Zero trust e o futuro do trabalho no escritório

A recente pandemia mudou muitas coisas em nossas vidas e também na forma como é feita a gestão das empresas. Nas conversas com os nossos clientes e parceiros, vemos que a atenção e a prioridade que as organizações dão para a segurança cresceu exponencialmente. Essa mudança parte de dois motivadores principais: primeiro, as ameaças aumentaram. Somente em 2021, foram registradas cerca de 41 milhões de tentativas de fraudes digitais no Brasil, um crescimento de 16,8% em comparação a 2020, segundo o relatório “Indicador de Tentativas de Fraude”, da Serasa Experian. Em segundo lugar, ao mesmo tempo, a adoção em rápida e larga escala dos novos modelos de trabalho e negócios trouxe uma série de novos desafios para garantir que o acesso às informações pelos colaboradores aconteça de forma segura e sem transtornos.

• Tecnologia e qualidade de vida na era do trabalho híbrido
• 5 recomendações para a segurança de dados no trabalho híbrido

Tradicionalmente, o modelo mais utilizado na segurança corporativa era o do perímetro de segurança, em que apenas pessoas que fazem parte de uma organização conseguem acessar sua rede. Uma boa metáfora para entender este modelo é pensar num castelo medieval: fortes paredes e um único portão de entrada. Mas assim que se passa por essas barreiras, a circulação é livre. Será, no entanto, que esse modelo funciona quando cada funcionário não está no “castelo”, mas sim em casa ou trabalhando de qualquer outro lugar?

Não cabe aqui “brigarmos com a poltrona do aviao”. Com essa nova realidade, passou a ser fundamental encontrar uma alternativa ao perímetro de segurança, e uma das respostas que se mostrou mais eficiente é a adoção do princípio zero trust. Como o conceito em inglês sugere, essa lógica de segurança se baseia na ideia de que nenhum usuário, aparelho ou rede são automaticamente confiáveis. Neste princípio, a confiança que garante acesso às informações ao funcionário precisa ser conquistada com base em fatores contextuais do usuário, login único e recursos de autenticação do dispositivo, e não na rede da qual essa pessoa se conecta. Parte-se do pressuposto de que um sistema sempre precisa saber quem está tentando acessá-lo, e quais são seus níveis de permissão. Sem que a identidade seja confirmada, ele não terá acesso aos recursos da organização.

Ao não utilizar como base a localização do usuário, o conceito zero trust se adapta com facilidade ao modelo de trabalho híbrido. O colaborador pode trabalhar alguns dias da semana presencialmente e o restante remotamente. Essa facilidade de acesso seguro é uma outra característica importante dos sistemas criados a partir de zero trust. A experiência do acesso remoto é idêntica àquela do acesso local, ainda que possam acontecer diferenças de latência. Mas aí o problema passa a ser do acesso à internet, e não da rede corporativa.

No Google, temos utilizado um sistema com essas características já há um bom tempo: o modelo BeyondCorp. Ele foi desenvolvido para proporcionar trabalho remoto seguro sem a necessidade de usar uma VPN tradicional. Agora, a maioria dos funcionários do Google usa o sistema todos os dias, como meio de autenticação e autorização à infraestrutura e recursos corporativos da empresa, e também permitimos que nossos clientes façam o mesmo.

Por todas as características que mencionei acima, os modelos zero trust têm muitas vantagens em relação ao conceito de “castelo de portão único”, especialmente quando falamos em proteger as informações e garantir o seu acesso aos colaboradores. Embora seja improvável um retorno completo ao modelo de trabalho pré-pandemia, pelo menos nas situações e atividades que permitam algum nível de flexibilidade, ainda há muita discussão sobre o futuro do trabalho. Ainda assim, um cenário em que a alternância entre casa e escritório se torne corriqueira vem se mostrando cada dia mais factível. E neste contexto, sistemas baseados em zero trust irão permitir que continuemos a trabalhar de qualquer lugar de forma segura.