CASO GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Resenha Crítica de Caso
José Henrique Battisti
Cascavel – PR 
2019
 INTEL CORP. – BRING YOUR OWN DEVICE
Chandrasekhar. BRING YOUR OWN DEVICE. PDF file.  Richard Ivey School 
of Business, 2013. 
handrasekhar. BRING YOUR OWN DEVICE. PDF file.  Richard Ivey School 
of Business, 2013. 
Referências: Chandrasekhar R, Compeau, Joe, Haggerty, Nicole: Estudo de Caso: INTEL CORP. – BRING YOUR OWN DEVICE, Ontário, Londres, 15/02/2013.
Malcolm Harkins era Diretor Executivo de segurança da informação na Intel Corp. e estava prestes a enfrentar um impasse sobre uma nova iniciativa que estava crescendo no mercado, a BYOD (BRING YOUR OWN DEVICE), onde a equipe de TI analisava a fundo durante todo o ano e agora teria um aval da alta direção na implementação da ideia.
Parte dos funcionários da Intel já estavam aderindo e trazendo seus próprios equipamentos para o trabalho, Harkins previa que em pouco tempo o percentual iria cada vez mais se elevar, atingindo 70% dos funcionários. Ainda assim, havia uma questão que deveria ser tratada e pensada, como garantir a segurança das informações corporativas em dispositivos que eram próprios dos funcionários?
No ano de 2009, Harkins constatou uma nova tendência nos colaboradores da Intel, muitos estavam utilizando para o trabalho seus próprios dispositivos. O que iniciou uma preocupação da área de TI relacionada a segurança da informação (SI), estes dispositivos poderiam gerar uma demanda de suporte para a área, e também o uso poderia impactar diretamente na produtividade dos funcionários, visto que, existem muitos aplicativos embarcados que poderiam desviar a atenção.
Junto a preocupação da área de TI e SI, Harkins possuía preocupação em outros quesitos, como valor da marca, financeiro, desenvolvimento de recursos humanos, jurídico, contabilidade que não eram de seu domínio. Seria necessário definir uma política contendo detalhes como licenciamento de software e privacidade. Porém, o fato dos funcionários estarem investindo em dispositivos pessoais e utilizando para o trabalho, gerou a queda de custos da Intel na compra dos mesmos. Mas em contrapartida aumentou-se o custo de configuração, avaliação e suporte, também causando uma preocupação com os dados da empresa, vulnerabilidades que poderiam ser exploradas. Como a Intel realizava o controle das informações organizacionais sem que violassem a privacidade dos dados pessoais e quem deveria ser incluso no BYOD, tudo isso deveria ser levado em conta.
A Intel possuía em sua mesa três propostas para trabalhar com o BYOD:
· Ignorar a ideia de implementar o BYOD, acreditando que essa nova “moda” iria passar logo. Porém, poderia causar o TI “shadow” que seria os dispositivos fora do controle do departamento de TI e que não possuem aprovação pela organização;
· Negar o uso do BYOD a todos, proibindo todo e qualquer funcionário de utilizar, garantindo a Intel a posse e controle de todos os dispositivos. Mas poderia causar um passo a trás nas tendências e consequentemente haver a insatisfação e perda de funcionários;
· Seguir a tendência do mercado e apoiar a iniciativa. Entretanto, deveria manter uma política de segurança clara e bem estruturada para que os dados organizacionais estejam seguros. 
Como parte da estratégia de implementação do BYOD, Harkins gostaria que até mesmo os funcionários que não compactuavam com a ideia aderissem a ela, para isso organizou uma sessão web com o intuito de sanar as dúvidas dos funcionários. Realizando uma pesquisa interna, foi identificado que 30% dos participantes aceitavam a Intel gerenciar a segurança de seus dispositivos e também aceitariam treinamentos para melhorar seu comportamento, onde a Intel fornecia os impactos e os funcionários deveriam entender e ser responsáveis pelos possíveis riscos. 
A mensuração do valor do BYOD poderia ser dívida em três fatores:
· Redução de custos: com a implementação do BYOD uma quantidade significativa de funcionários traria seus dispositivos e assim assumiriam os custos de aquisições deles que anteriormente era inteiramente da Intel;
· Vantagem coorporativa: a adesão ao BYOD melhoraria os indicadores da Intel, aumentando o valor da marca;
· Ganhos de produtividade: Harkins conseguiu identificar que, utilizando seus próprios dispositivos, os funcionários passaram um tempo maior durante o dia para assuntos relacionado ao trabalho.
Pensando em segurança, o BYOD apresentava dois riscos fortes, dados e dispositivos. Todo equipamento de propriedade da organização vinha equipado com diversas configurações, protocolos de autenticação, firewalls, antivírus e controle de acesso. Porém, os dispositivos de posse dos funcionários não teriam todas essas configurações, pois poderiam interferir na privacidade. Informações importantes contidas no equipamento, que por acaso viria a ser perdido ou roubado, criptografia desses dados e apagamento remoto poderiam ser usados. No entanto, isso não afetaria apenas os dados da empresa, mas também os dados pessoais dos funcionários.
Outro problema que vinha à tona era a questão do e-Discovery, como a Intel poderia garantir a obtenção destes dados, sendo que os dispositivos não são de sua posse, mas sim de seus funcionários, o que impediria que a equipe de TI pudesse intervir sem o consentimento do funcionário. E empresas como a Intel eram obrigadas a ter a posse de dados, caso fossem solicitados judicialmente.
Diante dos fatos, Harkins ficava em meio a oportunidades e preocupações em relação a implementação do BYOD na Intel, movido a três questões principais que afetavam diretamente a adesão:
· Segurança: poderia ser realizado a proibição do uso de dispositivos que não fossem gerenciados pela TI, permitindo apenas os gerenciados. Neste contexto, todos os dispositivos BYOD estariam “gerenciados”, em contrapartida abriria porta para os dispositivos shadow TI. Também era possível realizar uma solução cliente-servidor onde toda e qualquer informação permaneceria no servidor e eram apresentados para o usuário apenas os resultados. Assim, eliminaria riscos relacionados ao armazenamento de dados temporariamente ou permanentemente. Seu risco seria a invasão em um dispositivo não gerenciado e o invasor poderia comprometer outros dispositivos na rede. A fim de eliminar este risco, poderia ser restrito a esses dispositivos apenas captura de imagens dos resultados, impedindo qualquer acesso;
· e-Discovery: os funcionários deveriam assinar um acordo de serviço permitindo que os dados fossem acessados quando solicitados legalmente. Aplicações desenvolvidas para que os dados fossem salvos nos servidores corporativos, evitando que fosse necessário acessar o dispositivo pessoal; 
· Financeiro: a Intel poderia ajudar com incentivos na aquisição de dispositivos que fossem utilizados para prestação de serviços específicos.
Agora isso deveria ser levado para outros executivos da Intel, porém, ainda buscava oportunidades no BYOD que agregassem valor. Ele sabia que uma infraestrutura de dados extremamente segura, junto com o engajamento dos funcionários poderiam trabalhar mais independentemente. 
O conceito de BYOD (Bring Your Own Device) estava em alta nas organizações, mas o aumento descontrolado dos dispositivos e o não gerenciamento dos mesmos pela equipe de TI, poderiam acabar com a segurança. Acima de tudo as áreas de TI precisariam se dedicar a fundo nestes dispositivos quando utilizados para fins empresariais. As políticas de segurança deveriam priorizar a todo custo os dados.
No cenário atual, políticas que proíbem o uso do BYOD, trazem um status de antiguidade para as empresas, deixando de fora inovações que seus concorrentes podem ser adeptos. 
ANEXO: COMPLEMENTO
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO 
Construir um plano (apenas a lista de itens) para implementação de Governança de Segurança em uma empresa, tendo como base o COBIT versão 5. 
Para a construção de um plano para implementação de Governança de Segurançase faz necessário seguir alguns passos essenciais. Esses passos são divididos em:
· Planejamento Estratégico: Sua função é garantir que a área de TI esteja em alinhamento com os objetivos do negócio, com os esforços e competências direcionados a fim de atingir a proposta da organização. Analisando o ambiente interno e externo da TI, será seguido um plano que estará engajado junto à organização para que seja possível atingir os resultados.
· PMO: Os projetos de TI são instrumentos utilizados pela área de TI para atingimentos de objetivos que foram definidos no planejamento estratégico. A priorização de projetos pode ser realizada de acordo com a estratégia da empresa, podendo controlar e assegurar que seja mantido os prazos e custos, além da padronização deles.
· Catálogo de serviços: Todos os serviços prestados pela área de TI estarão englobados aqui, neste catálogo apresentara de uma forma simples tudo o que é oferecido pela área de TI dentro da organização. Aqui constara desde o nome dos serviços, características do serviço, responsáveis e execução e também como poderá ser solicitado tal demanda.
· Sistema de Performance: Garantias de entrega de serviços esperados pela área de TI, neste sistema existe indicadores que fazem a relação de causa e efeito, onde os indicadores irão refletir diretamente no resultado. Nos indicadores com taxa baixa, será possível identificar o fator de problema e resolvê-lo.
· Frameworks de Processos: COBIT 5 estabelece um modelo para implementação de Governança de Segurança de Informação, focando nas diversas áreas de relacionamento do negócio. São boas práticas para a gestão e baseada em quatro pilares;
· Planejamento e Organização.
· Aquisição e Implementação.
· Entrega e Suporte.
· Monitoramento e Avaliação.
O COBIT alia os requisitos de negócio junto aos recursos de TI, voltado para o controle e gestão da área de TI porem deve atender também as estratégias do negócio. Esse framework garante que a TI possa ser gerenciada e organizada de maneira que seja possível definir as responsabilidades de cada área.
Trabalho da disciplina Governança De Segurança Da Informação
Tutora: Maria Benedicta Graziella Guimarães