SECOM gerindo segurança da informação em um mundo perigoso

Prévia do material em texto

Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
9-308-015 
Rev. Nº 22 DE ABRIL DE 2008 
 
 
F. WA RR EN MC FA RL AN 
RO BERT D . AU S T IN 
JUN K O U S UBA 
 
MA S A K O EG A W A 
 
 
Secom: Gerindo Segurança da Informação em um 
Mundo Perigoso 
 
'Existem sérios problemas com as medidas tomadas para proteger dados pessoais". . . . Michinoku Bank se 
tornou o primeiro banco a violar a Lei de Proteção de Informações Pessoais e a receber advertência do governo 
japonês. 
— Nikkei Newspaper, 19 de julho 
de 2005 
Mamoru Sekine, Diretor Executivo da Jashopper, deixou de lado uma cópia de um artigo do Nikkei 
Newspaper e suspirou. Vários meses haviam passado desde que a Lei de Proteção de Informações 
Pessoais tinha entrado em vigor no Japão. Porém, vazamentos de informação de dados pessoais 
continuavam, ao ponto de quase se tornar material diário da imprensa. Apenas no mês passado, a 
Mastercard e a Visa International tinham anunciado que as informações de 40 milhões de cartões de 
créditos haviam vazado devido a uma violação de segurança por um contratante. Não foram apenas 
empresas pequenas, como Sekine, mas grandes corporações com tecnologias sofisticadas foram 
afetadas. Como o Diretor Executivo de um negócio internacional, Sekine tinha razões para estar 
preocupada. 
 
Seus olhos se deslocaram para uma proposta em cima de sua mesa. As licenças de vários serviços 
informáticos de segurança que sua empresa usava estavam a ponto de serem renovados. O custo 
destes serviços tinha uma relação direta pequena com a rentabilidade conquistada com esforço de sua 
empresa. Sekine esperava que a Jashopper talvez renegociasse acordos melhores com os 
fornecedores de TI para maximizar os fundos investidos na construção de rentabilidade e na redução 
de despesas que não contribuíam obviamente para o retorno em investimento. Mas a equipe de TI 
havia recebido sugestões de serviço da Secom Trust Systems (Secom TS), uma empresa de rede de 
integração e segurança de informação, e juntos eles custam mais que o serviço que a Jashopper vinha 
usando. Claro que as histórias sensacionalistas dos jornais deixaram claro que não se devia 
economizar em segurança. Enquanto ele folheava as descrições de produto, Sekine se perguntava 
como deveria proceder ao escolher quais produtos usar. Os produtos valeriam o investimento? 
Quanta proteção era suficiente? Suas decisões mudariam se sua empresa decidisse abrir seu capital 
em alguns anos? 
 
 
 
 
O professor F. Warren McFarlan, o professor Robert D. Austin, o pesquisador associado Junko Usuba, e o diretor executivo Masako Egawa do 
Japan Research Center da Harvard Business Schoool prepararam este caso. O pesquisador associado Chisato Toyama ajudou nas entrevistas. 
Casos HBS são desenvolvidos somente como base para discussão em aula. Os casos não têm a intenção de servir como endosso, fonte primária de 
dados, ou ilustrações de gestão eficiente ou ineficiente. 
 
Copyright © 2007, 2008 President and Fellows of Harvard College. Para solicitar cópias ou pedir permissão para reprodução de materiais, ligue 
1- 800-5457685, escreva para Harvard Business School Publishing, Boston, MA 02163, ou visite bsp.harvard.edu/educators. Nenhuma parte desta 
publicação pode ser reproduzida, armazenada em um sistema de recuperação, utilizada em uma planilha, ou transmitida de qualquer forma ou 
por qualquer meio - eletrônico, mecânico, fotocópia, gravação, ou outro qualquer - sem permissão da Harvard Business School. 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
 
Jashopper.com 
A Jashopper, uma empresa pequena na Internet, organizou um site de comércio eletrônico, 
Jashopper.com.1. Varejistas pagavam para ter uma loja virtual em seu site. Clientes japoneses 
visitavam seu site para comprar uma vasta gama de produtos desde aparelhos eletrônicos a 
cosméticos e jóias. Para fazer uma compra, os clientes tinham que registrar dados pessoais como 
nome, endereço, data de nascimento e número de cartão de crédito. Sekine havia começado a 
empresa com alguns amigos três anos atrás. Seu trabalho duro havia compensado; só no anos 
passado a empresa teve lucro pela primeira vez. Agora tinha vendas anuais de quase 1 bilhão de 
ienes (¥)2 e 20 funcionários, assim como um conjunto de lojas estabelecidas (400) e uma base de 
clientes forte (600,000 registrados). Sekine sentiu que seu negócio era forte e estava considerando 
uma oferta pública inicial (IPO) para ganhar fundos para aumentar o negócio. 
 
 
 
Lei de Proteção de Informações Pessoais 
Em 2006, o uso da Internet no Japão era corriqueiro com duas de cada três pessoas acessando a 
Internet de computadores ou telefones móveis (ver Anexo 1). De usuários da Internet, mais de 36,2% 
tinha experiência com compras na Internet3. Mas o aumento do uso da Internet foi acompanhado por 
um aumento de roubos de identidade e reocupação elevada entre o público (ver Anexo 2). Em 
fevereiro de 2004, Softbank BB, dona do maior provedor de Internet do Japão, o Yahoo! BB, anunciou 
o vazamento de dados de 4,5 milhões de usuários. Kakaku.com, um site de comparação de preços, 
perdeu registros de dados de 20.000 clientes para hackers. A cidade de Yuzawa, no norte do Japão, 
vazou inadvertidamente os dados pessoais de moradores da cidade ao usar um software de 
compartilhamento de arquivos. Michinoku Bank perdeu CD-ROMs contendo 1,3 milhões de titulares 
de conta incluindo nome, endereço e saldo da conta. Incidentes não resultantes de invasões de 
estranhos, mas de atos criminosos de internos (como na Softbank BB). Outros incidentes foram 
causados pelas ações descuidadas de empresas e funcionários (ver Anexos 4a e 4b). Isto representou 
uma ameaça não só para os clientes, mas um fardo financeiro significante para as empresas (ver 
Anexo 5). Softbank BB, estimou que o impacto nos negócios foi de ¥10 a ¥20 bilhões em indenização 
de clientes, mudança de seu sistema de segurança e custo de oportunidade de negócios perdidos.4 
Para proteger os clientes de roubos de identidade, o governo japonês decretou a Lei de Proteção 
de Informações Pessoais em abri de 2004. Esta lei se aplica a empresas que administram bancos de 
dados com mais de 5.000 identidades pessoais. Tais empresas eram impedidas de usar informações 
pessoais para fins outros que não os explicitamente declarados no momento que a informação foi 
adquirida. E mais, era exigido que elas tomassem as medidas necessárias para proteger os dados 
pessoais de vazamentos de informação. No caso de um vazamento de informação, as empresas ou até 
mesmo os indivíduos eram punidos pela lei. A administração e proteção de informações de 
identificação pessoal se tornaram uma questão de conformidade. As empresas lutavam para cumprir 
com o regulamento ao aplicar segurança de rede, instalando novas políticas empresariais, 
contratando agentes de segurança de informação e adquirindo Privacy Mark e a certificação ISMS 
(ver Anexo 6)5. Quase 1.600 organizações adquiriram o Privacy Mark até o meio de junho de 20056. 
 
 
 
1 Jashopper.com é um site fictício. 
2 A taxa de câmbio era ¥117.29/$ em 31 de março de 2007. 
3 Ministry of Internal Affairs and Communications, “2005 Report on Communication Usage Trend Survey,” março de 2006, p. 66. 
4 Isao Horikoshi, “Finally Started . . . the Realization that ‘Net Users Are Basically Malignant,’” Nikkei Communications, 24 de 
Maio de 2004, p. 57. 
5 O Privacy Mark é um certificado emitido pela Japan Information Processing Development Corporation(JIPDEC), uma 
entidadede economia mista. Ele é emitido para empresas que cumprem certos padrões para proteger informações de clientes e 
é válido 
2 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
Apesar destes esforços, brechas na segurança continuavam mesmo depois da Lei de Proteção de 
Informações Pessoais entrou em vigor em 1º de abril de 2005. Apenas entre abril e junho de 2005, 43 
perdas ou roubos de informação em grande escala ocorreram (ver Anexo 7)7. 
Outra lei adicionou novos desafios a administração e proteção de informações. Uma versão 
japonesa da Lei Sarbanes-Oxley americana estava sendo elaborada pelo governo e era esperada que 
entrasse em vigor já em 2008. A maior implementação de controles internos exigira melhor 
administração das informações da empresa. A Lei e-Document, que entrou em vigor em abril de 2005, 
permitiu que as empresas mantivessem documentos exigidos pelo governo em versão eletrônica. 
Antes da promulgação da lei, era exigido que elas mantivessem versões impressas. Por exemplo, 
varejistas poderiam manter cópias eletrônicas dos recibos menores que ¥30.000 ao invés de ter que 
armazenar recibos físicos. Tal lei criou oportunidades de corte de custos, mas também levantou a 
necessidade de maior armazenamento e proteção eletrônica. 
Sekine pensou sobre esses desafios e suas implicações em seu negócio. Como os serviços da Secom 
TS iriam ajudá-lo a vencer esse desafio? 
 
 
 
O Grupo Secom 
 
Secom9 
A Secom era o maior provedor de serviço de segurança no Japão com uma quota de mercado de 
mais de 60%. Para o ano fiscal terminando em 31 de março de 2007, a empresa tinha vendas de ¥613.9 
bilhões e operava lucros de 
¥97.8 bilhões. 
A empresa começou em 1962 quando Makoto Iida, juntamente com Juichi Toda, constituíram a 
Japan Patrol Security Corporation, o primeiro serviço de segurança do Japão. A empresa oferecia 
serviços de patrulha com seguranças, mas inicialmente batalhou para ter clientes á que o conceito de 
terceirização de segurança ainda não tinha criado raízes no Japão. Uma oportunidade apareceu em 
1964 quando administrou a segurança das Olimpíadas de Tóquio. Depois disso, o negócio cresceu 
continuamente, mas a empresa também passou por contratempos envolvendo roubos por seguranças 
da Secom. Iida focou em melhorar a comunicação e a educação de seus funcionários, mas percebeu as 
limitações para gerir uma grande força de seguranças, que crescia conforme o negócio crescia. Em 
1966, a Secom introduziu o "Alarme de Patrulha de Segurança (SP)", um sistema de vigilância remoto 
que contava com sensores para pegar invasores e incêndios. Quando os sensores detectavam 
irregularidades, a Secom enviaria sua equipe para investigar a situação. A Secom forneceu serviços 
de segurança abrangentes ao alugar os sensores para os clientes, monitorar aqueles sensores e enviar 
sua equipe em caso de invasão ou incêndios. Este modelo de negócio era único já que, 
 
 
por dois anos. O ISMS, também credenciado pelo JIPDEC, é uma exigência ISO estimando administração abrangente e 
proteção de configuração e execução de políticas para revisão constante de planos de segurança corporativos. 
6 Tsuneo Matsumoto, “Hitotsubashi ICS Management Law Class #12: Personal Information Protection Law and Privacy 2,” 
Weekly Toyo Keizai, 9 de julho de 2005, p. 106. 
7 Quantidade de perdas ou roubos de identidade envolvendo as informações de no mínimo 1.000 clientes. Yoshiya Katsumura, 
“Special Report: Why There Is No End to Information Leak,” www.nikkeibp.co.jp/sj/special/09/, acessado em 14 agosto de 
2006. 
8 Keidanren (Federação Japonesa das Organizações Econômicas) avaliou as economias de corte de custos para documentação 
eletrônica em de ¥300 bilhões apenas para documentos fiscais. “Sales Discussion of e-Document Law Begin—Proposing Data 
Usage Over Cost Cutting,” Nikkei Solution Business, 15 de janeiro de 2005, p. 50. 
9 A descrição da Secom é baseada no My Biography por Makoto Iida e entrevistas com a administração da Secom. 
 
3 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
nos Estados Unidos ou Europa, os clientes compravam seus próprios sensores e empresas de 
segurança monitoravam os sensores, mas não enviavam suas equipes. 
 
Mesmo que faltasse confiança dos clientes em vigilância eletrônica e fosse devagar para eles se 
adaptarem, em 1970, Iida tomou a decisão drástica de mudar seus clientes de seguranças no local 
para Alarmes SP. Ele perdeu 30% de seus clientes, mas 70% se converteu para o sistema de segurança 
eletrônico. Ele também ganhou novos clientes e o rendimento total aumentou. Conforme o negócio 
se expandiu, as economias de escala estavam a seu favor e melhoravam a rentabilidade geral do 
negócio. 
 
Em 1974, a empresa foi cotada na Bolsa de Valores de Tóquio e entrou uma fase de expansão 
estrangeira e diversificação. Em 1978, ela estabeleceu um empreendimento conjunto em Taiwan e 
eventualmente se expandiu para os EUA, Reino Unido, Coréia, Tailândia, Malásia, China e outros 
mercados estrangeiros. No início dos anos 1980, a Secom se expandiu para novos negócios como 
novas mídias. Constituiu a Miyagi Network Corporation, uma empresa de TV a cabo e participou na 
constituição da Daini Denden, Inc. (atual KDDI, a segunda maior operadora de telecomunicações do 
Japão) em meio a desregulamentação da telecomunicação. Foi nesta época que a Secom entrou no 
negócio de segurança de informação. Ela também entrou nos serviços médicos, seguro e serviços de 
informação geográfica. 
 
Enquanto se diversificava, o momentum para os negócios de segurança não foi perdido. A Secom 
introduziu o My Alarm, um serviço de vigilância e envio de casa, e o Coco-Secom, um sistema para 
localizar pessoas, especialmente crianças e idosos, através de um sistema de posicionamento global 
(GPS). Em março de 2007, a empresa tinha contratos com 694.000 empresas e 390.000 casas. Ela tinha 
2.100 depósitos de emergência em todo Japão. Os negócios de segurança eram 70% de todas as 
vendas do Grupo Secom e eram responsáveis pela maior parte do lucro operacional. 
 
A marca Secom era conhecida através do Japão como a empresa de segurança dominante. O 
logotipo era visto normalmente nas ruas de Tóquio, pois os clientes da Secom gostavam de colocar o 
adesivo da Secom em suas portas para afastar assaltantes (Ver Anexo 8). A empresa tinha 
estabelecido uma marca forte associada a segurança e proteção através de seus serviços de segurança 
e comerciais de TV, que eram protagonizados pelo herói nacional Shigeo Nagashima, um ex 
treinador de baseball. 
 
Secom Trust Systems 
O início dos negócios de segurança de informação da Secom podem ser traçados para 1985 
quando ela criou o Japan Computer Security com a recém privatizada Nippon Telegraph and 
Telephone (NTT), que era a maior empresa de telecomunicação do Japão. Seu principal negócio era a 
venda de softwares de proteção contra vírus para evitar a contaminação de disquetes. Naquele ano, 
ela também fundou outros dois negócios de rede: O Video Techs Center (fornecedor de conteúdos) 
e o Secom Net (serviços de rede de valor acrescentado). 10 
A Secom começou esses empreendimentos com a esperança de alavancar o conhecimento de rede 
que havia ganhado através de seu negócio de segurança principal. O sistema de vigilância remoto da 
Secom usava uma extensiva de rede de computadores para coletar dados de sensores em todo Japão 
para monitorar casas e escritórios.Em 1984, a Secom era dona da maior rede de computadores do 
Japão, maior que a de qualquer grande corporação ou negócio de tecnologia da informação. Através 
de sua operação, a empresa ganhou extenso conhecimento em construção, administração e segurança 
de redes de computadores. Em 1991, a Secom Information Systems foi designada para administrar a 
vasta rede da Secom e fornecer soluções de integração de sistemas de rede para clientes externos. Em 
1994, ela começou um empreendimento conjunto chamado Tokyo Internet que era um provedor de 
Internet (ISP) para empresas. Eventualmente iria comandar as posições de liderança em linhas 
alugadas. Através 
 
 
10 O negócio de redes de valor acrescentado (VAN) envolvia a revenda de linhas de comunicação de dados 
privados. 
4 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
deste negócio, a Secom ganhou experiência com a Internet, ajudando os clientes a acessarem-na. O 
empreendimento foi vendido em 1998. No mesmo ano, a Secom entrou no mercado de autenticações 
ao liderar a criação da Entrust Japan Co. Ltd. com a NTT Data, Sony Corp., Tokyo Mitsubishi 
Bank (o atual Bank of Tokyo-Mitsubishi UFJ) e outras 13 outras empresas. Em 1999, ela oficialmente 
deu o pontapé para seus negócios de segurança de Internet e consolidou todos os seus 
empreendimentos relacionados à Secom Trust Net. Em 2006, a Secom Trust Systems Co., Ltd. foi 
fundada através da fusão da Secom Information Systems e da Secom Trust Net para fornecer 
segurança de informação abrangente e serviços de integração de sistemas de rede. 
 
 
Negócios de Segurança de Informação da Secom Trust System 
A Secom TS oferece uma grande variedade de serviços incluindo centros de dados, auditorias de 
segurança, serviços de detecção de invasor, certificação digital e serviço de consultoria (ver Anexo 9). 
Em conjunto com sua matriz, a Secom, ela tinha a vantagem de oferecer um balcão único para 
segurança de informação tanto virtual quanto física. Ela afirmava não ter competidores diretos que 
oferecessem uma variedade tão grande de serviços; porém, tinha competidores em cada segmento, 
com a Verisign, a filial japonesa da Versign sediada nos EUA, a líder da indústria de certificação SSL, 
em certificação digital11. Ela atendia uma ampla gama de clientes de pequenas a grandes empresas, 
como grandes bancos12. 
 
Uma das características chave da segurança de informação da Secom TS era seu Secure Data 
Center (SDC), afirmado ter um dos mais elevados padrões de segurança no Japão e no mundo. No 
centro, proteção tanto física quanto virtual era fornecida 24h por dia, 365 dias por ano. A proteção 
física era baseada na experiência da Secom no negócio de segurança nos últimos 40 anos. O prédio 
era protegido por patrulhas, detectores de metal, escaneamento de retina e câmeras. Os servidores 
eram mantidos em salas climatizadas, requisito necessário devido a quantidade de calor emitida 
pelos servidores e a instalação era auxiliada por geradores de energia em caso de falta de luz. O 
centro era dividido em sete níveis de segurança. A área de nível de segurança mais alto continha 
servidores mantidos em abrigos especiais para proteção contra ondas eletromagnéticas, incêndios e 
terremotos. Este centro foi originalmente construído para abrigar autoridades de certificação que 
emitiam certificações digitais e assim exigiam níveis extremamente altos de segurança. Com o passar 
do tempo, o tamanho físico dos servidores diminuiriam relativo a capacidade, impondo maior 
demanda energética por pés quadrados de espaço de centro de dados. A Secom TS havia 
recentemente completado a construção no SDC para expandir a capacidade energética geral. 
 
 
 
A Decisão de Produto para a Jashopper 
A licença para vários produtos e serviços de segurança virtual usada pela Jashopper estava a 
ponto de ser renovada. Apenas há alguns dias atrás, a Secom TS havia trazido uma proposta de 
produto para vários produtos de segurança d informação. Sekine pegou esta proposta e começou a 
folhear as páginas e pensou sobre as necessidades de seu negócio (ver Anexos 10 e 11). 
 
 
 
 
 
 
 
11 Author’s interview with Eiji Jinbe, head of Special Sales Second Division, Secom TS, 9 de agosto de 2006. 
12 A Secom TS foi incumbida com a administração de autoridades de certificação para o Bank of Tokyo-Mitsubishi Bank UFJ e 
o Mizuho Bank. Este sistema foi certificado pelo Identrus, um sistema de certificação de transações bancárias e adotado por 
grandes instituições financeiras no mundo. 
 
5 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
 
Serviço de Hospedagem/Alojamento 
Uma importante decisão tinha que ser feita sobre como a empresa iria administras seus servidores. 
Atualmente, a Jashopper usava uma empresa locadora de servidores e estava considerando atualizar 
seus servidores antecipando sua expansão. A empresa tinha a opção de comprar seus próprios 
servidores e armazená-los em sua propriedade ou alugar um espaço em um centro de dados 
(alojamento). Ela também poderia alugar servidores de um centro de dados (hospedagem). A empresa 
de Sekine precisava de aproximadamente cinco servidores para funções da Internet e para abrigar o 
site da Jashopper. Ele acreditava que tudo isso caberia em um quarto de um rack bastidor. A 
Jashopper tinha seis endereços IP globais, que eram necessários para o site da empresa e outros 
dispositivos de comunicação. 
A Secom TS oferecia os seguintes serviços através de seu SDC. 
 
Hospedagem de servidores Serviços de hospedagem de servidores de Internet (DNS, 
correspondência e Web). A Secom TS fornecia o servidor, a configuração, a conexão de Internet e 
serviço de informação 24h todos os dias do ano. Ferramentas de segurança também estavam 
incluídas como firewalls e monitoramento de hackers 24 horas por dia, 365 dias por ano feitas pelo 
Serviço de Detecção de Invasão da Secom (IDS, descrito detalhadamente na próxima seção) e 
certificação de servidor SSL. O valor da configuração inicial era de ¥250.000 e uma taxa mensal de 
¥150.000 era cobrada para serviços básicos para um endereço IP. Além disso, um custo de conexão de 
Internet de inicialmente ¥100.000 e ¥100.000 era exigido por mês. 
 
Alojamento avançado A Secom TS fornecia racks bastidores para abrigar os servidores de clientes 
no SDC. O cliente era responsável por comprar e configurar o servidor. Grande parte das 
ferramentas de segurança oferecidas no IDS estava incluída, salvo a certificação de servidor SSL. 
Além disso, a Secom TS monitorava para ver se o servidor estava funcionando e alertava o cliente se 
ele parasse. O valor de configuração inicial para um rack bastidor era de ¥400.000 e ¥500.000 por mês 
para até 8 endereços IP. Os racks bastidores também poderiam ser alugados de um quarto de um rack 
bastidor por um valor inicial de ¥200.000 e ¥200.000 por mês. Tamanhos maiores também estavam 
disponível como cinco racks bastidores por um valor inicial de ¥1.6 milhões e uma taxa mensal de 
¥2.1 milhões. O mesmo custo de conexão de Internet pago para o serviço de hospedagem de servidor 
se aplicava. Apesar do cliente ser responsável pelo equipamento, a opção de alojamento avançado 
incluía controle de climatização, múltiplas conexões à rede elétrica (com geradores alternativos à 
diesel e fontes de alimentação ininterruptas (todos excedentes), conexões físicas excedentes à rede de 
transporte da Internet e segurança física (guardas, acesso restrito ao equipamento),tudo fornecido 
pela Secom TS. 
A Secom TS fornecia alojamento avançado a clientes como Glaxo Smith Klein Japan, o braço 
japonês da maior empresa britânica farmacêutica. Tais empresas exigiam um alto nível de segurança 
para proteger informações sobre estudos clínicos e dados de clientes. Se grandes empresas 
farmacêuticas confiavam na Secom TS, certamente ela deve ter medidas de segurança fortes em 
funcionamento. Sekine também podia escolher dentre vários outros gestores de centros de dados 
desde pequenas locadoras de servidores a operadoras de grande escala. 
 
 
Serviço de Monitoramento e Proteção 
Além do centro de dados, a Secom TS oferecia uma ampla gama de serviços de monitoramento e 
proteção, incluindo serviços para monitorar o ambiente físico. Se a Jashopper escolhesse manter seu 
próprio servidor internamente, precisaria comprar firewalls e softwares de detecção de intrusos e 
contratar uma equipe para mantê-los. Por outro lado, em um centro de dados, funções de segurança 
básicas poderiam ser incluídas como parte do serviço. Funções de segurança básicas também 
poderiam ser executadas ao comprar ferramentas adicionais, como o serviço da Secom de 
detecção/prevenção de intruso. 
6 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
 
Serviço de Firewall Secom A Secom TS fornecia tanto o hardware quanto o software para habilitar 
firewalls predefinidos conforme especificações do cliente. A empresa fornecia patches13 atempados e 
atualizações de software e substituía equipamentos de firewall em caso de falha. O firewall era 
monitorado 24 horas por dia, 365 dias por ano e o cliente era contatado imediatamente quando um 
problema com o firewall era detectado. O valor inicial de configuração inicial era de ¥80.000, e 
¥40.000 eram cobrados por mês para serviços básicos para proteger a porta de entrada da empresa. 
 
Serviço de Detecção de Invasão Secom14 No gral, um sistema de detecção de intrusos (IDS) era um 
sistema de gestão de segurança para monitorar linhas de dados e detectar intrusos em uma rede. Um 
sistema de detecção na Internet recolhia e analisava fluxos de informação (chamados de "pacotes") 
para identificar violações de segurança em potencial ou reais e notificava os administradores da rede 
no caso de ameaça por telefone ou e-mail. No serviço da Secom TS, especialistas em segurança 
monitoravam remotamente a rede dos clientes 24 horas por dia, 365 dias do ano através de sensores 
detectores de hackers colocados dentro da rede. A Secom TS checava os pacotes que entravam e 
saiam da rede contra a política de segurança da Secom TS e caracterizavam ameaças em três níveis. Se 
os sensores achassem um intruso de alto risco, a Secom TS informava o cliente imediatamente. A 
Secom TS fornecia informação e sugeria contra medidas, mas a maior parte, cabia ao cliente resolver o 
problema. Portanto, os clientes precisavam de uma equipa de TI que entendesse de redes de 
computador. A Secom TS também fornecia relatórios diários, semanais e mensais sobre atividades que 
pudessem indicar acesso ilegal. Havia duas ferramentas especiais do serviço IDS da Secom TS. 
Primeiro, a Secom TS conduzia avaliações de vulnerabilidade da rede e recomendava contra partidas 
duas vezes ao ano. Segundo, em caso de violação da segurança, danos ao computador e a rede de 
informação eram cobertos por seguro pela companhia de seguros subsidiária geral da Secom. O valor 
era de ¥200.000 para configuração inicial e ¥240.000 por mês para um contrato de um ano com até seis 
endereços IP. 
 
Serviço de Detecção/Prevenção de Intrusão Secom No geral, um sistema de prevenção de intrusão 
(IPS) era uma abordagem preventiva para segurança de redes para responder a intrusões 
rapidamente. Ele coletava informações como um IDS, mas ia mais além ao alertar sobre um intruso 
baseado em regras estabelecidas pelo administrador da rede. No IPS da Secom TS, grande parte das 
funções de seu serviço IDS estava incluída. A diferença chave era que a Secom TS parava pacotes 
nocivos e alertava sobre intrusos baseada em políticas de segurança especificamente para as 
necessidades do cliente. A política era baseada e ajustada em pacotes de informações coletados dos 
sensores IPS na rede do cliente. Os pacotes eram únicos para cada empresa dependendo do tipo de 
aplicação e dados usados pela empresa. Mas também havia o perigo de "falsos positivos"; uma 
política de segurança geral podia determinar que os pacotes que realmente eram seguros e 
necessários para o serviço um cliente eram perigosos, então parar o fluxo de informações que era 
necessário para o funcionamento normal da empresa. Assim, a personalização era importante para 
assegurar o manuseio apropriado doas pacotes e operação eficiente. A resposta aos intrusos dentro 
do serviço de prevenção era mais rápido do que a resposta para o IDS, pois a Secom TS agiria e 
evitaria o dano de se espalhar. Ademais, a Secom TS monitorava não só o fluxo de pacotes para e de 
uma rede de uma empresa, mas também dentro da rede. No global, as empresas eram capazes de 
aumentar seu nível de segurança e detalhamento sem contratar pessoal adicional. Uma ferramenta 
única do serviço IPS da Secom era a avaliação de vulnerabilidade, que era feita com maior 
detalhamento e frequência do que o do serviço IDS. Auditorias eram conduzidas todos os dias e se 
um problema fosse identificado, a política de software era atualizada o mais rápido possível. A 
auditoria era baseada no Serviço 365 Avaliação e-Secom (descrito com detalhes na unidade de 
auditoria). A taxa de instalação era de ¥1 milhão e a taxa mensal era de ¥250.000. 
 
 
13 Um “patche” é uma atualização de software direcionada a corrigir um defeito recentemente descoberto em software já 
lançado. Os patches são importantes em contextos de segurança porque frequentemente eliminam vulnerabilidades de 
segurança imprevistas. Um "patche" cobria um buraco na segurança. 
14 A Secom tinha mais de cinco anos de experiência e protegia 1.000 servidores com o Serviço de Detecção de Intrusão da Secom. 
 
7 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
 
até seis endereços IP. Além disso, a compra de hardware IPS (¥1.98 milhões) e serviço de assistência 
(¥594,000 por ano) era necessário. 
 
Sekine pensou que esses produtos poderiam ajudar a fortalecer o nível de segurança de 
informação sem aumentar a equipe de TI. Ele pensou que os produtos IDS e IPS poderiam ser usados 
para monitorar o servidor que continha as informações confidenciais de seus clientes como números 
de cartão de crédito. Ou ele poderia também escolher fornecer o IDS para cada loja listada no 
Jashopper.com. Sekine conhecia outros participantes no mercado de IDS e IPS. A LAC, uma empresa 
japonesa que fornecia serviços de segurança de rede e integração de sistemas, era a mais conhecida 
neste campo. Tinha uma reputação sólida, mas também tinha preços mais altos. 
 
 
Sistema de Identificação e Controle de Acesso 
Este serviço era baseado em um cartão que continha um chip IC (cartão IC) e era usado como 
cartão de identificação pessoal. O cartão IC, chamado de ID ONE, serviria para várias atividades 
como rastreamento de histórico de entrada/saída dos titulares do cartão e limitação de acesso a 
prédios, salas, computadores e laptops. Por exemplo, uma pessoa que desejaria entrar em um prédio 
ou sal precisaria colocar seu cartão IC em um leitor localizado na entrada. O leitor retiraria a 
informação no chip IC e verificariaque o titular do cartão teve acesso ao prédio. O valor para um 
sistema de entrada/saída era ¥1 milhão para uma entrada mais ¥300.000 para a engenharia de 
sistemas. O valor para configurar um cartão era de ¥6.000. 
 
Um tipo diferente de leitor também poderia ser acoplado ao computador para que a pessoa 
precisasse passar seu cartão IC para usá-lo. O valor de tal sistema incluía um custo de servidor 
(¥600.000), uma taxa de engenharia de sistema (¥300.000) e um taxa de licença de software de ¥10,000 
por computador. 
 
Sekine também se perguntou até que ponto ele precisava controlar o fluxo físico de informações 
em seu escritório. A Secom TS tinha originalmente abordado a equipe de TI através do gerente de 
assuntos gerais que estava trabalhando com a Secom para instalar a vigilância de segurança do 
escritório. Tipicamente em uma empresa japonesa, a segurança virtual era gerida pelo departamento 
de TI e a segurança física pelo departamento de assuntos gerais. Sekine se perguntou se os dois 
departamentos precisavam trabalhar juntos nos problemas com a segurança de informação. 
 
 
Serviço de Certificação Digital 
Sekine examinou os dois serviços de certificação digitais apresentados pela Secom TS. Ele 
entendeu que protegendo seu site como algum tipo de criptografia digital era fundamental para 
proteger a troca e transações de informações tanto com seu site e clientes finais. A Secom TS era a 
segunda maior empresa no mercado de certificações digitais depois da Verisign Japan. 
 
Passaporte para a Web Secom Este era um serviço de certificação de servidor SSL. Ele verificava 
para os clientes que o site realmente existia e estava funcionando por um negócio válido. Ele também 
permitia que dados e transações dos usuários fossem protegidas por uma encriptação de 128-bits 
para que outra pessoa monitorando clandestinamente a transação não pudesse ver o conteúdo. 
Quando a empresa havia passado por todas as políticas de auditoria da Secom TS, ganhava um 
adesivo que era instalado no servidor (ver Anexo 13). O valor era de ¥65.000 por certificado por ano. 
 
Passaporte para Membro Secom Este era um serviço de certificação para os clientes. Uma vez que 
um usuário fosse confirmado cliente válido, uma certificação de cliente era instalada no computador 
do usuário. O site checava a certificação do cliente para ter certeza que o computador acessando o 
site era um usuário válido, Isto poderia evitar usuários não autorizados, como hackers, de acessar um 
site com uma identidade e senha roubadas. O valor para o curso padrão era de ¥300.000 para a 
instalação, Para 500 certificados que 
8 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
poderiam ser emitidos dentre de um período de dois anos, a taxa mensal era de ¥110.000 por mês. 
Para 1.000 certificados, a taxa mensal era de ¥140.000, para 5.000 certificados, ¥650.000 e para 10.000 
certificados, ¥1.5 milhões. 
 
No Jashopper.com, os donos das lojas precisavam acessar o site principal para conseguir 
informação sobre clientes que haviam feito compras para que a loja pudesse enviar as mercadorias 
para eles. Os donos das lojas e os funcionários usavam uma identificação e senha para se conectar. 
Sekine se perguntou se o Passaporte Para Membro Secom poderia oferecer maior segurança. Ele 
pensou que poderia emitir um certificado para cada loja em seu site. Sekine também achou 
interessante que o certificado SSL da Secom TS era bem similar com o logotipo usado pela empresa 
matriz no negócio de segurança (ver Anexo 13). Ele reconheceu o logotipo porque havia visto muitas 
vezes em prédios e casas nas ruas de Tóquio. Sekine se perguntou se existia realmente uma diferença 
tecnológica entre a Secom TS e sua competidora e como ele deveria decidir se precisava do produto 
ou não. 
 
 
Auditoria 
Sekine acreditava que sua empresa tinha dado os passos certos ao lidar com os problemas se 
segurança. Ele tinha uma pequena equipe de TI, que reportava direto a ele. Eles tinham aprendido 
sobre segurança virtual de forma apressada, lendo revistas de TI e adquirindo informação com 
colegas empreendedores e fabricantes de produtos de segurança. Eles acreditavam que tinham 
alcançado as medidas padrão de segurança. Eles tinham constituído uma política e diretrizes de 
segurança corporativa e usavam produtos de segurança disponíveis e respeitados no mercado. Porém, 
com surto recente de violações de segurança, ele se perguntava se precisava voltar à estaca zero. A 
Secom TS oferecia vários serviços de avaliação de segurança. Ele pensou que esses serviços poderiam 
ser um bom ponto de partida para dar um passo atrás e repensar a segurança em um todo. 
 
Avaliação de Segurança Total Secom Este serviço identificava fraquezas na rede, sistema e local 
físico que poderiam levar a violações de segurança. A Secom TS conduzia entrevistas com os clientes, 
checava o real ambiente do escritório e avaliava a rede. No final de duas semanas, a Secom TS 
entregava um relatório de avaliação que identificava medidas de segurança e prioridades. O valor era 
de ¥500.000 para um local com oito endereços IP. 
 
Serviço 365 Avaliação e-Secom Este serviço checava um site de comércio eletrônico todo dia para 
identificar fraquezas na segurança no servidor e no aplicativo da Web. Mais de 10.000 itens eram 
examinados por vez sob as políticas de segurança da Secom TS. Exemplos de itens teste eram 
avaliações de vulnerabilidade do servidor central e de ataques de verme informático e vírus. A 
versão, patches e ajustes do software e sistemas de operação eram checados para detectar fraquezas. 
Ajustes de correspondência eram checados para ver se havia ocorrido algum acesso ilegal. O firewall 
usado na rede também era checado para detectar problemas. Quando o site era considerado seguro, 
um adesivo de segurança era publicado na Web (ver Anexo 14). Se questões relacionadas a segurança 
fossem identificadas, a Secom TS informava o cliente sobre os problemas e sugeria soluções através do 
site. O adesivo de segurança era removido se o cliente não consertasse o problema em 72 horas. A 
taxa de instalação inicial era de ¥100.000 e a taxa mensal era de ¥480.000 para um domínio e quatro 
endereços IP. 
 
 
Outros Serviços 
A Secom TS também fornecia serviços para melhorar a segurança geral e ajudar as empresas 
responderem a Lei e-Document. 
 
Serviços de consultoria de segurança A Secom TS oferecia serviços de consultoria para soluções 
de segurança gerais. Isso ajudava as empresas a identificarem problemas de segurança, ajustar 
políticas de segurança e educar 
 
9 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
os funcionários sobre problemas de segurança através de e-learning. Também apoiava os clientes a 
obter o ISMS ou o Privacy Mark. 
 
Soluções e-Document A Secom TS fornecia uma variedade de serviços de documentação 
eletrônica que cumpria com os requisitos da Lei e-Document. O serviço de selo temporal emitia 
certificados digitais sobre quando e em qual horário um documento eletrônico era criado. O serviço 
de assinatura eletrônica emitia certificados digitais de quem criou e assinou em um documento 
eletrônico. Tanto o selo temporal quanto a assinatura eletrônica eram exigidos pela Lei e-Document. 
A Secom TS estava planejando introduzir um serviço de arquivamento de documentos eletrônicos em 
um futuro próximo. 
 
A Jashopper não havia solicitado o Privacy Mark porque o processo levava muito tempo e Sekine 
esua equipe não tinham pensado que tinha um impacto substancial para os negócios. Mas com o 
aumento da preocupação dos clientes, ele pensou que o selo poderia ajudar a acalmar os clientes 
mostrando que o seu site era seguro. Obter o selo para sua empresa iria, claro, exigir um gato 
adicional significante. 
 
 
 
A Proposta da Secom 
A Secom propôs três alternativas para a Jashopper. A primeira alternativa menos cara era usar o 
serviço de alojamento avançado; a Secom forneceria um pacote tudo em um incluindo segurança 
tanto física quanto virtual. Melhoraria a segurança do site EC ao minimizar a ameaça de vírus e 
hackers e fornecer um ambiente tolerante com estrutura anti-sísmica e rede excedente. Esta 
alternativa exigia o valor inicial de ¥300.000 e uma taxa mensal de ¥300.000 (ver Anexo 11). 
A segunda alternativa era instalar um sistema de identificação e controle de acesso além do 
serviço de alojamento avançado. O cartão ID ONE da Secom equipado com chips de grande 
capacidade de memória poderia controlar o acesso a entradas, redes e computadores. Uma fechadura 
elétrica chamada TR2 controlava o acesso as entradas e mantinha relatórios de todos os operadores. 
Fechava o acesso por indivíduos não autorizados e impedia crimes pelos funcionários. O SmartOn, 
que controlava o acesso aos computadores, especificava aplicativos autorizados para cada indivíduo 
e codificava todos os arquivos. Para 20 funcionários, o cartão de identificação custaria ¥120.000, o 
TR2 (sistema de controle de acesso de entrada), 1.3 milhões, e o SmartOn (sistema de controle de 
acesso aos computadores) 1.1 milhões; todo o custo seria incorrido inicialmente. 
 
A terceira alternativa era adicionar um serviço para acessar a vulnerabilidade da segurança física e 
virtual. Usando o serviço de Avaliação de Segurança Total da Secom, a Jashopper poderia analisar seu 
nível de segurança atual a partir de 4 pontos de vista: (1) organizações/sistemas/políticas, (2) 
segurança física, (3) controle de acesso aos dados, e (4) segurança de rede. Isso esclareceria a tolerância 
de risco da empresa e identificaria as prioridades e custo de várias medidas de segurança. Este serviço 
de auditoria custaria ¥500.000 e precisaria de duas semanas. 
 
 
 
Conclusão 
Enquanto Sekine largava a proposta da Secom TS, seus olhos vagavam de volta para o artigo no 
Nikkei Newspaper. Ele certamente não queria sua empresa na manchete das principais notícias com um 
escândalo desses. Especialmente com uma empresa tão nova quanto a sua, as conseqüências 
poderiam ser devastadoras, terminando rapidamente com os sonhos empreendedores que ele 
trabalhou tanto para realizar. Como ele poderia proteger seus clientes quando empresas maiores e 
mais sofisticadas com bolsos mais cheios haviam falhado? 
 
 
 
10 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
 
Recentemente, a empresa tinha focado no crescimento; Sekine suspeitava que a segurança não 
estava sendo destacada o suficiente. Ele lembrou que tinham criado uma resposta manual de 
emergência nos primeiros anos, quando tinham escutado de uma violação de segurança de uma 
empresa nas notícias. A equipe de TI a atualizava todo mês, mas ele não conseguia lembrar a ultima 
vez que a tinha visto. Como ele poderia encorajar seus funcionários a manter a segurança de 
informação sempre em mente? Sekine estava pensando em contratar um diretor de tecnologia, mas se 
perguntava se deveria contratar alguém que também pudesse trabalhar como diretor de segurança da 
informação. Sekine lembrou que 70%-80% dos incidentes de vazamento de informações eram 
causados por pessoas de dentro do négocio15. Além de contratar um diretor de segurança da 
informação, ele deveria estar pensando maior, como reorganização ou mudança dos fluxos de 
trabalho, para melhorar a segurança? Seria preciso mais treinamento de pessoal? Ele deveria 
encorajar de forma mais explicita a denúncia de irregularidades? Por outro lado, o foco na segurança 
de informação diminuiria a velocidade nas tomadas de decisão de sua empresa? 
 
Sekine relembrou seu recente almoço com um amigo da faculdade que era diretor de informação 
de uma grande empresa comercial. Seu amigo apontou que a empresa comercial investiu 
quantidades de dinheiro significantes em segurança de informação sem analises detalhadas sobre 
retornos de investimento, com a convicção que a segurança de informação fosse a espinha dorsal de 
uma empresa comercial e que a empresa não deveria se arriscar neste quesito. Mesmo que a 
segurança de informação fosse tão importante para empresa de Sekine, ele sabia que não tinha tais 
recursos. Então, qual era o nível de risco aceitável para o jovem empreendimento de Sekine? 
 
Os representantes da Secom TS destacavam que a Secom TS poderia agir como um balcão único 
para todas as exigências de segurança de informações de sua empresa. Ser capaz de terceirizar todas 
as atividades relacionadas era interessante para Sekine, pois a Jashopper tinha recursos limitados. 
Mas ele se perguntava qual parte da segurança de informação era fundamental para seu negócio 
principal; administrar internamente fazia mais sentido para construir as competências essenciais de 
sua organização? 
Seus olhos voltaram para a proposta da Secom TS. Claramente, ele poderia gastar uma grande 
quantidade de dinheiro em segurança. E mesmo assim o representante da Secom TS havia sido muito 
profissional ao reconhecer que nenhuma quantidade de gastos em segurança iria garantir que nunca 
houvesse um problema com a segurança. As perguntas que o confrontavam podiam, ao mais alto 
nível, ser simplesmente expressas: Quanto ele deveria estar disposto a gastar? Quanto segurança era 
suficiente? 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 Japan Network Security Association, “2004 Survey Report on Information Security Incidents (version 1.1),” 10 de janeiro de 2006, 
p. 9. 
 
11 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
Anexo 1 População Usuária e Penetração da Internet no Japão 
 
 
(milhares) (%) 
160.000 
 
 
140.000 
 
 
120.000 
 
 
 
 
 
 
 
 
54,5 
 
 
 
60,6 62,3 
80 
 
66,8 70 
60 
100.000 
 
 
80.000 
 
 
60.000 
 
 
40.000 
 
 
20.000 
 
 
0 
 
 
 
 
 
 
 
 
 
 
 
 
9,2 
11.55
0 
 
 
 
 
 
 
 
 
 
 
 
13,4 
 
16.94
0 
 
 
 
 
 
 
 
 
21,4 
 
 
27.06
0 
 
 
 
37,1 
 
 
 
47.08
0 
 
44 
 
 
 
 
55.93
0 
 
 
 
 
69.42
0 
 
 
77.300 79.480 
50 
85.290 
40 
 
 
30 
 
 
20 
 
 
10 
 
 
0 
1997 1998 1999 2000 2001 2002 2003 2004 2005 
Ano 
 
Número de Usuários da Internet Penetração da População Total 
 
 
Fonte: Compiled by casewriters using data from Ministry of Internal Affairs and Communications, “Communication Usage 
Trend Survey,” março de 2006. 
 
 
 
Anexo 2 Número de Incidentes de Vazamento de Informação e Indivíduos Afetados 
 
 
400 
 
350 
 
300 
 
250 
 
200 
 
150 
 
100 
 
50 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
7.613 
 
 
30.482 
 
31.057 
 
 
 
 
 
 
 
 
 
 
366 
35.000 
 
 
30.000 
 
 
25.000 
 
 
20.000 
 
 
15.000 
 
 
10.000 
 
 
5.000 
63 57 
0 0 
2002 2003 2004 
Ano 
 
Número de organizações Média de indivíduos afetados por incidente 
 
 
Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information 
Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 22. 
 
 
12 
Este documento é autorizado apenas para revisão do educadorpor Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
Anexo 3 Terminologia de Segurança da Internet 
 
 
Autenticação Autenticação é o processo de determinação se alguém ou algo é realmente quem 
ou o que declara ser. Um exemplo é o uso de senhas e identificação para iniciar uma sessão em um 
computador. 
 
Autoridade de Certificação (CA) Uma CA é uma autoridade que emite certificações digitais. 
 
Certificação Digital Uma Certificação digital é um dado eletrônico que garante sua credencial ao 
fazer negócios pela Internet. Ela contém uma assinatura digital do crédito da autoridade que emitiu o 
certificado para que outros possam certificar que o certificado digital é real. 
 
Software de Compartilhamento de Arquivos Um software de compartilhamento de arquivos é 
um software usado para partilhar arquivos entre um número indefinido de computadores na 
Internet. Winny é o mais conhecido software de compartilhamento de arquivos no Japão. 
 
Gateway Um ponto na rede que é a entrada para outra rede, como a intranet de uma empresa. 
 
Provedor de Internet (ISP) Um ISP é uma empresa que fornece serviços de conexão com a 
Internet para indivíduos e empresas, através de suas linhas e equipamento de telecomunicação. Ele 
também oferece serviços adicionais como e-mail e hospedagem de página principal. 
 
Endereço IP (Protocolo de Internet) Um endereço IP é um número de 32-bits usado para 
identificar o receptor ou emissor de informação na Internet ou intranet. Um endereço é dado ao 
equipamento de comunicação, como servidores e computadores clientes. Um endereço IP global é dado a 
equipamentos e computadores que são acessados de fora da rede pela Internet. 
 
Phishing Phishing é um método usado para roubar identificações pessoais na Internet ao se 
fazer de entidade legítima em um e-mail ou site. A palavra é uma combinação de "sophisticated", como 
o método usado é bem sofisticado, e "fishing". 
 
Rack Bastidor Um rack bastidor é uma prateleira usada para armazenar os servidores que 
geralmente tem o formato de uma placa de circuito eletrônico. Um rack bastidor contém vários 
encaixes para montar os servidores. O tamanho é baseado em múltiplos de U, um padrão internacional que 
é equivalente a aproximadamente 4,5 cm. 
 
Servidor Um servidor é um computador que fornece dados e funções para outros computadores 
na rede. Um servidor da Web é um computador que contém os arquivos e funções de um site em 
particular. Quando outro computador acessa o site, o servidor da Web envia a informação relevante pela 
Internet. Um servidor de e-mail é um computador que recebe e-mails de outros computadores em sua rede 
e os transmite para entregar na Internet e manda e-mails em nome dos outros computadores. Um servidor 
DNS traduz um nome de domínio, que é similar a um endereço que identifica uma rede de computadores 
na Internet, em um endereço IP. 
 
Secure Sockets Layer (SSL) O SSI é um protocolo que é usado para codificar dados que são 
transmitidos pela Internet. É usado comumente em sites para enviar informações pessoais como 
números de cartão de crédito para evitar que tais dados sejam roubados por terceiros. 
 
Certificação de servidor SSL É um serviço que fornece certificação digital de um site e de uma 
encriptação SSL. A certificação digital do site verifica que o site realmente existe e é operado por uma 
empresa que existe. 
 
Spoofing Spoofing é quando alguém rouba uma identificação e senha e finge ser um usuário 
autorizado na Internet. O impostor faz atividades ilegais ou ruins e culpa o usuário autorizado. 
 
Fonte: Compilado pelo escritor do caso baseado em e-words.jp e searchsecurity.techtarget.com. 
 
13 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
 
Anexo 4a Causas de Vazamento de Identificação Pessoal 
 
 
Aspectos Técnicos Causa % Exemplos 
 
Não Técnico 
 
Crime 
 
46.7% 
Informações realizadas contra as regras, 
outro crime por pessoal interno, roubo de 
dados 
Não Técnico Erro Humano 24.3% 
Perda, informação usada para outra coisa 
Técnico Erro Humano 22.1% 
Falha na operação ou configuração dos 
sistemas, má administração 
Técnico Medidas tomadas não foram 
suficientes 
4.4% 
Bug, falha de segurança, vírus, intrusão 
 
Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information 
Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 25. 
 
 
Observação: Estes dados foram compilados de fontes jornalísticas divulgadas publicamente. 
 
 
 
 
 
Anexo 4b Método Usado para Vazamento de Informações Pessoais 
 
 
 
 
 
 
FTP 
0,3 
 
E-mail 
6,8 
Web e Internet 
7,4 
Dispositivo 
de Gravação 
Portátil 
como FD 
9,0 
 
Outro 
6,6 
Desconhecido 
3,6 
 
 
 
 
 
 
 
 
 
Cópia 
Impressa 
em Papel 
45,9 
 Hardware de Computador 
20,5 
 
 
Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information 
Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 12. 
 
 
 
 
 
 
 
 
14 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
 
Anexo 5 Impacto Financeiro de Incidentes de Vazamento de Informação 
 
 
Empresa Incidente e Momento Impacto nos Negócios 
Softbank BB (dono 
do provedor de 
Internet Yahoo BB) 
4,5 milhões de informações de usuários 
roubadas por duas pessoas internas 
(Fevereiro de 2004) 
¥500 pagos para cada usuário como 
indenização. ¥4 bilhões pagos para fazer 
mudanças sistemáticas para evitar crimes. 
No mês seguinte ao incidente, novas 
compras caíram 36% comparado ao mês 
anterior. 
 
Kakaku.com (site 
de comparação 
de preços) 
 
A segurança do site foi violada por uma 
injeção de SQL e 22.511 endereços de e-mail 
de usuários foram roubados. Os usuários do 
site foram redirecionados para um outro site 
que continha um vírus (Maio de 2005). 
 
O site teve que sair do ar por 10 dias. 
Perdeu 
vendas e as contra medidas custaram ¥200 milhões. 
 
Secretaria Municipal 
de Uji (governo da 
cidade) 
 
Um aluno de pós graduação de meio período, enviado 
por um contratante, roubou informações de 210.000 
moradores da cidade usando um MO (Maio de 1999). 
 
Os tribunais mandaram a cidade de Uji pagar as vítimas 
¥10.000 por pessoa. 
 
Fonte: Nikkei Communications, 24 de maio de 2004, pp. 57, 60; Nikkei Morning Paper, 10 de abril de 2004; The Weekly Toyo Keizai, 
August 20, 2007, pp.100–107. 
 
 
 
Anexo 6 Medidas de Proteção de Informações Pessoais Tomadas por Empresas 
 
 
 
Melhoraram o treinamento interno 
16.8% 
 
 
45.7% 
 
 
Designaram um diretor para administrar a 
proteção de informações pessoais 
 
8.9% 
 
 
 
41.4% 
 
 
Definiram políticas de privacidade 
 
6.7% 
 
 
 
29.7% 
 
 
Reduziram a quantidade de informações pessoais 
necessárias 
 
10.7% 
 
 
 
27.8% 
 
 
Reconstruíram a organização e o sistema 
 
 
Restringiram os critérios de qualificação para 
contratantes 
 
 
Obtiveram o Privacy Mark 
 
 
 
 
 
2,0% 
 
 
 
2,1% 
 
 
 
 
 
 
7,0% 
 
 
 
5,8% 
 
11,0% 
 
 
 
20,0% 
 
 
 
 
2003 
2005 
 
 
Tomaram outras medidas 
 
4,5% 
 
 
 
8,7% 
 
 
Nenhuma medida foi tomada 
 
 
 
18,0% 
 
50,5% 
 
 
Desconhecido 
 
 
 
4,2% 
 
7,2% 
 
 
Não disponível2,4% 
4,6% 
 
0% 10% 20% 30% 40% 50% 60% 
 
Fonte: Compiled by casewriters using data from Japan Network Security Association, “2004 Survey Report on Information 
Security Incidents (version 1.1),” 10 de janeiro de 2006, p. 22. 
 
 
15 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
 
 
 
 
 
 
Anexo 7 Maiores Incidentes de Vazamento de Informação (1º de abril - 30 de junho de 2005) 
 
 
Data Empresa Acidente 
 
14 de abril 
 
Cidade de Yuzawa 
 
Vazamento de dados pessoais de 11.255 moradores pelo 
shareware Winny 
20 de abril Michinoku Bank Perdeu 3 CD-ROMs que continham informações de 1,3 
milhões de clientes do banco 
30 de maio UBS Securities Perdeu um disquete que continha informações de 15.5000 
clientes do banco UBS e da UBS Securities 
1º de junho Mitsubishi Trust Bank Perdeu um microfilme com informações de 173.000 de 
clientes 
14 de junho NTT Communications Laptop com informações de 13.000 clientes foi 
roubado de sua sede 
18 de junho All Nippon Airways 3 computadores com informações de 5.300 clientes foi 
roubado por um funcionário terceirizado 
21 de junho Mitsubishi Electric Perdeu uma memória USB contendo as informações de -
2.781 indivíduos que são parte de um seguro de vida 
nacional em uma cidade em Kagoshima 29 de junho Adeco Dados de 61.876 funcionários temporários registrados foram 
roubados por um hacker de um site 
30 de junho Mitsui Sumitomo Bank Perdeu um microfilme contendo dados de 61.405 clientes 
30 de junho Kansai Urban Bank Perdeu um microfilme contendo dados de 52.000 clientes 
30 de junho Risona Group Perdeu um microfilme contendo dados de 287.000 clientes 
30 de junho UFJ Trust Bank Perdeu um microfilme contendo dados de 1116.000 clientes 
30 de junho NTT Docomo Perdeu disquete contendo dados de 48.000 clientes 
 
Fonte: Compliado pelos escritores do caso usando dados do Yoshiya Katsumura, “Special Report: Why There Is No End to 
Information Leak,” www.nikkeibp.co.jp/sj/special/09/, acessado em 14 de agosto de 2006. 
 
 
 
 
 
Anexo 8 Logotipo de Segurança da Secom para Casas e Prédios 
 
 
 
 
 
Fonte: Secom, www.secom.co.jp/service/architectual.html, acessado em 16 de agosto de 2006. 
 
 
 
16 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
 
 
 
 
Anexo 9 Secom Trust Systems Total Security Solutions 
 
RISCOS 
 Vírus/Vermes Informáticos Intrusões/Acessos Ilegais Vazamento de Informação Grampos Spoofing Falsificação Desastre 
Natural/Humano 
 
 
 
 
 
 
 
 
Geral 
 
Construção do conhecimento da condição de segurança geral de uma empresa 
Treinamento de funcionário (e-learning), e execução completa 
Definição de políticas de segurança e conformidade, Obtenção de certificados como o Privacy Mark e o ISMS 
Plano de Continuidade 
do Negócio 
Resposta Inicial de 
Emergência 
Verificação de Segurança 
de Funcionários/Familiares 
 
Financiamento de risco (seguro) 
 
 
 
 
 
 
 
 
 
 
Servidor 
Administração de Usuário/Identificação 
Verificação de usuário e restrição de acesso <Passaporte para membro> 
Criptografia de dados importantes 
Administração de conexão Proteção contra 
phishing 
 
 
 
 
 
 
Documento 
eletrônico 
 
 
 
 
 
 
Prevenção de 
desastre 
(Backup) 
Uso de patch de segurança 
<Hospedagem de Servidor SDC> 
<Passaporte para 
a Web> 
sistemas 
<Centro de proteção 
de dados (SDC)> 
 
 
Proteção contra vírus 
Avaliação de 
vulnerabilidade 
 
Filtro e monitor de 
selo temporal, certificação digital 
<Serviço de Selo temporal> 
<365 Avaliação e-
Secom> 
E-mail/URL Centro de dados 
<SDC> 
 
 
 
 
Rede 
Verificação de usuário e restrição de acesso <Passaporte para membro 
da Secom> Avaliação e proteção de rede: 
Zoneamento por firewall 
<SDC> 
Detectar/Fechar acesso não autorizado 
<Detecção/Proteção de Intrusão Secom> 
Rastreamento de registro de 
comunicação 
 
Criptografia de comunicação <Passaporte para a Web Secom> 
 
 
 
 
 
 
 
 
 
 
Cliente: 
 
Proteção contra vírus 
 
 
Aplicação 
de patch 
Verificação de usuário 
<Passaporte para menbro, Cartão IC> 
Restrição de uso de 
dispositivo de entrada-
saída e funções do cliente 
Rastreamento dados 
de comando de acesso 
 
 
 
Proteção contra 
Phishing 
<Passaporte 
para membro> 
Administração de configuração de segurança apropriada (patch de segurança, software de segurança, configuração de senha, gestão de recursos) 
Criptografia de dados importantes 
 
Contra medida para Spyware 
 
Contra medida para Winny 
 
 
 
 
 
Ambiente 
Físico 
 
 
 
Administração de entrada/saída 
Segurança física 
 
Contra 
medida para 
roubo 
 
Restrição de 
execução de 
documentos 
 
 
Resistência a 
terremotos 
Desastre relacionado a 
fogo/água 
equipament
o e 
instalações 
(câmera de segurança, 
vigilância) 
Destruição de dados Centro de dados 
Administração 
de desastre e 
suprimentos 
 
Fonte: Catálogo de vendas da Secom Trust Systems (Copyright 2006 SECOM Trust Systems Co., Ltd. Todos os direitos reservados.) 
Observação: Esta é uma lista das diferentes áreas para as quais a Secom TS fornecia soluções. Exemplos de serviços específicos estão 
listados entre parênteses 
<>. 
 
 
17 
308-015 -18- 
Anexo 10 Resumo dos Serviços da Secom Trust 
Systems 
 
 
E
s
te
 d
o
c
u
m
e
n
to
 é
 a
u
to
riz
a
d
o
 a
p
e
n
a
s
 p
a
ra
 re
v
is
ã
o
 d
o
 e
d
u
c
a
d
o
r p
o
r O
s
c
a
r J
a
v
ie
r C
e
lis
 A
riz
a
, U
n
iv
e
rs
id
a
d
e
 E
s
tá
c
io
 d
e
 S
á
 a
té
 m
a
rço
 d
e
 2
0
1
6
. C
o
p
ia
r o
u
 p
u
b
lic
a
r é
 v
io
la
çã
o
 d
o
s
 
d
ire
ito
s
 a
u
to
ra
is
. 
P
erm
issio
n
s@
h
b
sp
.h
arvard
.ed
u
 o
u
 6
1
7
.7
8
3
.7
8
6
0
 
 
 
TAXAS 
CATEGORIA SERVIÇO DESCRIÇÃO Custo inicial Taxa mensal Taxa anual 
 
Serviço de 
Hospedagem/Alojamento 
 
Conexão com a Internet (10M) 
 
Obrigatória para todos os clientes 
 
100.000 
 
100.000 
 
 Hospedagem de servidor Inclui firewall, monitoramento 250.000 150.000 
 de 24/365 (IDS) 
 Alojamento Avançado Por rack bastidor (até 8 endereços 
de IP) 
400.000 500.000 
 Por 1/2 rack bastidor 300.000 300.000 
 Por 1/4 rack bastidor 200.000 200.000 
Serviço de 
Monitoramento/Proteção 
Serviço de Firewall Secom 80.000 40.000 
 Serviço de Detecção de Intrusão 
Secom 
 200.000 240.000 
 (IDS) 
 Prevenção de Intrusão Secom Inclui IDS e abarca Até 6 endereços IP 1.000.000 250.000 
 Serviço (IPS) abordagem preventiva 
 Custo de hardware IPS 1.980.000 
 Serviço de assistência a posteriori 49.500 
Sistema de Identificação 
e Controle de Acesso 
ID ONE Cartão de identificação a ser 
usado para controle de acesso 
de entradas e computadores 
Configuração de um cartão (com 
R/W) 
6.000 
 TR2 Sistema de controle de acesso de 
entrada 
Por um sistema de entrada 1.000.000 
 (componente mín.) 
 Engenharia de sistema 300.000 
 SmartOn Sistema de controle de acesso a 
computadores 
Por computador (software) 10.000 
 Servidor 600.000 
 Engenharia de sistema 300.000 
Serviço de Certificação Digital Passaporte para a Web Secom Por certificado 65.000 
 Passaporte para membro Secom Curso padrão 300.000 
 500 certificados (dentro de 2 anos) 110.000 
Auditoria Avaliação de Segurança Total 
Secom 
 Por local com 8 endereços IP 500.000 
Outros Serviços 
Serviço de Consultoria de 
Segurança 
 
 Soluções e-Document 
 
Fonte:Documentos da empresa. 
308-015 -19- 
Anexo 11 Custo Estimado para 
Jashopper 
 
 
E
s
te
 d
o
c
u
m
e
n
to
 é
 a
u
to
riz
a
d
o
 a
p
e
n
a
s
 p
a
ra
 re
v
is
ã
o
 d
o
 e
d
u
c
a
d
o
r p
o
r O
s
c
a
r J
a
v
ie
r C
e
lis
 A
riz
a
, U
n
iv
e
rs
id
a
d
e
 E
s
tá
c
io
 d
e
 S
á
 a
té
 m
a
rço
 d
e
 2
0
1
6
. C
o
p
ia
r o
u
 p
u
b
lic
a
r é
 v
io
la
çã
o
 d
o
s
 
d
ire
ito
s
 a
u
to
ra
is
. 
P
erm
issio
n
s@
h
b
sp
.h
arvard
.ed
u
 o
u
 6
1
7
.7
8
3
.7
8
6
0
 
 
 
Serviço Descrição Custo Inicial Taxa Mensal 
 
A 
 
Alojamento Avançado 
 
Conexão com a Internet (obrigatório) 
 
Obrigatório 
 
100.000 100.000 
 Alojamento Avançado Por 1/4 rack bastidor 200.000 200.000 
 Total 300.000 300.000 
 
B 
 
Sistema de Identificação e Controle de 
Acesso (ID ONE, TR2 e SmartOne) 
Cartão de Identificação 
(Y6.000 por funcionário) 
Controle de acesso de 
entrada 
20 funcionários 
Uma entrada 
 
120.000 
 
1.000.000 
 
 Engenharia de sistema 300.000 
 Controle de acesso aos computadores 20 computadores (software) 200.000 
 Servidor 600.000 
 Engenharia de sistema 300.000 
 Total 2.520.000 
 
C 
 
Auditoria (Avaliação de Segurança Total Secom) 
 
Analise do nível de segurança atual 
 
Por local com 8 endereços IP 
 
500.000 
 
 
 
 
Custo inicial 
 
 
 
Taxa mensal 
 
Alternativa 1 
 
A 
 
300.000 
 
300.000 
 
Alternativa 2 
 
A 
 
300.000 
 
300.000 
B 2.520,000 
Total 2.820,000 300.000 
 
 
Alternativa 3 
 
A 
 
300.000 300.000 
 B 2.520.000 
 C 500.000 
 Total 3.320.000 300.000 
 
Fonte: Documentos da empresa. 
308-015 Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
Anexo 12 Informações armazenadas nos computadores da Jashopper 
 
 
Informações de Clientes 
 
Nome do cliente, endereço de cobrança e entrega, número de telefone, e-mail e data de nascimento 
Número de cartão de crédito e data de validade 
Registros de compras passadas e preferências 
Características personalizadas do cliente (lista 
de desejos, etc.) 
 
 
Informação da loja 
 
Descrição da loja (endereço, número de telefone, e-mail e o nome, banco e informações de 
transferência de pagamentos do dono) 
 
Informação de produtos (descrição e preço) 
Opções de entrega 
Opções de pagamento 
 
 
 
Informação da empresa 
 
Software de desenvolvimento (código fonte), versão do sistema de controle, sistemas de 
teste Software de produção (código executável) 
Informação financeira 
Informação pessoal (nome do funcionário, endereço, número de telefone, data de nascimento, 
disposições de segurança social, salário e bônus, avaliação de desempenho e registros de promoção) 
 
 
 
 
Fonte: Escritores do caso. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
20 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos 
direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
Secom: Gerindo Segurança da Informação em um Mundo 
Perigoso 
308-015 
 
 
 
Anexo 13 Certificado de Passaporte para a Web 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: Biccamera Inc., www.biccamera.com, acessado em 16 de agosto de 2006. 
 
 
 
Anexo 14 Logotipo do Serviço 365 Avaliação e-Secom e Verificação de Site 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: OMMG Inc., www.onet.co.jp/cnt00/chance/indexcf.html, acessado em 16 de agosto de 2006. 
 
 
21