Governança da Segurança

Prévia do material em texto

Estudo de Caso:
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO
INTEL CORP. – Bring Your Own Device
REFERÊNCIA: CHANDRASEKHAR. R. INTEL CORP. – Bring Your Own Device. Ontário. Londres, 2013.
O caso em questão fala sobre a iniciativa Bring Your Own Device (BYOD) (Traga Seu Próprio Dispositivo) adotada pela Intel que se trata de uma estratégia alternativa permitindo que os funcionários, parceiros de negócios e outros usuários usem um dispositivo pessoais como PCs, Smartphones e Tablets para executar aplicações da empresa e acessar dados internos. Porém o diretor executivo de segurança da informação da Intel Corp., Malcolm Harkins, se viu preso em um “dilema triplo”, que seria:
Como exatamente extraímos valor da iniciativa e tornamos o BYOD uma nova fonte de vantagem competitiva na Intel?
Como garantimos segurança dos dados corporativos em um dispositivo que um funcionário traz para o local de trabalho?
Como respondemos para o e-Discovery solicitações de informações armazenadas em um dispositivo que não pertence à Intel?
Em 2010, mais de 10.000 funcionários dos quase 80.000 da Intel ao redor do mundo já estavam aderindo a tendência de trazer seus próprios dispositivos para o trabalho, com isso do diretor Harkins estava prevendo que o número de funcionários com dispositivos móveis pessoais utilizados para parte do seu trabalho na Intel triplicaria e no ano de 2014 esse valor seria cerca de 70% dos funcionários da empresa.
Com o crescimento dos funcionários utilizando seus dispositivos para uso corporativo e pessoal, Harkins percebeu que simultaneamente o uso dos smartphones estava crescendo dentro da empresa e que não tinha uma distinção entre os dados corporativos e os dados pessoais em dispositivos dos funcionários, pois o acesso a dados corporativos não estava mais limitado aos horários de trabalho, assim como os dados pessoais não estavam mais limitados durante as horas de trabalho e isso estava causando apreensões entre os profissionais de TI encarregados da segurança de informação (SI) que seriam sobrecarregados com o suporte e resolução de problemas de dispositivos não gerenciados.
E em vez de usar os dispositivos para atividades relacionadas ao trabalho, os funcionários seriam distraídos pelas aplicações embutidas em seus dispositivos, o que poderia potencialmente levar a um impacto negativo na produtividade.
Como Harkins ia lidar com tais dilemas e problemas? O BYOD claramente tinha um grande valor e era uma grande vantagem para a Intel, um diferencial que dava uma total liberdade para os seus funcionários levarem o seu trabalho consigo e ao mesmo tempo trazer um pouco do seu pessoal para a empresa, tornando um ambiente comum e um pouco menos “corporativo”, mas como tornar isso uma vantagem competitiva?
Havia três opções para a Intel em relação ao BYOD, encarar a tendência como uma moda que logo passaria e seus funcionários deixariam de lado, negar o BYOD dentro da empresa, mas com o risco de ficar para traz em relação as outras companhias ou apoiar o BYOD e adotar leis mais seguras da Segurança da Informação.
No início da década de 1990, a Intel reconhecia estas leis e com o crescimento do uso dos computadores em casa, a Intel permitiu que alguns funcionários acessassem remotamente a rede da empresa através dos computadores de suas casas, mas devido aos riscos, esse acesso era limitado a apenas os funcionários que assumissem um processo de missão crítica.
Como parte dessa estratégia, em 2009 Harkins organizou uma sessão web de dois dias por 48 horas ininterruptas, onde respondeu a duvidas de quase 7000 funcionários e respondeu mais de 1000 posts, onde havia uma oportunidade para os funcionários fornecerem materiais a respeito de como eles queriam usar os seus dispositivos e também parra a equipe de segurança da informação explicar o que significava o uso dos dispositivos pessoais para a empresa.
O BYOD trazia responsabilidades duplas, para a empresa gerenciar a segurança e os ajustes nos dispositivos pessoais e dos funcionários, caberiam entender os riscos que isto trazia para o negócio. Um prejuízo que havia para a Intel era a perda e roubo que agora diminuiria, visto que os funcionários seriam mais cuidadosos com os seus dispositivos, mas essa não era só uma questão de tecnologia, trazia junto dúvidas legais e de RH nas questões de direito de privacidade, licença de softwares e conformidades.
Harkins desenvolveu um modelo de cinco camadas para gerenciar o risco de segurança inerente ao BYOD, onde era definido cinco níveis de acesso.
O valor do BYOD poderia ser definido por três fontes: Redução de Custos, Ganhos de Produtividade e Vantagem Competitiva. A redução de custos era grande já que 60.000 funcionários aproximadamente teriam seus dispositivos para o trabalho.
Ganhos de produtividade porque efetivamente os funcionários estariam gastando mais tempo com assuntos corporativos em seus dispositivos pessoais, em suma estariam trabalhando mais e poderiam atender clientes internos e externos de forma mais efetiva. O BYOD fez com que a Intel atingisse a posição 98° numa lista das 100 melhores empresas para se trabalhar nos EUA.
Os hardwares da empresa tinham parâmetros de segurança configurados, Hardning, domínios, protocolos de acessos, firewall e antivírus. No ambiente BYOD teriam dois tipos de dispositivos, os gerenciados e os não gerenciados, os dispositivos gerenciados se encaixavam perfeitamente neste modelo, já os dispositivos pessoais não, pois no caso a criptografia podia estar danificando os dados pessoais dos usuários e o apagamento remoto também afetaria os dois lados, o que seria um problema de privacidade, implicaria nas horas extras geradas e o passivo que isso podia gerar a longo prazo, outra preocupação era a mistura de identidades como do Google ID e do Live ID com credenciais de e-mails e corporativo e Active Directory.
Outro grande dilema seria a e-Discovery, um método de busca, pesquisa e localização e obtenção de dados e informações eletrônicas com a intenção de utilizá-los como evidenciais em um processo judicial. Os desafios do e-Discovery eram muitos, a questão da posse dos dispositivos por parte do funcionário, exclui a intervenção da equipe de TI sem consentimento.
Para isso, Harkins apresenta três questões práticas para outros executivos, seriam elas:
Considerações Financeiras: A Intel daria incentivos para compra de dispositivos com prestação de suporte específico, onde o dispositivo seria considerado como aprovado.
Segurança: Poderia negar todo acesso a dispositivos considerados “não gerenciados” a dados protegidos e todos os dispositivos BYOD seriam gerenciados, mas isso seria shadow Ti.
Havia três opções sobre o e-Discovery, todos os funcionários assinariam um termo de acordo, onde aplicativos poderiam ser desenvolvidos para garantir que as informações fossem repassadas através de servidores corporativos, a Intel colaboraria com fabricantes de dispositivos para instalar as capacidades do e-Discovery.
COMPLEMENTO DO FICHAMENTO
• GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO
Construir um plano (apenas a lista de itens) para implementação de Governança de Segurança em uma empresa, tendo como base o COBIT versão 5.
O objetivo da Governança de Segurança da Informação é alinhar os objetivos e a estratégia da segurança da informação com os objetivos e a estratégia dos negócios da organização, agregar valor para alta direção e para as partes interessadas e garantir que os riscos das informações estão sendo adequadamente endereçadas parra as pessoas responsáveis.
Para se construir um plano de implementação de Governança de SI é necessário seguir cinco passos que com certeza são essenciais e vão ajudar a atingir o seu objetivo. Esses passos são:
1. Planejamento Estratégico de Ti.
O planejamento estratégico tem como função garantir que a área de TI esteja alinhada com os objetivos estratégicos do negócio, direcionando todos os seus esforções e competências para alcançar a proposta da empresa. A partir da análise do ambiente interno e externoda Ti, é traçado um plano com tudo o que ela deve fazer ajudar a organização a atingir os resultados através da Tecnologia, esse plano norteará boa parte das ações que enquanto estiver implantando a Governança de Segurança da Informação.
2. Escritório de Projetos (PMO)
Os projetos de TI são instrumentos que a área de TI possui para atingir os objetivos definidos no planejamento estratégico. Com um escritório de projetos, fica mais fácil priorizar os melhores projetos para a sua empresa, controlar o andamento dos projetos, assegurando que eles sejam entregues dentro do escopo, prazo e custos definidos, além de padronizar os processos de gestão de projetos.
3. Catálogo de Serviços
Um catálogo de serviços é o conjunto de todos os serviços que a área de TI presta para as áreas de negócio. Esse catálogo é uma forma simples de apresentar tudo aquilo que a TI oferece para a organização e empresa. Nele é detalhado o nome do serviço, suas características, a pessoa responsável pela sua execução, como solicitar o serviço, entre outras informações.
4. Sistema de Performance
Um Sistema com indicadores-chave de performance para se certificar que a Ti está entregando os benefícios esperados, demonstrando os resultados de forma rápida e simples. Nesse sistema de performance, os indicadores relacionam-se entre si e possuem uma relação de causa e efeito. Os resultados dos indicadores secundários vão refletir diretamente no resultado do indicador resultante e no caso de indicadores abaixo da meta, fica mais fácil identificar onde está a raiz do problema e resolvê-lo.
5. Frameworks de Processos
O COBIT é um Framework de processo que estabelece um modelo de implantação de governança de SI com foco no relacionamento com as áreas de negócio. É um conjunto de boas práticas para gestão e governança de TI. Esse framework é baseado em 4 pilares: planejamento e organização, aquisição e implementação, entrega e suporte, monitoramento e avaliação.
O COBIT conecta os processos e recursos de TI aos requisitos de negócio. Ou seja, ele está voltado para o controle da gestão interna da área de tecnologia da informação, que deve atender às estratégias de negócio. O COBIT também ajuda a TI a criar valor e a manter o equilíbrio entre os benefícios, riscos de negócio e uso de recursos. Esse frame possibilita que a TI seja organizada e gerenciada de forma holística, definindo as responsabilidades de cada área para que as necessidades dos stakeholders sejam atendidas.
Conclusão
A Governança de Segurança da Informação se torna essencial e necessária em todas as empresas que lidam com informações sigilosas, a TI se torna mais estratégica e trabalha melhor em cima das questões que colocam em risco a segurança tecnológica da empresa e todas as suas informações.
Como no caso de Harvard que houve toda uma estratégia, remanejamento das questões e um pensamento aberto para resolver todos os dilemas, assim deve ser a Governança dentro da empresa, com o foco em manter o ambiente seguro, mas respeitando a privacidade de todos os usuários sem quebrar leis e sem ficar para no mercado atual.