Segurança

Zero Trust: o que é de verdade e quando vale implementar

Zero trust

Se você é responsável por segurança da informação, arquiteto de infraestrutura, diretor de TI ou sócio decidindo o próximo investimento em segurança, já ouviu algum fornecedor dizer que o produto dele “habilita Zero Trust”. A pergunta que fica depois da reunião é sempre a mesma: Zero Trust vale a pena para a sua empresa agora, ou é etiqueta nova em cima do firewall de sempre?

Para entender o estado atual de cibersegurança corporativa e onde Zero Trust se encaixa, o panorama de cibersegurança corporativa da Mabex é o ponto de partida — este artigo aprofunda a arquitetura em si.

Em 2010, John Kindervag, então analista da Forrester, publicou “Build Security into Your Network’s DNA: The Zero Trust Network Architecture”. A ideia era radical para a época: nenhum tráfego de rede deveria ser considerado confiável, dentro ou fora do perímetro.

Doze anos depois, em janeiro de 2022, a própria Forrester publicou uma autocrítica pública rara no mercado de segurança, pela voz dos analistas David Holmes e Jess Burn:

Forrester, janeiro de 2022 — Holmes e Burn: “A maior parte das organizações não está implementando Zero Trust de forma eficaz. O trem do hype saiu da estação, com fornecedores moldando a narrativa a partir de uma perspectiva altamente subjetiva e auto-interessada. O material técnico original ficou atrás de paywall por mais de uma década.”

Não é comum um analista de mercado admitir publicamente que o conceito que ele mesmo cunhou foi capturado pelo discurso de fornecedor. Isso, sozinho, já diz por que vale a pena separar o conceito da venda antes de assinar qualquer contrato.

Este artigo separa o conceito do marketing. Cobre a origem real do Zero Trust, os 5 princípios segundo o NIST SP 800-207, o Modelo de Maturidade Zero Trust 2.0 da CISA e o Forrester ZTX, o que não é Zero Trust mesmo quando o fornecedor diz que é, a matriz de maturidade que serve de roteiro operacional e um conjunto de quatro perguntas para decidir se, e quando, vale a pena implementar na sua empresa.

A origem: por que o perímetro morreu

O perímetro morreu por três razões empíricas, não filosóficas. O trabalho remoto descentralizou o usuário, a nuvem descentralizou o ativo e os ataques modernos descentralizaram a porta de entrada. Quando funcionário, sistema e invasor podem estar em qualquer rede, defender por linha de perímetro virou ficção operacional.

As três forças que mataram o perímetro

Trabalho remoto e dispositivos pessoais no trabalho. Funcionário acessando sistema corporativo de casa, com notebook próprio, via rede de cafeteria, não está “dentro” de perímetro nenhum. A rede privada virtual (VPN) traz o usuário para dentro, mas traz junto todo o risco do ambiente externo. O NIST SP 800-207 estabelece formalmente que “a rede privada inteira não é considerada zona de confiança implícita”. Uma implicação de direitos que o debate técnico costuma omitir: verificação contínua de postura do dispositivo no ambiente doméstico estende a capacidade de monitoramento do empregador para o espaço privado do trabalhador. A proporcionalidade entre segurança corporativa e privacidade do lar deve ser endereçada na política interna — o que é monitorado no dispositivo, por quanto tempo e por quem os dados são acessíveis.

Nuvem e software como serviço. Sistema crítico hospedado na AWS, no Azure ou em software de terceiro não está no datacenter da empresa. O firewall corporativo não controla o que acontece dentro do Salesforce, do Workday ou do Microsoft 365. O NIST é direto: “nem todos os recursos da empresa estão em infraestrutura própria”.

Ataques modernos. O relatório Global Incident Response 2025, da Unit 42, reportou que 86% dos ciberataques de 2024 causaram impacto direto ao negócio. Invasor não força mais a entrada pela rede: faz login com credencial roubada. Phishing, vazamento de credencial e ataque a fornecedor já entram “de dentro” do ponto de vista de rede.

O caso Lojas Renner e a movimentação lateral ilustra bem: uma vez que o invasor obteve acesso inicial em 19/08/2021, a defesa de perímetro não impediu a criptografia de aproximadamente 1.300 servidores — dado reportado por fonte anônima ao TecMundo; a empresa não confirmou oficialmente o número.

Zero Trust: 15 anos de evolução institucional 2010 Kindervag (Forrester) publica “Zero Trust Network Architecture” 2014 Google lança BeyondCorp: acesso sem VPN, baseado em identidade 2018 Forrester ZTX (Cunningham): 7 pilares — expande além da rede Ago/2020 NIST SP 800-207: definição federal formal (7 tenets, PE/PA/PEP) Mai/2021 Executive Order 14028: mandato Zero Trust em agências federais dos EUA Jan/2022 — Forrester (Holmes e Burn): autocrítica pública “Maioria das organizacoes nao implementa Zero Trust de forma eficaz” 2022 OMB M-22-09 + Estrategia DoD: 7 pilares, 45 capacidades, meta 2027 Abr/2023 CISA ZTMM 2.0: 5 pilares x 4 estagios — roteiro operacional global Nov/2025 CMMC em vigor: Zero Trust vira exigencia contratual para fornecedores do DoD Corporativo Institucional Marco editorial
Gráfico 1 — Evolução do Zero Trust de 2010 a 2025. Verde = marcos corporativos (Forrester, Google); azul = marcos institucionais (NIST, CISA, governo dos EUA); vermelho = autocrítica pública da Forrester em janeiro/2022.

Os três modelos de implantação do NIST SP 800-207

O NIST define três formas de implantar Zero Trust na prática — não são excludentes e muitas empresas combinam as três:

  • Governança aprimorada de identidade (EIG, do inglês Enhanced Identity Governance): o acesso a recursos é controlado principalmente por identidade e atributos do usuário. Ponto de partida mais comum para quem já tem provedor de identidade (IdP) centralizado.
  • Microssegmentação: a rede é dividida em zonas pequenas, com tráfego controlado entre elas. Foco em limitar movimentação lateral após acesso inicial.
  • Rede baseada em perímetro definido por software: usa redes sobrepostas (overlay networks) e roteamento dinâmico para isolar recursos. Mais comum em ambientes de nuvem múltipla.

Os 5 princípios reais do Zero Trust

O NIST SP 800-207 lista 7 princípios fundamentais, a CISA organiza em 5 pilares com 3 capacidades transversais e o Forrester ZTX usa 7 pilares próprios. As três fontes convergem em 5 princípios fundamentais: quem os segue está fazendo Zero Trust real, independentemente do fornecedor escolhido.

Tres fontes formais — complementares, nao concorrentes NIST SP 800-207 (2020) CISA ZTMM 2.0 (2023) Forrester ZTX (2018) TIPO Definicao federal formal Roteiro operacional de maturidade Mapeamento de tecnologia ESTRUTURA 7 principios, 6 premissas, 3 modelos de implantacao 5 pilares x 4 estagios + 3 capacidades transversais 7 pilares de tecnologia (rede, dados, identidade…) COMPONENTES Motor, Administrador e Ponto Identidade, Dispositivos, Redes, Rede, Dados, Identidade, de Aplicacao de Politica (PE/PA/PEP) Aplicacoes e Dados Cargas, Visibilidade e Automacao MELHOR USO Fundamento conceitual e arquitetural Roteiro de maturidade e autoavaliacao Organizar e comparar solucoes de mercado Sao complementares — use os tres juntos: NIST define o que e Zero Trust. CISA mostra como chegar la. Forrester organiza os produtos disponíveis. Fontes: NIST SP 800-207 (ago/2020) · CISA ZTMM 2.0 (abr/2023) · Forrester ZTX (2018) · Holmes e Burn (jan/2022)
Gráfico 2 — Comparação das três fontes formais de Zero Trust. NIST define os fundamentos, CISA oferece o roteiro de maturidade e Forrester ZTX organiza o mercado de produtos por pilar.

1. Confiança nunca é implícita — é continuamente avaliada. Não existe “rede confiável” nem “usuário confiável” após o login inicial. Toda requisição é reavaliada contra o contexto atual: identidade, dispositivo, postura de segurança, comportamento histórico. A CISA resume: “confiança é uma vulnerabilidade”. O NIST, no princípio 6, exige que “toda autenticação e autorização de recurso seja dinâmica e estritamente aplicada antes de conceder acesso”. Na prática: autenticação multifator (MFA) resistente a phishing, análise contínua de comportamento e acesso sob demanda com expiração automática (JIT, do inglês just-in-time) em sistemas críticos.

O que torna o MFA resistente a phishing: códigos temporários de aplicativo — tipo TOTP, como Google Authenticator ou Microsoft Authenticator — não são resistentes a phishing, porque um site falso pode capturar o código em tempo real e usá-lo antes de expirar. MFA resistente a phishing significa especificamente FIDO2/WebAuthn: chaves físicas de segurança (como YubiKey ou Google Titan) ou autenticação baseada no próprio dispositivo (Windows Hello, Touch ID). Ao comprar solução que promete “MFA resistente a phishing”, exigir confirmação do protocolo — FIDO2 ou WebAuthn — e não apenas “autenticação avançada”.

Art. 20 LGPD e due process na negação automática de acesso: quando o Motor de Política nega acesso a sistemas necessários para o trabalho com base em análise automatizada, isso constitui decisão com efeito prático sobre o trabalhador. O art. 20 da LGPD garante o direito de solicitar revisão por pessoa natural de qualquer decisão automatizada que afete o titular. A implementação de Zero Trust deve incluir canal documentado para contestação de negações de acesso — e a negação automática sem esse canal pode configurar ação trabalhista de facto sem due process.

2. Identidade humana e não humana verificadas com o mesmo rigor. Serviços, interfaces de programação (APIs), dispositivos conectados e agentes autônomos também têm identidade a verificar — o que conecta diretamente à discussão sobre governança de agentes autônomos na empresa. A CISA descreve a progressão do pilar de Identidade: de senha e autenticação básica (nível Tradicional) até MFA resistente a phishing com verificação contínua de identidade (nível Ideal). Isso vale também no atendimento: a arquitetura de identidade em canais automatizados segue a mesma lógica.

Para ambientes de nuvem múltipla, o padrão SPIFFE (Identidades de Produção Seguras Para Todo o Mundo) oferece um mecanismo padronizado para atribuir e verificar identidade de cargas de trabalho (serviços, contêineres, microsserviços), evitando credenciais estáticas entre sistemas — recomendado pelo NIST SP 800-207A.

Um limite importante do SPIFFE: ele autentica quem é o agente, não o que o agente pretende fazer. Agentes de inteligência artificial generativa podem ser manipulados por injeção de prompt — instruções maliciosas embutidas em dados processados pelo agente que o levam a solicitar acessos acima do escopo autorizado ou a exfiltrar dados em chamadas de interface de programação aparentemente legítimas. A política de acesso mínimo precisa incluir restrições de escopo por recurso específico.

Transferência internacional de dados (LGPD arts. 33-36): quando a arquitetura Zero Trust utiliza infraestrutura de nuvem fora do Brasil — e a maioria dos provedores de identidade, plataformas de acesso sem perímetro e sistemas de detecção e resposta processam dados em datacenters estrangeiros — aplica-se a disciplina de transferência internacional da LGPD. Contratos com esses fornecedores devem incluir cláusulas contratuais padrão ou outro mecanismo de adequação antes da implantação.o apenas por identidade de carga.

3. Acesso mínimo, por sessão, com escopo limitado. Privilégio mínimo levado ao extremo: acesso concedido por sessão, ao recurso específico, pelo tempo mínimo necessário, nunca permanente. O NIST, princípio 3: “o acesso a recursos individuais da empresa é concedido por sessão”. O acesso sob demanda com expiração automática — privilégio elevado concedido por requisição, com aprovação, e que expira automaticamente — é também o princípio técnico que sustenta a minimização de dado pessoal exigida pela LGPD: menos gente e menos sistema com acesso amplo é, ao mesmo tempo, segurança e conformidade.

Um risco do próprio processo de aprovação: o fluxo que concede o acesso sob demanda — quem aprova, por qual canal, em qual prazo — é ele mesmo um vetor de ataque. Engenharia social direcionada ao aprovador, comprometimento do sistema de notificação ou abuso por usuário com acesso indevido ao painel de aprovação anulam o controle. O processo de aprovação precisa ser tão auditável e protegido quanto o acesso que controla.

4. Microssegmentação: isolar para limitar movimentação lateral. Invasor que entra não pode chegar a tudo. O caso Lojas Renner é o exemplo do oposto: sem segmentação fina, o invasor se moveu lateralmente por aproximadamente 1.300 servidores (dado não confirmado oficialmente pela empresa, reportado por fonte anônima ao TecMundo). Segmentação de rede, aplicação e dados em zonas pequenas, com regras explícitas de fluxo, teria contido o dano. Uma precaução prática antes de segmentar: mapear todas as dependências de protocolo existentes. Muitas empresas rodam protocolos não criptografados (versões antigas de compartilhamento de arquivos em rede, conexões de banco de dados sem criptografia em trânsito) que uma rede plana tolera e a microssegmentação expõe — causando falhas em sistemas de negócio durante a implantação. O mapeamento de dependências é a principal causa de projetos Zero Trust que travam após a fase inicial.

5. Visibilidade contínua e telemetria para decisão. Zero Trust depende de saber o que está acontecendo em tempo real: registros de eventos, comportamento de identidade, postura de dispositivo. A CISA trata isso como capacidade transversal; o Forrester ZTX inclui como pilar dedicado. Sem essa telemetria, a política dinâmica dos princípios anteriores é apenas teoria.

Implicações de proteção de dados, trabalhistas e de IA no Princípio 5:

  • Base legal LGPD para monitoramento de funcionários (art. 7º): a análise comportamental contínua de colaboradores constitui tratamento de dado pessoal. Antes de implantar, definir e documentar a base legal: execução de contrato de trabalho (art. 7º II), legítimo interesse com teste de balanceamento (art. 7º IX e art. 10 §2º), ou outra. Sem base legal definida e comunicação transparente aos funcionários, o monitoramento descumpre o princípio de transparência (art. 6º III).
  • RIPD obrigatório para monitoramento em larga escala: sistemas de análise comportamental que combinam identidade, dispositivo e comportamento de rede configuram alto risco pela Resolução CD/ANPD 2/2022 (uso de tecnologia inovadora + vigilância sistemática em larga escala). Um Relatório de Impacto à Proteção de Dados é exigível antes da implantação — o DPO deve ser consultado com antecedência.

Biometria como dado sensível (LGPD art. 5º II e art. 11): implementações de autenticação multifator que usam reconhecimento facial, leitura de impressão digital ou geometria da mão tratam dado biométrico — categoria de dado sensível sob a LGPD. O regime é distinto: não cabe legítimo interesse como base legal (art. 11 não inclui essa hipótese), e o consentimento deve ser específico e destacado. Empresa que implanta autenticação biométrica sem verificar a base legal aplicável está em desconformidade mesmo que a escolha tenha sido puramente técnica.

  • Finalidade dos logs — vedação do uso secundário (art. 6º I LGPD): registros de segurança coletados para proteção de infraestrutura não podem ser usados para avaliação de desempenho, apuração disciplinar ou análise de produtividade. Essa vedação deve estar documentada na política interna e nos contratos com fornecedores do sistema de gestão de eventos.
  • Limites trabalhistas do monitoramento: o poder diretivo do empregador não é ilimitado. Monitoramento desproporcional, realizado sem informação prévia e clara ao trabalhador, pode configurar violação ao direito de trabalho digno (Constituição Federal, art. 1º III). A política de implantação de Zero Trust deve incluir comunicação formal aos funcionários sobre quais dados são coletados, com qual finalidade e por quanto tempo.
  • Discriminação algorítmica em análise comportamental: sistemas treinados com dados históricos podem classificar como anômalos padrões de acesso legítimos de grupos sub-representados. Auditar periodicamente as decisões de negação por categoria de usuário reduz o risco de discriminação algorítmica (art. 6º IX LGPD — princípio de não discriminação).
  • IA não determinística em controles de acesso: se o sistema usa modelo de aprendizado de máquina e não apenas regras determinísticas, falsos positivos — usuários legítimos classificados como ameaça — são inerentes. Definir o limiar de confiança aceitável, a taxa de revisão manual de negações e o canal de contestação antes de colocar o sistema em produção.

Como o NIST organiza a arquitetura por dentro

O NIST SP 800-207 define três componentes que fazem a política Zero Trust funcionar na prática:

  • Motor de Política (PE, do inglês Policy Engine): o “cérebro” — avalia cada requisição de acesso contra a política definida e decide se concede, nega ou revoga o acesso.
  • Administrador de Política (PA, do inglês Policy Administrator): executa a decisão do Motor — estabelece ou fecha o canal de comunicação entre cliente e recurso.
  • Ponto de Aplicação de Política (PEP, do inglês Policy Enforcement Point): o guardião operacional — monitora, filtra e encaminha o tráfego conforme a decisão do Administrador.

Em uma implementação concreta: o sistema de gestão de identidade (IdP) e a ferramenta de comportamento de usuário funcionam como insumos para o Motor de Política; o Administrador configura as regras de acesso à rede ou aplicação; e o agente de endpoint ou proxy de rede atua como Ponto de Aplicação. Produtos como Microsoft Entra ID, Okta, Zscaler e Cloudflare Access implementam partes dessa tríade — mas raramente os três sozinhos.

Zero trust x vpn

O que NÃO é Zero Trust, mesmo quando o fornecedor diz que é

A Forrester admitiu, em janeiro de 2022, que “a maior parte das organizações não está implementando Zero Trust de forma eficaz”. A causa é simples: o termo virou rótulo de marketing antes de virar arquitetura. Reconhecer as seis confusões abaixo protege orçamento e expectativa do comitê.

Rede privada virtual avançada não é Zero Trust. VPN com autenticação multifator e verificação pós-conexão continua sendo VPN com camada extra de segurança. A diferença estrutural: VPN traz o usuário “para dentro”; Zero Trust não tem “dentro”. O acesso de rede sem perímetro (ZTNA, do inglês Zero Trust Network Access) concede acesso por recurso, não por rede. Quem troca VPN por ZTNA bem implementado começa Zero Trust de verdade.

Autenticação multifator universal, sozinha, não é Zero Trust. É peça crítica do princípio 2, mas sem segmentação, sem visibilidade e sem privilégio mínimo, credencial comprometida pós-autenticação ainda abre caminho livre.

Firewall de próxima geração não é Zero Trust. Firewall avançado com inspeção profunda é melhoria do perímetro, não sua eliminação. O próprio NIST descreve Zero Trust como o movimento de “defesas estáticas baseadas em perímetro de rede” para foco em usuários, ativos e recursos.

Microssegmentação isolada não é Zero Trust. Segmentar em zonas sem verificação contínua de identidade nas outras camadas é comprar produto, aplicar e parar. Falta o Motor de Política dinâmico que recalcula acesso conforme contexto.

Plataformas de acesso seguro em nuvem não são, por padrão, Zero Trust completo. Arquiteturas como borda de acesso seguro (SASE, do inglês Secure Access Service Edge) e borda de serviços de segurança (SSE, do inglês Security Service Edge) incluem componentes de Zero Trust — acesso sem perímetro, intermediário de segurança de acesso à nuvem (CASB) e gateway seguro da web (SWG) — mas implementação parcial é comum. Vale conferir o mapeamento explícito aos pilares CISA ou NIST antes de assumir cobertura total. A mesma lógica de avaliação criteriosa de fornecedor se aplica aqui.

Plataforma grande (Microsoft, Google, Cisco, Cloudflare) não é Zero Trust por padrão. Microsoft Entra ID, BeyondCorp Enterprise, Duo/Umbrella ou Cloudflare Access/Gateway têm componentes capazes de habilitar Zero Trust, mas configuração inadequada gera “Zero Trust no PowerPoint” sem benefício real. A própria Microsoft mantém guia oficial de mapeamento ao CISA ZTMM para auditar essa implementação.

Diante de qualquer alegação de “esse produto implementa Zero Trust”, a pergunta útil é: quais dos 5 princípios ele cobre, e em qual estágio de maturidade CISA. Fornecedor que não responde está vendendo etiqueta. Após a implementação, a auditoria com red team adversarial é o próximo passo — tema de um satélite dedicado em produção neste cluster.

Maturidade real: a matriz CISA de 5 pilares × 4 estágios

O Modelo de Maturidade Zero Trust 2.0 da CISA, publicado em abril de 2023, organiza a implementação em uma matriz de 5 pilares por 4 estágios. São vinte cruzamentos que mapeiam onde a empresa está e para onde precisa ir. É o roteiro operacional mais aceito globalmente, alinhado à política federal americana OMB M-22-09.

Matriz de maturidade CISA ZTMM 2.0 — 5 pilares × 4 estágios Tradicional Inicial Avançado Ideal Identidade Senha + MFA basico Provedor de identidade central MFA resistente a phishing Identidade continua + acesso sob demanda Dispositivos Inventario manual Gerenciamento basico de dispositivos Postura de seguranca verificada em parte Monitoramento continuo em tempo real Redes Perimetro + segmentacao VLAN Segmentacao inicial Segmentacao coordenada entre areas Microssegmentacao + criptografia ubiqua Aplicacoes e Cargas Aplicacao acessivel na rede Controle de acesso basico por aplicacao Identidade de carga de trabalho parcial TLS mutuo entre servicos + politica por API Dados Criptografia em repouso parcial Classificacao manual Classificacao automatizada parcial Classificacao auto + politica por sensibilidade Capacidades transversais (todos os pilares): Visibilidade e Analise · Automacao · Governanca Fonte: CISA Zero Trust Maturity Model v2.0 (abril/2023)
Gráfico 3 — Matriz CISA ZTMM 2.0: 5 pilares × 4 estágios de maturidade. Empresa raramente está em um único estágio — mapeie pilar por pilar e priorize avanço por risco, não por preferência de fornecedor.

Três capacidades transversais atravessam todos os pilares: Visibilidade e Análise (telemetria e monitoramento contínuo, sem a qual a decisão dinâmica é impossível), Automação e Orquestração (integração entre provedor de identidade, ferramenta de detecção em endpoint, sistema de gestão de eventos de segurança e plataforma de resposta automatizada) e Governança (política e responsabilização alinhadas a objetivo de negócio e regulação — pilar que o Forrester ZTX também trata separadamente). Ponto de atenção para a cadeia de fornecimento: sistemas modernos de gestão de eventos e detecção e resposta incorporam modelos de inteligência artificial de terceiros para correlação e análise. Esses modelos frequentemente processam registros de segurança da empresa — que contêm dados pessoais. Verificar qual modelo é usado, em qual infraestrutura e com qual destinação dos dados enviados ao modelo é parte do processo de avaliação de fornecedor.

Na prática, empresa raramente está num estágio único. É comum ver Identidade em Avançado (provedor de identidade central, autenticação multifator universal), Dispositivos em Inicial (gerenciamento de dispositivos básico, sem verificação contínua de postura) e Redes ainda em Tradicional (perímetro clássico). O exercício útil é mapear cada pilar separadamente e priorizar avanço por risco, não por preferência de fornecedor.

Zero Trust vale a pena? Quando implementar e quando esperar

Zero Trust completo é jornada de três a cinco anos com investimento significativo. Nem toda empresa precisa começar agora. Para entender onde isso se encaixa na estratégia de segurança corporativa, veja o panorama completo de cibersegurança da Mabex. As quatro perguntas abaixo separam quem deve investir já de quem deve estabilizar pré-requisitos primeiro.

Quando implementar Zero Trust — árvore de decisão Tem provedor de identidade central e autenticacao multifator universal funcionando? SIM Base pronta ↓ NAO Estabilizar identidade primeiro — Zero Trust nao decola sem esta base Ha pressao regulatoria ou contratual (setor financeiro, saude, governo, defesa)? SIM Iniciar ja ↓ A empresa ja sofreu incidente relevante ou esta em setor muito visado? SIM Prioritario ↓ Ha orcamento sustentavel de 3 a 5 anos para programa estruturado? SIM Cenario A ↓ NAO Cenario B ou C — pilares prioritarios primeiro
Gráfico 4 — Árvore de decisão: quando investir em Zero Trust. SIM em todas as perguntas = Cenário A (programa completo). NAO em qualquer resposta = retroceder ao passo anterior antes de avançar.

PerguntaFavorece começar agoraFavorece adiar
A empresa já tem provedor de identidade central e autenticação multifator universal funcionando?Sim: base pronta, próximo passo é segmentação e visibilidadeNão: estabilizar identidade primeiro; sem essa base, Zero Trust não decola
Existe pressão regulatória ou contratual (setor financeiro, saúde, governo)?Sim: conformidade virou critério, investimento se justificaNão: adoção pode ser gradual conforme maturidade técnica
A empresa já sofreu incidente relevante ou está em setor altamente visado?Sim: reduzir movimentação lateral é prioridade imediataNão: backup, detecção em endpoint e treinamento podem dar mais retorno imediato
Há orçamento sustentável de 3 a 5 anos para programa estruturado?Sim: Zero Trust entra no roteiro como programa de transformaçãoNão: fazer estágio Inicial nos pilares prioritários e deixar Avançado/Ideal para depois

Cenário A — setor regulado com pressão imediata (banco, saúde, energia, governo): iniciar programa em Identidade, Redes e Visibil Atenção para manufatura e energia com tecnologia operacional (sistemas de controle industrial): nesses ambientes, Zero Trust não segue o mesmo roteiro de TI. Controladores lógicos programáveis e sistemas de supervisão legados frequentemente não suportam agentes de software, não têm autenticação moderna e têm requisitos de disponibilidade que tornam políticas de acesso dinâmico arriscadas — uma negação indevida pode ter consequências físicas. O programa Zero Trust para tecnologia operacional deve ser planejado separadamente, com especialistas em segurança industrial.idade, com investimento típico de R$ 2 a 10 milhões por ano por três a cinco anos.

Cenário B — empresa de médio porte sem regulação específica mas com risco crescente: avançar para o estágio Inicial em Identidade e Dispositivos, com investimento típico de R$ 300 mil a R$ 1,5 milhão por ano, deixando segmentação avançada para 2028-2030.

Cenário C — pequena empresa sem pressão regulatória e sem incidente: estabilizar fundamentos primeiro — inventário de ativos, autenticação multifator em todos os usuários, backup segregado e testado (a mesma lição do caso Lojas Renner) e detecção básica em endpoints. Zero Trust em apresentação de comitê ainda gera pouco valor sem essa base; reavaliar em 18 a 24 meses.

Empresa com provedor de identidade centralizado, autenticação multifator universal, detecção e resposta em endpoints (EDR), backup segregado e sistema básico de gestão de eventos de segurança (SIEM) está em condição de começar Zero Trust real. Sem esses cinco elementos, investir em Zero Trust é construir telhado antes da fundação.

Perguntas frequentes sobre Zero Trust

Autenticação multifator é Zero Trust?

Não sozinha. Autenticação multifator universal cobre parte do princípio de identidade, mas sem segmentação, visibilidade e acesso mínimo por sessão, é só uma camada a mais em cima do modelo antigo.

Qual a diferença entre Zero Trust e VPN?

A rede privada virtual concede acesso à rede inteira depois de autenticar uma vez. O acesso de rede sem perímetro (ZTNA) concede acesso a um recurso específico, por sessão, reavaliado continuamente.

Quanto custa implementar Zero Trust?

Varia por cenário: de R$ 300 mil a R$ 1,5 milhão por ano em empresa de médio porte, a R$ 2 a 10 milhões por ano em setor regulado, sustentado por três a cinco anos de programa.

Como saber se a empresa implementou Zero Trust de verdade?

Mapeando cada pilar contra a matriz CISA — Identidade, Dispositivos, Redes, Aplicações e Cargas de Trabalho, Dados — e verificando em qual estágio, de Tradicional a Ideal, cada um está.

Zero Trust não é produto. É arquitetura.

Na prática, a resposta para “Zero Trust vale a pena” quase nunca é sim ou não simples. É uma questão de sequência: identidade e autenticação multifator primeiro, segmentação e visibilidade depois, programa de três a cinco anos por cima disso. Empresa que tenta pular direto para a etiqueta perde dinheiro e continua exposta do mesmo jeito.

O que essa história de 15 anos, de Kindervag à CISA, ensina é que arquitetura de segurança séria não se compra pronta. Compra-se em pedaços, testa-se por pilar, audita-se com rigor — exatamente como qualquer outra decisão estrutural que passa pelo seu comitê. Fornecedor que vende “Zero Trust em uma caixa” está vendendo etiqueta. Empresa que compra etiqueta paga preço de arquitetura e fica só com a etiqueta.

Se a sua empresa ainda está mapeando os requisitos de segurança e conformidade, comece pelo panorama completo de cibersegurança corporativa — o ponto de partida para separar o que é estrutural do que é urgente.

Os melhores artigos no seu e-mail.

Curadoria semanal. Sem barulho.

Compartilhe:
Equipe Mabex

Equipe Mabex

Quando o assunto exige mais de um olhar, o artigo sai assinado pela Equipe Mabex. Somos redatores e profissionais de tecnologia comprometidos com uma ideia simples: quem lê com critério merece ser lido com seriedade.

Site do Autor

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Utilizamos cookies para oferecer melhor experiência, aperfeiçoar o desempenho, analisar como você interage em nosso site e personalizar conteúdo.