Baixe o app para aproveitar ainda mais
Prévia do material em texto
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 9-308-015 Rev. Nº 22 DE ABRIL DE 2008 F. WA RR EN MC FA RL AN RO BERT D . AU S T IN JUN K O U S UBA MA S A K O EG A W A Secom: Gerindo Segurança da Informação em um Mundo Perigoso 'Existem sérios problemas com as medidas tomadas para proteger dados pessoais". . . . Michinoku Bank se tornou o primeiro banco a violar a Lei de Proteção de Informações Pessoais e a receber advertência do governo japonês. — Nikkei Newspaper, 19 de julho de 2005 Mamoru Sekine, Diretor Executivo da Jashopper, deixou de lado uma cópia de um artigo do Nikkei Newspaper e suspirou. Vários meses haviam passado desde que a Lei de Proteção de Informações Pessoais tinha entrado em vigor no Japão. Porém, vazamentos de informação de dados pessoais continuavam, ao ponto de quase se tornar material diário da imprensa. Apenas no mês passado, a Mastercard e a Visa International tinham anunciado que as informações de 40 milhões de cartões de créditos haviam vazado devido a uma violação de segurança por um contratante. Não foram apenas empresas pequenas, como Sekine, mas grandes corporações com tecnologias sofisticadas foram afetadas. Como o Diretor Executivo de um negócio internacional, Sekine tinha razões para estar preocupada. Seus olhos se deslocaram para uma proposta em cima de sua mesa. As licenças de vários serviços informáticos de segurança que sua empresa usava estavam a ponto de serem renovados. O custo destes serviços tinha uma relação direta pequena com a rentabilidade conquistada com esforço de sua empresa. Sekine esperava que a Jashopper talvez renegociasse acordos melhores com os fornecedores de TI para maximizar os fundos investidos na construção de rentabilidade e na redução de despesas que não contribuíam obviamente para o retorno em investimento. Mas a equipe de TI havia recebido sugestões de serviço da Secom Trust Systems (Secom TS), uma empresa de rede de integração e segurança de informação, e juntos eles custam mais que o serviço que a Jashopper vinha usando. Claro que as histórias sensacionalistas dos jornais deixaram claro que não se devia economizar em segurança. Enquanto ele folheava as descrições de produto, Sekine se perguntava como deveria proceder ao escolher quais produtos usar. Os produtos valeriam o investimento? Quanta proteção era suficiente? Suas decisões mudariam se sua empresa decidisse abrir seu capital em alguns anos? O professor F. Warren McFarlan, o professor Robert D. Austin, o pesquisador associado Junko Usuba, e o diretor executivo Masako Egawa do Japan Research Center da Harvard Business Schoool prepararam este caso. O pesquisador associado Chisato Toyama ajudou nas entrevistas. Casos HBS são desenvolvidos somente como base para discussão em aula. Os casos não têm a intenção de servir como endosso, fonte primária de dados, ou ilustrações de gestão eficiente ou ineficiente. Copyright © 2007, 2008 President and Fellows of Harvard College. Para solicitar cópias ou pedir permissão para reprodução de materiais, ligue 1- 800-5457685, escreva para Harvard Business School Publishing, Boston, MA 02163, ou visite bsp.harvard.edu/educators. Nenhuma parte desta publicação pode ser reproduzida, armazenada em um sistema de recuperação, utilizada em uma planilha, ou transmitida de qualquer forma ou por qualquer meio - eletrônico, mecânico, fotocópia, gravação, ou outro qualquer - sem permissão da Harvard Business School. Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Jashopper.com A Jashopper, uma empresa pequena na Internet, organizou um site de comércio eletrônico, Jashopper.com.1. Varejistas pagavam para ter uma loja virtual em seu site. Clientes japoneses visitavam seu site para comprar uma vasta gama de produtos desde aparelhos eletrônicos a cosméticos e jóias. Para fazer uma compra, os clientes tinham que registrar dados pessoais como nome, endereço, data de nascimento e número de cartão de crédito. Sekine havia começado a empresa com alguns amigos três anos atrás. Seu trabalho duro havia compensado; só no anos passado a empresa teve lucro pela primeira vez. Agora tinha vendas anuais de quase 1 bilhão de ienes (¥)2 e 20 funcionários, assim como um conjunto de lojas estabelecidas (400) e uma base de clientes forte (600,000 registrados). Sekine sentiu que seu negócio era forte e estava considerando uma oferta pública inicial (IPO) para ganhar fundos para aumentar o negócio. Lei de Proteção de Informações Pessoais Em 2006, o uso da Internet no Japão era corriqueiro com duas de cada três pessoas acessando a Internet de computadores ou telefones móveis (ver Anexo 1). De usuários da Internet, mais de 36,2% tinha experiência com compras na Internet3. Mas o aumento do uso da Internet foi acompanhado por um aumento de roubos de identidade e reocupação elevada entre o público (ver Anexo 2). Em fevereiro de 2004, Softbank BB, dona do maior provedor de Internet do Japão, o Yahoo! BB, anunciou o vazamento de dados de 4,5 milhões de usuários. Kakaku.com, um site de comparação de preços, perdeu registros de dados de 20.000 clientes para hackers. A cidade de Yuzawa, no norte do Japão, vazou inadvertidamente os dados pessoais de moradores da cidade ao usar um software de compartilhamento de arquivos. Michinoku Bank perdeu CD-ROMs contendo 1,3 milhões de titulares de conta incluindo nome, endereço e saldo da conta. Incidentes não resultantes de invasões de estranhos, mas de atos criminosos de internos (como na Softbank BB). Outros incidentes foram causados pelas ações descuidadas de empresas e funcionários (ver Anexos 4a e 4b). Isto representou uma ameaça não só para os clientes, mas um fardo financeiro significante para as empresas (ver Anexo 5). Softbank BB, estimou que o impacto nos negócios foi de ¥10 a ¥20 bilhões em indenização de clientes, mudança de seu sistema de segurança e custo de oportunidade de negócios perdidos.4 Para proteger os clientes de roubos de identidade, o governo japonês decretou a Lei de Proteção de Informações Pessoais em abri de 2004. Esta lei se aplica a empresas que administram bancos de dados com mais de 5.000 identidades pessoais. Tais empresas eram impedidas de usar informações pessoais para fins outros que não os explicitamente declarados no momento que a informação foi adquirida. E mais, era exigido que elas tomassem as medidas necessárias para proteger os dados pessoais de vazamentos de informação. No caso de um vazamento de informação, as empresas ou até mesmo os indivíduos eram punidos pela lei. A administração e proteção de informações de identificação pessoal se tornaram uma questão de conformidade. As empresas lutavam para cumprir com o regulamento ao aplicar segurança de rede, instalando novas políticas empresariais, contratando agentes de segurança de informação e adquirindo Privacy Mark e a certificação ISMS (ver Anexo 6)5. Quase 1.600 organizações adquiriram o Privacy Mark até o meio de junho de 20056. 1 Jashopper.com é um site fictício. 2 A taxa de câmbio era ¥117.29/$ em 31 de março de 2007. 3 Ministry of Internal Affairs and Communications, “2005 Report on Communication Usage Trend Survey,” março de 2006, p. 66. 4 Isao Horikoshi, “Finally Started . . . the Realization that ‘Net Users Are Basically Malignant,’” Nikkei Communications, 24 de Maio de 2004, p. 57. 5 O Privacy Mark é um certificado emitido pela Japan Information Processing Development Corporation(JIPDEC), uma entidadede economia mista. Ele é emitido para empresas que cumprem certos padrões para proteger informações de clientes e é válido 2 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Apesar destes esforços, brechas na segurança continuavam mesmo depois da Lei de Proteção de Informações Pessoais entrou em vigor em 1º de abril de 2005. Apenas entre abril e junho de 2005, 43 perdas ou roubos de informação em grande escala ocorreram (ver Anexo 7)7. Outra lei adicionou novos desafios a administração e proteção de informações. Uma versão japonesa da Lei Sarbanes-Oxley americana estava sendo elaborada pelo governo e era esperada que entrasse em vigor já em 2008. A maior implementação de controles internos exigira melhor administração das informações da empresa. A Lei e-Document, que entrou em vigor em abril de 2005, permitiu que as empresas mantivessem documentos exigidos pelo governo em versão eletrônica. Antes da promulgação da lei, era exigido que elas mantivessem versões impressas. Por exemplo, varejistas poderiam manter cópias eletrônicas dos recibos menores que ¥30.000 ao invés de ter que armazenar recibos físicos. Tal lei criou oportunidades de corte de custos, mas também levantou a necessidade de maior armazenamento e proteção eletrônica. Sekine pensou sobre esses desafios e suas implicações em seu negócio. Como os serviços da Secom TS iriam ajudá-lo a vencer esse desafio? O Grupo Secom Secom9 A Secom era o maior provedor de serviço de segurança no Japão com uma quota de mercado de mais de 60%. Para o ano fiscal terminando em 31 de março de 2007, a empresa tinha vendas de ¥613.9 bilhões e operava lucros de ¥97.8 bilhões. A empresa começou em 1962 quando Makoto Iida, juntamente com Juichi Toda, constituíram a Japan Patrol Security Corporation, o primeiro serviço de segurança do Japão. A empresa oferecia serviços de patrulha com seguranças, mas inicialmente batalhou para ter clientes á que o conceito de terceirização de segurança ainda não tinha criado raízes no Japão. Uma oportunidade apareceu em 1964 quando administrou a segurança das Olimpíadas de Tóquio. Depois disso, o negócio cresceu continuamente, mas a empresa também passou por contratempos envolvendo roubos por seguranças da Secom. Iida focou em melhorar a comunicação e a educação de seus funcionários, mas percebeu as limitações para gerir uma grande força de seguranças, que crescia conforme o negócio crescia. Em 1966, a Secom introduziu o "Alarme de Patrulha de Segurança (SP)", um sistema de vigilância remoto que contava com sensores para pegar invasores e incêndios. Quando os sensores detectavam irregularidades, a Secom enviaria sua equipe para investigar a situação. A Secom forneceu serviços de segurança abrangentes ao alugar os sensores para os clientes, monitorar aqueles sensores e enviar sua equipe em caso de invasão ou incêndios. Este modelo de negócio era único já que, por dois anos. O ISMS, também credenciado pelo JIPDEC, é uma exigência ISO estimando administração abrangente e proteção de configuração e execução de políticas para revisão constante de planos de segurança corporativos. 6 Tsuneo Matsumoto, “Hitotsubashi ICS Management Law Class #12: Personal Information Protection Law and Privacy 2,” Weekly Toyo Keizai, 9 de julho de 2005, p. 106. 7 Quantidade de perdas ou roubos de identidade envolvendo as informações de no mínimo 1.000 clientes. Yoshiya Katsumura, “Special Report: Why There Is No End to Information Leak,” www.nikkeibp.co.jp/sj/special/09/, acessado em 14 agosto de 2006. 8 Keidanren (Federação Japonesa das Organizações Econômicas) avaliou as economias de corte de custos para documentação eletrônica em de ¥300 bilhões apenas para documentos fiscais. “Sales Discussion of e-Document Law Begin—Proposing Data Usage Over Cost Cutting,” Nikkei Solution Business, 15 de janeiro de 2005, p. 50. 9 A descrição da Secom é baseada no My Biography por Makoto Iida e entrevistas com a administração da Secom. 3 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso nos Estados Unidos ou Europa, os clientes compravam seus próprios sensores e empresas de segurança monitoravam os sensores, mas não enviavam suas equipes. Mesmo que faltasse confiança dos clientes em vigilância eletrônica e fosse devagar para eles se adaptarem, em 1970, Iida tomou a decisão drástica de mudar seus clientes de seguranças no local para Alarmes SP. Ele perdeu 30% de seus clientes, mas 70% se converteu para o sistema de segurança eletrônico. Ele também ganhou novos clientes e o rendimento total aumentou. Conforme o negócio se expandiu, as economias de escala estavam a seu favor e melhoravam a rentabilidade geral do negócio. Em 1974, a empresa foi cotada na Bolsa de Valores de Tóquio e entrou uma fase de expansão estrangeira e diversificação. Em 1978, ela estabeleceu um empreendimento conjunto em Taiwan e eventualmente se expandiu para os EUA, Reino Unido, Coréia, Tailândia, Malásia, China e outros mercados estrangeiros. No início dos anos 1980, a Secom se expandiu para novos negócios como novas mídias. Constituiu a Miyagi Network Corporation, uma empresa de TV a cabo e participou na constituição da Daini Denden, Inc. (atual KDDI, a segunda maior operadora de telecomunicações do Japão) em meio a desregulamentação da telecomunicação. Foi nesta época que a Secom entrou no negócio de segurança de informação. Ela também entrou nos serviços médicos, seguro e serviços de informação geográfica. Enquanto se diversificava, o momentum para os negócios de segurança não foi perdido. A Secom introduziu o My Alarm, um serviço de vigilância e envio de casa, e o Coco-Secom, um sistema para localizar pessoas, especialmente crianças e idosos, através de um sistema de posicionamento global (GPS). Em março de 2007, a empresa tinha contratos com 694.000 empresas e 390.000 casas. Ela tinha 2.100 depósitos de emergência em todo Japão. Os negócios de segurança eram 70% de todas as vendas do Grupo Secom e eram responsáveis pela maior parte do lucro operacional. A marca Secom era conhecida através do Japão como a empresa de segurança dominante. O logotipo era visto normalmente nas ruas de Tóquio, pois os clientes da Secom gostavam de colocar o adesivo da Secom em suas portas para afastar assaltantes (Ver Anexo 8). A empresa tinha estabelecido uma marca forte associada a segurança e proteção através de seus serviços de segurança e comerciais de TV, que eram protagonizados pelo herói nacional Shigeo Nagashima, um ex treinador de baseball. Secom Trust Systems O início dos negócios de segurança de informação da Secom podem ser traçados para 1985 quando ela criou o Japan Computer Security com a recém privatizada Nippon Telegraph and Telephone (NTT), que era a maior empresa de telecomunicação do Japão. Seu principal negócio era a venda de softwares de proteção contra vírus para evitar a contaminação de disquetes. Naquele ano, ela também fundou outros dois negócios de rede: O Video Techs Center (fornecedor de conteúdos) e o Secom Net (serviços de rede de valor acrescentado). 10 A Secom começou esses empreendimentos com a esperança de alavancar o conhecimento de rede que havia ganhado através de seu negócio de segurança principal. O sistema de vigilância remoto da Secom usava uma extensiva de rede de computadores para coletar dados de sensores em todo Japão para monitorar casas e escritórios.Em 1984, a Secom era dona da maior rede de computadores do Japão, maior que a de qualquer grande corporação ou negócio de tecnologia da informação. Através de sua operação, a empresa ganhou extenso conhecimento em construção, administração e segurança de redes de computadores. Em 1991, a Secom Information Systems foi designada para administrar a vasta rede da Secom e fornecer soluções de integração de sistemas de rede para clientes externos. Em 1994, ela começou um empreendimento conjunto chamado Tokyo Internet que era um provedor de Internet (ISP) para empresas. Eventualmente iria comandar as posições de liderança em linhas alugadas. Através 10 O negócio de redes de valor acrescentado (VAN) envolvia a revenda de linhas de comunicação de dados privados. 4 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 deste negócio, a Secom ganhou experiência com a Internet, ajudando os clientes a acessarem-na. O empreendimento foi vendido em 1998. No mesmo ano, a Secom entrou no mercado de autenticações ao liderar a criação da Entrust Japan Co. Ltd. com a NTT Data, Sony Corp., Tokyo Mitsubishi Bank (o atual Bank of Tokyo-Mitsubishi UFJ) e outras 13 outras empresas. Em 1999, ela oficialmente deu o pontapé para seus negócios de segurança de Internet e consolidou todos os seus empreendimentos relacionados à Secom Trust Net. Em 2006, a Secom Trust Systems Co., Ltd. foi fundada através da fusão da Secom Information Systems e da Secom Trust Net para fornecer segurança de informação abrangente e serviços de integração de sistemas de rede. Negócios de Segurança de Informação da Secom Trust System A Secom TS oferece uma grande variedade de serviços incluindo centros de dados, auditorias de segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria (ver Anexo 9). Em conjunto com sua matriz, a Secom, ela tinha a vantagem de oferecer um balcão único para segurança de informação tanto virtual quanto física. Ela afirmava não ter competidores diretos que oferecessem uma variedade tão grande de serviços; porém, tinha competidores em cada segmento, com a Verisign, a filial japonesa da Versign sediada nos EUA, a líder da indústria de certificação SSL, em certificação digital11. Ela atendia uma ampla gama de clientes de pequenas a grandes empresas, como grandes bancos12. Uma das características chave da segurança de informação da Secom TS era seu Secure Data Center (SDC), afirmado ter um dos mais elevados padrões de segurança no Japão e no mundo. No centro, proteção tanto física quanto virtual era fornecida 24h por dia, 365 dias por ano. A proteção física era baseada na experiência da Secom no negócio de segurança nos últimos 40 anos. O prédio era protegido por patrulhas, detectores de metal, escaneamento de retina e câmeras. Os servidores eram mantidos em salas climatizadas, requisito necessário devido a quantidade de calor emitida pelos servidores e a instalação era auxiliada por geradores de energia em caso de falta de luz. O centro era dividido em sete níveis de segurança. A área de nível de segurança mais alto continha servidores mantidos em abrigos especiais para proteção contra ondas eletromagnéticas, incêndios e terremotos. Este centro foi originalmente construído para abrigar autoridades de certificação que emitiam certificações digitais e assim exigiam níveis extremamente altos de segurança. Com o passar do tempo, o tamanho físico dos servidores diminuiriam relativo a capacidade, impondo maior demanda energética por pés quadrados de espaço de centro de dados. A Secom TS havia recentemente completado a construção no SDC para expandir a capacidade energética geral. A Decisão de Produto para a Jashopper A licença para vários produtos e serviços de segurança virtual usada pela Jashopper estava a ponto de ser renovada. Apenas há alguns dias atrás, a Secom TS havia trazido uma proposta de produto para vários produtos de segurança d informação. Sekine pegou esta proposta e começou a folhear as páginas e pensou sobre as necessidades de seu negócio (ver Anexos 10 e 11). 11 Author’s interview with Eiji Jinbe, head of Special Sales Second Division, Secom TS, 9 de agosto de 2006. 12 A Secom TS foi incumbida com a administração de autoridades de certificação para o Bank of Tokyo-Mitsubishi Bank UFJ e o Mizuho Bank. Este sistema foi certificado pelo Identrus, um sistema de certificação de transações bancárias e adotado por grandes instituições financeiras no mundo. 5 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Serviço de Hospedagem/Alojamento Uma importante decisão tinha que ser feita sobre como a empresa iria administras seus servidores. Atualmente, a Jashopper usava uma empresa locadora de servidores e estava considerando atualizar seus servidores antecipando sua expansão. A empresa tinha a opção de comprar seus próprios servidores e armazená-los em sua propriedade ou alugar um espaço em um centro de dados (alojamento). Ela também poderia alugar servidores de um centro de dados (hospedagem). A empresa de Sekine precisava de aproximadamente cinco servidores para funções da Internet e para abrigar o site da Jashopper. Ele acreditava que tudo isso caberia em um quarto de um rack bastidor. A Jashopper tinha seis endereços IP globais, que eram necessários para o site da empresa e outros dispositivos de comunicação. A Secom TS oferecia os seguintes serviços através de seu SDC. Hospedagem de servidores Serviços de hospedagem de servidores de Internet (DNS, correspondência e Web). A Secom TS fornecia o servidor, a configuração, a conexão de Internet e serviço de informação 24h todos os dias do ano. Ferramentas de segurança também estavam incluídas como firewalls e monitoramento de hackers 24 horas por dia, 365 dias por ano feitas pelo Serviço de Detecção de Invasão da Secom (IDS, descrito detalhadamente na próxima seção) e certificação de servidor SSL. O valor da configuração inicial era de ¥250.000 e uma taxa mensal de ¥150.000 era cobrada para serviços básicos para um endereço IP. Além disso, um custo de conexão de Internet de inicialmente ¥100.000 e ¥100.000 era exigido por mês. Alojamento avançado A Secom TS fornecia racks bastidores para abrigar os servidores de clientes no SDC. O cliente era responsável por comprar e configurar o servidor. Grande parte das ferramentas de segurança oferecidas no IDS estava incluída, salvo a certificação de servidor SSL. Além disso, a Secom TS monitorava para ver se o servidor estava funcionando e alertava o cliente se ele parasse. O valor de configuração inicial para um rack bastidor era de ¥400.000 e ¥500.000 por mês para até 8 endereços IP. Os racks bastidores também poderiam ser alugados de um quarto de um rack bastidor por um valor inicial de ¥200.000 e ¥200.000 por mês. Tamanhos maiores também estavam disponível como cinco racks bastidores por um valor inicial de ¥1.6 milhões e uma taxa mensal de ¥2.1 milhões. O mesmo custo de conexão de Internet pago para o serviço de hospedagem de servidor se aplicava. Apesar do cliente ser responsável pelo equipamento, a opção de alojamento avançado incluía controle de climatização, múltiplas conexões à rede elétrica (com geradores alternativos à diesel e fontes de alimentação ininterruptas (todos excedentes), conexões físicas excedentes à rede de transporte da Internet e segurança física (guardas, acesso restrito ao equipamento),tudo fornecido pela Secom TS. A Secom TS fornecia alojamento avançado a clientes como Glaxo Smith Klein Japan, o braço japonês da maior empresa britânica farmacêutica. Tais empresas exigiam um alto nível de segurança para proteger informações sobre estudos clínicos e dados de clientes. Se grandes empresas farmacêuticas confiavam na Secom TS, certamente ela deve ter medidas de segurança fortes em funcionamento. Sekine também podia escolher dentre vários outros gestores de centros de dados desde pequenas locadoras de servidores a operadoras de grande escala. Serviço de Monitoramento e Proteção Além do centro de dados, a Secom TS oferecia uma ampla gama de serviços de monitoramento e proteção, incluindo serviços para monitorar o ambiente físico. Se a Jashopper escolhesse manter seu próprio servidor internamente, precisaria comprar firewalls e softwares de detecção de intrusos e contratar uma equipe para mantê-los. Por outro lado, em um centro de dados, funções de segurança básicas poderiam ser incluídas como parte do serviço. Funções de segurança básicas também poderiam ser executadas ao comprar ferramentas adicionais, como o serviço da Secom de detecção/prevenção de intruso. 6 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Serviço de Firewall Secom A Secom TS fornecia tanto o hardware quanto o software para habilitar firewalls predefinidos conforme especificações do cliente. A empresa fornecia patches13 atempados e atualizações de software e substituía equipamentos de firewall em caso de falha. O firewall era monitorado 24 horas por dia, 365 dias por ano e o cliente era contatado imediatamente quando um problema com o firewall era detectado. O valor inicial de configuração inicial era de ¥80.000, e ¥40.000 eram cobrados por mês para serviços básicos para proteger a porta de entrada da empresa. Serviço de Detecção de Invasão Secom14 No gral, um sistema de detecção de intrusos (IDS) era um sistema de gestão de segurança para monitorar linhas de dados e detectar intrusos em uma rede. Um sistema de detecção na Internet recolhia e analisava fluxos de informação (chamados de "pacotes") para identificar violações de segurança em potencial ou reais e notificava os administradores da rede no caso de ameaça por telefone ou e-mail. No serviço da Secom TS, especialistas em segurança monitoravam remotamente a rede dos clientes 24 horas por dia, 365 dias do ano através de sensores detectores de hackers colocados dentro da rede. A Secom TS checava os pacotes que entravam e saiam da rede contra a política de segurança da Secom TS e caracterizavam ameaças em três níveis. Se os sensores achassem um intruso de alto risco, a Secom TS informava o cliente imediatamente. A Secom TS fornecia informação e sugeria contra medidas, mas a maior parte, cabia ao cliente resolver o problema. Portanto, os clientes precisavam de uma equipa de TI que entendesse de redes de computador. A Secom TS também fornecia relatórios diários, semanais e mensais sobre atividades que pudessem indicar acesso ilegal. Havia duas ferramentas especiais do serviço IDS da Secom TS. Primeiro, a Secom TS conduzia avaliações de vulnerabilidade da rede e recomendava contra partidas duas vezes ao ano. Segundo, em caso de violação da segurança, danos ao computador e a rede de informação eram cobertos por seguro pela companhia de seguros subsidiária geral da Secom. O valor era de ¥200.000 para configuração inicial e ¥240.000 por mês para um contrato de um ano com até seis endereços IP. Serviço de Detecção/Prevenção de Intrusão Secom No geral, um sistema de prevenção de intrusão (IPS) era uma abordagem preventiva para segurança de redes para responder a intrusões rapidamente. Ele coletava informações como um IDS, mas ia mais além ao alertar sobre um intruso baseado em regras estabelecidas pelo administrador da rede. No IPS da Secom TS, grande parte das funções de seu serviço IDS estava incluída. A diferença chave era que a Secom TS parava pacotes nocivos e alertava sobre intrusos baseada em políticas de segurança especificamente para as necessidades do cliente. A política era baseada e ajustada em pacotes de informações coletados dos sensores IPS na rede do cliente. Os pacotes eram únicos para cada empresa dependendo do tipo de aplicação e dados usados pela empresa. Mas também havia o perigo de "falsos positivos"; uma política de segurança geral podia determinar que os pacotes que realmente eram seguros e necessários para o serviço um cliente eram perigosos, então parar o fluxo de informações que era necessário para o funcionamento normal da empresa. Assim, a personalização era importante para assegurar o manuseio apropriado doas pacotes e operação eficiente. A resposta aos intrusos dentro do serviço de prevenção era mais rápido do que a resposta para o IDS, pois a Secom TS agiria e evitaria o dano de se espalhar. Ademais, a Secom TS monitorava não só o fluxo de pacotes para e de uma rede de uma empresa, mas também dentro da rede. No global, as empresas eram capazes de aumentar seu nível de segurança e detalhamento sem contratar pessoal adicional. Uma ferramenta única do serviço IPS da Secom era a avaliação de vulnerabilidade, que era feita com maior detalhamento e frequência do que o do serviço IDS. Auditorias eram conduzidas todos os dias e se um problema fosse identificado, a política de software era atualizada o mais rápido possível. A auditoria era baseada no Serviço 365 Avaliação e-Secom (descrito com detalhes na unidade de auditoria). A taxa de instalação era de ¥1 milhão e a taxa mensal era de ¥250.000. 13 Um “patche” é uma atualização de software direcionada a corrigir um defeito recentemente descoberto em software já lançado. Os patches são importantes em contextos de segurança porque frequentemente eliminam vulnerabilidades de segurança imprevistas. Um "patche" cobria um buraco na segurança. 14 A Secom tinha mais de cinco anos de experiência e protegia 1.000 servidores com o Serviço de Detecção de Intrusão da Secom. 7 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso até seis endereços IP. Além disso, a compra de hardware IPS (¥1.98 milhões) e serviço de assistência (¥594,000 por ano) era necessário. Sekine pensou que esses produtos poderiam ajudar a fortalecer o nível de segurança de informação sem aumentar a equipe de TI. Ele pensou que os produtos IDS e IPS poderiam ser usados para monitorar o servidor que continha as informações confidenciais de seus clientes como números de cartão de crédito. Ou ele poderia também escolher fornecer o IDS para cada loja listada no Jashopper.com. Sekine conhecia outros participantes no mercado de IDS e IPS. A LAC, uma empresa japonesa que fornecia serviços de segurança de rede e integração de sistemas, era a mais conhecida neste campo. Tinha uma reputação sólida, mas também tinha preços mais altos. Sistema de Identificação e Controle de Acesso Este serviço era baseado em um cartão que continha um chip IC (cartão IC) e era usado como cartão de identificação pessoal. O cartão IC, chamado de ID ONE, serviria para várias atividades como rastreamento de histórico de entrada/saída dos titulares do cartão e limitação de acesso a prédios, salas, computadores e laptops. Por exemplo, uma pessoa que desejaria entrar em um prédio ou sal precisaria colocar seu cartão IC em um leitor localizado na entrada. O leitor retiraria a informação no chip IC e verificariaque o titular do cartão teve acesso ao prédio. O valor para um sistema de entrada/saída era ¥1 milhão para uma entrada mais ¥300.000 para a engenharia de sistemas. O valor para configurar um cartão era de ¥6.000. Um tipo diferente de leitor também poderia ser acoplado ao computador para que a pessoa precisasse passar seu cartão IC para usá-lo. O valor de tal sistema incluía um custo de servidor (¥600.000), uma taxa de engenharia de sistema (¥300.000) e um taxa de licença de software de ¥10,000 por computador. Sekine também se perguntou até que ponto ele precisava controlar o fluxo físico de informações em seu escritório. A Secom TS tinha originalmente abordado a equipe de TI através do gerente de assuntos gerais que estava trabalhando com a Secom para instalar a vigilância de segurança do escritório. Tipicamente em uma empresa japonesa, a segurança virtual era gerida pelo departamento de TI e a segurança física pelo departamento de assuntos gerais. Sekine se perguntou se os dois departamentos precisavam trabalhar juntos nos problemas com a segurança de informação. Serviço de Certificação Digital Sekine examinou os dois serviços de certificação digitais apresentados pela Secom TS. Ele entendeu que protegendo seu site como algum tipo de criptografia digital era fundamental para proteger a troca e transações de informações tanto com seu site e clientes finais. A Secom TS era a segunda maior empresa no mercado de certificações digitais depois da Verisign Japan. Passaporte para a Web Secom Este era um serviço de certificação de servidor SSL. Ele verificava para os clientes que o site realmente existia e estava funcionando por um negócio válido. Ele também permitia que dados e transações dos usuários fossem protegidas por uma encriptação de 128-bits para que outra pessoa monitorando clandestinamente a transação não pudesse ver o conteúdo. Quando a empresa havia passado por todas as políticas de auditoria da Secom TS, ganhava um adesivo que era instalado no servidor (ver Anexo 13). O valor era de ¥65.000 por certificado por ano. Passaporte para Membro Secom Este era um serviço de certificação para os clientes. Uma vez que um usuário fosse confirmado cliente válido, uma certificação de cliente era instalada no computador do usuário. O site checava a certificação do cliente para ter certeza que o computador acessando o site era um usuário válido, Isto poderia evitar usuários não autorizados, como hackers, de acessar um site com uma identidade e senha roubadas. O valor para o curso padrão era de ¥300.000 para a instalação, Para 500 certificados que 8 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 poderiam ser emitidos dentre de um período de dois anos, a taxa mensal era de ¥110.000 por mês. Para 1.000 certificados, a taxa mensal era de ¥140.000, para 5.000 certificados, ¥650.000 e para 10.000 certificados, ¥1.5 milhões. No Jashopper.com, os donos das lojas precisavam acessar o site principal para conseguir informação sobre clientes que haviam feito compras para que a loja pudesse enviar as mercadorias para eles. Os donos das lojas e os funcionários usavam uma identificação e senha para se conectar. Sekine se perguntou se o Passaporte Para Membro Secom poderia oferecer maior segurança. Ele pensou que poderia emitir um certificado para cada loja em seu site. Sekine também achou interessante que o certificado SSL da Secom TS era bem similar com o logotipo usado pela empresa matriz no negócio de segurança (ver Anexo 13). Ele reconheceu o logotipo porque havia visto muitas vezes em prédios e casas nas ruas de Tóquio. Sekine se perguntou se existia realmente uma diferença tecnológica entre a Secom TS e sua competidora e como ele deveria decidir se precisava do produto ou não. Auditoria Sekine acreditava que sua empresa tinha dado os passos certos ao lidar com os problemas se segurança. Ele tinha uma pequena equipe de TI, que reportava direto a ele. Eles tinham aprendido sobre segurança virtual de forma apressada, lendo revistas de TI e adquirindo informação com colegas empreendedores e fabricantes de produtos de segurança. Eles acreditavam que tinham alcançado as medidas padrão de segurança. Eles tinham constituído uma política e diretrizes de segurança corporativa e usavam produtos de segurança disponíveis e respeitados no mercado. Porém, com surto recente de violações de segurança, ele se perguntava se precisava voltar à estaca zero. A Secom TS oferecia vários serviços de avaliação de segurança. Ele pensou que esses serviços poderiam ser um bom ponto de partida para dar um passo atrás e repensar a segurança em um todo. Avaliação de Segurança Total Secom Este serviço identificava fraquezas na rede, sistema e local físico que poderiam levar a violações de segurança. A Secom TS conduzia entrevistas com os clientes, checava o real ambiente do escritório e avaliava a rede. No final de duas semanas, a Secom TS entregava um relatório de avaliação que identificava medidas de segurança e prioridades. O valor era de ¥500.000 para um local com oito endereços IP. Serviço 365 Avaliação e-Secom Este serviço checava um site de comércio eletrônico todo dia para identificar fraquezas na segurança no servidor e no aplicativo da Web. Mais de 10.000 itens eram examinados por vez sob as políticas de segurança da Secom TS. Exemplos de itens teste eram avaliações de vulnerabilidade do servidor central e de ataques de verme informático e vírus. A versão, patches e ajustes do software e sistemas de operação eram checados para detectar fraquezas. Ajustes de correspondência eram checados para ver se havia ocorrido algum acesso ilegal. O firewall usado na rede também era checado para detectar problemas. Quando o site era considerado seguro, um adesivo de segurança era publicado na Web (ver Anexo 14). Se questões relacionadas a segurança fossem identificadas, a Secom TS informava o cliente sobre os problemas e sugeria soluções através do site. O adesivo de segurança era removido se o cliente não consertasse o problema em 72 horas. A taxa de instalação inicial era de ¥100.000 e a taxa mensal era de ¥480.000 para um domínio e quatro endereços IP. Outros Serviços A Secom TS também fornecia serviços para melhorar a segurança geral e ajudar as empresas responderem a Lei e-Document. Serviços de consultoria de segurança A Secom TS oferecia serviços de consultoria para soluções de segurança gerais. Isso ajudava as empresas a identificarem problemas de segurança, ajustar políticas de segurança e educar 9 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso os funcionários sobre problemas de segurança através de e-learning. Também apoiava os clientes a obter o ISMS ou o Privacy Mark. Soluções e-Document A Secom TS fornecia uma variedade de serviços de documentação eletrônica que cumpria com os requisitos da Lei e-Document. O serviço de selo temporal emitia certificados digitais sobre quando e em qual horário um documento eletrônico era criado. O serviço de assinatura eletrônica emitia certificados digitais de quem criou e assinou em um documento eletrônico. Tanto o selo temporal quanto a assinatura eletrônica eram exigidos pela Lei e-Document. A Secom TS estava planejando introduzir um serviço de arquivamento de documentos eletrônicos em um futuro próximo. A Jashopper não havia solicitado o Privacy Mark porque o processo levava muito tempo e Sekine esua equipe não tinham pensado que tinha um impacto substancial para os negócios. Mas com o aumento da preocupação dos clientes, ele pensou que o selo poderia ajudar a acalmar os clientes mostrando que o seu site era seguro. Obter o selo para sua empresa iria, claro, exigir um gato adicional significante. A Proposta da Secom A Secom propôs três alternativas para a Jashopper. A primeira alternativa menos cara era usar o serviço de alojamento avançado; a Secom forneceria um pacote tudo em um incluindo segurança tanto física quanto virtual. Melhoraria a segurança do site EC ao minimizar a ameaça de vírus e hackers e fornecer um ambiente tolerante com estrutura anti-sísmica e rede excedente. Esta alternativa exigia o valor inicial de ¥300.000 e uma taxa mensal de ¥300.000 (ver Anexo 11). A segunda alternativa era instalar um sistema de identificação e controle de acesso além do serviço de alojamento avançado. O cartão ID ONE da Secom equipado com chips de grande capacidade de memória poderia controlar o acesso a entradas, redes e computadores. Uma fechadura elétrica chamada TR2 controlava o acesso as entradas e mantinha relatórios de todos os operadores. Fechava o acesso por indivíduos não autorizados e impedia crimes pelos funcionários. O SmartOn, que controlava o acesso aos computadores, especificava aplicativos autorizados para cada indivíduo e codificava todos os arquivos. Para 20 funcionários, o cartão de identificação custaria ¥120.000, o TR2 (sistema de controle de acesso de entrada), 1.3 milhões, e o SmartOn (sistema de controle de acesso aos computadores) 1.1 milhões; todo o custo seria incorrido inicialmente. A terceira alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e virtual. Usando o serviço de Avaliação de Segurança Total da Secom, a Jashopper poderia analisar seu nível de segurança atual a partir de 4 pontos de vista: (1) organizações/sistemas/políticas, (2) segurança física, (3) controle de acesso aos dados, e (4) segurança de rede. Isso esclareceria a tolerância de risco da empresa e identificaria as prioridades e custo de várias medidas de segurança. Este serviço de auditoria custaria ¥500.000 e precisaria de duas semanas. Conclusão Enquanto Sekine largava a proposta da Secom TS, seus olhos vagavam de volta para o artigo no Nikkei Newspaper. Ele certamente não queria sua empresa na manchete das principais notícias com um escândalo desses. Especialmente com uma empresa tão nova quanto a sua, as conseqüências poderiam ser devastadoras, terminando rapidamente com os sonhos empreendedores que ele trabalhou tanto para realizar. Como ele poderia proteger seus clientes quando empresas maiores e mais sofisticadas com bolsos mais cheios haviam falhado? 10 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Recentemente, a empresa tinha focado no crescimento; Sekine suspeitava que a segurança não estava sendo destacada o suficiente. Ele lembrou que tinham criado uma resposta manual de emergência nos primeiros anos, quando tinham escutado de uma violação de segurança de uma empresa nas notícias. A equipe de TI a atualizava todo mês, mas ele não conseguia lembrar a ultima vez que a tinha visto. Como ele poderia encorajar seus funcionários a manter a segurança de informação sempre em mente? Sekine estava pensando em contratar um diretor de tecnologia, mas se perguntava se deveria contratar alguém que também pudesse trabalhar como diretor de segurança da informação. Sekine lembrou que 70%-80% dos incidentes de vazamento de informações eram causados por pessoas de dentro do négocio15. Além de contratar um diretor de segurança da informação, ele deveria estar pensando maior, como reorganização ou mudança dos fluxos de trabalho, para melhorar a segurança? Seria preciso mais treinamento de pessoal? Ele deveria encorajar de forma mais explicita a denúncia de irregularidades? Por outro lado, o foco na segurança de informação diminuiria a velocidade nas tomadas de decisão de sua empresa? Sekine relembrou seu recente almoço com um amigo da faculdade que era diretor de informação de uma grande empresa comercial. Seu amigo apontou que a empresa comercial investiu quantidades de dinheiro significantes em segurança de informação sem analises detalhadas sobre retornos de investimento, com a convicção que a segurança de informação fosse a espinha dorsal de uma empresa comercial e que a empresa não deveria se arriscar neste quesito. Mesmo que a segurança de informação fosse tão importante para empresa de Sekine, ele sabia que não tinha tais recursos. Então, qual era o nível de risco aceitável para o jovem empreendimento de Sekine? Os representantes da Secom TS destacavam que a Secom TS poderia agir como um balcão único para todas as exigências de segurança de informações de sua empresa. Ser capaz de terceirizar todas as atividades relacionadas era interessante para Sekine, pois a Jashopper tinha recursos limitados. Mas ele se perguntava qual parte da segurança de informação era fundamental para seu negócio principal; administrar internamente fazia mais sentido para construir as competências essenciais de sua organização? Seus olhos voltaram para a proposta da Secom TS. Claramente, ele poderia gastar uma grande quantidade de dinheiro em segurança. E mesmo assim o representante da Secom TS havia sido muito profissional ao reconhecer que nenhuma quantidade de gastos em segurança iria garantir que nunca houvesse um problema com a segurança. As perguntas que o confrontavam podiam, ao mais alto nível, ser simplesmente expressas: Quanto ele deveria estar disposto a gastar? Quanto segurança era suficiente? 15 Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 9. 11 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Anexo 1 População Usuária e Penetração da Internet no Japão (milhares) (%) 160.000 140.000 120.000 54,5 60,6 62,3 80 66,8 70 60 100.000 80.000 60.000 40.000 20.000 0 9,2 11.55 0 13,4 16.94 0 21,4 27.06 0 37,1 47.08 0 44 55.93 0 69.42 0 77.300 79.480 50 85.290 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 Ano Número de Usuários da Internet Penetração da População Total Fonte: Compiled by casewriters using data from Ministry of Internal Affairs and Communications, “Communication Usage Trend Survey,” março de 2006. Anexo 2 Número de Incidentes de Vazamento de Informação e Indivíduos Afetados 400 350 300 250 200 150 100 50 7.613 30.482 31.057 366 35.000 30.000 25.000 20.000 15.000 10.000 5.000 63 57 0 0 2002 2003 2004 Ano Número de organizações Média de indivíduos afetados por incidente Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 22. 12 Este documento é autorizado apenas para revisão do educadorpor Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Anexo 3 Terminologia de Segurança da Internet Autenticação Autenticação é o processo de determinação se alguém ou algo é realmente quem ou o que declara ser. Um exemplo é o uso de senhas e identificação para iniciar uma sessão em um computador. Autoridade de Certificação (CA) Uma CA é uma autoridade que emite certificações digitais. Certificação Digital Uma Certificação digital é um dado eletrônico que garante sua credencial ao fazer negócios pela Internet. Ela contém uma assinatura digital do crédito da autoridade que emitiu o certificado para que outros possam certificar que o certificado digital é real. Software de Compartilhamento de Arquivos Um software de compartilhamento de arquivos é um software usado para partilhar arquivos entre um número indefinido de computadores na Internet. Winny é o mais conhecido software de compartilhamento de arquivos no Japão. Gateway Um ponto na rede que é a entrada para outra rede, como a intranet de uma empresa. Provedor de Internet (ISP) Um ISP é uma empresa que fornece serviços de conexão com a Internet para indivíduos e empresas, através de suas linhas e equipamento de telecomunicação. Ele também oferece serviços adicionais como e-mail e hospedagem de página principal. Endereço IP (Protocolo de Internet) Um endereço IP é um número de 32-bits usado para identificar o receptor ou emissor de informação na Internet ou intranet. Um endereço é dado ao equipamento de comunicação, como servidores e computadores clientes. Um endereço IP global é dado a equipamentos e computadores que são acessados de fora da rede pela Internet. Phishing Phishing é um método usado para roubar identificações pessoais na Internet ao se fazer de entidade legítima em um e-mail ou site. A palavra é uma combinação de "sophisticated", como o método usado é bem sofisticado, e "fishing". Rack Bastidor Um rack bastidor é uma prateleira usada para armazenar os servidores que geralmente tem o formato de uma placa de circuito eletrônico. Um rack bastidor contém vários encaixes para montar os servidores. O tamanho é baseado em múltiplos de U, um padrão internacional que é equivalente a aproximadamente 4,5 cm. Servidor Um servidor é um computador que fornece dados e funções para outros computadores na rede. Um servidor da Web é um computador que contém os arquivos e funções de um site em particular. Quando outro computador acessa o site, o servidor da Web envia a informação relevante pela Internet. Um servidor de e-mail é um computador que recebe e-mails de outros computadores em sua rede e os transmite para entregar na Internet e manda e-mails em nome dos outros computadores. Um servidor DNS traduz um nome de domínio, que é similar a um endereço que identifica uma rede de computadores na Internet, em um endereço IP. Secure Sockets Layer (SSL) O SSI é um protocolo que é usado para codificar dados que são transmitidos pela Internet. É usado comumente em sites para enviar informações pessoais como números de cartão de crédito para evitar que tais dados sejam roubados por terceiros. Certificação de servidor SSL É um serviço que fornece certificação digital de um site e de uma encriptação SSL. A certificação digital do site verifica que o site realmente existe e é operado por uma empresa que existe. Spoofing Spoofing é quando alguém rouba uma identificação e senha e finge ser um usuário autorizado na Internet. O impostor faz atividades ilegais ou ruins e culpa o usuário autorizado. Fonte: Compilado pelo escritor do caso baseado em e-words.jp e searchsecurity.techtarget.com. 13 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Anexo 4a Causas de Vazamento de Identificação Pessoal Aspectos Técnicos Causa % Exemplos Não Técnico Crime 46.7% Informações realizadas contra as regras, outro crime por pessoal interno, roubo de dados Não Técnico Erro Humano 24.3% Perda, informação usada para outra coisa Técnico Erro Humano 22.1% Falha na operação ou configuração dos sistemas, má administração Técnico Medidas tomadas não foram suficientes 4.4% Bug, falha de segurança, vírus, intrusão Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 25. Observação: Estes dados foram compilados de fontes jornalísticas divulgadas publicamente. Anexo 4b Método Usado para Vazamento de Informações Pessoais FTP 0,3 E-mail 6,8 Web e Internet 7,4 Dispositivo de Gravação Portátil como FD 9,0 Outro 6,6 Desconhecido 3,6 Cópia Impressa em Papel 45,9 Hardware de Computador 20,5 Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 12. 14 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Anexo 5 Impacto Financeiro de Incidentes de Vazamento de Informação Empresa Incidente e Momento Impacto nos Negócios Softbank BB (dono do provedor de Internet Yahoo BB) 4,5 milhões de informações de usuários roubadas por duas pessoas internas (Fevereiro de 2004) ¥500 pagos para cada usuário como indenização. ¥4 bilhões pagos para fazer mudanças sistemáticas para evitar crimes. No mês seguinte ao incidente, novas compras caíram 36% comparado ao mês anterior. Kakaku.com (site de comparação de preços) A segurança do site foi violada por uma injeção de SQL e 22.511 endereços de e-mail de usuários foram roubados. Os usuários do site foram redirecionados para um outro site que continha um vírus (Maio de 2005). O site teve que sair do ar por 10 dias. Perdeu vendas e as contra medidas custaram ¥200 milhões. Secretaria Municipal de Uji (governo da cidade) Um aluno de pós graduação de meio período, enviado por um contratante, roubou informações de 210.000 moradores da cidade usando um MO (Maio de 1999). Os tribunais mandaram a cidade de Uji pagar as vítimas ¥10.000 por pessoa. Fonte: Nikkei Communications, 24 de maio de 2004, pp. 57, 60; Nikkei Morning Paper, 10 de abril de 2004; The Weekly Toyo Keizai, August 20, 2007, pp.100–107. Anexo 6 Medidas de Proteção de Informações Pessoais Tomadas por Empresas Melhoraram o treinamento interno 16.8% 45.7% Designaram um diretor para administrar a proteção de informações pessoais 8.9% 41.4% Definiram políticas de privacidade 6.7% 29.7% Reduziram a quantidade de informações pessoais necessárias 10.7% 27.8% Reconstruíram a organização e o sistema Restringiram os critérios de qualificação para contratantes Obtiveram o Privacy Mark 2,0% 2,1% 7,0% 5,8% 11,0% 20,0% 2003 2005 Tomaram outras medidas 4,5% 8,7% Nenhuma medida foi tomada 18,0% 50,5% Desconhecido 4,2% 7,2% Não disponível2,4% 4,6% 0% 10% 20% 30% 40% 50% 60% Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 22. 15 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Anexo 7 Maiores Incidentes de Vazamento de Informação (1º de abril - 30 de junho de 2005) Data Empresa Acidente 14 de abril Cidade de Yuzawa Vazamento de dados pessoais de 11.255 moradores pelo shareware Winny 20 de abril Michinoku Bank Perdeu 3 CD-ROMs que continham informações de 1,3 milhões de clientes do banco 30 de maio UBS Securities Perdeu um disquete que continha informações de 15.5000 clientes do banco UBS e da UBS Securities 1º de junho Mitsubishi Trust Bank Perdeu um microfilme com informações de 173.000 de clientes 14 de junho NTT Communications Laptop com informações de 13.000 clientes foi roubado de sua sede 18 de junho All Nippon Airways 3 computadores com informações de 5.300 clientes foi roubado por um funcionário terceirizado 21 de junho Mitsubishi Electric Perdeu uma memória USB contendo as informações de - 2.781 indivíduos que são parte de um seguro de vida nacional em uma cidade em Kagoshima 29 de junho Adeco Dados de 61.876 funcionários temporários registrados foram roubados por um hacker de um site 30 de junho Mitsui Sumitomo Bank Perdeu um microfilme contendo dados de 61.405 clientes 30 de junho Kansai Urban Bank Perdeu um microfilme contendo dados de 52.000 clientes 30 de junho Risona Group Perdeu um microfilme contendo dados de 287.000 clientes 30 de junho UFJ Trust Bank Perdeu um microfilme contendo dados de 1116.000 clientes 30 de junho NTT Docomo Perdeu disquete contendo dados de 48.000 clientes Fonte: Compliado pelos escritores do caso usando dados do Yoshiya Katsumura, “Special Report: Why There Is No End to Information Leak,” www.nikkeibp.co.jp/sj/special/09/, acessado em 14 de agosto de 2006. Anexo 8 Logotipo de Segurança da Secom para Casas e Prédios Fonte: Secom, www.secom.co.jp/service/architectual.html, acessado em 16 de agosto de 2006. 16 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Anexo 9 Secom Trust Systems Total Security Solutions RISCOS Vírus/Vermes Informáticos Intrusões/Acessos Ilegais Vazamento de Informação Grampos Spoofing Falsificação Desastre Natural/Humano Geral Construção do conhecimento da condição de segurança geral de uma empresa Treinamento de funcionário (e-learning), e execução completa Definição de políticas de segurança e conformidade, Obtenção de certificados como o Privacy Mark e o ISMS Plano de Continuidade do Negócio Resposta Inicial de Emergência Verificação de Segurança de Funcionários/Familiares Financiamento de risco (seguro) Servidor Administração de Usuário/Identificação Verificação de usuário e restrição de acesso <Passaporte para membro> Criptografia de dados importantes Administração de conexão Proteção contra phishing Documento eletrônico Prevenção de desastre (Backup) Uso de patch de segurança <Hospedagem de Servidor SDC> <Passaporte para a Web> sistemas <Centro de proteção de dados (SDC)> Proteção contra vírus Avaliação de vulnerabilidade Filtro e monitor de selo temporal, certificação digital <Serviço de Selo temporal> <365 Avaliação e- Secom> E-mail/URL Centro de dados <SDC> Rede Verificação de usuário e restrição de acesso <Passaporte para membro da Secom> Avaliação e proteção de rede: Zoneamento por firewall <SDC> Detectar/Fechar acesso não autorizado <Detecção/Proteção de Intrusão Secom> Rastreamento de registro de comunicação Criptografia de comunicação <Passaporte para a Web Secom> Cliente: Proteção contra vírus Aplicação de patch Verificação de usuário <Passaporte para menbro, Cartão IC> Restrição de uso de dispositivo de entrada- saída e funções do cliente Rastreamento dados de comando de acesso Proteção contra Phishing <Passaporte para membro> Administração de configuração de segurança apropriada (patch de segurança, software de segurança, configuração de senha, gestão de recursos) Criptografia de dados importantes Contra medida para Spyware Contra medida para Winny Ambiente Físico Administração de entrada/saída Segurança física Contra medida para roubo Restrição de execução de documentos Resistência a terremotos Desastre relacionado a fogo/água equipament o e instalações (câmera de segurança, vigilância) Destruição de dados Centro de dados Administração de desastre e suprimentos Fonte: Catálogo de vendas da Secom Trust Systems (Copyright 2006 SECOM Trust Systems Co., Ltd. Todos os direitos reservados.) Observação: Esta é uma lista das diferentes áreas para as quais a Secom TS fornecia soluções. Exemplos de serviços específicos estão listados entre parênteses <>. 17 308-015 -18- Anexo 10 Resumo dos Serviços da Secom Trust Systems E s te d o c u m e n to é a u to riz a d o a p e n a s p a ra re v is ã o d o e d u c a d o r p o r O s c a r J a v ie r C e lis A riz a , U n iv e rs id a d e E s tá c io d e S á a té m a rço d e 2 0 1 6 . C o p ia r o u p u b lic a r é v io la çã o d o s d ire ito s a u to ra is . P erm issio n s@ h b sp .h arvard .ed u o u 6 1 7 .7 8 3 .7 8 6 0 TAXAS CATEGORIA SERVIÇO DESCRIÇÃO Custo inicial Taxa mensal Taxa anual Serviço de Hospedagem/Alojamento Conexão com a Internet (10M) Obrigatória para todos os clientes 100.000 100.000 Hospedagem de servidor Inclui firewall, monitoramento 250.000 150.000 de 24/365 (IDS) Alojamento Avançado Por rack bastidor (até 8 endereços de IP) 400.000 500.000 Por 1/2 rack bastidor 300.000 300.000 Por 1/4 rack bastidor 200.000 200.000 Serviço de Monitoramento/Proteção Serviço de Firewall Secom 80.000 40.000 Serviço de Detecção de Intrusão Secom 200.000 240.000 (IDS) Prevenção de Intrusão Secom Inclui IDS e abarca Até 6 endereços IP 1.000.000 250.000 Serviço (IPS) abordagem preventiva Custo de hardware IPS 1.980.000 Serviço de assistência a posteriori 49.500 Sistema de Identificação e Controle de Acesso ID ONE Cartão de identificação a ser usado para controle de acesso de entradas e computadores Configuração de um cartão (com R/W) 6.000 TR2 Sistema de controle de acesso de entrada Por um sistema de entrada 1.000.000 (componente mín.) Engenharia de sistema 300.000 SmartOn Sistema de controle de acesso a computadores Por computador (software) 10.000 Servidor 600.000 Engenharia de sistema 300.000 Serviço de Certificação Digital Passaporte para a Web Secom Por certificado 65.000 Passaporte para membro Secom Curso padrão 300.000 500 certificados (dentro de 2 anos) 110.000 Auditoria Avaliação de Segurança Total Secom Por local com 8 endereços IP 500.000 Outros Serviços Serviço de Consultoria de Segurança Soluções e-Document Fonte:Documentos da empresa. 308-015 -19- Anexo 11 Custo Estimado para Jashopper E s te d o c u m e n to é a u to riz a d o a p e n a s p a ra re v is ã o d o e d u c a d o r p o r O s c a r J a v ie r C e lis A riz a , U n iv e rs id a d e E s tá c io d e S á a té m a rço d e 2 0 1 6 . C o p ia r o u p u b lic a r é v io la çã o d o s d ire ito s a u to ra is . P erm issio n s@ h b sp .h arvard .ed u o u 6 1 7 .7 8 3 .7 8 6 0 Serviço Descrição Custo Inicial Taxa Mensal A Alojamento Avançado Conexão com a Internet (obrigatório) Obrigatório 100.000 100.000 Alojamento Avançado Por 1/4 rack bastidor 200.000 200.000 Total 300.000 300.000 B Sistema de Identificação e Controle de Acesso (ID ONE, TR2 e SmartOne) Cartão de Identificação (Y6.000 por funcionário) Controle de acesso de entrada 20 funcionários Uma entrada 120.000 1.000.000 Engenharia de sistema 300.000 Controle de acesso aos computadores 20 computadores (software) 200.000 Servidor 600.000 Engenharia de sistema 300.000 Total 2.520.000 C Auditoria (Avaliação de Segurança Total Secom) Analise do nível de segurança atual Por local com 8 endereços IP 500.000 Custo inicial Taxa mensal Alternativa 1 A 300.000 300.000 Alternativa 2 A 300.000 300.000 B 2.520,000 Total 2.820,000 300.000 Alternativa 3 A 300.000 300.000 B 2.520.000 C 500.000 Total 3.320.000 300.000 Fonte: Documentos da empresa. 308-015 Secom: Gerindo Segurança da Informação em um Mundo Perigoso Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Anexo 12 Informações armazenadas nos computadores da Jashopper Informações de Clientes Nome do cliente, endereço de cobrança e entrega, número de telefone, e-mail e data de nascimento Número de cartão de crédito e data de validade Registros de compras passadas e preferências Características personalizadas do cliente (lista de desejos, etc.) Informação da loja Descrição da loja (endereço, número de telefone, e-mail e o nome, banco e informações de transferência de pagamentos do dono) Informação de produtos (descrição e preço) Opções de entrega Opções de pagamento Informação da empresa Software de desenvolvimento (código fonte), versão do sistema de controle, sistemas de teste Software de produção (código executável) Informação financeira Informação pessoal (nome do funcionário, endereço, número de telefone, data de nascimento, disposições de segurança social, salário e bônus, avaliação de desempenho e registros de promoção) Fonte: Escritores do caso. 20 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Secom: Gerindo Segurança da Informação em um Mundo Perigoso 308-015 Anexo 13 Certificado de Passaporte para a Web Fonte: Biccamera Inc., www.biccamera.com, acessado em 16 de agosto de 2006. Anexo 14 Logotipo do Serviço 365 Avaliação e-Secom e Verificação de Site Fonte: OMMG Inc., www.onet.co.jp/cnt00/chance/indexcf.html, acessado em 16 de agosto de 2006. 21
Compartilhar