Proposta de método de priorização de controles para implementação da arquitetura Zero Trust utilizando métodos multicritérios
Zero Trust, Método Multicritério, Revisão Sistemática de Literatura, Segurança Cibernética
A evolução das redes de computadores fez com que elas se tornassem cada vez mais complexas e aumentassem sua superfície de ataque, tornando a proteção de bordas menos eficaz. Nesse contexto, surgiu o conceito de Zero Trust (ZT), que é um novo modelo de confiança. Esse conceito amplo apresenta diversos controles para sua implementação, o que torna a gestão de riscos um desafio, pois os gestores precisam priorizar esses controles. De acordo com a ISO 31000, a metodologia multicritério de apoio à decisão pode auxiliar os decisores na modelagem de problemas e na priorização de ações a serem tomadas. O conceito multicritério é baseado em duas escolas: a americana, que foca na precisão dos cálculos para priorizar os controles, e a europeia, que considera a decisão como uma atividade humana. O MCDA-C, que vem da escola europeia, tem a capacidade de agregar diversos níveis dentro de uma organização na busca pela construção do conhecimento, facilitando a tomada de decisão pelos decisores. Neste trabalho, propõe-se a utilização dos controles descritos no Modelo de Maturidade de ZT da CISA em conjunto com o MCDA-C, pois isso permite a clareza na visualização do desempenho ideal, na perspectiva dos decisores, e na priorização para a implementação dos controles da ZT. Por fim, considerando os controles propostos, este estudo demonstra a capacidade do MCDA-C em auxiliar na compreensão do problema dentro da organização e na construção do conhecimento por meio da análise dos dados coletados. Dessa forma, foi possível apresentar aos decisores quais controles devem ser priorizados no início da implementação da ZT.