Resenha Conformidade

Prévia do material em texto

Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 9
Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 25.
A obra: “Secom: Gerindo Segurança da Informação em um mundo perigoso.” foi escrita pelo professor F. Warren McFarlan, o professor Robert D. Austin, o pesquisador Junko Usuba e o diretor executivo Masako Egawa do Japan Research Center da Havard Business School. Também teve o auxílio em entrevistas do pesquisador Associado Chisato Toyama.
O trabalho apresenta o processo de análise e de tomada de decisão do diretor executivo da empresa Jashopper, chamado Mamoru Sekine, sobre o futuro e a proteção de dados de sua empresa ao contratar uma empresa para implementação de um modelo seguro de segurança da informação.
É nos apresentado então pelos autores um panorama da situação vulnerável pela qual passa o Japão naquele período, com várias notícias de vazamentos ilegais de dados mesmo com a Lei de proteção de Informações pessoais em vigor. Depois, nos é apresentado a Jashopper, uma empresa de comercio eletrônico no Japão e o Grupo Secom, que era o maior provedor de serviço de segurança no Japão. Por fim, nos é apresentado a decisão de produto para a Jashopper e as soluções implementadas na empresa.
A obra nos conta o caso da empresa Jashopper, uma empresa Japonesa de comércio eletrônico que enfrenta um período crítico diante de vários casos de vazamento de informações. No mesmo período, houve a implantação da Lei de proteção de Informações pessoais, na intenção de conter os vazamentos, contudo, sem sucesso. Um grande volume de ataques aos sistemas de segurança das empresas Japonesas e as ameaças constantes de vazamento de dados levou Mamoru Sekine a buscar novas opções de soluções e projetos de segurança para solucionar seus problemas.
 
Em 2006 houve um pico no uso de internet no Japão com uso de computadores pessoais ou telefones. Contudo, junto com o aumento de uso, também houve um aumento de ataques e roubo de dados. No trabalho é nos exemplificado, dentre outros, o caso da Softbank, que, em 2004, anunciou o vazamento de dados de 4,5 milhões de usuários, o que gerou uma estimativa de e ¥10 a ¥20 bilhões em indenizações para clientes. A fim de proteger os clientes, foi implementado pelo governo japonês a Lei de Proteção de Informações pessoais, que era aplicada para empresas com banco de dados de mais de 5.000 identidades pessoais. No caso de vazamento de informação, as empresas ou até mesmo os indivíduos eram punidos pela lei. Essa lei só entrou em vigor em 2005. Tudo isso levou Sekine a pensar sobre como todas essas mudanças impactariam seu negócio. Como já mencionamos, a Jashopper é uma empresa de comércio eletrônico. Para fazer uma compra, os clientes tinham que registrar dados pessoais (nome, endereço, data de nascimento, cartão de crédito) e a Jashopper possuía uma base forte de clientes com pelo menos 600.000 usuários registrados. 
 
A Secom Trust System, uma empresa renomada mundialmente, que começou em 1962 como o primeiro serviço de segurança do Japão e, ao longo dos anos, foi crescendo exponencialmente até se firmar como uma marca conhecida e uma empresa de segurança dominante no Japão. Atualmente, a Secom Trust System (Secom TS) oferece uma grande variedade de serviços em soluções como centro de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria. Como citado na obra, uma das principais características da segurança da SECOM era seu Secure Data Center (SDC), que afirmava ter um dos mais elevados padrões de segurança no Japão e no mundo que oferecia serviços como hospedagem de servidores de Internet, ferramentas de segurança como firewalls e monitoramento de hackers 24/7 que eram feitas pelo Serviço de Detecção e Prevenção de Invasão (IDS/IPS), serviços de monitoramento, incluindo ambiente físico e certificação SSL.
 
As empresas Jashopper e Secom se cruzaram quando os produtos e serviços de segurança virtual utilizada pela Jashoper estava pra ser renovada. A Secom enviou três proposta com vários produtos se segurança: a primeira alternativa, e a mais barata, era usar o serviço de alojamento avançado. A Secom ofereceu um pacote com tudo, incluindo segurança tanto física quanto virtual. Melhoraria a segurança do site EC e forneceria um ambiente com tolerância a falhas com tecnologia e estrutura antissísmica e rede excedente
 
A segunda opção seria instalar um sistema de identificação e controle de acesso, além do serviço de alojamento avançado. Essa solução consistia em implantar uma série de tecnologias para controle de acesso às instalações da empresa e soluções de controle de identidade, como Cartão ID One que controlaria o acesso a entradas, redes e computadores, uma fechadura elétrica que controlaria o acesso as entradas e auditava operações por meio de relatórios, o SmartOn, tecnologia que controlava o acesso aos computadores e especificava aplicativos autorizados para cada indivíduo.
 
A terceira opção seria adicionar um serviço para acessar a vulnerabilidade da segurança física e virtual. Com isso a Jashopper poderia auditar e analisar o nível de segurança da sua empresa observando 4 pontos de vista: organizações, sistema e políticas; segurança física; controle de acesso aos dados; e segurança de rede. Tudo isso seria aplicado utilizando o serviço de Avaliação de Segurança Total da Secom. Com ela, seria possível mitigar e esclarecer a tolerância de risco da empresa e identificar propriedades e custo de várias medidas de segurança.
 
Todas as propostas eram boas, mas deixava uma questão na mente de Sekine: Quanto ele deveria estar disposto a gastar? Quanto de segurança era suficiente para manter a empresa segura? A preocupação com a segurança da Informação é uma das maiores preocupações existentes hoje nas empresas. Cada vez mais, as organizações governamentais têm estipulado Leis e normas para proteção de dados dos usuários, o que tem levado as empresas a cada vez mais se adequarem a essa nova realidade. Talvez, para muitos empresários, investir em segurança não seja uma prioridade por, visivelmente, não trazer um lucro ou um retorno financeiro. Acredito que a melhor analogia que podemos fazer é a do seguro de carro: não fazemos o seguro de carro para bater o carro. É um investimento "perdido". Mas, caso o acidente ocorra, há o seguro para resguardar seu patrimônio. O investimento em segurança protege um bem de valor inestimável, que é a informação. Muitas empresas só observam que deveriam proteger seus dados quando ocorre o incidente. Como dito no artigo, Sekine enfrentou esse mesmo dilema, contudo, ele sabia que precisava fazer o investimento. Mas em quê focar? Treinamento? Pessoal? Sekine sabia que 70%-80% dos incidentes de vazamentos de informações eram causados por pessoas de dentro da empresa e que aproximadamente 47% das causas de vazamento de identificação pessoal eram por erro humano. Como ele seria capaz de proteger seus clientes e o que ele precisava fazer sendo que empresas bem maiores tentaram e falharam? Portanto, ele sabia que nenhuma quantidade de gasto era suficiente para garantir que nunca houvesse um problema. Mas ele estava disposto a investir e a fazer o que fosse necessário para sua empresa.