Trabalho Fundamentos de Segurança da Informação - Estacio

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Moisés Cardozo de Paula
Trabalho da disciplina Fundamentos De Segurança Da Informação 
Tutor: Prof. 
Paragominas
2018
CABEÇALHO: 
Pós Graduação Em Segurança Da Informação
Secom: GerindoSegurança da Informação em um Mundo Perigoso
REFERÊNCIAS: 
MC FARLAN, F. Warren et al. Secom: Gerindo Seguran ç a da Informa çã o em um Mundo Perigoso. 2008. 21 p. estudo de caso (professor)- Harvard, [S.l.], 2016. Disponível em: <http://pos.estacio.webaula.com.br/Biblioteca/Acervo/Basico/PG0085/Biblioteca_18563/Biblioteca_18563.pdf>. Acesso em: 17 ago. 2018. 
O trabalho dos autores baseia-se na história de um executivo japonês perguntando-se sobre os rumos que sua jovem empresa deve tomar quanto a segurança da informação. Essa preocupação é impulsionada pela lei de proteção de dados japonesa, decretada em abril de 2004.
A empresa, chamada de Jashopper, tem seu negócio baseado em compras pela internet. O que a empresa faz é agregar em seu site vários lojistas que anunciam seus produtos e vem diretamente pelo Jashopper.com, semelhante a sites populares no Brasil como, por exemplo, MercadoLivre.com ou AliExpress.com, funcionando como um grande shopping virtual. Apesar de ser uma empresa jovem tinha preocupação com os dados de seus usuários, tanto para não manchar a sua imagem para com os consumidores, como para proteger dados sensíveis aos negócios da empresa. Essa preocupação é extremamente válida para os anos de 2004 no Japão, pois invasões a sistemas e roubo de identidade eram notícia comum nos jornais da época.
Essas notícias e o grande aumento nesse tipo de ocorrência fizeram com que as autoridades japonesas pensassem em como pressionar as empresas a cuidarem mais dos dados dos usuários. Com isso, foi criada a lei de proteção de informações pessoais, visando que as empresas e fornecedores de serviços, independente de ser um negócio físico ou virtual, começassem a proteger as informações de seus clientes e usuários, evitando que pessoas mal-intencionadas se apropriassem de dados de terceiros. A lei previa que empresas com banco de dados com mais de 5 mil registros de identidades pessoais somente poderiam usar aqueles dados para fins explicitamente declarados no momento que a informação foi adquirida, com adendo que essas empresas tinham agora que, por obrigação, cuidar para que esses dados fossem mantidos seguros e não vazassem sobre nenhuma hipótese, caso contrário a empresa e/ou indivíduos envolvidos no vazamento seriam punidos.
As empresas japonesas corriam para se adequar à nova lei e mesmo assim brechas na segurança continuavam e vazamento ainda eram frequentes, tanto que de abril a junho do ano de 2005, cerca de 43 casos de vazamento e roubo de identidade ocorreram em grande escala.
Além disso, outras leis estavam a caminho de serem aprovadas, como a lei que visava que empresas guardassem documentos eletrônicos, os quais também entrariam na lei de proteção da informação pessoal.
Durante um bom tempo escândalos de vazamento povoavam os jornais e vendo notícias assim, o executivo da Jashopper se deparava com várias propostas de empresas de segurança da informação. Sabendo ele a importância disso para o seu negócio, começou a analisar as propostas de uma das maiores empresas japonesas do ramo, a SECOM.
A SECOM começou como uma empresa de segurança particular em 1962, foi a primeira empresa do Japão nesse ramo de mercado e venceu vários desafios em sua história, sendo responsável até pela segurança de eventos grandes no Japão, como as Olimpíadas de Tóquio em 1964, o que a rendeu reconhecimento imediato do público japonês. O grande diferencial da SECOM foi decidir passar de patrulha local para uma patrulha virtual, mandando guardas ao local quando necessário. Isso surgiu na empresa devido a um de seus fundadores notar como era difícil gerir uma equipe tão grande e separada. Resolveu, então, colocar sensores e câmeras nos locais que protegia. Quando um sensor era disparado, ou algo estranho aparecia em uma câmera, uma equipe de patrulha era enviada ao local para averiguar e tomar as medidas necessárias. No início, a SECOM perdeu cerca de 30% de seus clientes, mas com o tempo novos clientes aderiram ao conceito e a empresa tornou-se líder de mercado nesse seguimento.
Como o fluxo dessa informação era muito grande, a SECOM começou a entrar no mercado de tecnologia e gestão de informações, pois a cada novo ano a sua rede crescia com novos clientes, assim como a necessidade de aumenta sua capacidade de gerir e assegurar essa informação toda. Com o tempo a SECOM se segmentou, gerando com isso uma divisão especializada em segurança da informação e que agrega vários serviços na área, tais como geração de certificados, auditoria, hospedagem de serviços, entre outros.
Ao enviar para Jashopper três propostas de serviço, a SECOM oferecia 3 alternativas de configurações e preços para uma empresa ainda nova no mercado. As propostas eram:
1 – O mais barato era um pacote de alojamento avançado com a SECOM dando todo o suporte tanto físico, como virtual, melhoria do site, tornando menos suscetível a ataques e vírus, em um ambiente antissísmico;
2 – Alojamento avançado de um sistema de identificação no local, onde só teria acesso a partes da empresa pessoal autorizado através de um cartão de identificação, para controlar entrada e saída de pessoal;
3 – Plano de auditoria da empresa que passaria por quatro etapas:
I - Organizacional e política; 
II - Segurança física;
III - Controle ao acesso dos dados; e
IV - Segurança da rede.
Ao ver as propostas, a Jashopper deve ter noção de perguntas fundamentais para qualquer investimento em segurança da informação. São elas:
 1 – Qual o nível atual da segurança da informação da empresa?
 2 – Quais os riscos do negócio e consequências caso as informações vazem?
 3 – Qual a importância de manter os dados seguros?
 4 – O que pode ser ignorado ou relevado?
Após essas perguntas serem respondidas a Jashopper poderá escolher se deve contratar uma empresa que faça os serviços necessários ou investir em uma estrutura própria de segurança, pois é necessário, para que se tenha uma boa gestão de segurança da informação, saber quais os riscos e quão importantes são essas informações.
LOCAL EM QUE ENCONTRA A OBRA : Biblioteca virtual da Universidade Estácio de Sá