Confiança zero: maioria das empresas no mundo já implementou

De acordo com o site CISO Advisor, a adoção de confiança zero está crescendo. A porcentagem de organizações em todo o mundo que implementaram uma iniciativa de confiança zero quase triplicou nos últimos três anos, passando de 24% em 2021 para 61% neste ano, de acordo com dados do relatório State of Zero Trust da Okta. Empresas que têm entre 5 mil e 9.999 funcionários são mais propensas a ter confiança zero em conformidade  — três em cada quatro companhias — do que aquelas com 500 a 999 funcionários.

Aqueles que planejam implementar uma iniciativa de segurança de confiança zero nos próximos 18 meses representam 35% dos entrevistados e apenas 4% não estavam planejando nem tinham um projeto em vigor. A região da América do Norte lidera em termos de iniciativas já em vigor, mas nas organizações das regiões da EMEA (Europa, Oriente Médio e África) e Ásia-Pacífico e Japão (APJ) estão ganhando terreno rapidamente, e quase todos os países em ambas as regiões planejam adotar uma iniciativa de confiança zero nos próximos seis a 12 ou 13 a 18 meses.

Apesar das pressões macroeconômicas forçando o corte de custos, 80% dos entrevistados relataram que seus orçamentos para iniciativas de segurança de confiança zero aumentaram em relação ao ano anterior — 60% relataram aumentos orçamentários entre 1% e 24%, e outros 20% aumentaram 25% ou mais.

O gerenciamento de identidade e acesso (IAM) se tornou uma grande parte das estratégias de confiança zero, com 51% de todos os entrevistados dizendo que é extremamente importante, um aumento considerável em relação aos 27% de 2022. Outros 40% disseram que é algo importante.

O IAM, que costumava ser de propriedade de departamentos de TI, tem mudado cada vez mais para equipes de segurança cibernética. Isso é apoiado pela pesquisa da Okta que descobriu que 73% das equipes de segurança agora possuem o IAM na América do Norte e 50% na EMEA.

Na região da Ásia-Pacífico e Japão a mudança é mais lenta, enquanto 41% das organizações fazem a segurança com o gerenciamento do IAM, outros 56% das organizações têm segurança para supervisionar a identidade ou gerenciar a tecnologia, mas não ambos. Há outros sinais da importância crescente das iniciativas de identidade, com 34% dos entrevistados usando autenticação multifator (MFA) para usuários externos e 33% para funcionários internos.

Nos quatro setores em que o relatório se focou, as instituições de saúde estão priorizando o MFA para usuários externos e internos e conectando diretórios a aplicativos em nuvem. No setor público, a prioridade é MFA para usuários externos, acesso seguro a APIs e MFA para funcionários, em serviços financeiros MFA para funcionários em primeiro lugar, seguido por MFA para usuários externos e gerenciamento de acesso privilegiado para infraestrutura em nuvem, e em software as prioridades são MFA para funcionários, acesso seguro a APIs e MFA para usuários externos.

Nos próximos 12 a 18 meses, os tomadores de decisão priorizarão o gerenciamento de acesso privilegiado à infraestrutura de nuvem (42%), a proteção do acesso a APIs (42%) e a implementação de autenticação multifator (MFA) para funcionários (42%). Além disso, quando se trata de proteger a autenticação, as organizações são mais propensas a usar MFA e proteção de logon único para servidores e bancos de dados.

Mais da metade dos entrevistados de nível C-suite disseram que a gestão de identidade é extremamente importante para uma estratégia de confiança zero, com outros 40% declarando-a um pouco importante. Uma grande mudança em relação ao ano passado, quando 26% dos entrevistados declararam a identidade como de missão crítica.

Os líderes de TI estão integrando seus sistemas do IAM ao gerenciamento de dispositivos móveis (MDM). Os sistemas de gerenciamento de informações e eventos de segurança (SIEM), gerenciamento de dispositivos móveis (MDM) e de proteção de endpoint são os três principais e “mais importantes” para priorizar a integração diretamente com uma solução do IAM, de acordo com o relatório.

As senhas continuam sendo o “padrão obstinado” para autenticação globalmente, “apesar de sua baixa garantia, e ainda são usadas em mais da metade das organizações dos entrevistados”. As questões de segurança, que não são muito melhores, são as segundas mais usadas, globalmente e nas regiões EMEA e APJ, enquanto ocuparam o primeiro lugar na América do Norte. O relatório também encontrou outros serviços de baixa garantia em uso, incluindo OTP (senha de uso único) de hardware e SMS, voz e OTPs de e-mail.

Fatores considerados pelo relatório como de garantia média, como OTPs de token físico e autenticadores push, estão em uso em menos organizações (36% e 29%, respectivamente), e apenas 19% das organizações estão usando fatores de alta garantia, como autenticadores baseados em plataforma e biometria. “Esperamos ver o MFA continuar sua marcha para o mainstream, enquanto o aumento das regulamentações provavelmente empurrará setores como serviços financeiros e o setor público para fatores de autenticação sem senha e outros fatores de autenticação resistentes a phishing de alta garantia”, conclui o estudo.

O relatório é baseado em respostas de 860 tomadores de decisão de segurança da informação na América do Norte (Estados Unidos, Canadá); EMEA (Dinamarca, Finlândia, França, Alemanha, Irlanda, Países Baixos, Noruega, Suécia, Reino Unido); e APJ (Japão, Austrália). Acesse o documento completo em inglês aqui.