I Desafio
Em dezembro de 2019 o time de segurança da informação da Cogna Educação, empresa líder no mercado brasileiro em educação à distância e dona das marcas como a Kroton e Somos Educação, recebeu o desafio de tornar o ambiente em nuvem AWS em conformidade com a Lei Geral de Proteção de Dados, LGPD, que entraria em vigor em agosto do ano seguinte.
Por ser uma empresa de capital aberto com milhares de usuários a empresa sempre teve como um dos valores a segurança da informação dos seus clientes e parceiros, ainda antes do advento da lei – que além do impacto à marca gera multa que, para a Cogna Educação, pode chegar a R$ 50 (cinquenta) milhões por infração.
II Dor
Com mais de 60 (sessenta) contas na AWS e diversos times trabalhando em grupos de nuvens, com 5 (cinco) ou 6 (seis) nuvens em cada, a organização e governança entre os times gerava grande dor.
Além disso, visibilidade era um grande problema para os gestores, pois cada um é responsável por 2 (dois) ou (três) desses grupos.
III Solução
Após avaliarem diversas soluções no mercado, Alex Amorim, CISO (chief internet security officer) e DPO (Data Protection Officer) do Grupo Cogna, escolheu o CleanCloud Score “uma vez que traz uma abordagem simples e precisa do nível de maturidade do ambiente”.
Neste momento iniciaram um projeto de uso do CleanCloud Score. Este produto desenvolvido pela CleanCloud faz mais de 150 verificações em nuvem AWS de acordo com as principais regulações do mercado, incluindo a regulação 4.658 do Banco Central do Brasil. Estas verificações são apresentadas em uma plataforma em português com dashboards e verificações periódicas na data escolhida pelo cliente.
O produto mostra exatamente quais recursos estão vulneráveis – com a região, nome do recursos e, se aplicável, as tags – bem como todo conteúdo necessário para corrigir a vulnerabilidade, incluindo uma documentação com o passo-a-passo na AWS.
IV CleanCloud Score
O CleanCloud Score é desenvolvido no Brasil pela CleanCloud, um AWS Technology Advanced Partner. Este roda em nuvem AWS usando micro serviços, com destaque para o lambda, para entregar o resultado de forma rápida e sem nenhum custo para o cliente, e isso com apenas uma permissão de leitura fornecida via função no IAM.
Além disso, o CleanCloud Score integra com diversos produtos, incluindo o AWS Security Hub, permitindo que seus clientes vejam o seu resultado com o de outros produtos e parceiros AWS.
V Estratégia
Para atribuir as tarefas da melhor forma e ajudar na priorização as mais 60 (sessenta) nuvens da Cogna Educação foram divididas em 3 grandes grupos – produção, desenvolvimento e stage – e entre os times responsáveis por cada uma das contas.
Em seguida, cada time criou um grupo com as contas de produção que eram responsáveis – essas eram a primeira prioridade, pois são as contas que contêm dados sensíveis dos usuários, sujeito à regulação da LGPD.
Por terem milhares de recursos em cada grupo, o foco inicial foi nas vulnerabilidades de maior risco: portas abertas do S3 e RDS, criptografia de recursos e snapshots de EBS,ELB, RDS, Redshift e S3.
VI Resultado
Em um período de apenas 3 meses com verificações diárias do software CleanCloud Score, a Cogna Educação aumentou em 38,5% o número de itens em conformidade com a LGPD na nuvem AWS. Para Alex Amorim “hoje o CleanCloud Score contribui de uma forma muito prática com o monitoramento de controles efetivos para proteção do ambiente de cloud da AWS”.
E finaliza “com o advento da LGPD é essencial ser assertivo no controle do ambiente na nuvem para mostrar diligência e responsabilidade frente à nova lei, e com o CleanCloud Score evoluímos todos os dias neste sentido”.