Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

Como a Marinha dos EUA e o Departamento de Segurança Interna fizeram o modelo de Confiança Zero funcionar.

Charlie Bedell
Gerente de marketing de conteúdo
Illumio Editorial
23 de abril de 2026
23 minutos. ler

A abordagem Zero Trust possui uma ampla gama de estruturas disponíveis.

Existem modelos de maturidade, arquiteturas de referência e soluções de fornecedores em todos os lugares. Mas para muitas equipes, o Zero Trust ainda parece estar preso à teoria. O conceito é compreendido, mas é mais difícil de traduzir em resultados concretos.

Esse foi o foco do recente webinar, "Proteja os dados, não o ruído: uma conversa prática sobre Zero Trust". Na sessão, John Kindervag, evangelista-chefe da Illumio e criador do Zero Trust, juntou-se a Don Yeske para explorar o que é necessário para que o Zero Trust funcione na prática.

Yeske liderou anteriormente os esforços de arquitetura Zero Trust no Departamento da Marinha dos EUA e no Departamento de Segurança Interna, o que lhe proporcionou experiência em primeira mão em alguns dos ambientes mais complexos e de missão crítica do governo.

Essa experiência mostrou a ele que a Zero Trust só se torna realidade quando passa de uma ambição ampla para uma execução focada.

Essa mudança começa com uma ideia: a superfície de proteção.

Foi isso que ajudou o Departamento de Segurança Interna (DHS) e a Marinha a transformar o conceito de Confiança Zero em realidade operacional. Eis o que as organizações podem aprender com isso hoje.

Por que a estratégia Zero Trust falha sem foco operacional?

Na experiência de Yeske, o modelo Zero Trust muitas vezes falha antes mesmo de começar.

A questão não é entender o conceito. A maioria das equipes compreende os princípios da Confiança Zero. O problema reside em como esses princípios são aplicados.

Em grandes organizações, especialmente no governo, a abordagem padrão é pensar em escala. As equipes de segurança definem as iniciativas em nível empresarial e aplicam os requisitos de forma abrangente. Eles medem o sucesso pela abrangência da implementação de algo.

Yeske descreveu isso como uma fase inicial da jornada Zero Trust, onde o foco está em toda a superfície de ataque, em vez de resultados específicos.

Isso leva a um padrão familiar. As equipes implementam funcionalidades como autenticação multifator (MFA) ou controles de endpoint em toda a organização. Essas são etapas importantes, mas não se traduzem automaticamente em proteção significativa.

A peça que falta é foco.

Sem uma compreensão clara do que precisa ser protegido, os controles são aplicados de forma uniforme em vez de estratégica. Isso torna mais difícil medir o impacto e facilita a persistência do risco em áreas críticas.

A superfície de proteção: onde começa o Zero Trust.

O trabalho de Yeske dentro do Departamento de Segurança Interna (DHS) e da Marinha introduziu uma maneira mais prática de pensar sobre a política de Confiança Zero.

Em vez de tentar proteger tudo igualmente, os líderes de segurança devem se concentrar em identificar o que é mais importante.

No Departamento de Segurança Interna (DHS), isso significava fazer uma pergunta simples, porém poderosa: quais dados, aplicativos ou serviços causariam falha na missão se fossem comprometidos?

Essa questão reformula toda a estratégia.

Isso obriga as organizações a abandonarem uma abordagem de cobertura ampla e a focarem-se em resultados específicos. Isso também cria uma maneira natural de priorizar esforços, especialmente em ambientes onde os recursos e a complexidade são elevados.

É aqui que o conceito de superfície protegida se torna crucial.

A superfície protegida é a menor unidade do que realmente importa. Não se trata de uma rede ou sistema inteiro. Trata-se de um ativo ou recurso específico que a organização não pode se dar ao luxo de perder.

Ao se concentrarem nisso, as equipes podem projetar controles que sejam precisos, mensuráveis e alinhados ao risco real.

O que significa operacionalizar o Zero Trust?

Transformar a política de Zero Trust em algo operacional exige mais do que identificar o que importa. É necessário um método repetível para construir segurança em torno disso.

Yeske descreveu como isso funcionava na prática.

Defina a superfície de proteção

O primeiro passo é definir a superfície a ser protegida em termos claros. Isso significa decompor grandes sistemas em componentes menores que possam ser compreendidos e controlados. Se o escopo for muito amplo, torna-se impossível de gerenciar.

Uma regra útil de Yeske é que você deve ser capaz de listar todas as entidades que precisam de acesso à superfície protegida, juntamente com quando e por que esse acesso é necessário. Se você não consegue fazer isso, o escopo ainda é muito amplo.

Entenda o que é normal para a sua rede.

Uma vez definida a superfície a ser protegida, o próximo passo é entender como ela é utilizada. Isso envolve mapear os fluxos de transações e identificar o comportamento normal. Sem esse contexto, é difícil implementar políticas eficazes.

A partir daí, os controles são projetados e aplicados o mais próximo possível da superfície a ser protegida. Essa é uma diferença fundamental em relação às abordagens tradicionais, que geralmente posicionam os controles no perímetro.

As políticas públicas desempenham um papel central nesse processo. Cada decisão de acesso é baseada em regras explícitas, não em suposições. O acesso só é concedido quando as condições são atendidas e é avaliado continuamente ao longo do tempo.

Monitore e aprimore suas políticas de Zero Trust.

Por fim, o sistema é monitorado e aprimorado. A telemetria fornece informações sobre o comportamento do ambiente, permitindo que as equipes ajustem as políticas e promovam melhorias ao longo do tempo.

Essa abordagem transforma o Zero Trust de um conjunto de princípios em um sistema funcional.

O papel das capacidades, e não apenas das ferramentas.

Outra lição importante da experiência de Yeske é como as organizações pensam sobre tecnologia.

Em muitos casos, eles encaram o conceito de Zero Trust como uma série de decisões relacionadas ao produto. As equipes se concentram no que comprar em vez do que construir.

No Departamento de Segurança Interna (DHS), Yeske adotou uma abordagem diferente. Em vez de começarem pelos produtos, eles se concentraram nas funcionalidades.

Uma capacidade é a habilidade de executar uma função que protege um recurso. Inclui pessoas, processos e tecnologia trabalhando em conjunto.

Essa distinção é importante.

Significa que o sucesso não é definido pela implementação de uma ferramenta. É definida pela capacidade da organização de executar de forma consistente a função para a qual a ferramenta foi criada.

Yeske observou que muitos ambientes já possuem as ferramentas necessárias. O desafio reside no fato de que essas ferramentas nem sempre são utilizadas de forma eficaz ou em coordenação umas com as outras.

Ao focar nas capacidades, as organizações podem aproveitar melhor o que já possuem e, ao mesmo tempo, identificar onde realmente existem lacunas.

Ampliando a estratégia Zero Trust em ambientes complexos.

Um dos maiores desafios em ambientes governamentais é a escala.

O Departamento de Segurança Interna (DHS), por exemplo, inclui uma ampla gama de agências com diferentes missões e requisitos técnicos. Uma abordagem única e uniforme nem sempre é prática.

Yeske descreveu como essa complexidade foi abordada por meio do conceito de uma web protegida.

Uma rede de proteção é um conjunto de funcionalidades organizadas em torno de uma superfície de proteção específica. Isso permite que as equipes apliquem o Zero Trust de uma forma personalizada para cada ativo, mantendo-se alinhadas a uma estratégia mais ampla.

Essa abordagem possibilita o progresso gradual.

Em vez de tentar transformar todo o ambiente de uma só vez, as organizações podem construir o Zero Trust passo a passo. Cada superfície protegida torna-se uma unidade de progresso, contribuindo para uma arquitetura maior e mais resiliente.

Como Kindervag enfatizou durante a discussão, é assim que o Zero Trust deve ser construído: protegendo uma superfície de cada vez.

Transformando a política de Zero Trust em algo que funcione.

O modelo Zero Trust é frequentemente discutido como um destino. Mas, na prática, é um método.

O que a experiência de Don Yeske demonstra é que o sucesso não vem da adoção de uma estrutura ou da implementação de um conjunto de ferramentas. Isso resulta da aplicação de uma estratégia clara e focada, executada de forma consistente.

A superfície protetora é o que torna isso possível.

Isso proporciona às organizações uma maneira de passar da teoria à ação. Ela fornece um ponto de partida, uma estrutura e uma maneira de medir o progresso.

Num mundo onde a complexidade continua a crescer, essa clareza é essencial.

O objetivo do Zero Trust não é proteger tudo igualmente, mas sim garantir que as coisas que mais importam estejam protegidas, independentemente do que aconteça ao seu redor.

Aprenda como Illumio É possível implementar segurança Zero Trust em sua agência governamental.

Charlie Bedell
Gerente de marketing de conteúdo
Illumio Editorial
23 de abril de 2026
23 minutos. ler
Setor Público
Entre em contato conosco
Compartilhar

Artigos relacionados

Um ex-CIO da Casa Branca explica por que a política de Confiança Zero deve ser projetada para a forma como as pessoas realmente trabalham.
Resiliência cibernética

Um ex-CIO da Casa Branca explica por que a política de Confiança Zero deve ser projetada para a forma como as pessoas realmente trabalham.

Aprimore sua estratégia de Confiança Zero concentrando-se no comportamento do usuário para reduzir o risco cibernético e alcançar melhores resultados de segurança.

Leia mais
Resiliência cibernética
As 3 verdades do Zero Trust de John Kindervag para agências governamentais
Resiliência cibernética

As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Obtenha informações de John Kindervag sobre as principais verdades do Zero Trust que as agências governamentais precisam conhecer ao cumprirem os mandatos do Zero Trust.

Leia mais
Setor Público
Siga estas 3 próximas etapas se sua agência governamental estiver construindo confiança zero
Resiliência cibernética

Siga estas 3 próximas etapas se sua agência governamental estiver construindo confiança zero

Zero Trust é uma jornada, não um destino. Obtenha os insights de especialistas de Gary Barlet sobre as próximas etapas que as agências e os comandos devem tomar ao criar o Zero Trust.

Leia mais
Setor Público
O guia completo da Illumio na RSA Conference 2024
Resiliência cibernética

O guia completo da Illumio na RSA Conference 2024

Visite a Illumio no estande N-54670 de 6 a 9 de maio em San Francisco, no Moscone Center North Hall.

Leia mais
Nenhum item encontrado.
Nossas histórias favoritas de Zero Trust de setembro de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de setembro de 2023

Aqui estão algumas das histórias e perspectivas do Zero Trust que mais se destacaram para nós neste mês.

Leia mais
Nenhum item encontrado.
BT e Illumio: simplificando a conformidade com DORA
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Saiba como aumentar a resiliência cibernética, gerenciar os riscos de TIC e preparar sua instituição financeira para o prazo de conformidade com o DORA de janeiro de 2025.

Leia mais
Conformidade

Experimente o Illumio Insights hoje mesmo

Veja como a observabilidade com IA ajuda você a detectar, entender e conter ameaças mais rapidamente.