RESENHA CRITICA - FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

�
UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Resenha Crítica de Caso
Jardel de Assis Rodrigues dos Santos
Trabalho da disciplina Fundamentos de Segurança da Informação
 Tutor: Prof. Sheila de Goes Monteiro
Rio de Janeiro/RJ 
2019
�
SECOM: GERINDO SEGURANÇA DA INFORMAÇÃO EM UM MUNDO PERIGOSO
Referências: Mcfarlan, F. Warren; Austin, Robert D.; Usuba, Junko; Egawa, Masako; Toyama, Chisato. Secom: Gerindo Segurança da Informação em um Mundo Perigoso. Harvard Business School. Rev. nº 22 de abril de 2008. 9-308-015.
Pode-se afirmar que a premissa do trabalho realizado pelos autores baseia-se na difícil missão de implementar a gestão em segurança da informação nos dias atuais, em um mundo digital cada vez mais enraizado nas estruturas organizacionais e também cada vez mais perigoso. Fatores como armazenamento de dados, gestão de acessos e proteção contra roubo de informações são vitais para a manutenibilidade do negócio e essa abordagem é evidenciada por meio da Lei de Proteção de Informações Pessoais e do caso da empresa Jashopper.
A Jashopper atuava no segmento de comércio eletrônico como centralizadora de lojas varejistas. O processo de compras era simples: o cliente registrava dados pessoais como nome, endereço, data de nascimento e, por fim, os dados do cartão de crédito. Em poucos anos de atuação, a empresa cresceu exponencialmente e formou uma quantidade massiva de informações e dados dos clientes.
Em abril de 2004, o governo japonês decretou a Lei de Proteção de Informações Pessoais. O foco da lei era obrigar que toda e qualquer empresa que administrasse um banco de dados com mais de cinco mil cadastros de informações pessoais tomassem as medidas cabíveis para protegê-los e, no caso de vazamentos dessas informações, seriam aplicadas as punições estabelecidas na legislação.
Diante deste contexto, somos apresentados ao grupo Secom, que era o maior provedor de serviço de segurança física e lógica de dados no Japão. Conhecemos também o diretor executivo da Jashopper, Mamoru Sekine, com um grande dilema empresarial: de um lado visava a redução de custos e o aumento do lucro; por outro lado, vazamentos de informações devido à falta de segurança da informação (como nos exemplos das empresas Mastercard e Visa International) era um risco inaceitável, que geraria um prejuízo enorme à empresa, podendo levá-la a falência.
Percebe-se, no decorrer do trabalho dos autores, o quão enfatizado é o fato de que qualquer solução de segurança aplicada possui vantagens e desvantagens. Em última análise - seja do ponto de vista empresarial, onde o objetivo é o lucro a baixo custo, seja do ponto de vista de segurança, onde o objetivo é proteção a qualquer custo - não há o certo ou errado. Tudo é uma questão de perspectiva: o que proteger, como proteger, de quem proteger. Sabe-se que os riscos de vazamento de informações tanto podem ser internos (por exemplo, o descarte incorreto de informações impressas, acessos indevidos etc.) quanto externos (por exemplo, ação de hackers) e para conhecer a solução, primeiro é necessário conhecer todos os aspectos do problema.
Pela visão empresarial, o diretor Mamoru Sekine poderia reestruturar sua equipe de TI, reduzindo o gasto com segurança dos dados, todavia a falta de expertise profissional nessa área poderia, a médio ou longo prazo, acarretar em prejuízos imensuráveis para a empresa, como, por exemplo, a estagnação nos métodos de segurança, tornando-os obsoletos e vulneráveis às novas ameaças.
Pela perspectiva da segurança, confiar esse serviço à empresa Secom – reconhecida no país como referência em diversas áreas de atuação – era a melhor saída. Riscos decorrentes da falta de expertise não ocorreriam ao terceirizar esse serviço com a empresa líder do mercado, mas o custo poderia ser grande.
Apesar de todos os esforços, constantes brechas na segurança continuavam despontando, mesmo após a Lei de Proteção de Informações Pessoais entrar em vigor. Conforme relatos, em três meses do ano de 2005, 43 perdas ou roubos de informação ocorreram e uma solução não poderia tardar a ser definida.
Com os fatos apresentados, somos conduzidos à difícil missão do diretor da Jashopper de escolher o melhor cenário a ser aplicado para garantir a segurança da informação do negócio. Como decidir acertadamente algo que pode determinar o futuro da empresa?
Levando-se em consideração tais aspectos, podemos afirmar que a solução mais viável seria confiar as atividades relativas à segurança a terceiros com a expertise necessária, principalmente quando a empresa possui recursos limitados. Essa estratégia possibilitaria à empresa focar no que é prioritário para o seu negócio e atuar dentro do seu próprio segmento.
Vale ressaltar, contudo, que “nenhuma quantidade de gastos em segurança iria garantir que nunca houvesse um problema com a segurança”, conforme apresentado no texto. Ainda que a segurança das informações seja confiada a terceiros e várias camadas de segurança fossem constituídas, nos seus diversos aspectos – tecnologia, metodologia e fator humano – é de extrema importância a constante análise e monitoramento de vulnerabilidades, físicas ou não, assim como uma eficiente análise dos riscos inerentes à operação / tecnologia.
�
COMPLEMENTO
Considerando os três cenários apresentados pela Empresa SECOM, comente um dos cenários e faça uma correlação com a seguinte afirmativa: "É parte da segurança da informação fundamental para o negócio de uma empresa (...)”
“A terceira alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e virtual. Usando o serviço de Avaliação de Segurança Total da SECOM, a Jashopper poderia analisar seu nível de segurança atual a partir de quatro pontos de vista: (1) organizações/sistemas/políticas, (2) segurança física, (3) controle de acesso aos dados, e (4) segurança de rede. Isso esclareceria a tolerância de risco da empresa e identificaria as prioridades e custo de várias medidas de segurança. Este serviço de auditoria custaria ¥500.000 e precisaria de duas semanas”.
Dentre os cenários propostos pela empresa de segurança SECOM, o terceiro cenário destaca-se, pois nele é possível identificar o processo de análise de risco e o estudo das vulnerabilidades, de modo que possibilite uma melhor compreensão por parte da empresa para identificação dos seus pontos fracos e quais os investimentos necessários para resolvê-los, se possível for, ou pelo menos estarem preparados para um plano de ação.
Ainda sobre este cenário, é possível afirmar que existe uma correlação entre os quatro pontos de vista abordados e a afirmativa “É parte da segurança da informação fundamental para o negócio de uma empresa (...)”, visto que qualquer aspecto que for desconsiderado na implantação de uma política de segurança da informação, aumenta o risco de deixar alguma vulnerabilidade exposta. Ao analisar o seu ambiente, mapeando todos os riscos e conhecendo suas fraquezas, a empresa consegue traçar um plano estratégico de negócio destinando um foco maior para aplicar medidas de segurança que permitirão o seu funcionamento adequado, bem como mantê-la competitiva no mercado. Podemos dizer que, no mercado atual, não devotar atenção ao impacto que um risco, vulnerabilidade ou fraqueza pode causar ao negócio é catastrófico.
Qualquer que seja a organização, quando suas vulnerabilidades são mapeadas é possível dimensionar adequadamente o investimento a ser feito em segurança da informação, contudo uma falha ainda comum para as empresas é focar apenas nos riscos de alto impacto e considerar que não vale a pena investir para a solução dos riscos de baixo impacto. Tudo na empresa possui o seu valor para o negócio e tem que ser dada a devida atenção para garantir o mínimo de segurança em seu ambiente corporativo.
É importante ressaltar que o plano estratégico de segurança da informação precisa estar alinhado com o plano estratégicode negócio da empresa. O foco de toda e qualquer empresa é se manter competitiva no mercado e para isso o tratamento de suas vulnerabilidades é o caminho certo para atingir os seus objetivos.
Dito isto, o terceiro cenário é a melhor opção, pois torna a empresa ciente de seus riscos e fornece subsídios para que a mesma possa estruturar da melhor forma o seu ambiente, mitigando o máximo de vulnerabilidades existentes. Considere que, sem esta análise, a empresa coloca em risco não só a segurança dos dados lógicos, como também a sua estrutura física, ficando exposta e obsoleta com relação ao mercado.
�