Fichamento Fundamentos da Segurança da Informação

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Giovani Avila Oviedo
Trabalho da Disciplina Fundamentos de Segurança da Informação
Tutor: Sheila de Góes Monteiro
Porto Alegre/RS
2017
Estudo de Caso:
Fundamentos de Segurança da Informação
Secom: Gerindo Segurança da Informação em um Mundo Perigoso
Referência: MCFARLAN, F. Warren; ROBERT, D. Austin; USUBA, Junko; EGAWA, Masako. - ESTUDO DE CASO HBR: Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Harvard Business School. Abril 2008. 
O trabalho dos autores baseia-se em um estudo de caso divulgado pela Harvard Business School, que trata da questão da gestão de segurança da informação em um mundo perigoso, envolvendo aspectos relevantes no que diz respeito ao vazamento de informações de dados pessoais a um nível tão crítico ao ponto de se tornarem matéria diária nos jornais e noticiários. Aborda os conceitos e as finalidades da Lei de Proteção de Informações Pessoais que entrou em vigor no Japão além de apresentar empresas com tecnologias sofisticadas que foram afetadas por vazamentos de informações pessoais.
Os autores mostram as principais preocupações e atitudes a serem tomadas pelo Diretor Executivo da Jashopper, Mamoru Sekine, quando às licenças de vários serviços informáticos de segurança da empresa deveriam ser renovados. Os custos destes serviços tinham uma relação íntima com a rentabilidade conquistada através do esforço de sua empresa e por isso, buscava-se por renegociações e melhores acordos com fornecedores de TI para maximizar os fundos investidos e reduzir as despesas.
Algumas preocupações surgiram quanto à relação entre custos e segurança, pois Sekine estava inseguro se a proteção dos produtos fosse suficiente ao ponto de valer o investimento e se suas decisões mudariam se caso a empresa decidisse abrir o seu capital futuramente.
Em 2006, o uso frequente da internet no Japão já havia ultrapassado a marca dos 85 mil usuários, ou seja, mais de 65% da população já possuía internet em seus computadores e dispositivos móveis e, mais da metade desses, experiência com compras na internet. No entanto, esse crescimento foi acompanhado por um aumento de roubos de identidade e preocupação elevada entre o público. Como contramedida, o governo japonês decretou a “Lei de Proteção de Informações Pessoais” que se aplica a empresas que administram banco de dados com mais de cinco mil identidades pessoais. Com isso, as empresas detentoras das informações de seus clientes foram padronizadas a agir dentro da finalidade proposta quando adquirida. Dessa forma, a administração e a proteção das informações pessoais tornaram-se uma questão de conformidade, fazendo com que essas empresas cumprissem com o regulamento ao aplicar segurança de rede, instalando novas políticas empresariais, contratando agentes de segurança de informação e dentre outros requisitos.
A lei americana denominada “Sarbanes-Oxley”, que tem o objetivo de proteger os investidores por meio do aprimoramento da precisão e da confiabilidade das informações divulgadas pelas companhias, também foi utilizada na tentativa de fechar algumas brechas de segurança que continuavam mesmo após o decreto da Lei de Proteção de Informações Pessoais.
A Secom era o maior provedor de serviço de segurança no Japão com uma quota de mercado de mais de 60%. Após ser cotada na Bolsa de valores de Tóquio, entrou em fase de expansão estrangeira e diversificada. Em 1980, a Secom expandiu seus negócios e se apresentou no ramo da Segurança da Informação tornando-se uma empresa dominante e com uma marca forte associada à segurança e proteção, adquirindo assim, a maior rede de computadores do Japão, sobrepondo qualquer outra grande empresa ou negócio de tecnologia da informação obtendo um ganho significante em construção, administração e segurança de redes de computadores. A Secom TS dispõe de uma vasta variedade de serviços como centros de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria, oferecendo, em conjunto com sua Matriz, a Secom, segurança de informação tanto virtual quanto física. Além disso, a Secom tinha mais de cinco anos de experiência e protegia mil servidores com o Serviço de Detecção de Intrusão e ainda fornecia segurança física e fontes alternativas de energia para os servidores. Isso fez com que Sekine pensasse em como esses produtos poderiam ajudar aumentar o nível de segurança da informação sem aumentar a equipe de TI da Jashopper.
Sekine tinha a certeza de que sua empresa tinha maturidade suficiente ao lidar com os problemas de segurança, pois sua pequena equipe de TI, embora com aprendizados diversos e de forma corrida, tinha-se o conhecimento elevado quando se falava em medidas de padrão de segurança. Eles haviam implementado uma política com diretrizes de segurança corporativa e usavam produtos de segurança respeitados no mercado. Porém, com um surto recente de violações de segurança, surgiu a dúvida de talvez começar do zero e utilizar a Secom como gerenciadora desse novo projeto, pois ela oferecia vários serviços de avaliação de segurança identificando fraquezas na rede que poderiam levar a violações de segurança. Sua maior preocupação era com os vazamentos de informações causados por pessoas de dentro do negócio que chegavam a 80% dos incidentes.
Os autores do estudo de caso deixam bem claro que as atividades relacionadas à segurança terceirizada eram interessantes para Sekine, pois os recursos da empresa Jashopper eram limitados, porém a Secom TS foi explícita em dizer que mesmo com grandes investimentos é necessário reconhecer que não há uma garantia perfeita de que nunca haverá problemas com segurança, no entanto deve-se buscar um balanceamento entre os custos e o risco aceitável.
� PAGE \* MERGEFORMAT �1�