Estudo de Caso : Secom: Gerindo Segurança da Informação em um Mundo Perigoso

Prévia do material em texto

1 
 
 
 
 
UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
Fichamento de Estudo de Caso 
 
André Wilson de Andrade Souza 
 
Conformidade com Normas e Regulamentações Externas 
 Tutor: Prof. Sheila de Goes Monteiro 
 
 
 
 
 
 
 
 
 
 
 
Manaus-AM 
2018 
 
 
 
 
 
2 
 
 
 
 
Estudo de Caso : Secom: Gerindo Segurança da Informação em um Mundo Perigoso 
 
 
 
 
REFERÊNCIA: 
http://pos.estacio.webaula.com.br/Biblioteca/Acervo/Basico/PG0092/Biblioteca_23929/Bibliot
eca_23929.pdf 
 
O presente estudo de caso trata da questão da gestão da segurança da informação 
em um mundo perigoso, envolvendo aspectos relevantes no que diz respeito ao vazamento 
de informações de dados pessoais a um nível tão crítico ao ponto de se tornarem matéria 
diária nos jornais e noticiários. Aborda os conceitos e as finalidades da Lei de Proteção de 
Informações Pessoais que entrou em vigor no Japão além de apresentar como empresas, 
tanto pequenas como grandes corporações com tecnologias sofisticadas, foram afetadas por 
vazamentos de informações pessoais. 
O autor dividiu o texto em cinco partes, distribuindo-o nos seguintes tópicos: 
- Lei de Proteção de Informações Pessoais; 
- O Grupo Secom; 
- A Divisão de Produto para a Jashopper; 
- A Proposta da Secom; e 
- Conclusão. 
O caso mostra as principais preocupações e atitudes a serem tomadas pelo Diretor 
Executivo da Jashopper - empresa pequena na internet, Mamoru Sekine, quanto às licenças 
de vários serviços informáticos de segurança que seriam renovados. O custo destes serviços 
tinha uma relação íntima com a rentabilidade conquistada com esforço de sua empresa e, 
por isso, buscava-se por renegociações com melhores acordos com fornecedores de TI para 
maximizar os fundos investidos e reduzir as despesas. 
. 
 
 
 
3 
Mamoru Sekine, diretor Executivo da Jashopper ficou preocupado com vazamentos de 
informações de dados pessoais de seus contratantes, e pela grande exposição que a mídia 
fez do assunto. Como diretor executivo de um negócio internacional, Sekine tinha razões 
para tais preocupações. 
Com algumas licenças de serviços informáticos de segurança que a empresa usava 
estavam a ponto de serem renovados. Sekine, então, esperava que a Jashopper 
renegociasse acordos melhores com os fornecedores de TI para construção de rentabilidade 
e a redução de despesas. Mas a equipe de TI havia recebido sugestões de serviço de uma 
empresa de rede de integração e segurança de informação a (Secom TS) e juntos custam 
mais que o serviço que a Jashopper vinha usando. 
A Jashopper, é uma empresa pequena na internet, com um site de comércio 
eletrônico, que tem apenas três anos que tinha vendas anuais de quase 1 bilhão de iene e 20 
funcionários, a Jashopper.com. Varejista pagavam para ter uma loja virtual em seu site. 
Clientes japonese visitavam seu site para comprar vastas gamas de produtos. Para realizar a 
compras a cliente tinham que registrar seus dados pessoais. 
Com o aumento do uso da internet veio acompanhado de aumento considerável de 
roubos de identidade e reocupação de dados entre o público. Em 2004 o maior provedor do 
Japão, o Yahoo, anunciou vazamentos de dados de 4,5 milhões de usuários. Outros 
incidentes foram causados pelas ações de empresas descuidadas e seus funcionários. Isto 
representou uma ameaça para os clientes e uma perda financeira para as empresas. 
Para proteger os clientes de roubos de identidades, o governo japonês decretou a Lei 
de Proteção de Informação Pessoais em abril de 2004. Essa lei aplica a empresas que 
administram bancos de dados com mais de 5,000 identidades pessoais. A administração e 
proteção de informações de identidade pessoal se tornaram uma questão de conformidade. 
Sekine pensou sobre esses desafios e suas implicações em seu negócio. Com os 
serviços da Secom TS iriam ajuda ló a vencer esse desafio. 
A Secom era o maior provedor de serviço de segurança no Japão com uma quota de 
mercado de mais de 60%. Em 1966, a Secom introduziu o “Alarme de Patrulha de Segurança 
(SP)”, um sistema de vigilância remoto que contava com sensores para pegar invasores e 
incêndios. Este modelo de negócio era único já que no Estados Unidos ou Europa, os 
clientes compravam seus próprios sensores e empresas de segurança monitoravam os 
sensores, mas não enviavam suas equipes. Conforme o negócio se expandiu, as economias 
de escalas estavam a seu favor e melhoravam a rentabilidade geral do negócio. 
A marca Secom era conhecido através do Japão como a empresa de segurança 
dominante. Em 1984, a Secom era dona da maior rede de computadores do Japão, maior 
que qualquer grande corporação ou negócio de tecnologia da informação. Ela afirmava não 
 
 
 
4 
ter competidores diretos que oferecessem variedades tão grande de serviços; porém, tinha 
competidores em cada segmento. 
Sekine pegou esta proposta e começou a pesar sobre as necessidades de seu 
negócio. A empresa tinha a opção de comprar seus próprios servidores e armazena-los em 
sua propriedade ou alugar um espaço em um centro de dados (alojamento). 
A Secom oferecia hospedagem de servidores, alojamento avançados, fornecia racks 
bastidores para abrigar os servidores de clientes no SDC, serviço de monitoramento e 
proteção, serviço de Firewall, serviço de detecção de invasão, serviço de detecção e 
prevenção de intrusão Secom no geral. Sekine pensou que esses produtos poderiam ajudar 
a fortalecer o nível de segurança de informação sem aumentar a equipe de TI. Sekine 
conhecia outros participantes no mercado de IDS e IPS, a LAC, uma empresa com reputação 
solida, mas também tinha preços altos. 
Sekine examinou os dois serviços de certificação digitais apresentados pelo Secom 
TS. Ele entendeu que protegendo seu site como algum tipo criptografia digital era 
fundamental para proteger a troca e transações de informações tanto com seu site e clientes 
finais. Ele também se perguntou se existia realmente uma diferença tecnológica entre a 
Secom TS e sua competidora e como ele deveria decidir se precisava do produto ou não. 
A Secom propôs três alternativas para Jashopper. A primeira alternativa menos era 
usar o serviço de alojamento avançado. A segunda alternativa era instalar um sistema de 
identificação e controle de acesso além do serviço de alojamento avançado. A terceira 
alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e 
virtual. 
Sekine, então, pensou no artigo Nikkei Newspaper. Ele não queria sua empresa em 
manchete de escândalo, e pensou como poderia proteger seus clientes. Sekine lembrou que 
70% -80% dos incidentes de vazamento de informações eram causados por pessoas de 
dentro do negócio. 
Os representantes da Secom TS destacaram que terceirizar todas as atividades 
relacionadas era interessante para Sekine, pois a Jashopper tinha recursos limitados. Seus 
olhos voltaram para a proposta da Secom TS. Ele poderia gastar uma grande quantidade de 
dinheiro em segurança. E mesmo assim o representante da Secom TS havia sido muito 
profissional ao reconhecer que nenhuma quantidade de gastos em segurança iria garantir 
que nunca houvesse um problema com a segurança.