Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIVERSIDADE ESTÁCIO DE SÁ MBA EM SEGURANÇA DA INFORMAÇÃO Fichamento de Estudo de Caso André Wilson de Andrade Souza Conformidade com Normas e Regulamentações Externas Tutor: Prof. Sheila de Goes Monteiro Manaus-AM 2018 2 Estudo de Caso : Secom: Gerindo Segurança da Informação em um Mundo Perigoso REFERÊNCIA: http://pos.estacio.webaula.com.br/Biblioteca/Acervo/Basico/PG0092/Biblioteca_23929/Bibliot eca_23929.pdf O presente estudo de caso trata da questão da gestão da segurança da informação em um mundo perigoso, envolvendo aspectos relevantes no que diz respeito ao vazamento de informações de dados pessoais a um nível tão crítico ao ponto de se tornarem matéria diária nos jornais e noticiários. Aborda os conceitos e as finalidades da Lei de Proteção de Informações Pessoais que entrou em vigor no Japão além de apresentar como empresas, tanto pequenas como grandes corporações com tecnologias sofisticadas, foram afetadas por vazamentos de informações pessoais. O autor dividiu o texto em cinco partes, distribuindo-o nos seguintes tópicos: - Lei de Proteção de Informações Pessoais; - O Grupo Secom; - A Divisão de Produto para a Jashopper; - A Proposta da Secom; e - Conclusão. O caso mostra as principais preocupações e atitudes a serem tomadas pelo Diretor Executivo da Jashopper - empresa pequena na internet, Mamoru Sekine, quanto às licenças de vários serviços informáticos de segurança que seriam renovados. O custo destes serviços tinha uma relação íntima com a rentabilidade conquistada com esforço de sua empresa e, por isso, buscava-se por renegociações com melhores acordos com fornecedores de TI para maximizar os fundos investidos e reduzir as despesas. . 3 Mamoru Sekine, diretor Executivo da Jashopper ficou preocupado com vazamentos de informações de dados pessoais de seus contratantes, e pela grande exposição que a mídia fez do assunto. Como diretor executivo de um negócio internacional, Sekine tinha razões para tais preocupações. Com algumas licenças de serviços informáticos de segurança que a empresa usava estavam a ponto de serem renovados. Sekine, então, esperava que a Jashopper renegociasse acordos melhores com os fornecedores de TI para construção de rentabilidade e a redução de despesas. Mas a equipe de TI havia recebido sugestões de serviço de uma empresa de rede de integração e segurança de informação a (Secom TS) e juntos custam mais que o serviço que a Jashopper vinha usando. A Jashopper, é uma empresa pequena na internet, com um site de comércio eletrônico, que tem apenas três anos que tinha vendas anuais de quase 1 bilhão de iene e 20 funcionários, a Jashopper.com. Varejista pagavam para ter uma loja virtual em seu site. Clientes japonese visitavam seu site para comprar vastas gamas de produtos. Para realizar a compras a cliente tinham que registrar seus dados pessoais. Com o aumento do uso da internet veio acompanhado de aumento considerável de roubos de identidade e reocupação de dados entre o público. Em 2004 o maior provedor do Japão, o Yahoo, anunciou vazamentos de dados de 4,5 milhões de usuários. Outros incidentes foram causados pelas ações de empresas descuidadas e seus funcionários. Isto representou uma ameaça para os clientes e uma perda financeira para as empresas. Para proteger os clientes de roubos de identidades, o governo japonês decretou a Lei de Proteção de Informação Pessoais em abril de 2004. Essa lei aplica a empresas que administram bancos de dados com mais de 5,000 identidades pessoais. A administração e proteção de informações de identidade pessoal se tornaram uma questão de conformidade. Sekine pensou sobre esses desafios e suas implicações em seu negócio. Com os serviços da Secom TS iriam ajuda ló a vencer esse desafio. A Secom era o maior provedor de serviço de segurança no Japão com uma quota de mercado de mais de 60%. Em 1966, a Secom introduziu o “Alarme de Patrulha de Segurança (SP)”, um sistema de vigilância remoto que contava com sensores para pegar invasores e incêndios. Este modelo de negócio era único já que no Estados Unidos ou Europa, os clientes compravam seus próprios sensores e empresas de segurança monitoravam os sensores, mas não enviavam suas equipes. Conforme o negócio se expandiu, as economias de escalas estavam a seu favor e melhoravam a rentabilidade geral do negócio. A marca Secom era conhecido através do Japão como a empresa de segurança dominante. Em 1984, a Secom era dona da maior rede de computadores do Japão, maior que qualquer grande corporação ou negócio de tecnologia da informação. Ela afirmava não 4 ter competidores diretos que oferecessem variedades tão grande de serviços; porém, tinha competidores em cada segmento. Sekine pegou esta proposta e começou a pesar sobre as necessidades de seu negócio. A empresa tinha a opção de comprar seus próprios servidores e armazena-los em sua propriedade ou alugar um espaço em um centro de dados (alojamento). A Secom oferecia hospedagem de servidores, alojamento avançados, fornecia racks bastidores para abrigar os servidores de clientes no SDC, serviço de monitoramento e proteção, serviço de Firewall, serviço de detecção de invasão, serviço de detecção e prevenção de intrusão Secom no geral. Sekine pensou que esses produtos poderiam ajudar a fortalecer o nível de segurança de informação sem aumentar a equipe de TI. Sekine conhecia outros participantes no mercado de IDS e IPS, a LAC, uma empresa com reputação solida, mas também tinha preços altos. Sekine examinou os dois serviços de certificação digitais apresentados pelo Secom TS. Ele entendeu que protegendo seu site como algum tipo criptografia digital era fundamental para proteger a troca e transações de informações tanto com seu site e clientes finais. Ele também se perguntou se existia realmente uma diferença tecnológica entre a Secom TS e sua competidora e como ele deveria decidir se precisava do produto ou não. A Secom propôs três alternativas para Jashopper. A primeira alternativa menos era usar o serviço de alojamento avançado. A segunda alternativa era instalar um sistema de identificação e controle de acesso além do serviço de alojamento avançado. A terceira alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e virtual. Sekine, então, pensou no artigo Nikkei Newspaper. Ele não queria sua empresa em manchete de escândalo, e pensou como poderia proteger seus clientes. Sekine lembrou que 70% -80% dos incidentes de vazamento de informações eram causados por pessoas de dentro do negócio. Os representantes da Secom TS destacaram que terceirizar todas as atividades relacionadas era interessante para Sekine, pois a Jashopper tinha recursos limitados. Seus olhos voltaram para a proposta da Secom TS. Ele poderia gastar uma grande quantidade de dinheiro em segurança. E mesmo assim o representante da Secom TS havia sido muito profissional ao reconhecer que nenhuma quantidade de gastos em segurança iria garantir que nunca houvesse um problema com a segurança.
Compartilhar