Estudo de Caso Genial Investimentos – Evolução de conformidade com Bacen e LGPD

I Desafio

Em Janeiro de 2020 o time de segurança da informação da Genial Investimentos, empresa do mercado financeiro que oferece uma completa plataforma de investimento, recebeu mais um desafio: tornar o ambiente em nuvem AWS em conformidade com a regulação do Banco Central do Brasil no. 4.893(“Bacen 4.893”), que trata do uso de computação em nuvem por empresas do mercado financeiro.

Como o Banco Central do Brasil regula as operações da Genial Investimentos, estar em conformidade com as normas desta instituição é essencial para a continuidade de seu negócio.

Além disso, era essencial que começasse a se preparar para a entrada em vigor da  Lei Geral de Proteção de Dados, conhecida como LGPD, que entraria em vigor em agosto do mesmo ano.

II Dor

Com um time de segurança da informação composto por apenas duas pessoas a equipe precisava urgentemente de um software para apoiar no processo de manter na nuvem AWS em conformidade com a regulação Bacen 4.893.

III Solução

Neste momento iniciaram um projeto de uso do CleanCloud Score. Este produto desenvolvido pela CleanCloud faz mais de 150 verificações em nuvem AWS de acordo com as principais regulações do mercado, incluindo a regulação 4.893 do Banco Central do Brasil. Estas verificações são apresentadas em uma plataforma em português com dashboards e verificações periódicas na data escolhida pelo cliente.

O produto mostra exatamente quais recursos estão vulneráveis – com a região, nome do recursos e, se aplicável, as tags – bem como todo conteúdo necessário para corrigir a vulnerabilidade, incluindo uma documentação com o passo-a-passo na AWS.

IV CleanCloud Score

O CleanCloud Score é desenvolvido no Brasil pela CleanCloud, um AWS Technology Advanced Partner. Este roda em nuvem AWS usando micro serviços, com destaque para o lambda, para entregar o resultado de forma rápida e sem nenhum custo para o cliente, e isso com apenas uma permissão de leitura fornecida via função no IAM.

Além disso, o CleanCloud Score integra com diversos produtos, incluindo o AWS Security Hub, permitindo que seus clientes vejam o seu resultado com o de outros produtos e parceiros AWS.

V Estratégia

Após a integração da nuvem AWS a empresa começou a evoluir a conformidade, reservando ¼ (um quarto) do sprint para solucionar as melhorias identificadas pelo CleanCloud Score.

No entanto, em março, a crise decorrente do COVID mudou as prioridades, mas devido à importância do projeto em todas sprints alguma melhoria era implementada, ainda que restrito a metade do inicialmente planejado. Em meados de abril as coisas já haviam se normalizado.

Como a empresa já tinha uma alta maturidade, os maiores pontos de melhoria de conformidade identificados pelo CleanCloud Score foram relacionados a logs do CloudTrail com acesso público, uso e rotação de chaves KMS e monitoramento de alterações com o CloudWatch.

VI Resultado

Em um período de apenas 4 (quatro) meses com o software CleanCloud Score, que também, traz um passo a passo para a correção de cada vulnerabilidade, a Genial Investimentos aumentou em 52,5% o número de itens em conformidade com a Bacen e LGPD na nuvem AWS.

Sabemos que a nuvem é dinâmica, então é essencial um trabalho contínuo de conformidade. Este resultado satisfatório mostra que a Genial Investimentos  está no caminho certo e com um time cada vez mais motivado para evoluir com a segurança e conformidade da nuvem AWS.