Nos últimos tempos, o conceito de “Zero Trust” evoluiu de um termo comum em eventos de tecnologia para um pilar estratégico nos planos de ação de CIOs, CISOs e auditores de TI. Em meio à escalada da complexidade dos ambientes digitais e da intensidade dos ataques cibernéticos, Zero Trust deixou de ser apenas uma tendência tornou-se um pré-requisito para a resiliência organizacional.
Mas o que significa, na prática, incorporar o princípio de Zero Trust a uma auditoria de TI? E de que forma os auditores podem transformar esse modelo em testes aplicáveis, objetivos e ajustados à realidade das empresas?
De onde vem o Zero Trust?
Zero Trust é uma abordagem de segurança baseada em um fundamento direto e eficaz: “não confie por padrão, sempre verifique”. Diferentemente das abordagens tradicionais, que se baseavam em confiança pré-estabelecida dentro de perímetros de rede protegidos (como firewalls e VPNs), o Zero Trust parte da premissa de que qualquer ativo pode ser vulnerável.
Esse modelo ganhou definição formal na publicação SP 800-207 do NIST, que descreve os principais componentes de uma arquitetura Zero Trust: autenticação contínua, validação de contexto, controle de acesso detalhado e monitoramento constante do ambiente.
O que auditar em um ambiente Zero Trust?
Auditar um ambiente que adota ou busca adotar Zero Trust exige uma mudança de perspectiva. O foco deixa de ser apenas “o que está protegido” e passa a ser como a proteção é mantida em tempo real, mesmo após a autenticação.
Os auditores devem buscar evidências e validar práticas como:
- Autenticação multifator (MFA) e sua aplicação efetiva em todos os pontos de acesso.
- Controle de acesso baseado em identidade e contexto (como localização, dispositivo, horário, risco da sessão).
- Microsegmentação da rede, que limita o movimento lateral de atacantes.
- Registro e análise de comportamento de usuários (User Behavior Analytics) para detectar acessos anômalos.
- Monitoramento contínuo e visibilidade centralizada, muitas vezes via SIEMs e plataformas de observabilidade.
Esses controles não são novos individualmente, mas o que muda com o Zero Trust é a forma integrada e orientada a risco com que são aplicados.
Como traduzir isso para o plano de auditoria?
Em auditorias baseadas em risco, aplicar o Zero Trust significa ir além da checklist de conformidade e buscar evidências sobre comportamento adaptativo dos controles.
Aqui estão algumas abordagens práticas:
- Testes de sessão: verificar se sessões vencidas são encerradas automaticamente ou se há aplicação de timeout baseado em risco.
- Avaliação de políticas de acesso dinâmico: quem tem acesso, em que contexto, por quanto tempo, e com qual tipo de auditoria ativa?
- Auditoria de integrações com sistemas de identidade (IdP, SSO, SCIM): como a identidade é provisionada, monitorada e revogada?
- Simulação de ataques internos (Red Team ou Purple Team): é possível movimentar-se lateralmente dentro da rede?
Além disso, é fundamental verificar se a organização possui métricas para avaliar a maturidade do Zero Trust, como nível de aplicação de MFA, número de acessos anômalos detectados, e percentual de aplicações com autenticação federada.
Cultura e governança
Zero Trust não é apenas tecnologia. Auditar a cultura e a governança também é essencial. A auditoria deve avaliar:
- Engajamento da alta direção com a estratégia de Zero Trust
- Existência de políticas e padrões de segurança adaptativos
- Atualização constante das regras baseadas em eventos, riscos e comportamentos observados
- Treinamento de equipes para atuar em ambientes sem confiança implícita
Auditar com foco em Zero Trust é sair do conforto das listas de controle e mergulhar em um modelo vivo, contextual e orientado a risco. Mais do que perguntar se existe MFA ou logs de auditoria, trata-se de entender como o sistema se comporta diante de ameaças reais.
Para os auditores de TI, esse é o novo normal: auditar o que não confia por padrão. Afinal, em um mundo de riscos distribuídos, a confiança deve ser conquistada continuamente.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI, Telecom e Cibersegurança!
