O mercado de tecnologia de segurança da informação está em constante mudança, com novos fornecedores surgindo e líderes de mercado continuamente se expandindo e reinventando as suas soluções, um movimento necessário para acompanhar as ameaças que continuam a evoluir e atingir empresas desprevenidas.
A constante reinvenção dos fornecedores de tecnologia corresponde à necessidade dos gestores de TI de se manterem atualizados quanto a essas tendências, visto que a adequação das soluções de segurança das empresas tem se tornado cada vez mais um fator essencial para a sobrevivência do negócio.
Seja para evitar ameaças, ou liberar o time de TI para atividades mais estratégicas enquanto todos os outros departamentos desfrutam de seus sistemas com produtividade e menor tempo de resposta, as iniciativas de transformação digital e segurança nas empresas são urgentes. Por isso, separamos cinco previsões do Gartner sobre segurança da informação e que servem como um guia para como as empresas devem se preparar para se manter protegidas no futuro.
1. Gestão Integrada de Riscos
O conceito de Gestão Integrada de Riscos é definido pelo Gartner como “práticas e processos apoiados por uma cultura de tecnologias que melhorem a tomada de decisões e o desempenho por meio de uma visão integrada de como uma organização gerencia seu conjunto único de riscos”. É provável que a grande maioria das empresas leve um tempo para incorporar a prática completamente em suas operações, levando em conta as adequações necessárias no ambiente para suportar as tecnologias mais recentes. Por isso, há urgência em começar a se adequar o quanto antes.
Algumas formas de inserir a Gestão Integrada de Riscos nas empresas são através da substituição de várias soluções de gerenciamento de risco por uma única solução integrada, contratos de consultoria e serviços gerenciados que presam pelo aumento da experiência e melhoria da compreensão dos riscos através de relatórios. O Gartner estima que os gastos com GIR devem crescer 7% até 2024.
As organizações buscarão cada vez mais por um conjunto de soluções que apoiem sua visão de uma avaliação holística das exposições a riscos. Isso já acontece nas empresas com um programa de gestão de risco relativamente maduro e que buscam continuamente por otimizações, como serviços bancários, seguros etc. No entanto, a previsão é de que nos próximos três anos a tendência se expanda por outras verticais e empresas de todos os setores continuem a aumentar sua maturidade de gerenciamento de risco.
Recomenda-se que as organizações obtenham mais visibilidade de todo o escopo de risco em todas as unidades de negócios, com funções de risco e conformidade, parceiros de negócios, funções de risco e conformidade, bem como parceiros de negócios, fornecedores e entidades terceirizadas. O objetivo geral é fornecer um conjunto de recursos que apoiam a integração de riscos estratégicos, operacionais e táticos.
2. Borda de serviços de acesso seguro (SASE)
A borda de serviços de acesso seguro, comumente conhecida como SASE, é um conceito que combina funções abrangentes de rede e segurança para oferecer suporte às necessidades dinâmicas de acesso seguro da força de trabalho, conectando pessoas a serviços. O SASE está evoluindo de cinco segmentos de segurança majoritários, entre eles: SD-WAN (rede de longa distância definida por software), firewall como serviço (FWaaS), SWG, CASB e acesso à rede de confiança zero (ZTNA).
O Gartner destaca que no momento existe uma certa consolidação entre esses cinco segmentos majoritários, com alguns fornecedores de SD-WAN e FWaaS oferecendo recursos de forma integrada. Da mesma forma, alguns fornecedores de SWG, CASB e ZTNA estão se consolidando, pois esse conjunto de recursos agregados é frequentemente procurado para segurança do trabalhador remoto. Há também a expectativa de que com a evolução dessas tecnologias, novos recursos e funcionalidades sejam facilmente incorporados, garantindo que o SASE cresça além desses cinco segmentos.
Entenda como as novas tecnologias influenciam no planejamento estratégico das empresas que desejam estar a frente da transformação digital, com o nosso novo artigo.
3. Autenticação sem senha
As senhas são um meio comum de promover a segurança de contas online e acesso a dados, principalmente por serem gratuitas e onipresentes em sistemas corporativos. No entanto, algumas práticas comuns como senhas fracas e reutilizadas, phishing, engenharia social e ataque de força bruta provam que talvez elas não sejam o meio mais eficaz de proteção. Mas se engana quem pensa que essa tendência eliminará completamente o uso de senhas, visto que alguns desses métodos podem utilizar PINs para os dispositivos, por exemplo.
O Gartner classifica a autenticação sem senha como uma demanda muito impulsionada pela necessidade das empresas de eliminar as ameaças comuns relacionadas às passwords. Um diferencial para o usuário é a redução da necessidade de memorização de senhas seguras, obtendo métodos de autenticação mais simples e seguros.
4. Rede de confiança zero
A rede de confiança zero, também conhecida como rede baseada em identidade, é o uso de identidades para estabelecer sessões e controlar o tráfego na rede. Em redes de confiança zero, as políticas de conectividade são criadas com base nos usuários, dispositivos e serviços, ao invés de protocolos de internet (IP).
As vantagens da rede de confiança zero incluem simplificação da conectividade e aumentar a escala, além de proporcionar um papel muito mais ativo dos fornecedores dessas tecnologias para entregar sistemas e arquiteturas de identidade mais eficazes para o cliente final. Além disso, reduz também a complexidade das políticas de firewall, o que costuma ser um grande problema para empresas que utilizam essa solução, devido aos túneis VPN que são criados através dos conjuntos de endereços IP.
A ZTNA é um dos melhores exemplos de rede de confiança zero, pois as políticas são simples, lógicas e facilmente sobrepostas na infraestrutura de rede de baixo nível existente. O Gartner reforça que à medida que os serviços mudam cada vez mais para ambientes onde as organizações não controlam a infraestrutura de rede (como IaaS), o uso forçado de endereços IP para especificar políticas de conectividade será cada vez mais um fardo para o time de TI.
5. Plataformas de proteção de carga de trabalho na nuvem
Essas plataformas fornecem visibilidade e controle consistentes para máquinas físicas, virtuais, contêineres e cargas de trabalho sem servidor, em qualquer local. O Gartner as define como um conjunto agrupado de tecnologias de segurança centradas em carga de trabalho, que se concentram em requisitos de proteção exclusivos de servidor, contêiner, multicloud, nuvem híbrida e data centers locais.
A adoção dessa tecnologia atingiu o status de mainstream na infraestrutura de nuvem privada e pública, por isso essa é uma tendência que já deve ser uma realidade para grandes empresas e deve se popularizar ainda mais no próximo ano. As plataformas de proteção de carga de trabalho na nuvem continuam a se desenvolver e se transformar à medida que os requisitos de segurança evoluem, com o principal objetivo de aprimorar a segurança da carga de trabalho na nuvem pública de infraestrutura como serviço (SaaS).
É importante acompanhar essas tendências como vantagem competitiva no mercado atual, mas também é essencial que a TI busque parceiros qualificados para identificação das necessidades da empresa antes de implementar essas tecnologias, validando quais as prioridades do negócio, os principais problemas e onde a organização deseja chegar, levando em conta aspectos como escalabilidade, resiliência e custo-benefício.
Próximo artigo: Como a TI é Fundamental para o Planejamento Estratégico das Empresas