AV Fundamentos de Segurança da Informação

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
Fichamento de Estudo de Caso 
 
Rodrigo Sabino da Silva 
 
 
 
 
 
 
 
Trabalho da disciplina 
Fundamentos da Segurança da Informação 
Tutor: Prof(a). Sidney Nicolau Venturi Filho 
 
 
 
 
 
 
 
 
 
 
Rio de Janeiro 
2017 
 
 
 
 
ESTUDO DE CASO: 
 
 
 
Secom: Gerindo Segurança da Informação em um Mundo Perigoso 
 
 
 
 
REFERÊNCIA: MC FARLAN, AUSTIN, KOUSUBA E EGAWA - Secom: Gerindo 
Segurança da Informação em um Mundo Perigoso, Harvard Business School, 9-308-015, 
Rev.22 de Abril de 2008. 
 
Em 2005, os vazamentos de informações pessoais eram constantes acarretando prejuízos 
financeiros para pequenas e grandes empresas. Mesmo com lei de proteção de informações 
em vigor, questão da gestão de segurança da informação no cenário de grande demanda 
tecnológica, onde fluxos de informações crescia de forma exponencial, a segurança da 
informação era sinônimo de alto investimentos, considerado um fator crítico para o negócio. 
O caso Mastercard e a VISA Internacional que tinham anunciado que as informações de 40 
milhões de cartões de créditos haviam vazados. Fatos como esses, levou Diretor executivo da 
Joshoppee a rever as licenças de serviços informático. 
Custo/rentabilidade de serviços, o esforço era para redução de despesas, no entanto, a busca 
por renegociações com melhores acordos com fornecedores de TI, cujo objetivo era 
maximizar o investimento. 
Os questionamentos em claros, levando Sekine se perguntar: Os produtos valeriam o 
investimento? Quanto a proteção era suficiente? Suas decisões mudariam se sua empresa 
decidisse abrir seu capital em alguns anos? 
Como a Jashopper, uma empresa pequena na internet, onde tinha organizado o site de 
comercio eletrônico, cujo seguimento era mercado de varejo e muito de seus clientes tinham 
que registrar seus dados pessoais, o risco de suja a imagem da empresa era iminente, uma 
vezz que as vendas anuais chegaram quase 1 bilhão de inenes, Sekine sentiu que pode seria 
ser forte e considerava uma oferta pública inicial (IPO) para ganhar fundos para aumentar o 
negócio. 
Em 2006, usabilidade da internet no Japão ultrapassa a marca dos 85 mil usuários, 67% da 
população conectada nos computadores ou dispositivo móveis. 
No entanto, o aumento do uso da Internet foi acompanhado também, pelo aumento de roubos 
de identidade e preocupação elevada entre o público. As informações mostraram uma ameaça 
não somente para os clientes, como também, prejuízos financeiros para pequenas e grandes 
empresas. O mesmo com lei de proteção de informações sancionado pelo governo japonês em 
2004, que estabelece diretrizes para as empresas que administram banco de dados com mais 
de 5.000 identidades pessoais. As empresas eram impedidas de usar informações pessoais 
para fins de outros que não os explicitamente declarados no momento que a informação foi 
adquirida. Caso ocorre-se algum vazamento de informações, as empresas ou até mesmo os 
indivíduos eram punidos pela Lei. Dessa forma, administração e a proteção das informações 
pessoais tornaram-se uma questão de conformidade, fazendo com que essas empresas 
cumprissem com o regulamento ao aplicar segurança de rede, instalando novas políticas 
Empresariais, contratando agentes de segurança de informação e dentre outros requisitos. 
Uma versão japonesa da Lei Sarbanes-Oxley americana estava sendo desenvolvido pelo 
governo, com objetivo de fechar algumas brechas de segurança, implementando controles 
internos com nível de exigência acima do esperado, buscando a melhoria na administração 
das informações da empresa. 
A Secom era maior provedor de serviços de segurança no Japão, oferecia serviços de patrulha 
com segurança, no entanto, enfrentou batalhas para obter clientes, apesar do conceito de 
terceirização de segurança não tinha criado raízes no Japão. Uma oportunidade surgiu quando 
administrou a segurança das Olimpíadas de Tóquio em 1964, com passar do tempo, o negócio 
cresceu continuamente, mesmo passando por alguns contratempos, Após ser cotada na Bolsa 
de valores de Tóquio, entrou em fase de expansão estrangeira e diversificada. 
Em 1980, a Secom expandiu seus negócios como novas mídias. Foi nesta época que 
apresentou no negócio de Segurança da Informação, Serviços Médicos, Seguro e Serviços de 
informação geográfica. Como a principal empresa na área de segurança da informação, se 
estabeleceu como uma marca forte associada a segurança e proteção. A Secom era dona da 
maior rede de computadores do Japão, sobrepondo qualquer outra grande empresa ou negócio 
de tecnologia da informação. A empresa obteve um ganho significante em conhecimento no 
quesito construção, administração e segurança de redes de computadores. 
A Secom TS disponibilizar uma grande variedade de serviços tais quais: auditorias de 
segurança, serviços de detecção de invasor, certificação digital serviços de consultoria. Além 
incluir o serviço no centro de dados em conjunto com sua Matriz, a Secom, tinha vantagem 
em ofertar segurança de informação tanto virtual quanto física. A principal característica da 
segurança de informação era seu Secure Data Center (SDC) um dos mais elevados padrões de 
segurança no Japão e mundo com monitoramento 24 horas por dia, 365 dias por ano. Além 
disso, a Secom tinha mais de cinco anos de experiência e protegia mil servidores com o 
Serviço de Detecção de Intrusão e ainda fornecia segurança física e fontes alternativas de 
energia para os servidores. 
Sekine tinha a certeza de que sua empresa havia maturidade suficiente ao lidar com 
os problemas de segurança. Sua pequena equipe de TI, embora com aprendizados 
diversos e de forma corrida, tinha-se a crença de que um patamar elevado quando 
se fala em medidas padrão de segurança. Eles tinham constituído uma política e 
diretrizes de segurança corporativa e usavam produtos de segurança disponíveis e 
respeitados no mercado. Porém, com surto recente de violações de segurança, ele 
se perguntava se precisava começar do zero, utilizando a Secom como parceiro na segurança 
de informação. Outro ponto de atenção, se era necessário contratar não só um diretor de TI, 
mas um capacitado para trabalhar como gestor da segurança da informação. Sua maior 
preocupação era com os vazamentos de informações causados por pessoas de dentro do 
negócio que chegavam a 80% dos incidentes, no entanto, o foco na segurança de informação 
diminuiria a velocidade nas tomadas de decisão da empresa. 
As atividades relacionadas segurança ofertada pela Secom TS era vantajosa, uma vez que 
terceirizar todas as atividades era interessante para Sekine, mesmo com a limitação de 
recursos da Jashopper e com gastos inicial, o representante da Secom TS foi categórico em 
dizer: é um custo necessário, porém não há uma garantia perfeita de que nunca haverá 
problemas com segurança, contudo, deve-se buscar o equilíbrio necessário entre valor da 
informação e risco.