O processo de transformação digital a qual empresas recorrem sempre exige um nível de complexidade bastante exigente para as equipes de Segurança da Informação. No contexto do Banco Inter, não foi diferente: ao decidir abdicar das agências físicas, todas as criações de novas contas passaram a cobrar a expansão dos datacenters da companhia. Com isso, a instituição decidiu que seria mais vantajoso promover a partir dali a migração para um ambiente de nuvem.
Mas, durante as tratativas com o Banco Central para que fosse autorizada a operação, a necessidade de se manter o controle do tráfego de saída dos usuários se transformou em um grande desafio, uma vez que as fornecedoras de cloud não oferecem soluções adequadas para esse tipo de controle.
Nesses casos, as primeiras reações das empresas envolvem aplicar elas próprias os métodos de controle e proteção. Entretanto, isso leva a degradações no ambiente de nuvem, o que desencadeia todo um processo de desligamento de funções protetivas, que aumentam o risco para os dados da empresa.
“Querendo ou não, a área de Segurança sempre chega a um certo patamar de workloads e ferramentas, mas não se sabe o que aquilo tudo está agregando ao negócio propriamente. Falamos muito que o profissional de Cyber Security precisa entender do negócio e é justamente isso que temos que fazer nessas horas, já que não é algo que virá do negócio”, considerou o Gerente Executivo de SI do Inter, Douglas Rocha durante apresentação do case no Congresso Security Leaders.
Assim, para resolver o problema de controle de tráfego sem ter que manter um controle operacional exaustivo para as equipes internas, o Banco Inter buscou em parcerias no mercado de cibersegurança soluções para eliminar a preocupação com inspeção de movimentos dentro do ambiente. A instituição delegou esse processo a um terceiro, uma vez que esse não é o core business que a organização deve se preocupar. No fim, essa solução foi encontrada através da parceria com a ZScaler.
“Era uma premissa tirar essas validações de dentro do ambiente, buscando um ganho de inspeção, que não será desativada, e em escala. Então a performance está toda movida na nuvem do parceiro para que esse controle seja feito. Minha preocupação é apenas com as regras a serem habilitadas e como será o meu tratamento diante daquilo que for alertado. Esse foi o ponto primordial para o nosso projeto”, comentou Rocha.
Para o Regional Director na Zscaler, Thiago Magro, a parceria foi extremamente valiosa, pois contou com os intensos avanços de maturidade em Cyber Security do Banco Inter, dono de uma cultura baseada na proteção de dados e com a aplicação de uma solução pouco visada no mercado, mas que é capaz de garantir uma camada de Segurança dos workloads da companhia desde o primeiro dia de aplicação.
“Algo muito bacana que ouvimos do pessoal de arquitetura do Banco Inter durante os testes dos features foi que eles testam tudo o que eles vão usar até quebrar. Caso ele não quebre, aí talvez nós compremos. Então foi um enorme prazer participar dessa jornada com toda a companhia, desde o começo até agora. E mesmo aqui vejo um futuro brilhante para essa parceria e contribuição mútua”, garantiu o executivo.
Zero Trust para colaboradores e fornecedores
A apresentação do case também abordou largamente sobre a jornada Zero Trust focada em funcionários e fornecedores, já que foi um passo natural dado durante a parceria entre as duas empresas. Isso se deu uma vez que o processo de migração para a nuvem facilitava a filtragem dos acessos desses dois tipos de usuários, preservando o foco de não manter uma quantidade desnecessária de aplicações de proteção a eles.
Com isso, é possível manter controle terceirizado sobre as saídas de internet das APIs e aplicações mantidas pelo banco, como também manter a vigilância sobre a conectividade que os usuários estão tendo, para saber se estão usando equipamentos validados e com todas as proteções. Assim, ao Inter ficou apenas com a responsabilidade de definir regramentos e políticas de acesso para parceiros e colaboradores.
“É principalmente importante conseguir filtrar o que o meu fornecedor está acessando no meu ambiente. O usuário tem o seu uso fatídico, mas os fornecedores não têm muitos padrões de acesso. Agora é possível determinar regras específicas para cada um. Com isso, eu monto uma arquitetura mais robusta para eles e só estabeleço as regras de acesso”, comentou o Líder de Segurança da Informação do Inter.
A apresentação do case de sucesso está disponível na íntegra no canal da TVSecurity no Youtube.