificada. “No ‘zero trust’ é a mesma coisa: identificar quem entra, checar se o dispositivo está em conformidade e dar acesso apenas ao que é estritamente necessário”, salienta. Ao contrário do que muitos pensam, implementar essa arquitetura não exige uma mudança completa na infraestrutura existente, mas uma evolução - e que pode ser gradual. Entre as soluções disponíveis estão ZTNA (zero trust network access) em substituição às VPNs, autenticação multifator e microsegmentação, para impedir que invasores se movam lateralmente dentro da rede. Outro equívoco, observa Milan, é pensar que o “zero trust” dificulta o acesso dos funcionários: “Quando implementado corretamente, melhora a segurança e a experiência, pois oferece acesso mais rápido e direto às aplicações necessárias, sem depender de roteamentos complexos por sistemas legados.” Embora haja consenso de que essa arquitetura de segurança digital se tornou vital para as organizações, o “Índice de Preparação para Cibersegurança 2025” da Cisco aponta que apenas 5% delas no Brasil alcançaram o nível de “maturidade” de preparação necessária para enfrentar de forma eficaz as ameaças de cibersegurança atuais, agravadas com a chegada da inteligência artificial. “A IA mudou tudo”, ressalta Fernando Serto, field CTO da Akamai Technologies Latam, indicando que o principal risco atual não é o uso de ferramentas generativas não aprovadas, mas, sim, a “agentificação” (automações internas por agentes de IA). “Para esses agentes rodarem, as empresas puxam softwares de repositórios desconhecidos que estão sendo muito comprometidos por ataques. Sem ‘zero trust’, conter essa exposição é quase impossível.” Milan, da Cloudflare, complementa que os agentes autônomos de IA não podem ter acesso irrestrito. “O ‘zero trust’ garante que eles sejam tratados como qualquer outro usuário: sua identidade é verificada e seu acesso é limitado apenas aos dados e ferramentas necessários para realizar suas funções.” Diante dessa e outras ameaças, a Gartner, empresa de insights de negócios e tecnologia, aponta que, até 2028, 50% das organizações no mundo implementarão uma postura de “zero trust” para a governança de dados.