Gartner: 63% das empresas já possuem estratégia de zero trust

Na maioria das companhias, no entanto, a estratégia de zero trust geralmente aborda metade ou menos do ambiente de TI
Da Redação
30/04/2024

Estimativa feita pelo Gartner aponta que 63% das empresas em todo o mundo implementaram uma estratégia de zero trust (confiança zero), seja de forma total ou parcial. Segundo o instituto de pesquisas e consultoria empresarial, para 78% das companhias que implementaram uma estratégia de zero trust, a execução dessa estratégia já representa 25% do orçamento geral gasto com segurança cibernética.

Para a pesquisa, o Gartner ouviu 303 líderes de segurança digital de companhias que já implementaram — total ou parcialmente — ou estão planejando implementar uma estratégia de zero trust, mostra que 56% das empresas estão buscando essa abordagem principalmente porque ela é citada como uma prática recomendada pelo setor.

“Apesar dessa crença, as empresas não têm certeza de quais são as melhores práticas para implementações de zero trust”, diz John Watts, vice-presidente e analista do Gartner. “Para a maioria das companhias, uma estratégia de zero trust normalmente aborda metade ou menos de seus ambientes e mitiga um quarto ou menos do risco geral das empresas.”

Zero trust é uma estratégia de segurança de rede baseada na filosofia de que nenhuma pessoa ou dispositivo, dentro ou fora da rede de uma organização, deve receber acesso para se conectar aos sistemas de TI a menos que seja explicitamente necessário.

O Gartner lista três recomendações de práticas principais para os líderes de segurança digital implementarem uma estratégia de zero trust:

1) Estabeleça o escopo de uma estratégia de zero trust com antecedência: Para implementar estratégias de zero trust com sucesso, as organizações precisam entender quanto do ambiente elas cobrem, quais domínios estão no escopo e quanto risco elas podem mitigar. Em geral, o escopo de uma estratégia de zero trust não inclui todo o ambiente de uma empresa. No entanto, 16% dos participantes da pesquisa disseram que ela abrangerá 75% ou mais, enquanto apenas 11% acreditam que abrangerá menos de 10% do ambiente da companhia.

Fonte: Gartner (abril 2024)

“O escopo é a decisão mais importante para uma estratégia de zero trust”, afirma Watts. “O risco corporativo é muito mais amplo do que o escopo dos controles de zero trust, e apenas uma parte do risco corporativo pode ser mitigada. No entanto, medir a redução de riscos e melhorar a postura de segurança são indicadores importantes do sucesso dos controles de zero trust.”

Veja isso
Poucas empresas brasileiras mantêm uma estratégia zero trust
Até 2026, 10% das corporações terão programa de zero trust

2) Comunicar o sucesso por meio de métricas estratégicas e operacionais de zero trust: 79% das empresas que implementaram total ou parcialmente zero trust têm métricas estratégicas para medir o progresso e, desses 79%, 89% têm métricas para medir o risco. Os líderes de segurança também devem ter em mente seu público ao comunicar essas métricas. 59% das iniciativas de zero trust são patrocinadas pelo CIO, CEO e pelo presidente ou pelo conselho de administração.

“As métricas de zero trust devem ser adaptadas aos resultados dessa estratégia, em vez de repetir as métricas usadas em outras áreas, como a eficácia da detecção e resposta de endpoints”, diz Watts. “Os esforços de zero trust oferecem resultados específicos, como a redução do movimento lateral de malware em uma rede, muitas vezes não capturados pelas métricas de segurança cibernética existentes.”

3) Prever aumentos na equipe e nos custos, mas não os atrasos: 62% das empresas preveem que seus custos aumentarão e 41% esperam que suas necessidades de equipe também aumentem como resultado de uma implementação de zero trust

“Os impactos orçamentários das companhias que adotam uma estratégia de zero trust variam de acordo com o escopo da implementação e com a robustez dessa estratégia no início do processo de planejamento”, diz Watts. “As iniciativas de zero trust afetam o orçamento, pois as empresas adotam uma abordagem sistêmica e iterativa para amadurecer suas políticas em direção a controles adaptativos e baseados em riscos, adicionando sobrecarga à sua carga operacional contínua”

“Embora apenas 35% das empresas tenham dito que enfrentaram uma falha que interrompeu a implementação da estratégia de zero trust, é preciso ter um plano estratégico voltada para o tema que descreva as métricas operacionais e meça a eficácia das políticas para minimizar os atrasos”, finaliza Watts.

Compartilhar: