Muito se fala sobre a Lei Geral de Proteção de Dados (LGPD), mas existem outras normas brasileiras que devem ser observadas por empresas que trabalham com computação em nuvem – consumindo recursos ou oferecendo serviços relacionados. Uma dessas normas é a Resolução 4.658 do BACEN, publicada em abril do ano passado.
O que diz esse regulamento? E o que sua nuvem tem a ver com isso? Continue lendo e descubra!
O que é a Resolução 4.658?
Voltada para instituições financeiras e outras organizações reguladas pelo BACEN, essa norma torna obrigatório o estabelecimento de uma política de segurança cibernética e de requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Em outras palavras, obriga tais empresas a definir, implementar, divulgar e manter uma política de segurança cibernética que assegure a confidencialidade, a integridade e a disponibilidade dos dados tratados em suas operações.
O objetivo da resolução é impor altos padrões para a proteção de dados, tendo em vista a necessidade de manutenção da confiança do mercado nas instituições financeiras, especialmente neste momento de frequentes casos de vazamento de dados ligados ao uso inadequado de recursos em nuvem.
Na prática
A Resolução 4.658 traz uma série de obrigações para as organizações reguladas pelo Banco Central, desde a designação de um diretor responsável pela política de segurança cibernética da empresa até a elaboração de planos de resposta a eventuais incidentes de vazamento de dados.
O principal artigo da resolução para nossa análise é o 3º com os incisos II, III e IV, que dispõe sobre os requisitos da política de segurança cibernética que deve ser criada pelas organizações.
Separamos os principais aspectos a serem observados em sua nuvem e como adequá-los aos requisitos elencados neste artigo. Vamos lá!
Política de segurança: procedimentos e controle
O artigo 3º da Resolução do BACEN elenca as características obrigatórias da política de segurança que deve ser implementada nas organizações. Já nos primeiros incisos, o dispositivo aponta para a necessidade de definição de procedimentos para reduzir o risco de acidentes, bem como a disponibilização de mecanismo de controle sobre os dados coletados e tratados pela empresa. Confira:
Art. 3º A política de segurança cibernética deve contemplar, no mínimo:
(…)
II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;
III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;
Como se adequar:
Determine o rotacionamento de senhas
O rotacionamento de senhas do usuários do IAM e das chaves de acesso por linha de comando é fundamental para mitigar o risco de uso de credenciais que tenham sido extraviadas ou indevidamente compartilhadas em determinado período.
No IAM, você pode definir que as senhas de usuários sejam válidas apenas por um número de dias previamente especificado. Decorrido esse período, o usuário deve criar uma nova senha. Dessa forma, você automatiza a rotação de senhas em sua conta, garantindo que as mesmas credenciais não sejam usadas por tempo maior do que o recomendado por sua política de segurança – por exemplo, 90 dias.
Para ampliar a proteção das credenciais, é possível também impedir que os usuários do IAM reutilizem senhas anteriores. Nesse caso, você pode vetar o uso apenas da última senha ou de até 24 senhas anteriores.
Veja mais sobre políticas de senhas do IAM na documentação da AWS.
Habilite o AWS CloudTrail
O CloudTrail permite o monitoramento de todas as atividades de usuário dentro de sua conta na AWS. Exatamente por isso, uma de suas principais funções é apoiar a identificação de falhas de segurança na nuvem.
Os logs gerados pelo CloudTrail podem ser verificados em tempo real por, por exemplo, uma função criada no Lambda. Quando alguma ação estranha for executada, um alerta pode ser enviado para o administrador da conta, que poderá tomar as medidas necessárias para proteger os recursos afetados.
Você também pode contar com o CloudTrail para tarefas de auditoria, já que através dele é possível identificar o acesso e edição de algum recurso por um usuário do IAM.
Atenção: ainda que você só utilize algumas das regiões disponíveis no provedor, é recomendado que você habilite o CloudTrail em todas as existentes, pois é possível que um ou mais recursos sejam ativados em uma localidade inusitada, seja por acidente ou atividade maliciosa. Mantendo o CloudTrail ativado em todas as regiões, você garante que essas ações sejam rastreadas e que eventuais problemas operacionais sejam corrigidos com rapidez.
Entenda neste post como o CloudTrail pode ampliar a proteção de sua nuvem.
Incidentes: registro, análise de impacto e controle dos efeitos
Na seção anterior, falamos bastante sobre prevenção de incidentes. Mas, quando eles acontecem, o que é preciso fazer? A resolução do BACEN determina o seguinte:
Art. 3º (…)
IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;
Como se adequar
Habilite logs de seus recursos
Para possibilitar o rastreamento de atividades realizadas em cada um de seus recursos, a AWS oferece a opção de registro de logs. Com ele, você pode identificar acessos por usuários do IAM, bem como alterações realizadas em determinados recursos.
Dessa forma, além de contribuírem para questões de conformidade, os logs viabilizam a investigação de falhas ou incidentes de segurança em sua nuvem.
Veja alguns dos benefícios trazidos pelo registro de logs em diferentes serviços da AWS:
- Simple Storage Service (S3): permite identificar acessos estranhos às funcionalidades do S3 para determinadas aplicações, além de possibilitar investigações em caso de vazamento de dados sensíveis, por exemplo.
- CloudFront: possibilita apurar falhas operacionais ou mesmo atividades maliciosas envolvendo o acesso às distribuições na web.
- ElasticSearch, facilita a investigação de problemas de estabilidade e desempenho de acesso à sua aplicação, identificando erros como consultas inválidas e problemas de indexação.
- Virtual Private Cloud (VPC): permite a investigação de incidentes a partir da identificação do tráfego de rede da nuvem privada.
- Elastic Load Balancing (ELB): possibilita a obtenção de dados de cada requisição HTTP/HTTPS processada pelos load balancers e a análise detalhada de padrões de tráfego nesses recursos.
Como importante ferramenta de controle, a opção de registro de logs está presente em outros serviços da AWS. Combine esta opção com o uso do CloudTrail para potencializar o monitoramento de recursos em sua nuvem.
Conte com a gente
Adaptar os recursos de sua nuvem às exigências legais não é tarefa fácil. Além da resolução do BACEN, existem muitas diretrizes para coleta, tratamento e utilização de dados sensíveis. Falando em computação em nuvem, a preocupação deve ser ainda maior.
Pensando nisso, criamos um novo produto, totalmente focado em segurança e conformidade na nuvem AWS: o CleanCloud Score.
São mais de 90 vulnerabilidades verificadas em 4 frameworks além da Resolução BACEN: CIS, LGPD, GDPR, e HIPAA. Essas vulnerabilidades são classificadas em ameaças e classificadas por nível de criticidade em cada framework, para que possa priorizar suas tarefas e manter a nuvem AWS cada vez mais segura e aderente às normas atuais de proteção de dados.
Faça como as melhores empresas do mercado e mantenha sua nuvem em conformidade com a normativa do Banco Central e os principais benchmarks para a nuvem AWS! Clique para conhecer nosso produto.
–
Leia também: Sua nuvem está preparada para a LGPD?
