Fichamento Normas e Regulamentos

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO LATO SENSU EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
nome
Trabalho da disciplina Conformidade com Normas e Regul. Externas
 Tutor: Prof. Sheila de Goes Monteiro
Rio de Janeiro
2017
O caso de Havard
Secom: Gerindo Segurança da Informação em um Mundo Perigoso
MCFARLAN, F. Warren; AUSTIN, D. Robert; KOSUBA, Jun; EGAWA, Masako. Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Harvard Business School. 2008.
O roteiro expõe no princípio o Diretor Executivo da empresa Jashopper, Mamoru Sekiner, analisando as licenças de serviços de informática de sua empresa, que estavam para vencer, e com um dilema se deveria continuar com os serviços ou contratar por um preço bem mais elevado os serviços da Secom Trust Systems. Questões complicadas com relação aos investimentos em segurança visto que a imprensa diariamente noticiava vazamentos de informações dos clientes de várias empresas, tanto pequenas quanto grandes.
A Jashopper é uma empresa pequena do ramo de e-commerce, possui uma grande variedade de produtos, ela funciona de modo que os varejistas expõem seus produtos no site e clientes cadastrados realizam as compras.
Em 2006, a internet estava no cotidiano de dois terços da população Japonesa, muitas pessoas a utilizavam para compras na internet. Este crescimento da internet fez com que houvesse um aumento de casos de roubo dos dados dos clientes, até grandes empresas não escapavam dos ataques que vinham de invasões de estranhos, por vazamento interno e até mesmo por descuidos da própria empresa. Então, em 2004, o governo Japonês decretou a Lei de Proteção de Informações Pessoais, que se aplicava a empresas com mais de 5.000 identidades pessoais e as obrigava a tomar as medidas necessárias para proteger os dados dos clientes de utilização indevida e roubo, além de permitir que as empresas mantivessem a versão eletrônica de documentos exigidos pelo governo. Caso a lei não fosse cumprida, as empresas e indivíduos eram punidos.
As empresas passaram a se empenhar para cumprir a lei, passaram a contratar empresas especializadas em segurança e a adotar novas políticas, mas apesar dos esforços, ainda existiam brechas além de grandes casos de roubos e perda de informações continuarem ocorrendo.
A Secom era a maior empresa de serviços de segurança da informação do Japão, foi fundada em 1962 quando Makoto Iida e Juichi Toda constituíram a Japan Patrol Security Corporation, o primeiro serviço de segurança do Japão. A empresa cresceu com investimentos em tecnologia, se expandiu para outros países e abriu seu capital. Em 1984, a Secom já possuía a maior rede de computadores do Japão, isso fez com que a empresa começasse novos empreendimentos para obter mais conhecimento na área. Em 1991 a Secom Information Systems começou a administrar a rede da Secom e integrar os clientes com suas soluções, assim a empresa adquiriu grande experiência com a internet, então em 2006 a Secom Trust Systems foi fundada com a fusão de outras empresas do grupo para fornecer serviços de segurança da informação e integração de sistemas de rede, oferecendo serviços de centros de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria. O Secure Data Center da Secom TS era considerado um dos mais seguros do mundo.
Prestes a Jashopper renovar suas licenças, a Secom apresentou uma proposta para seus produtos de segurança da informação que foi analisada por Sekine. Na proposta constavam os serviços de Hospedagem, monitoramento e proteção, sistema de identificação e controle de acesso, certificado digital, auditoria, além de soluções e-document e serviços de consultaria de segurança. Este último serviço oferecia apoio para os clientes obterem o selo Privacy Mark, processo que exige tempo e um elevado custo, porém Sekine não havia inicialmente solicitado tal serviço, mas pensou que esse selo poderia mostrar para seus clientes que o site de sua empresa era seguro.
A Secom propôs três modelos de serviço para a Jashopper, a primeira e menos oneroso era a hospedagem dos serviços, com segurança física e virtual, que melhorariam as ameaças de vírus e invasões. A segunda consistia no alojamento dos serviços e um sistema de identificação de controle de acesso, para impedir o acesso a pessoas não autorizadas e crimes realizados pelos próprios funcionários. Por fim a terceira, mais custosa e de mais demorada implantação, era um serviço de Avaliação da Segurança Total, onde analisaria toda segurança física e virtual em todos os serviços.
Sekine querendo descartar a proposta da Secom TS volta a ler um artigo no jornal sobre outro escândalo envolvendo uma empresa em falha de segurança, ele pensou nas alternativas e planos que já havia criado em resposta a possíveis incidentes. Mas ao mesmo tempo em que ele se preocupa com a segurança da informação, também se preocupa com a grande quantia de capital a ser investido. Sekine não queria botar em risco tudo que já havia conquistado para sua empresa e volta a analisar a proposta da Secom, mesmo com recursos financeiros limitados e sendo informado pelo representante da empresa que mesmo com muito investimento não iria garantir que nenhuma falha ocorresse.