Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
1. Aprendizados do Uso
de Nuvem na Gestão
de Riscos e
Conformidade
Regulatória de sua
Organização ou
Terceiros
2. Dani Dilkin
Senior Partner @ Tenchi Security
• +23 anos de experiência em segurança da informação
• Ex-líder das práticas de prestação de serviço de Cyber Security da
Deloitte e da Kroll no Brasil
• Um dos primeiros PCI QSA do Brasil e pioneiro em projetos adequação à
LGPD
São Paulo, Brasil 🇧🇷
ddilkin@tenchisecurity.com
3. 1. Contexto
2. Alguns desafios
3. Algumas oportunidades
4. Governança e gestão de riscos
5. Ponto final
Agenda
4. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
Cybersecurity
The Global Risks Report 2019
5. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
• Controlador e operador
• Solução SaaS, prestador de
serviço e parceiro de negócio
• Financeiro (CorBan, Agente
Autônomo, FinTech, etc.)
• Seguradora, corretora, e
segurado
• Adquirente e estabelecimento
• HealthTech e outros
Cybersecurity
6. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
https://www.cnbc.com/2019/11/01/jobs-companies-need-cybersecurity-
workers-as-attacks-intensify.html
7. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
8. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
Consequências
4.4Bfiles exposed on public S3 buckets in
July 10th 2020 (buckets.grayhatwarfare.com)
• ~90% concedem privilégios
excessivos e publicam
informações indevidas
• ~75% sem logs/trilhas de
auditoria
9. Contexto
What’s going on…
• Reconhecimento do impacto do
risco cibernético para o negócio
• Aumento na complexidade das
cadeias de suprimentos
Cybersecurity
4MInformation security professionals
shortage in 2019 ((ISC)2 Cyber Security
Workforce Study)
Serviços de nuvem
94%of workloads will be in the cloud in
2021 (Cisco Global Cloud Index 2019)
95%of cloud security failures through
2025 will be the customer’s fault
(Gartner – Is the Cloud Secure?)
Consequências
10. Alguns desafios
Winter is coming
On premises
• Ambiente estático
• Papéis e responsabilidades definidos
• O perímetro é o obstáculo inicial
• Variedade de tecnologias
Serviços de nuvem
• Ambiente dinâmico
• Novo modelo de atribuições e responsabilidades
• Autenticação é o obstáculo inicial
• API pública
11. Algumas oportunidades
Old problems, new friends
API pública IAM
• Processo de integração simplificado
• +7.000* ações/eventos
• Security as code
* Na AWS, por exemplo.
• Granularidade
• Guard-rails
• Automação
“…77% of those cloud breaches
also involved breached
credentials."
DBIR de 2020 página 27
12. Algumas oportunidades
Old problems, new friends
Shared responsability model Automação
Credit: Ory Segal (@orysegal)
• CI/CD pipeline
• Incident response
• Security assessment
• Security as code
• Cloud Security Posture
Management (CSPM)
13. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
14. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
“No apparent difference in security outcome when
comparing organizations with extensive third-party
evaluation processes to those with none.”
Gartner Outlook for Cloud
Security 2019
15. Governança e gestão de riscos
• Análise de entrevistas e amostras
• Permissões de acesso privilegiadas
• Dias ou semanas
• SAQs anuais ou security ratings
• Gestão de relatórios, planilhas e documentos
• Coleta e análise automatizada de segurança
• Privilégio mínimo
• Minutos ou dias
• Avaliações objetivas, contínuas, e abrangentes
• Automatização e integração (tickets, GRC, etc.)
17. Governança e gestão de riscos
• Sim, você pode utilizar computação em nuvem.
• Embora os principais provedores de serviço de
nuvem possuam datacenters no Brasil, não é
obrigatório que os dados estejam no Brasil.
Posso estar em conformidade com
LGPD e BACEN 4658 usando
computação em nuvem? Os dados
precisam estar necessariamente no
Brasil?
Art. 16. A contratação de serviços relevantes de
processamento, armazenamento de dados e de
computação em nuvem prestados no exterior
deve observar os seguintes requisitos:
I – A existência de convênio para troca de
informações entre o Banco Central do Brasil e as
autoridades supervisoras dos países onde os
serviços poderão ser prestados; (…)
(Resolução 4.658)
Art. 33, incisos I, II, III, IV, V, VI, e VII.
Art. 5, inciso XII.
Art. 7, incisos II, V, e VI.
(LGPD)
Referências:
https://www.bcb.gov.br/acessoinformacao/legado?url=https:%2F%2Fwww.bcb.gov.br%2Ffis%2Fsup
ervisao%2Fmemsupervisao.asp%3Fidpai%3DSUPERVISAOSFN (países conveniados com o BACEN)
https://cloudblogs.microsoft.com/industry-blog/pt-br/financial-services/2019/04/18/computacao-
nuvem-segmento-financeiro/
https://www.conjur.com.br/2020-mar-31/tribuna-defensoria-lgpd-tratamento-dados-assistidos-
defensoria
18. Governança e gestão de riscos
• Não, os principais provedores de serviço de
nuvem podem atender individualmente aos
requisitos da resolução sob sua responsabilidade.
• Geralmente esta pergunta está associada aos
requisitos de continuidade de negócio da 4658
(vide ao lado). Estes requisitos podem ser
atendidos com a definição correta de arquitetura
e serviços complementada com um plano de
continuidade que contemple os serviço de nuvem
documentado junto ao BACEN.
Para estar em conformidade com a
resolução BACEN 4658 eu preciso de
um segundo provedor de serviços de
nuvem?
Art. 19. As instituições referidas no art. 1º devem assegurar que
suas políticas para gerenciamento de riscos previstas na
regulamentação em vigor disponham, no tocante à continuidade
de negócios, sobre:
I - o tratamento dos incidentes relevantes relacionados com o
ambiente cibernético de que trata o art. 3º, inciso IV;
II - os procedimentos a serem seguidos no caso da interrupção de
serviços relevantes de processamento e armazenamento de
dados e de computação em nuvem contratados, abrangendo
cenários que considerem a substituição da empresa contratada e
o reestabelecimento da operação normal da instituição; e
III - os cenários de incidentes considerados nos testes de
continuidade de negócios de que trata o art. 3º, inciso V, alínea
"a".
Art. 20. Os procedimentos adotados pelas instituições para
gerenciamento de riscos previstos na regulamentação em vigor
devem contemplar, no tocante à continuidade de negócios:
I - o tratamento previsto para mitigar os efeitos dos incidentes
relevantes de que trata o inciso IV do art. 3º e da interrupção dos
serviços relevantes de processamento, armazenamento de dados
e de computação em nuvem contratados;
II - o prazo estipulado para reinício ou normalização das suas
atividades ou dos serviços relevantes interrompidos, citados no
inciso I; e
III - a comunicação tempestiva ao Banco Central do Brasil das
ocorrências de incidentes relevantes e das interrupções dos
serviços relevantes, citados no inciso I, que configurem uma
situação de crise pela instituição financeira, bem como das
providências para o reinício das suas atividades.
(Resolução 4.658)
19. Ponto final
Minimizar a superfície de ataque e impacto
Proteger o Control Plane
Eliminar e automatizar atividades operacionais
Preparar para monitoração e resposta
Arquitetura e gestão de privilégios são contrapiso!
Avaliar e gerir sua conformidade e de terceiros de
forma objetiva, contínua, e abrangente
Não faça lift & shift da segurança!!!
Arquitetura (DIE model, native solutions)
Scan de vulnerabilidade
Teste de penetração
Modelo de responsibilidades
No native solutions
Security ratings
3rd party risk management
Análise do Control Plane é fundamental