A percentagem de empresas em todo o mundo que implementaram uma iniciativa Zero Trust triplicou nos últimos três anos, de acordo com um relatório da Okta.
Por Samira Sarraf
Nos últimos três anos, a percentagem de empresas em todo o mundo que implementaram uma iniciativa Zero Trust triplicou, passando de 24% em 2021 para 61% em 2023, de acordo com a Okta. As grandes empresas são as que geralmente mais implementam esses planos.
As que planeiam iniciar esta jornada nos próximos 18 meses representam 35% das inquiridas e apenas 4% não têm nada em prática. Apesar das pressões macroeconómicas que estão a obrigar a reduções de custos, 80% afirmam que os seus orçamentos de confiança zero aumentaram em relação ao ano anterior, com 60% a comunicarem aumentos entre 1% e 24% e com 20% a comunicarem aumentos de 25% ou mais.
A identidade tornou-se uma parte importante destas estratégias; 51% acreditam que é extremamente importante, um aumento considerável em relação aos 27% registados em 2022. Outros 40% dizem que é um pouco importante.
Identidade começa a deslocar-se das TI para a segurança
A gestão da identidade e do acesso, que costumava ser da responsabilidade dos departamentos de TI, tem vindo a passar cada vez mais para as equipas de cibersegurança. Este facto é suportado pela pesquisa da Okta, que conclui que 73% das equipas de segurança da América do Norte, e 50% na EMEA, detêm agora este domínio.
Nos quatro setores em que o relatório se concentra, as organizações de saúde estão dando prioridade à autenticação multifator (MFA) para usuários externos e internos e conectando diretórios a aplicativos em nuvem. No sector público, a prioridade é a autenticação multifator para utilizadores externos, o acesso seguro a API e a autenticação multifator para funcionários; nos serviços financeiros, a autenticação multifator para funcionários é a primeira prioridade, seguida da gestão de acesso externo e privilegiado para a infraestrutura da cloud. E no sector do software, as prioridades são a autenticação multifunções para os funcionários, o acesso seguro a API e a autenticação multifunções para utilizadores externos.
O foco dos decisores de segurança
Nos próximos 12 a 18 meses, os decisores darão prioridade à gestão do acesso privilegiado à infraestrutura cloud (42%), à segurança do acesso às API (42%) e à implementação da autenticação multifator (MFA) para os colaboradores (42%). Além disso, quando se trata de garantir a autenticação, é mais provável que as organizações utilizem a MFA e a proteção de início de sessão único para servidores e bases de dados.
Mais de metade dos gestores seniores inquiridos este ano afirmaram que a identidade era extremamente importante para uma estratégia de confiança zero, e outros 40% afirmaram que era algo importante. Uma grande mudança em relação ao ano passado, quando 26% dos inquiridos da gestão sénior afirmaram que a identidade era essencial.
Os líderes de TI estão a integrar os seus sistemas IAM com a gestão de dispositivos móveis (MDM). De acordo com o relatório, o SIEM, a MDM e a proteção de terminais são os três sistemas “mais importantes” a que deve dar prioridade para a integração direta com uma solução IAM.
Palavras-passe de “baixa segurança” continuam a ser a norma
As palavras-passe continuam a ser a “norma teimosa” para a autenticação a nível mundial, “apesar da sua baixa segurança, e ainda são utilizadas em mais de metade das organizações inquiridas”. As perguntas de segurança, que não são muito melhores, são as segundas mais utilizadas a nível mundial e na região EMEA e APJ, enquanto na América do Norte ocupam o primeiro lugar. O relatório também encontrou outros serviços de baixa segurança em utilização, incluindo OTP de hardware e OTP de SMS, voz e correio eletrónico.
Os fatores que o relatório considera de segurança média, como o token físico OTP e os autenticadores push, são usados por menos organizações (36% e 29%, respetivamente), e apenas 19% das organizações usam fatores de alta segurança, como autenticadores baseados em plataforma e biometria. “Esperamos que a MFA continue a sua caminhada para o mainstream, enquanto o aumento da regulamentação irá provavelmente empurrar indústrias como os serviços financeiros e o sector público para fatores de autenticação sem palavra-passe e outros fatores de autenticação de alta segurança resistentes a phishing”, conclui o relatório.