John Kindervag compartilha a história de origem da Zero Trust

Estamos de volta com mais uma temporada do podcast The Segment: A Zero Trust Leadership! Depois de concluir nossa primeira temporada com grandes nomes do setor, como o ex-analista da Forrester Chase Cunningham, o CSO e autor de best-sellers da Southern Methodist University George Finney e a vice-presidente corporativa de desenvolvimento de negócios de segurança da Microsoft, Ann Johnson, nossa primeira temporada nos colocou entre os 15% melhores de todos os podcasts e nos rendeu o prêmio MarCom Gold de 2023 de melhor série de podcasts focada no setor.

Estamos muito orgulhosos de como foi nossa primeira tentativa de podcasting. E devemos tudo isso a ouvintes (e leitores) como você!

Atendendo à demanda popular, temos orgulho de iniciar nossa segunda temporada com ainda mais histórias sobre Zero Trust e perspectivas de cibersegurança de uma lista de alguns dos principais CISOs, CTOs e arquitetos cibernéticos do setor.  

Para começar, conversei com o próprio padrinho do Zero Trust e o evangelista-chefe da Illumio, John Kindervag. Neste resumo de nossa conversa, saiba como a ideia de John sobre o Zero Trust se originou, sua pesquisa inicial sobre as melhores práticas do Zero Trust e seus conselhos para organizações em sua jornada com o Zero Trust.

Sobre John Kindervag: O criador do Zero Trust

John é um homem que dispensa apresentações no mundo do Zero Trust. No entanto, para quem não conhece, aqui está uma rápida olhada em seu currículo impressionante e bastante abrangente.  

Com mais de 25 anos de experiência como profissional e analista do setor, John Kindervag é considerado um dos maiores especialistas em segurança cibernética do mundo, mais conhecido por criar o revolucionário Modelo Zero Trust de segurança cibernética na Forrester Research, há mais de uma década.

Em 2021, John foi nomeado para o Subcomitê Zero Trust do Comitê Consultivo de Telecomunicações de Segurança Nacional do Presidente dos EUA (NSTAC) e foi o principal autor do relatório Zero Trust do NSTAC que foi entregue ao presidente. No mesmo ano, ele foi nomeado Pessoa de Cibersegurança do Ano pela revista CISO.  

Hoje, como evangelista-chefe da Illumio, John é responsável por acelerar a conscientização e impulsionar a adoção da segmentação Zero Trust em todos os setores.  

Como o Zero Trust começou?

Para John, toda a estrutura Zero Trust decorre do combate ou da contenção do modelo tradicional de confiança implícito nos primórdios da tecnologia de firewall.  

Como diz John, “Iniciar o processo de instalação de firewalls realmente levou ao Zero Trust porque, na tecnologia de firewall, havia o conceito de um modelo de confiança em que a Internet estava na interface não confiável e a interface que ia para a rede interna era confiável. E por causa dessa relação de confiança, você não precisava de uma declaração de política para mover o tráfego da rede interna ou confiável para a rede externa ou não confiável.”

John viu isso e pensou: “Isso é insano! As pessoas vão exfiltrar dados daqui. E [as organizações] disseram: “Não, não vão. Você não pode... ' E eu disse que todas as interfaces de confiança, todas as interfaces deveriam ter a mesma confiança e ela deveria ser zero. E é realmente daí que vem o Zero Trust. É apenas uma resistência à forma como estávamos construindo firewalls que afetavam a política, e não havia nenhuma razão para isso.”

Na mesma linha, o Zero Trust decorre essencialmente do desafio da crença popular da época. John viu que havia uma maneira de fazer a segurança cibernética melhor do que o status quo. Como John diz: “Você precisa validar as coisas que todo mundo está dizendo e ver se elas são verdadeiras. Eu fui a única pessoa perguntando: “Qual é a definição de confiança?” e isso é algo muito difícil de definir.”  

Experimentação e pesquisa do Zero Trust

Apesar de ter criado uma das estruturas mais notáveis do setor, John traz muita humildade à nossa conversa. Perguntei se ele esperava que o Zero Trust decolasse da maneira que aconteceu.  

A resposta dele? “Minha expectativa era muito baixa. Acho que você percebe que, nesse papel [de analista], você está apenas tentando divulgar uma ideia que talvez se infiltre. Não achei que essa coisa do Zero Trust fosse decolar do jeito que aconteceu. Certamente não estava pegando fogo logo no início, mas então... Eu percebi, uau, há mais pessoas lendo isso e ouvindo isso e agora querendo falar sobre isso do que eu imaginava.”

O aumento inicial mais lento também lhe deu mais tempo para experimentar e refinar a estrutura. “Gostei do fato de o aumento ter sido lento porque, por um tempo, fui a única pessoa fazendo isso. Então, eu tenho que cometer todos os erros sozinho e depois escrever sobre esses erros e dizer quais seriam, para que você não precise cometê-los [sozinho]. E achei que isso era algo valioso para alguém na minha posição”, explicou Kindervag.  

Os maiores erros do Zero Trust

Uma das minhas perguntas favoritas para fazer aos nossos hóspedes é: “O que as organizações erram em suas jornadas com o Zero Trust?”

De acordo com John, “O maior erro que eu vi foi crescer demais, muito rápido. Agora, todo mundo está tentando fazer tudo de uma vez para toda a organização.”

Além disso, John compartilhou, as pessoas podem fazer com que o conceito de Zero Trust pareça mais assustador do que realmente é, o que pode levar a uma adoção mais lenta (e, em última análise, menos bem-sucedida).  

“Acho que muitas pessoas fazem com que pareça mais difícil do que é e mais complexo”, disse John. “É muito simples, certo? Existem quatro princípios de design e há um modelo de cinco etapas para fazer isso... Ele foi projetado para ser muito, muito simples...”  

O maior conselho de John para pessimistas? “Basta sair e fazer isso... Isso é experimental. Todo o nosso negócio é experimental.”  

Quanto mais as organizações conseguirem colocar um pé na frente do outro ao avançar em seus objetivos de Zero Trust, mais adiante elas estarão em sua jornada de resiliência cibernética.  

Ouça, assine e analise o podcast The Segment: A Zero Trust

Quer ouvir minha discussão completa com John? Ouça o episódio desta semana no Apple Podcasts, Spotify ou onde quer que você compre seus podcasts. Você também pode ler a transcrição completa do episódio.

Voltaremos com mais informações sobre o Zero Trust em breve!