Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Confiança zero: o que você ganha com essa abordagem de segurança

Um dos destaques desse documento é a defesa de uma abordagem de segurança baseada em um modelo de confiança zero para prevenir violações de dados.
Emilia Bertolli
2 minuto de leitura
Publicado 8 de Novembro de 2016
Ultima atualização 1 de Dezembro de 2023

“Usuários de dentro da rede não são mais confiáveis que os usuários de fora da rede”

A frase é do Comitê de Supervisão e Reforma do Governo americano no último relatório da violação no escritório de gestão pessoal (em inglês, office of personal management – OPM). Um dos destaques desse documento é a defesa de uma abordagem de segurança baseada em um modelo de confiança zero para prevenir violações de dados.

Desenvolvido em 2009 pela Forrester, esse modelo de confiança zero incentiva as empresas a inspecionar todo o tráfego da rede, o externo e o interno. A intenção não é desencorajar as empresas a confiar em seus usuários, mas em rastrear o tráfego da rede, auditar e controlar o acesso.

Confira os três princípios de um modelo de zero confiança:

Garanta acesso seguro a todos os recursos, independente de sua localização

O primeiro conceito enfatiza a necessidade de proteger os dados internos das ameaças de dentro da empresa da mesma maneira que são protegidos os dados externos. Não existe certo ou errado quando definimos o local de armazenamento dos dados, seja em uma nuvem pública, privada ou híbrida, o mais importante é oferecer um acesso seguro.

Registre os acessos e inspecione todos os arquivos e e-mails

Uma abordagem de zero confiança aborda dois métodos de ganhar visibilidade do tráfego na rede: registros e inspeção.

Os registros da rede incluem todos os dados necessários para uma trilha de auditoria. Por exemplo: se alguém deletou um arquivo ou moveu dados de lugar, você deve conseguir apurar quem foi, a que horas aconteceu e como.

Para inspecionar, as empresas podem implementar alertas em tempo real. Com violações de dados que levam meses para se revelar, a automatização na detecção de violações é essencial.

Implemente um modelo de privilégios mínimos

Privilégios mínimos é uma maneira de dizer aos usuários que eles só podem acessar o necessário para fazer seu trabalho. Esse princípio é bem semelhante ao usado frequentemente no meio militar, de que as pessoas só devem saber o necessário para executar suas missões.

Geralmente, funcionários mais antigos já passaram por diversos cargos e departamentos e já assumiram diferentes responsabilidades dentro da empresa. Projetos temporários geralmente requerem acesso temporário a algumas pastas, o que não pode acontecer é deixar que o acesso temporário acidentalmente se torne permanente.

Quando isso acontece, os usuários acabam com mais permissões aos dados do que o necessário, e dificilmente alguém liga para a TI para reclamar que está com permissões demais. Por isso, é importante revisar privilégios constantemente em busca de permissões desnecessárias e usuários inativos, garantindo uma política de privilégios mínimos.

Para fazer isso, é preciso analisar as atividades dos usuários constantemente. Se eles deixaram de acessar uma pasta há meses, provavelmente não precisam mais de acesso aos dados contidos nesse local e, portanto, podem ter sua permissão retirada.

Você pode confirmar sua suposição correlacionando suas atividades de acesso com as de seu grupo de segurança. Afinal, só por que eles não acessam mais uma pasta à qual têm acesso por fazerem parte de um determinado grupo, não significa que não precisem mais acessá-la.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento