Secom Gerindo Segurança da Informação em um Mundo Perigoso

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Eduardo Antunes da Rosa
Trabalho da disciplina Conformidade com Normas e Regulamentações Externas
Tutor: Profr. Sheila de Góes Monteiro
Curitiba – PR
2018
ESTUDO DE CASO:
Conformidade com Normas e Regulamentações Externas
Secom: Gerindo Segurança da Informação em um Mundo Perigoso
REFERÊNCIA:
MCFARLAN. F. Warren; AUSTIN. Robert D; USUBA. Junko; EGAWA. Masako. Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Massachusetts. Boston, 2008.
O Artigo retrata medidas tomadas para assegurar a proteção de informações pessoais na internet. Inicia apontando a preocupação da Sekine referente a vazamentos de informações pessoais de clientes de grandes empresas como a Mastercard e Visa, onde foi anunciado que as informações de 40 milhões de cartões de crédito haviam vazado e grande quantidade de material que esses fatos geravam na mídia diária, mesmo após a Lei de Proteção de Informações Pessoais ter entrando em vigor no Japão, isso gerava preocupações para Sekine.
	Com os olhos voltados para a renovação dos serviços informáticos de segurança que sua empresa estava prestes a renovar, Sekine esperava que a Jashopper pudesse negociar custos melhores com os fornecedores de TI. Mas a equipe de TI havia recebido sugestões de serviço da Secom Trust Systems, uma empresa de rede de integração e segurança da informação que iriam custar mais que os serviços que já vinham usando, mas para Sekine ficava claro que não se devia economizar em segurança diante dos fatos que mídia apresentava quase que diariamente. Ainda sim Sekine tinha dúvidas de como proceder, em relação de quanto de proteção era o suficiente? Os produtos valeriam o investimento? 
	A Jashopper uma pequena empresa de comercio eletrônico onde varejistas pagavam pra ter uma loja virtual no site Jashopper.com, onde clientes visitavam e tinham acesso a uma vasta gama de produtos, desde eletrônicos até jóias e cosméticos. Os Clientes faziam seu cadastro com dados pessoais inclusive numero de cartão de credito. A empresa que Sekine havia começado anos atrás com alguns amigos agora estava dando lucro, com vendas anuais de quase 1 bilhao de ienes e 20 funcionários com um conjunto de 400 lojas hospedadas e uma base de 600,000 clientes registrados.
Referente a Lei de Proteção de Informações pessoais, trata o crescimento do uso da internet, com o numero de 2 para cada 3 pessoas acessando a internet através de computadores e dispositivos moveis em 2006, onde mais de 36,2% dos usuários tinham experiência com compras na internet, e com esse aumento desse tipo de uso da internet também houve o aumento de roubos de identidade. Varias empresas como Softbank BB dona do Yahoo que anunciou vazamento de dados de 4,5 milhões de usuários, a Kakaku.com perdeu registros de dados de 20.000 clientes para hackers, moradores de da cidade de Yazawa no Japão tiveram seu dados vazados pelo uso inadvertido de um software de compartilhamento de arquivo.
Determinado a proteger as informações de clientes o governo japonês decreta a Lei de Proteção de Informações Pessoais em abril de 2004. Lei aplicada a empresas com banco de dados de mais de 5000 identidades de clientes, essas empresas só poderiam usar as informações explicitas e declaradas no momento do registro do cliente. Em caso de vazamento das informações empresas ou indivíduos eram punidos pela lei. As empresas estavam focadas em cumprir com o regulamento e aplicar novas politicas de segurança, neste caso foram contratados agentes e adquirido o Privacy Mark, e apesar dos esforços e mesmo após a lei perdas e roubos continuavam a ocorrer.
Sekine tendo conhecimento destes desafios e pensava como a Secom TS iriam ajuda-lo a vence-los.
O Grupo Secom era o maior provedor de segurança no Japão fundada em 1962 por Makoto Iida e Juichi Toda a empresa oferia serviços de monitoração e patrulha e em 1964 administrou a segurança das olimpíadas de Tóquio o que fez com que os negócios da empresa crescessem, a empresa também passou pro contratempos por roubos o que fez com que focasse em melhorar a comunicação e educação de seus funcionários. Em 1966 a Secom lançou o “Alarme Patrulha de Segurança (SP)” um sistema que contava com sensores para pegar invasores e incêndios e na detecção de alarmes era enviado a equipe patrulha para averiguar e investigar, esse era um negocio único pois os outros não tinham esse tipo de patrulha. O Grupo Secom sofreu drásticas mudanças:
1970 – Mudou seus clientes locais para alarmes SP, onde perdeu 30% de seus clientes.
1974 – A empresa foi cotada na Bolsa de Valores e entrou em uma faze de expansão e diversificação. 
1978 – Expandiu para EUA, Reino Unido, Coréia, Tailândia, Malásia, China e outros mercados estrangeiros.
1980 – Expandiu para novos negócios onde constituiu a Miyagi Network Corporation, uma empresa de TV a cabo e participou da constituição da Daini Denden, Inc. (Atual KDDI, segunda maior operadora de telecomunicações do Japão)
E ia se diversificando com vários produtos voltados a segurança como o My Alarme, serviço de Segurança de casas o Coco-Secom destinado a localizar pessoas através de um sistema de GPS.
2007 – A empresa tinha contrato com 694.000 empresas e 390.000 casas e os negócios de segurança eram 70% de todas as vendas do Grupo.
A Secom oferece grande variedade de serviços incluindo data center, auditorias de segurança, serviços de detecção de invasor, certificação digital. E como característica chave seu Secure Data Center (SDC), com um dos maus elevados padrões de segurança no Japão e no mundo. Onde a Proteção era 24h por dia, 365 dias por ano, tanto virtual quanto física. Física baseada na grande experiência 40 anos da Secom em segurança.
Com relação a decisão da Jashopper em relação a Produto, a licença de vários produtos estava para ser renovada, e a Secom já havia apresentado uma proposta para vários produtos de segurança da informação. Sekine estava dedicado a entender e identificar as necessidades de seu negócio. Uma das decisões era de como a empresa iria administrar seus servidores, que atualmente era alugado, e visando a expansão tinha a opção de comprar seus próprios servidores e montar seu próprio centro de dados ou fazer colocation em um centro de dados alugado, ou fazer hospedagem, a necessidade era de aproximadamente 5 servidores, e 5 IPs globais necessários para o sites e outros dispositivos de comunicação da empresa.
Serviços oferecidos pela Secom:
- Hospedagem de Serviços (DNS, WEB e Mail)
- Servidor, configuração do servidor e conexão com a internet
- E monitoração 24h por dia o ano todo.
Segurança:
- Firewall, monitoramento de hackers, IDS e certificação SSL.
Sendo os valores:
250.000 ienes para instalação inicial e configuração.
150.000 ienes para serviços básicos para um endereço IP.
100.000 ienes para conexão a internet inicial e
100.000 ienes mensal de conexão a internet.
A grande preocupação de Sekine era ter sua empresa estampada nas manchetes como mais um caso de roubo de informações pessoais de clientes. E por sua empresa ser tão nova isso poderia ser um fator determinante para sua continuidade no mercado. E se empresas maiores falharam, como ele poderia proteger seus clientes?
Sekine tinha duvidas sobre quais ações tomar em relação ao crescimento da empresa, e os riscos crescente na segurança da informação, pensava se talvez contratando um diretor focado na segurança da informação pudesse mitigar os riscos, e também investir no treinamento e capacitação do seu pessoal, focar na cultura de segurança deixando isso cada vez mais explicito para seus funcionários a questão da segurança e denuncia de irregularidades já que 70%-80% dos incidentes são causados por pessoas de dentro do negócio, mas também pensava que o foco voltado para a segurança poderia afetar a agilidade na tomada de decisões da empresa. 
Sabendo que não tinha recursos necessários, a grande preocupaçãode Sekine era saber qual o risco aceitável para seu empreendimento. Outra questão era que seus recursos locais eram limitados e se deveria capacitar ou terceirizar os serviços de TI e quais serviços seriam? E mesmo gastando grandes quantias não iriam garantir que não houvesse algum problema com a segurança. E as perguntas permaneciam, quanto de segurança era necessário? E quanto ele estava disposto a gastar?