Conformidades Normas e Reg Ext Resenha Critica Iago Barreto

Prévia do material em texto

1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
UNIVERSIDADE ESTÁCIO DE SÁ 
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 
 
Resenha Crítica de Caso 
Iago Sousa Barreto 
 
 
 
Trabalho da disciplina 
Conformidades com Normas 
e Regulamentações Externas 
 Tutor: Prof. Regina Lucia 
Napolitano Felicio Felix 
Batista 
 
 
Salvador 
BA
2 
 
 
 
 
 
 
 
SECON: GERINDO SEGURANÇA DA INFORMAÇÃO EM 
UM MUNDO PERIGOSO 
 
 
Referência: MCFARLAN, F. Warren; ROBERT, D.Austin; USUBA, Junko; 
EGAWA, Masaco - Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso. Harvard Business School, Cambridge, 22 Abril 2008. ISSN 9-308-015 
 
O presente estudo de caso relata as preocupações de Mamoru Sekine, diretor 
executivo da empresa Jashopper, em relação a implementação da nova lei de 
proteção de dados que entrava em vigor no Japão, e aos constantes casos 
referentes a violação de dados que já estavam rendendo publicações nas páginas 
dos jornais. O seu dilema em tentar achar soluções para renovação dos serviços de 
segurança da empresa o fizeram chegar a Secon Trust System (Secom TS), uma 
empresa de rede de integração e segurança da informação. 
A Jashopper, é uma empresa pequena na Internet, organizou um site de 
comercio eletrônico onde os varejistas pagavam para ter uma loja virtual. Cliente 
japoneses visitavam seu site para comprar uma vasta gama de produtos. Para fazer 
compra os clientes tinham que registrar dados pessoais como nome, endereço, data 
de nascimento, Sekine sentiu que seu negócio era forte e estava considerando uma 
oferta pública (IPO) para ganhar fundos e aumentar o negócio. 
Com o constante aumento do uso da internet no Japão detectou-se que mais 
de 36,3% tinham experiência com compras na Internet e todo esse aumento no uso 
da internet veio acompanhado de roubos de identidade e ataques cibernéticos. 
Como exemplo é citado alguns casos como o da Softbank BB, dona do maior 
provedor do Japão, o Yahoo! BB, que anunciou o vazamento de dados de 4,5 
milhões de usuários, a Kakaku.com, site de comparação de preços perdeu registro 
de 20.000 clientes para hackers. 
Como forma de proteção aos clientes de roubos de identidade, o governo 
japonês decretou a lei de Proteção de Informações Pessoais em abril de 2004. Essa 
3 
 
lei se aplica a empresas que administram banco de dados com mais de 5.000 
identidades pessoais. Diante disso era proibido que as empresas utilizassem 
informações pessoais para fins outros que não os explicitamente declarados no 
momento que a informação foi adquirida. A administração e proteção de informações 
de identificação pessoal se tornaram uma questão de conformidade e no caso de 
vazamento de informações, as empresas ou até mesmo os indivíduos eram punidos 
pela lei. Diante de todos esses acontecimentos Sekine refletiu sobre as propostas de 
serviço do grupo Secom TS para implementação de segurança na sua empresa. 
A empresa Secom começou em 1962 quando Makoto Iida, juntamente com 
Juichi Toda, constituíram a Japan Patrol Security Coporation, o primeiro serviço de 
segurança do Japão. A empresa oferecia serviços de patrulha com seguranças, 
conforme o negócio crescia em 1966, a Secom introduziu o “Alarme de Patrulha de 
Segurança (SP)”, um sistema de vigilância remoto que contava com sensores para 
pegar invasores e detectar incêndios. Quando os sensores detectavam 
irregularidades, a Secom enviaria sua equipe para investigar a situação. Em 1974 
veio a fase de expansão e diversificação da empresa onde a mesma começou a ser 
cotada na Bolsa de Valores de Tóquio, em 1980 expandiu para o mercado de novas 
mídias e na mesma época diversificou para o negócio de segurança da informação. 
A Secom diante dos investimentos em diversos empreendimentos teve o 
impulso para alavancar seus conhecimentos de rede já obtidos através do seu 
negócio de segurança principal. Em 1984, a Secom era dona da maior rede de 
computadores do Japão, maior que a de qualquer grande corporação ou negócio de 
tecnologia da informação. Através de sua operação, a empresa ganhou extenso 
conhecimento em construção, administração e segurança de redes de 
computadores. Em 1991, aprimorou sua experiência com a internet através do 
empreendimento provedor de Internet para empresas (Tokyo Internet), em 1999 
houve a consolidação de todos os empreendimentos relacionados a Secom Trust 
Net e em 2006 a Secom Trust System Co, Ltd foi fundada da fusão da Secon 
Information System e da Secom Trust Net para fornecer segurança de informação 
abrangente e serviços de integração de sistemas de rede. 
Além de toda variedade de serviços oferecidos pela Secom TS como centro de 
dados, auditorias de segurança, serviços de detecção de invasor, certificação digital 
e consultoria o diferencial deles estava no seu Secure Data Center (SDC), que 
possuía um alto padrão de segurança tanto física como virtual 24h por dia, 365 dias 
4 
 
por ano, a experiência física era baseada na experiência da Secom no negócio de 
segurança nos últimos 40 anos. 
Conforme relatado no estudo de caso, Sekine teria que tomar uma importante 
decisão referente a administração de seus servidores. Atualmente a Jasphopper 
usava uma empresa locadora de servidores e estava considerando atualizar seus 
servidores antecipando sua expansão. Diante disso surge algumas opções, comprar 
seus próprios servidores e armazena-los em sua propriedade ou alugar um espaço 
em um alojamento e tinha também a possibilidade de alugar servidores em um 
centro de dados. 
A Secom TS possui serviços prestados através do seus SDC como o de 
hospedagem de servidores onde a própria Secom fornecia o servidor, a 
configuração, a conexão de Internet e serviços de informação 24h todos os dias do 
ano. O diferencial desse serviço estava na inclusão do IDS (Serviço de Detecção de 
Invasão). Outra opção seria o serviço de alojamento avançado, nesse caso a Secom 
abrigaria os servidores no SDC. O cliente era responsável por comprar e configurar 
o servidor. Grande parte das ferramentas oferecidas no IDS estava incluída com 
exceção da certificação de servidor SSL. O grande destaque vem pela parte de 
infraestrutura fornecida como climatização, geradores alternativos, rede transporte 
da internet e alta segurança física. 
Outro detalhe a ser analisado por Sekine era que outros clientes de grande 
porte como a Glaxo Smith Klein Japan, ligada a maior empresa britânica 
farmacêutica, também fazia uso do serviço de alojamento avançado o que daria 
mais respaldo e confiança a Jeshoppe de fazer uso do mesmo serviço de uma 
empresa de referência. 
Dentre os serviços de monitoramento e proteção, a Secom TS tinha o IDS que 
era o sistema de detecção de intrusos onde era feito a análise do fluxo de 
informações e detectar possíveis ameaças. Esse monitoramento era feito 24 horas 
por dia, 365 dias do ano e caso fosse detectado algum intruso de alto risco o cliente 
era imediatamente informado, porem caso Sekine opta-se por esse serviço ele teria 
que dispor de uma equipe capacitada pois a Secom TS fornecia apenas sugestões 
de contramedidas, mas a maioria caberia a própria Jasphopper resolver. Outro 
sistema semelhante ao IDS era o IPS (sistema de prevenção de intrusão) que 
também coletava informações como o IDS, porem os alertas eram baseados e 
ajustados conforme as necessidades dos clientes. Avaliação de vulnerabilidades 
5 
 
eram feitas com maior detalhamento e frequência. Sekine analisou a possibilidade 
de usar ambos os produtos IDS e IPS para aumentar o nível de segurança de 
informação sem aumentar a equipe de TI, porem conforme citado anteriormente no 
caso do uso do produto IDS ele teria que dispor de uma equipe de resposta. Sekine 
também cogita o uso do IDS de forma individualizada por loja listada na 
Jashooper.com, o que nesse caso, talvez fosse mais indicado o IPS, porque poderia 
fazer uso da possibilidade de ajustes conformea necessidade de cada cliente. 
Na parte referente ao sistema de identificação e controle de acesso a Secom 
oferecia um serviço baseado em cartão de acesso, cartão esse que continha um 
chip IC e seria usado como cartão de identificação pessoal servindo para atividades 
como rastreamento de entrada/saída e limitação de acesso aos prédios, salas, 
computadores e laptops. O valor para implantação de um sistema de entrada/saída 
era 1 milhão para uma entrada mais 300.000 para engenharia de sistemas, fora o 
valor de 6000 por cartão configurado. 
É relatado os questionamentos de Sekine sobre até que ponto precisava 
controlar o fluxo físico de informações em seu escritório. 
Sekine analisou dois serviços de certificação digitais apresentados pela Tecom 
TS. Na sua visão dele, proteger seu site com algum tipo de criptografia digital era 
fundamental para proteger a troca e transações de informações tanto com seu site e 
clientes finais. A primeira certificação era a passaporte para web Secom que é era 
um certificado de servidor SSL na qual verificava para os clientes se o site acessado 
realmente era valido, também realizada a encriptação dos dados em 128 bits para 
caso outra pessoa tenta-se clandestinamente monitorar a transação. A segunda 
certificação era o passaporte para membro Secom essa era uma certificação para 
clientes na qual confirmava se o mesmo era um cliente valido após isso instalava um 
certificado no computador do usuário e fazia a checagem no momento do acesso. 
Sekine analisou a possibilidade de emitir um certificado para cada site e 
percebeu que o certificado SSL da Secom TS era bem similar com o logotipo usado 
pela empresa matriz e viu o quanto seria bom para divulgação da sua marca já que 
esse logotipo estava presente em prédios e casas da rua de Tóquio. 
Sekine chegou à conclusão que diante dos surtos recentes de violações de 
segurança ele deveria repensar de uma forma geral a visão de como sua empresa 
deveria lidar com os problemas de segurança. 
Por fim apresentado as propostas pela Secom, Sekine mais uma vez se faz o 
6 
 
questionamento, diante de tantas empresas maiores e mais sofisticada que estavam 
falhando com a segurança, como ele com uma empresa relativamente nova e de 
menor porte poderia proteger seus clientes? Também é relatado seu ponto de vista 
com relação ao processo de treinamento e capacitação de pessoal levando em 
consideração o fato de que boa parte dos incidentes de vazamento de informações 
eram causados por pessoas de dentro do próprio negócio. Diante da proposta da 
Secom TS em centralizar todas as exigências de segurança da informação da 
Jashoper, Sekine se mostrou interessado pois atualmente encontrava-se com 
recursos limitados. Como é relatado durante toda obra Sekine está sempre cercado 
de dúvidas com relação ao nível de segurança que sua empresa precisa ter, e se 
realmente vale a pena todo investimento tendo em vista que independentemente do 
nível de segurança adotado nada está cem por cento seguro e no mundo da 
segurança da informação o objetivo será sempre mitigar os riscos.