Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTÁCIO DE SÁ MBA EM SEGURANÇA DA INFORMAÇÃO Fichamento de Estudo de Caso Rodrigo Sabino da Silva Trabalho da disciplina Fundamentos da Segurança da Informação Tutor: Prof(a). Sidney Nicolau Venturi Filho Rio de Janeiro 2017 ESTUDO DE CASO: Secom: Gerindo Segurança da Informação em um Mundo Perigoso REFERÊNCIA: MC FARLAN, AUSTIN, KOUSUBA E EGAWA - Secom: Gerindo Segurança da Informação em um Mundo Perigoso, Harvard Business School, 9-308-015, Rev.22 de Abril de 2008. Em 2005, os vazamentos de informações pessoais eram constantes acarretando prejuízos financeiros para pequenas e grandes empresas. Mesmo com lei de proteção de informações em vigor, questão da gestão de segurança da informação no cenário de grande demanda tecnológica, onde fluxos de informações crescia de forma exponencial, a segurança da informação era sinônimo de alto investimentos, considerado um fator crítico para o negócio. O caso Mastercard e a VISA Internacional que tinham anunciado que as informações de 40 milhões de cartões de créditos haviam vazados. Fatos como esses, levou Diretor executivo da Joshoppee a rever as licenças de serviços informático. Custo/rentabilidade de serviços, o esforço era para redução de despesas, no entanto, a busca por renegociações com melhores acordos com fornecedores de TI, cujo objetivo era maximizar o investimento. Os questionamentos em claros, levando Sekine se perguntar: Os produtos valeriam o investimento? Quanto a proteção era suficiente? Suas decisões mudariam se sua empresa decidisse abrir seu capital em alguns anos? Como a Jashopper, uma empresa pequena na internet, onde tinha organizado o site de comercio eletrônico, cujo seguimento era mercado de varejo e muito de seus clientes tinham que registrar seus dados pessoais, o risco de suja a imagem da empresa era iminente, uma vezz que as vendas anuais chegaram quase 1 bilhão de inenes, Sekine sentiu que pode seria ser forte e considerava uma oferta pública inicial (IPO) para ganhar fundos para aumentar o negócio. Em 2006, usabilidade da internet no Japão ultrapassa a marca dos 85 mil usuários, 67% da população conectada nos computadores ou dispositivo móveis. No entanto, o aumento do uso da Internet foi acompanhado também, pelo aumento de roubos de identidade e preocupação elevada entre o público. As informações mostraram uma ameaça não somente para os clientes, como também, prejuízos financeiros para pequenas e grandes empresas. O mesmo com lei de proteção de informações sancionado pelo governo japonês em 2004, que estabelece diretrizes para as empresas que administram banco de dados com mais de 5.000 identidades pessoais. As empresas eram impedidas de usar informações pessoais para fins de outros que não os explicitamente declarados no momento que a informação foi adquirida. Caso ocorre-se algum vazamento de informações, as empresas ou até mesmo os indivíduos eram punidos pela Lei. Dessa forma, administração e a proteção das informações pessoais tornaram-se uma questão de conformidade, fazendo com que essas empresas cumprissem com o regulamento ao aplicar segurança de rede, instalando novas políticas Empresariais, contratando agentes de segurança de informação e dentre outros requisitos. Uma versão japonesa da Lei Sarbanes-Oxley americana estava sendo desenvolvido pelo governo, com objetivo de fechar algumas brechas de segurança, implementando controles internos com nível de exigência acima do esperado, buscando a melhoria na administração das informações da empresa. A Secom era maior provedor de serviços de segurança no Japão, oferecia serviços de patrulha com segurança, no entanto, enfrentou batalhas para obter clientes, apesar do conceito de terceirização de segurança não tinha criado raízes no Japão. Uma oportunidade surgiu quando administrou a segurança das Olimpíadas de Tóquio em 1964, com passar do tempo, o negócio cresceu continuamente, mesmo passando por alguns contratempos, Após ser cotada na Bolsa de valores de Tóquio, entrou em fase de expansão estrangeira e diversificada. Em 1980, a Secom expandiu seus negócios como novas mídias. Foi nesta época que apresentou no negócio de Segurança da Informação, Serviços Médicos, Seguro e Serviços de informação geográfica. Como a principal empresa na área de segurança da informação, se estabeleceu como uma marca forte associada a segurança e proteção. A Secom era dona da maior rede de computadores do Japão, sobrepondo qualquer outra grande empresa ou negócio de tecnologia da informação. A empresa obteve um ganho significante em conhecimento no quesito construção, administração e segurança de redes de computadores. A Secom TS disponibilizar uma grande variedade de serviços tais quais: auditorias de segurança, serviços de detecção de invasor, certificação digital serviços de consultoria. Além incluir o serviço no centro de dados em conjunto com sua Matriz, a Secom, tinha vantagem em ofertar segurança de informação tanto virtual quanto física. A principal característica da segurança de informação era seu Secure Data Center (SDC) um dos mais elevados padrões de segurança no Japão e mundo com monitoramento 24 horas por dia, 365 dias por ano. Além disso, a Secom tinha mais de cinco anos de experiência e protegia mil servidores com o Serviço de Detecção de Intrusão e ainda fornecia segurança física e fontes alternativas de energia para os servidores. Sekine tinha a certeza de que sua empresa havia maturidade suficiente ao lidar com os problemas de segurança. Sua pequena equipe de TI, embora com aprendizados diversos e de forma corrida, tinha-se a crença de que um patamar elevado quando se fala em medidas padrão de segurança. Eles tinham constituído uma política e diretrizes de segurança corporativa e usavam produtos de segurança disponíveis e respeitados no mercado. Porém, com surto recente de violações de segurança, ele se perguntava se precisava começar do zero, utilizando a Secom como parceiro na segurança de informação. Outro ponto de atenção, se era necessário contratar não só um diretor de TI, mas um capacitado para trabalhar como gestor da segurança da informação. Sua maior preocupação era com os vazamentos de informações causados por pessoas de dentro do negócio que chegavam a 80% dos incidentes, no entanto, o foco na segurança de informação diminuiria a velocidade nas tomadas de decisão da empresa. As atividades relacionadas segurança ofertada pela Secom TS era vantajosa, uma vez que terceirizar todas as atividades era interessante para Sekine, mesmo com a limitação de recursos da Jashopper e com gastos inicial, o representante da Secom TS foi categórico em dizer: é um custo necessário, porém não há uma garantia perfeita de que nunca haverá problemas com segurança, contudo, deve-se buscar o equilíbrio necessário entre valor da informação e risco.
Compartilhar