Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIVERSIDADE ESTÁCIO DE SÁ ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Resenha Crítica de Caso Iago Sousa Barreto Trabalho da disciplina Conformidades com Normas e Regulamentações Externas Tutor: Prof. Regina Lucia Napolitano Felicio Felix Batista Salvador BA 2 SECON: GERINDO SEGURANÇA DA INFORMAÇÃO EM UM MUNDO PERIGOSO Referência: MCFARLAN, F. Warren; ROBERT, D.Austin; USUBA, Junko; EGAWA, Masaco - Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Harvard Business School, Cambridge, 22 Abril 2008. ISSN 9-308-015 O presente estudo de caso relata as preocupações de Mamoru Sekine, diretor executivo da empresa Jashopper, em relação a implementação da nova lei de proteção de dados que entrava em vigor no Japão, e aos constantes casos referentes a violação de dados que já estavam rendendo publicações nas páginas dos jornais. O seu dilema em tentar achar soluções para renovação dos serviços de segurança da empresa o fizeram chegar a Secon Trust System (Secom TS), uma empresa de rede de integração e segurança da informação. A Jashopper, é uma empresa pequena na Internet, organizou um site de comercio eletrônico onde os varejistas pagavam para ter uma loja virtual. Cliente japoneses visitavam seu site para comprar uma vasta gama de produtos. Para fazer compra os clientes tinham que registrar dados pessoais como nome, endereço, data de nascimento, Sekine sentiu que seu negócio era forte e estava considerando uma oferta pública (IPO) para ganhar fundos e aumentar o negócio. Com o constante aumento do uso da internet no Japão detectou-se que mais de 36,3% tinham experiência com compras na Internet e todo esse aumento no uso da internet veio acompanhado de roubos de identidade e ataques cibernéticos. Como exemplo é citado alguns casos como o da Softbank BB, dona do maior provedor do Japão, o Yahoo! BB, que anunciou o vazamento de dados de 4,5 milhões de usuários, a Kakaku.com, site de comparação de preços perdeu registro de 20.000 clientes para hackers. Como forma de proteção aos clientes de roubos de identidade, o governo japonês decretou a lei de Proteção de Informações Pessoais em abril de 2004. Essa 3 lei se aplica a empresas que administram banco de dados com mais de 5.000 identidades pessoais. Diante disso era proibido que as empresas utilizassem informações pessoais para fins outros que não os explicitamente declarados no momento que a informação foi adquirida. A administração e proteção de informações de identificação pessoal se tornaram uma questão de conformidade e no caso de vazamento de informações, as empresas ou até mesmo os indivíduos eram punidos pela lei. Diante de todos esses acontecimentos Sekine refletiu sobre as propostas de serviço do grupo Secom TS para implementação de segurança na sua empresa. A empresa Secom começou em 1962 quando Makoto Iida, juntamente com Juichi Toda, constituíram a Japan Patrol Security Coporation, o primeiro serviço de segurança do Japão. A empresa oferecia serviços de patrulha com seguranças, conforme o negócio crescia em 1966, a Secom introduziu o “Alarme de Patrulha de Segurança (SP)”, um sistema de vigilância remoto que contava com sensores para pegar invasores e detectar incêndios. Quando os sensores detectavam irregularidades, a Secom enviaria sua equipe para investigar a situação. Em 1974 veio a fase de expansão e diversificação da empresa onde a mesma começou a ser cotada na Bolsa de Valores de Tóquio, em 1980 expandiu para o mercado de novas mídias e na mesma época diversificou para o negócio de segurança da informação. A Secom diante dos investimentos em diversos empreendimentos teve o impulso para alavancar seus conhecimentos de rede já obtidos através do seu negócio de segurança principal. Em 1984, a Secom era dona da maior rede de computadores do Japão, maior que a de qualquer grande corporação ou negócio de tecnologia da informação. Através de sua operação, a empresa ganhou extenso conhecimento em construção, administração e segurança de redes de computadores. Em 1991, aprimorou sua experiência com a internet através do empreendimento provedor de Internet para empresas (Tokyo Internet), em 1999 houve a consolidação de todos os empreendimentos relacionados a Secom Trust Net e em 2006 a Secom Trust System Co, Ltd foi fundada da fusão da Secon Information System e da Secom Trust Net para fornecer segurança de informação abrangente e serviços de integração de sistemas de rede. Além de toda variedade de serviços oferecidos pela Secom TS como centro de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e consultoria o diferencial deles estava no seu Secure Data Center (SDC), que possuía um alto padrão de segurança tanto física como virtual 24h por dia, 365 dias 4 por ano, a experiência física era baseada na experiência da Secom no negócio de segurança nos últimos 40 anos. Conforme relatado no estudo de caso, Sekine teria que tomar uma importante decisão referente a administração de seus servidores. Atualmente a Jasphopper usava uma empresa locadora de servidores e estava considerando atualizar seus servidores antecipando sua expansão. Diante disso surge algumas opções, comprar seus próprios servidores e armazena-los em sua propriedade ou alugar um espaço em um alojamento e tinha também a possibilidade de alugar servidores em um centro de dados. A Secom TS possui serviços prestados através do seus SDC como o de hospedagem de servidores onde a própria Secom fornecia o servidor, a configuração, a conexão de Internet e serviços de informação 24h todos os dias do ano. O diferencial desse serviço estava na inclusão do IDS (Serviço de Detecção de Invasão). Outra opção seria o serviço de alojamento avançado, nesse caso a Secom abrigaria os servidores no SDC. O cliente era responsável por comprar e configurar o servidor. Grande parte das ferramentas oferecidas no IDS estava incluída com exceção da certificação de servidor SSL. O grande destaque vem pela parte de infraestrutura fornecida como climatização, geradores alternativos, rede transporte da internet e alta segurança física. Outro detalhe a ser analisado por Sekine era que outros clientes de grande porte como a Glaxo Smith Klein Japan, ligada a maior empresa britânica farmacêutica, também fazia uso do serviço de alojamento avançado o que daria mais respaldo e confiança a Jeshoppe de fazer uso do mesmo serviço de uma empresa de referência. Dentre os serviços de monitoramento e proteção, a Secom TS tinha o IDS que era o sistema de detecção de intrusos onde era feito a análise do fluxo de informações e detectar possíveis ameaças. Esse monitoramento era feito 24 horas por dia, 365 dias do ano e caso fosse detectado algum intruso de alto risco o cliente era imediatamente informado, porem caso Sekine opta-se por esse serviço ele teria que dispor de uma equipe capacitada pois a Secom TS fornecia apenas sugestões de contramedidas, mas a maioria caberia a própria Jasphopper resolver. Outro sistema semelhante ao IDS era o IPS (sistema de prevenção de intrusão) que também coletava informações como o IDS, porem os alertas eram baseados e ajustados conforme as necessidades dos clientes. Avaliação de vulnerabilidades 5 eram feitas com maior detalhamento e frequência. Sekine analisou a possibilidade de usar ambos os produtos IDS e IPS para aumentar o nível de segurança de informação sem aumentar a equipe de TI, porem conforme citado anteriormente no caso do uso do produto IDS ele teria que dispor de uma equipe de resposta. Sekine também cogita o uso do IDS de forma individualizada por loja listada na Jashooper.com, o que nesse caso, talvez fosse mais indicado o IPS, porque poderia fazer uso da possibilidade de ajustes conformea necessidade de cada cliente. Na parte referente ao sistema de identificação e controle de acesso a Secom oferecia um serviço baseado em cartão de acesso, cartão esse que continha um chip IC e seria usado como cartão de identificação pessoal servindo para atividades como rastreamento de entrada/saída e limitação de acesso aos prédios, salas, computadores e laptops. O valor para implantação de um sistema de entrada/saída era 1 milhão para uma entrada mais 300.000 para engenharia de sistemas, fora o valor de 6000 por cartão configurado. É relatado os questionamentos de Sekine sobre até que ponto precisava controlar o fluxo físico de informações em seu escritório. Sekine analisou dois serviços de certificação digitais apresentados pela Tecom TS. Na sua visão dele, proteger seu site com algum tipo de criptografia digital era fundamental para proteger a troca e transações de informações tanto com seu site e clientes finais. A primeira certificação era a passaporte para web Secom que é era um certificado de servidor SSL na qual verificava para os clientes se o site acessado realmente era valido, também realizada a encriptação dos dados em 128 bits para caso outra pessoa tenta-se clandestinamente monitorar a transação. A segunda certificação era o passaporte para membro Secom essa era uma certificação para clientes na qual confirmava se o mesmo era um cliente valido após isso instalava um certificado no computador do usuário e fazia a checagem no momento do acesso. Sekine analisou a possibilidade de emitir um certificado para cada site e percebeu que o certificado SSL da Secom TS era bem similar com o logotipo usado pela empresa matriz e viu o quanto seria bom para divulgação da sua marca já que esse logotipo estava presente em prédios e casas da rua de Tóquio. Sekine chegou à conclusão que diante dos surtos recentes de violações de segurança ele deveria repensar de uma forma geral a visão de como sua empresa deveria lidar com os problemas de segurança. Por fim apresentado as propostas pela Secom, Sekine mais uma vez se faz o 6 questionamento, diante de tantas empresas maiores e mais sofisticada que estavam falhando com a segurança, como ele com uma empresa relativamente nova e de menor porte poderia proteger seus clientes? Também é relatado seu ponto de vista com relação ao processo de treinamento e capacitação de pessoal levando em consideração o fato de que boa parte dos incidentes de vazamento de informações eram causados por pessoas de dentro do próprio negócio. Diante da proposta da Secom TS em centralizar todas as exigências de segurança da informação da Jashoper, Sekine se mostrou interessado pois atualmente encontrava-se com recursos limitados. Como é relatado durante toda obra Sekine está sempre cercado de dúvidas com relação ao nível de segurança que sua empresa precisa ter, e se realmente vale a pena todo investimento tendo em vista que independentemente do nível de segurança adotado nada está cem por cento seguro e no mundo da segurança da informação o objetivo será sempre mitigar os riscos.
Compartilhar