Artigo Estudo de caso Harvard Secom

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SA
PÓS GRADUAÇÂO MBA
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Secom: Gerindo Segurança da Informação em um Mundo Perigoso
Por Robert D. Austin, Jun Kousuba e Masako Egawa.
Disciplina: Fundamentos de Segurança da Informação
Professor: Sheila de Goes Monteiro
Wallace Francis de Oliveira
São Paulo
	2018
O autor relata de um caso no Japão de um empresário: Mamoru SEKINE, Diretor Executivo da Joshopper, uma empresa pequena na internet que organizou um site de comercio eletrônico e vários varejistas pagavam para ter uma loja virtual em seu site. 
O empresário estava muito preocupado, segundo a informação dada pela Mastercard e Visa Internacional tinha anunciado que as informações de 40 milhões de cartões de créditos haviam vazado devido a uma violação de segurança por um contratante e não foram apenas as empresas pequenas, como sekine, mas grandes corporações com tecnologia sofisticada foram afetadas.
As licenças de vários serviços informáticos de segurança que sua empresa utilizava estavam a pontos de serem renovados e o custo destes serviços tinha uma relação direta pequena com a rentabilidade conquistada com esforço de sua empresa.
A equipe de TI havia recebido sugestões de serviço da Secom Trust Systems (Secom TS), uma empresa de rede de integração e segurança da informação, e juntos eles custam mais que o serviço que o Joshopper vinha usando.
	 
Como qualquer outra empresa na Internet seja ela de pequeno e grande porte, que hospedam site de comércio eletrônico, precisam muito de ter uma segurança de alto nível por receber muitas informações sigilosas, por exemplo, para um usuário fazer uma compra virtual, o mesmo precisa informar vários dados pessoais como nome, endereço, data de nascimento e o número do cartão de crédito, esses dados são de suma importância e qualquer empresa de hospedagem e do ramo varejista virtual precisa ter uma proteção desses dados.
 No contexto mundial várias discussões estão sendo travadas para atingir um denominador comum nas políticas de novas tecnologias de informação, a qual só pode ser assegurada por leis que permitam a regulamentação de cada país, a regulamentação entre empresas e públicas e inclusive a regulamentação entre pessoas físicas.
Entendemos que Regulamento é uma exigência imposta pelo governo que específicas características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade ela é obrigatória. 
O que o governo do Japão estabeleceu em abril de 2004 foi uma norma que protege a informação pessoal, ela foi aplicada para empresas que administram um banco de dados com mais de 5.000 identidades pessoais.
Grupo Secom
No ano de 2004, Secom era o maior provedor de serviço em segurança no Japão ele estava quase que em todos os ramos, como por exemplo: A empresa de TV a cabo (Miyagi Network Corporation) constituiu a Daini Denden, Inc (atual KDDI, a segunda maior operadora de telecomunicações do Japão), nos serviços médicos, seguros e serviços de informação geográfica, ou seja, ela estava nesta época dominando quase que tudo no país.
Os Negócios da Secom, podemos dizer que era em torno de 70% em segurança e era conhecida com uma empresa que dominava o mercado de segurança e proteção, através dos serviços que prestavam aos seus clientes.
Secom Trust Systems
O autor faz um breve relato temporal com datas importantes em que a empresa Secom teve êxito em seus negócios em segurança, o mesmo relata que no ano de 1985, ela criou o Japan Computer Security. O seu principal objetivo era a venda de software de combate e proteção dos disquetes contra a contaminação de vírus. 
Em 1984, a Secom era a dona da maior rede de computadores do Japão, maior que a de qualquer outra corporação de grande porte no ramo da tecnologia da Informação.
Em 1991 a SIS (Secom Information System) foi designada a administrar a vasta rede da Secom e fornecer soluções de integração de sistemas de rede para clientes externos.
Em 1994 a Secom iniciou um empreendimento conjunto chamado Tokyo Internet que nada mais era o provedor de Internet (ISP) para empresas.
Em 1998 a Secom entrou no mercado de autenticações ao liderar a criação da Entrust Japan Co. Ltd.com a NTT Data, Sony corp. Tokyo Mitsubishi Bank e outras treze empresas.
Em 1999, foi um grande ano marco na estória da Secom, ela finalmente conseguiu o seu lugar ao sol, se tornou uma grande empresa de négocio de segurança de Internet e consolidou todos os seus empreendimentos se relacionar a Secon Trust Net.
Em 2006 a Secom Trust Systems Co. ltd. Foi fundada através da fusão da Secom Information Systems e da Secom Trust Net para fornecer segurança de informação abrangente e serviços de integração de sistemas de redes.
Com isso podemos concluir que, foram muitos anos para que a empresa se tornasse a grande potência nos negócios que envolvem a segurança da Informação, foi com muito trabalho árduo e alguns negócios não muito bem sucedidos, mas o desempenho dos grandes fundadores da Secom: Makoto Lida e Juichi Toda, ou seja, levou 44 anos para se tornar o que é a Secom.
Negócios de Segurança de Informação da Secom Trust System
A secom TS oferece uma gama de serviços incluindo centros de dados, auditorias de segurança, serviço de detecção de invasor, certificação digital e serviço de consultoria. Uma das vantagens da Secom era oferecer um serviço único em segurança da informação tanto virtual como físico. A Secom prestava os seus serviços de segurança a todas as empresas desde a pequena, passando pela média e chegando a grande porte como o bancos12.
A chave de segurança de informação da Secom TS era seu Secure Data Center (SDC), que era um dos mais elevados padrões de segurança do Japão e do mundo, ou seja, com a Secom os seus dados estavam bem protegidos e os seus serviços eram muito eficiente e com qualidades. A disponibilidade dos seus serviços virtual e físicos era fornecida a todo o momento 24h por dia e 365 dias por ano. A Secom tinha um prédio que era todo projetado para atender toda a infraestrutura de equipamentos, softwares e pessoas para garantir o serviço 100%.
A Decisão de Produtos para a Jashopper
O autor relata que vários produtos e serviços de segurança virtual usada pela empresa Jashopper, estavam a ponto de ser renovadas. Alguns dias atrás, a empresa Secom supracitada enviou uma proposta para vários produtos de segurança da Informação. Sekine, observando esta proposta, começou a ler e a pensar no que poderia ajudar na necessidade de seu negócio. 
A proposta da Secom trouxe várias vertentes para a Joshopper para que a mesma pudesse decidir qual seria a melhor opção para o seu negócio, visto que a empresa estava crescendo gradualmente e precisaria de uma boa estrutura na segurança dos dados de seus clientes. 
Iremos somente citar os principais serviços que a Secom ofereceu para a joshopper: Serviços de Hospedagem/Alojamento, Serviços de Monitoramento e Proteção, Sistema de Identificação de Controle de Acesso e Serviço de Detecção/Prevenção de Intrusão, Serviço de Certificação Digital e Auditoria.
Foram três as propostas que a Secom ofereceu para a Jashopper: Primeira era a menos cara, a opção era usar o serviço de alojamento avançado; a Secom forneceria um pacote com tudo e incluindo segurança tanto física quanto virtual. Esta alternativa custaria um valor inicial de ¥300.000 e uma taxa mensal de ¥300.000.
Segunda alternativa era instalar um sistema de identificação e controle de acesso além do serviço de alojamento avançado. O cartão ID ONE da Secom equipado com chips de grande capacidade de memória poderia controlar o acesso a entradas, redes e computadores. Para 20 funcionários, o cartão identificação custaria ¥120.000, o TR2(sistema de controle de acesso de entrada) ¥1.3 milhões, e o SmartOn (sistema de controle de acesso aos computadores)¥1.1 milhões; todo o custo seria cobrado no início do contrato.
Terceira alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e virtual. Este serviço de auditoria custaria ¥500.000 e precisaria de duas semanas.
Todos os custos envolvidos para segurança ainda eram muito alto para Sekine, mas o mesmo deveria implantar a segurança em sua empresa. Sekine deveria compreender a real do seu negócio e escolher qual a melhor opção e o que é realmente importante para proteger o seu ativo de maior valor: “A informação”. Empresas que querem permanecer no mercado precisam de uma implantação segura e a Secom tinha todos os recursos que Sekine necessitava para o seu patrimônio.
Um dos cenários apresentado pela empresa SECOM, foi supracitado no fichamento é o caso: Negócios de Segurança de Informação da Secom Trust System, neste caso o SDC (Secure Data Center) era a cereja do bolo por ter um dos mais elevados padrões de segurança do Japão e do mundo, ou seja, com a Secom os seus dados estavam bem protegidos e os seus serviços eram muito eficiente e com qualidades, com isso a empresa não precisa se “preocupar muito” com as informações críticas da organização pois os mesmos eram de responsabilidade da Secom. A proteção física era baseada na experiência da Secom no negócio de segurança nos últimos 40 anos. O prédio era protegido por patrulhas, detectores de metal, escaneamento de retina e câmeras. Os servidores eram mantidos em salas climatizadas, requisito necessário devido a quantidade de calor emitida pelos servidores e a instalação era auxiliada por geradores de energia em caso de falta de luz. O centro era dividido em sete níveis de segurança. A área de nível de segurança mais alto continha servidores mantidos em abrigos especiais para proteção contra ondas eletromagnéticas, incêndios e terremotos. Este centro foi originalmente construído para abrigar autoridades de certificação que emitiam certificações digitais e assim exigiam níveis extremamente altos de segurança. Sendo assim "É parte da segurança da informação fundamental para o negócio de uma empresa”, para se manter nos negócios é preciso ter e manter uma segurança de alto nível e estar sempre atento com as novas modalidades de invasão e sequestro de dados. Os envolvidos na área de segurança precisam ter um projeto bem definido e estruturado com os pós e os contra de uma implementação eficiente que vai trazer retorno positivo para a empresa e consequentemente trará proteção ao negócio, para que no futuro não venham ter problemas ou até mesmo a falência da organização. 
	
Fundamentos da Segurança da Informação