FICHAMENTO CONFORMIDADE COM NORMAS E REGULAMENTAÇÕES EXTERNAS

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
Fichamento de Estudo de Caso 
 
 
IRAN DA SILVA RAMOS 
 
 
 
 
Trabalho da disciplina: CONFORMIDADE COM NORMAS E REGUL. EXTERNAS 
Tutor: Professora SHEILA DE GÓES MONTEIRO 
 
 
 
RIO DE JANEIRO 
2017 
 
 
 
 
 
ESTUDO DE CASO: 
 
CONFORMIDADE COM NORMAS E REGUL. EXTERNAS 
Harvard Business School - Secom: Gerindo Segurança da Informação em um 
Mundo Perigoso. 
 
REFERÊNCIA: MC FARLAN, AUSTIN, KOUSUBA E EGAWA. - Harvard Business 
School - Secom: Gerindo Segurança da Informação em um Mundo Perigoso 
 
O caso inicia-se tratando da questão da gestão da segurança da informação em um 
mundo perigoso, envolvendo aspectos relevantes no que diz respeito ao vazamento 
de informações de dados pessoais a um nível tão crítico ao ponto de se tornarem 
matéria diária nos jornais e noticiários. Aborda os conceitos e as finalidades da Lei 
de Proteção de Informações Pessoais que entrou em vigor no Japão além de 
apresentar como empresas, tanto pequenas como grandes corporações com 
tecnologias sofitsticadas, foram afetadas por vazamentos de informações pessoais. 
 
O caso mostra ainda as principais preocupações e atitudes a serem tomadas pelo 
Diretor Executivo da Jashopper - empresa pequena na internet, Mamoru Sekine, 
quanto às licenças de vários serviços informáticos de segurança que seriam 
renovados. O custo destes serviços tinha uma relação íntima com a rentabilidade 
conquistada com esforço de sua empresa e, por isso, buscava-se por 
renegociações com melhores acordos com fornecedores de TI para maximizar os 
fundos investidos e reduzir as despesas. 
 
Diversas dúvidas passaram pela cabeça de Sekine quanto a relação entre custos e 
segurança: Os produtos valeriam o investimento? Quanta proteção era suficiente? 
Suas decisões mudariam se sua empresa decidisse abrir seu capital em alguns 
anos? A Jashopper.com estava crescendo e com uma base de clientes forte. Sekine 
sentiu que pode seria ser forte e considerava uma oferta pública inicial (IPO) para 
ganhar fundos para aumentar o negócio. 
 
Com o uso frequente da internet no Japão em 2006 ultrapassando a marca dos 85 
mil usuários, mais de 65% da população já possuía internet em seus computadores 
e dispositivos móveis e, mais da metade desses, experiência com compras na 
internet. No entanto, esse crescimento foi acompanhado por um aumento de roubos 
de identidade e preocupação elevada entre o público. 
 
Como contramedida, o governo japonês decretou a Lei de Proteção de Informações 
Pessoais que se aplica a empresas que administram banco de dados com mais de 5 
mil identidades pessoais. Com isso, as empresas detentoras das informações de 
seus clientes eram cerceadas a agir dentro da finalidade proposta quando adquirida. 
Dessa forma, a administração e a proteção das informações pessoais tornaram-se 
uma questão de conformidade, fazendo com que essas empresas cumprissem com 
o regulamento ao aplicar segurança de rede, instalando novas políticas 
empresariais, contratando agentes de segurança de informação e dentre outros 
requisitos. 
 
A americana Sarbanes-Oxley também foi utilizada na tentativa de fechar algumas 
brechas de segurança que continuavam mesmo após o decreto da Lei de Proteção 
de Informações Pessoais. A SOX exigia uma maior implementação de controles 
internos para melhoria na administração das informações da empresa. 
 
A Secom que oferecia serviços de patrulha com seguranças, apresentou-se como o 
maior provedor de serviço de segurança no Japão. Após ser cotada na Bolsa de 
valores de Tóquio, entrou em fase de expansão estrangeira e diversificada. Em 
1980, a Secom expandiu seus negócios como novas mídias. Foi nesta época que se 
apresentou no negócio da Segurança da Informação. Como uma empresa de 
segurança dominante, se estabeleceu como uma marca forte associada a 
segurança e proteção. A Secom era dona da maior rede de computadores do 
Japão, sobrepondo qualquer outra grande empresa ou negócio de tecnologia da 
informação. A empresa obteve um ganho significante em conhecimento quando se 
fala em construção, administração e segurança de redes de computadores. 
 
A Secom TS dispõe de uma vasta variedade de serviços como centros de dados, 
auditorias de segurança, serviços de detecção de invasor, certificação digital e 
serviço de consultoria, oferecendo, em conjunto com sua Matriz, a Secom, 
segurança de informação tanto virtual quanto física. 
 
Além disso, a Secom tinha mais de cinco anos de experiência e protegia mil 
servidores com o Serviço de Detecção de Intrusão e ainda fornecia segurança física 
e fontes alternativas de energia para os servidores. Isso fez com que Sekine 
pensasse em como esses produtos poderiam ajudar aumentar o nível de segurança 
da informação sem aumentar a equipe de TI da Jashopper. 
 
Sekine tinha a certeza de que sua empresa havia maturidade suficiente ao lidar com 
os infortúnios de segurança. Sua pequena equipe de TI, embora com aprendizados 
diversos e de forma corrida, tinha-se a crença de que um patamar elevado quando 
se fala em medidas padrão de segurança. Eles tinhas constituído uma política e 
diretrizes de segurança corporativa e usavam produtos de segurança disponíveis e 
respeitados no mercado. Porém, com surto recente de violações de segurança, ele 
se perguntava se precisava começar do zero, utilizando a Secom como balizadora 
desse novo projeto já que a empresa oferecia vários serviços de avaliação de 
segurança identificando fraquezas na rede, sistema e local físico que poderiam levar 
a violações de segurança. 
 
Contratar não só um diretor de TI mas um diretor capacitado para trabalhar como 
gestor da segurança da informação. Sua maior preocupação era com os 
vazamentos de informações causados por pessoas de dentro do negócio que 
chegavam a 80% dos incidentes. 
 
Ver as atividades relacionada a segurança terceirizadas era interessante para 
Sekine visto os recursos limitados da Jashopper. Dessa forma, mesmo a Secom TS 
através de seu representante foi explícita em dizer que mesmo com grandes 
investimentos e custos é necessário reconhecer que não há uma garantia perfeita 
de que nunca haveria problemas com segurança. No entanto deve-se buscar um 
balanceamento entre o custos e risco aceitável.