Estudo de Caso: Conformidade com Normas de Segurança da Informação

Prévia do material em texto

UNIVERSAIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
André de Paula
Trabalho da disciplina: CONFORMIDADE COM NORMAS E REGUL. EXTERNAS
Tutor: Professora SHEILA DE GÓES MONTEIRO
BELO HORIZONTE
2017
ESTUDO DE CASO: 
CONFORMIDADE COM NORMAS E REGUL. EXTERNAS Harvard Business School - Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
REFERÊNCIA: MC FARLAN, AUSTIN, KOUSUBA E EGAWA. - Harvard Business School - Secom: Gerindo Segurança da Informação em um Mundo Perigoso 
O caso inicia-se tratando da questão da gestão da segurança da informação em um mundo perigoso, envolvendo aspectos relevantes no que diz respeito ao vazamento de informações de dados pessoais a um nível tão crítico ao ponto de se tornarem matéria diária nos jornais e noticiários. Aborda os conceitos e as finalidades da Lei de Proteção de Informações Pessoais que entrou em vigor no Japão além de apresentar como empresas, tanto pequenas como grandes corporações com tecnologias sofitsticadas, foram afetadas por vazamentos de informações pessoais. 
O caso mostra ainda as principais preocupações e atitudes a serem tomadas pelo Diretor Executivo da Jashopper - empresa pequena na internet, Mamoru Sekine, quanto às licenças de vários serviços informáticos de segurança que seriam renovados. O custo destes serviços tinha uma relação íntima com a rentabilidade conquistada com esforço de sua empresa e, por isso, buscava-se por renegociações com melhores acordos com fornecedores de TI para maximizar os fundos investidos e reduzir as despesas. 
Diversas dúvidas passaram pela cabeça de Sekine quanto a relação entre custos e segurança: Os produtos valeriam o investimento? Quanta proteção era suficiente? Suas decisões mudariam se sua empresa decidisse abrir seu capital em alguns anos? A Jashopper.com estava crescendo e com uma base de clientes forte. Sekine sentiu que pode seria ser forte e considerava uma oferta pública inicial (IPO) para ganhar fundos para aumentar o negócio. 
Com o uso frequente da internet no Japão em 2006 ultrapassando a marca dos 85 mil usuários, mais de 65% da população já possuía internet em seus computadores e dispositivos móveis e, mais da metade desses, experiência com compras na internet. No entanto, esse crescimento foi acompanhado por um aumento de roubos de identidade e preocupação elevada entre o público. 
Como contramedida, o governo japonês decretou a Lei de Proteção de Informações Pessoais que se aplica a empresas que administram banco de dados com mais de 5 mil identidades pessoais. Com isso, as empresas detentoras das informações de seus clientes eram cerceadas a agir dentro da finalidade proposta quando adquirida. 
Dessa forma, a administração e a proteção das informações pessoais tornaram-se uma questão de conformidade, fazendo com que essas empresas cumprissem com o regulamento ao aplicar segurança de rede, instalando novas políticas empresariais, contratando agentes de segurança de informação e dentre outros requisitos. 
A americana Sarbanes-Oxley também foi utilizada na tentativa de fechar algumas brechas de segurança que continuavam mesmo após o decreto da Lei de Proteção de Informações Pessoais. A SOX exigia uma maior implementação de controles internos para melhoria na administração das informações da empresa. 
A Secom que oferecia serviços de patrulha com seguranças, apresentou-se como o maior provedor de serviço de segurança no Japão. Após ser cotada na Bolsa de valores de Tóquio, entrou em fase de expansão estrangeira e diversificada. Em 1980, a Secom expandiu seus negócios como novas mídias. Foi nesta época que se apresentou no negócio da Segurança da Informação. Como uma empresa de segurança dominante, se estabeleceu como uma marca forte associada a segurança e proteção. A Secom era dona da maior rede de computadores do Japão, sobrepondo qualquer outra grande empresa ou negócio de tecnologia da informação. A empresa obteve um ganho significante em conhecimento quando se fala em construção, administração e segurança de redes de computadores.
A Secom TS dispõe de uma vasta variedade de serviços como centros de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria, oferecendo, em conjunto com sua Matriz, a Secom, segurança de informação tanto virtual quanto física. 
Além disso, a Secom tinha mais de cinco anos de experiência e protegia mil servidores com o Serviço de Detecção de Intrusão e ainda fornecia segurança física e fontes alternativas de energia para os servidores. Isso fez com que Sekine pensasse em como esses produtos poderiam ajudar aumentar o nível de segurança da informação sem aumentar a equipe de TI da Jashopper. 
Sekine tinha a certeza de que sua empresa havia maturidade suficiente ao lidar com os infortúnios de segurança. Sua pequena equipe de TI, embora com aprendizados diversos e de forma corrida, tinha-se a crença de que um patamar elevado quando se fala em medidas padrão de segurança. Eles tinham constituído uma política e diretrizes de segurança corporativa e usavam produtos de segurança disponíveis e respeitados no mercado. Porém, com surto recente de violações de segurança, ele se perguntava se precisava começar do zero, utilizando a Secom como balizadora desse novo projeto já que a empresa oferecia vários serviços de avaliação de segurança identificando fraquezas na rede, sistema e local físico que poderiam levar a violações de segurança. 
Contratar não só um diretor de TI mas um diretor capacitado para trabalhar como gestor da segurança da informação. Sua maior preocupação era com os vazamentos de informações causados por pessoas de dentro do negócio que chegavam a 80% dos incidentes. 
Ver as atividades relacionada a segurança terceirizadas era interessante para Sekine visto os recursos limitados da Jashopper. Dessa forma, mesmo a Secom TS através de seu representante foi explícita em dizer que mesmo com grandes investimentos e custos é necessário reconhecer que não há uma garantia perfeita de que nunca haveria problemas com segurança. No entanto deve-se buscar um balanceamento entre o custos e risco aceitável.