Fichamento para Conformidade com Normas e Regul. Externas

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Thiago Luiz Peixoto
Trabalho da disciplina de Conformidade com Normas e Regulamentações externas.
Tutor: Prof.ª Sheila de Goes Monteiro.
Rio de Janeiro
2018
ESTUDO DE CASO:
 CONFORMIDADE COM NORMAS E REGULAMENTAÇÕES EXTERNAS 
Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
REFERÊNCIA: MCFARLAN, F. Warren. AUSTIN, Robert D. USUBA, Junko. EGAWA, Masako. Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Harvard Business School, 9-308-015, 2008.
Iniciamos o estudo de caso com uma notícia de 19 de julho de 2005, do jornal japonês Nikkei Newspaper, informando a respeito de o banco Michinoku Bank ter se tornado o primeiro banco naquele país a ter recebido uma advertência oficial do governo por ter violado a Lei de Proteção de Informações Pessoais. 
A preocupação de Mamoru Sekine, Diretor Executivo da empresa Jashopper, era evidente após a leitura da cópia de um artigo publicado no jornal acima citado. As notícias sobre vazamentos de informação de dados pessoais se multiplicavam mesmo após meses desde que fora estabelecido a Lei de Proteção de Informações Pessoais. Duas grandes operadoras de cartões de crédito sofreram vazamento de informações de mais de 40 milhões de clientes, mediante uma violação de segurança causada por um contratante. Não somente empresas de pequeno porte, mas também organizações maiores e com tecnologias de ponta, se viram afetadas pelo problema.
Sekine tinha um problema em mãos. A preocupação com a segurança era uma questão abrangente e as licenças de seus serviços de proteção de informática estavam prestes a serem renovados. Sekine desejava melhorar esses contratos, mesmo que os custos desses serviços tivessem um impacto menor no capital da 
Conformidade com Normas e Regulamentações Externas: Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
empresa, diminuir os custos sempre que possível é uma das prerrogativas de todas as organizações. Uma nova proposta de serviço pela empresa Secom Trust Systems (Secom TS), havia sido recebida pela equipe de TI da sua empresa, todavia ela tinha custos maiores das que a empresa vinha contratando anteriormente. Sekine precisava avaliar se aquele novo produto iria de fato atender as necessidades da sua empresa e com isso mitigar as chances de falhas dado a tantos casos de vazamentos de informações sendo noticiados rotineiramente.
O negócio da Jashopper consiste em um comercio eletrônico através de seu site Jashopper.com, que hospeda lojas virtuais de varejistas que oferecem produtos diversos e em troca pagam uma taxa para poder manter suas lojas online. 
A Jashopper é a responsável pelos dados dos clientes que precisam se cadastrar no site inserindo informações de cunho pessoal para realizar compras, e um vazamento desses dados poderia causar danos de dimensões catastróficas para a empresa, que vinha num crescimento constante após dois anos de prejuízos desde que foi fundada.
O constante problema com a exposição não autorizada de dados pessoais causou um prejuízo financeiro de bilhões, tanto pelas indenizações aos clientes impactados quanto pelos custos de adequação dos sistemas de segurança e as oportunidades de negócios desperdiçadas. 
Isso levou o governo japonês a criar uma lei para que seus cidadãos fossem protegidos desses vazamentos e as empresas tivessem uma responsabilidade maior ao gerir esses dados sensíveis. Toda empresa que tivesse um portfólio com mais de cinco mil clientes cadastrados deveria se enquadrar na lei. Foi exigido que as empresas não pudessem utilizar essas informações para outros propósitos que não fossem os estabelecidos no momento em que as informações foram inseridas no cadastro, e que novos procedimentos eram necessários para proteger esses dados. Novos casos seriam punidos pela lei e não somente se enquadraria às empresas, mas também seus funcionários. 
Conformidade com Normas e Regulamentações Externas: Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
A obrigatoriedade de se cumprir a lei ocasionou por torná-la uma nova conformidade, as organizações precisavam implementar novos controles e politicas de segurança para se manterem compliance e novas certificações foram adquiridas.
Mesmo com todas as mudanças provocadas pela lei, ainda ocorriam falhas de segurança e alguns vazamentos foram registrados. 
Makoto Lida e Juichi Toda fundaram em 1962, a Japan Patrol Security Corporation, pioneira em serviços de segurança no Japão. A organização teve uma grande visibilidade após ser a responsável por gerir a segurança das Olimpíadas de Tóquio de 1964. No ano de 1966, a Secom (empresa do grupo Japan Patrol Security Corporation) criou um novo sistema de alarmes denominado “Alarme de Patrulha de Segurança (SP)” (p.3), que utilizava sensores para identificar incidentes como invasões e incêndios. O diferencial em seu serviço era que, além de alugar seus sensores e monitora-los, eles enviavam uma equipe ao local em caso de incidentes. Esse novo sistema de monitoramento eletrônico remoto acarretou na substituição dos seguranças que atuavam diretamente nos locais, e fez com que a empresa perdesse uma parte de seus clientes, mas por outro lado, conquistaram novos clientes e continuaram sua crescente expansão. Decolaram para fora do Japão, fizeram novos empreendimentos e constituíram novas corporações, diversificando seus negócios e ampliando sua área de atuação. Foi nesse momento em que ingressaram na segurança da informação.
A Secom TS possui um vasto arsenal de serviços de segurança que apresentam um elevado padrão de qualidade, e os ofereciam 24hs por dia durante todos os dias do ano. 
Suas instalações e equipamentos são detalhadamente planejados e alocados estrategicamente de modo que seus serviços não sejam interrompidos nem mesmo em casos de desastres naturais. 
A Jashopper precisava definir seus próximos passos. A empresa carecia de equipamentos e seu site era hospedado em servidores locados. Suas opções iriam desde comprar seus servidores e posiciona-los em seu próprio local (vislumbrando 
Conformidade com Normas e Regulamentações Externas: Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
uma futura expansão), aloca-los em data center de terceiros ou continuar alugando os servidores e demandar equipamentos mais avançados em relação aos que já utilizavam. 
Estes serviços de hospedagem ou locação de servidores são ofertados pela Secom TS, que contam com a mais alta segurança e também disponibilizam todos os recursos necessários para o funcionamento e monitoramento desses servidores. A empresa gozava de credibilidade no mercado e tinham como clientes grandes corporações que exigiam o mais alto nível de segurança para seus dados. Caso optasse por adquirir sua própria infraestrutura, a Jashopper também precisaria de outros produtos e serviços que já seriam cobertos pela Secom caso contratasse seus serviços, como firewalls e softwares de segurança.
Sekine tinha um conhecimento superficial sobre os aspectos da segurança e utilizavam na Jashopper produtos com boa aceitação do mercado, porém com os constantes casos de violações vindos à tona, ele imaginou se não seria melhor analisar e modernizar seus procedimentos de segurança. A Secom TS poderia oferecer soluções completas de segurança para o negócio da Jashopper.
A proposta de serviço foi elaborada em três pacotes diferentes, cada qual com diferentes opções de itens de segurança, como monitorações, controles de acessos físico e virtual e análises de riscos e auditorias.
Por fim, Sekine faz uma grande reflexão sobre como a Jashopper adotava suas medidas de segurança, o quão efetivo elas eram e o que poderia ser feito para que a sua empresa não entrasse nas manchetes de jornais em mais um caso de violação de segurança. Como os funcionários de sua empresa deveriam ser conscientizados sobre todos os processos de segurança da organização, tendo em conta que na maioria dos casos,o problema vem de dentro da própria organização. O risco em ter um custo maior ao contratar os serviços da Secom TS, mediante o orçamento limitado da empresa e sabendo que mesmo com esses serviços, sempre haveria o risco de algum problema acontecer. 
Conformidade com Normas e Regulamentações Externas: Secom: Gerindo Segurança da Informação em um Mundo Perigoso.
 Um conjunto de boas práticas baseados nos padrões ISO 27001 e 27002 agregariam novos valores para a organização e incrementariam seu nível de segurança. Um Sistema de Gestão de Segurança da Informação deve ser planejado estrategicamente antes de ser implementado, conhecendo quais são as necessidades da empresa e seus objetivos a longo e curto prazo. A aplicação de normas e padrões de segurança internacionais podem minimizar consideravelmente seus riscos e diminuir custos com softwares e sistemas de segurança terceirizados.