FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1 
 
 
 
 
 
 
 
UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
Resenha Crítica de Caso 
Alexandre Couto Sant’Anna 
 
 
 
Trabalho da disciplina Fundamentos de Segurança da Informação 
 Tutor: Prof. Sidney Venturi 
 
 
Rio de Janeiro 
2020 
http://portal.estacio.br/
 
 
 
2 
Estudo de caso: 
SECOM: GERINDO SEGURANÇA DA INFORMAÇÃO NO MUNDO 
 
Referências: Mc Farlan, Austin, Kousuba e Egawa. - Harvard Business School – Secom: 
Gerindo Segurança da Informação em um Mundo Perigoso. 
 
Resumo: 
 
O artigo inicia apresentando um dilema de Mamoru Sekine, Diretor Executivo da Jashopper 
em relação a investimento em soluções de segurança da informação em um cenário onde o 
resultado da empresa não eram satisfatórios, após meses da entrada em vigor da Lei de 
Proteção de Informações Pessoais japonesa e manchetes diárias de incidentes e 
vazamento de informações na mídia, o que retrata o título do artigo. O artigo apresenta a 
Jashopper como uma pequena empresa de comercio eletrônico que fornecia serviços para 
que varejistas tivessem uma loja virtual, portanto atendia diversos segmentos e recebia 
dados pessoais de clientes para finalizar as transações. A Jashopper, é uma em presa 
pequena na internet, com um site de comércio eletrônico, que tem apenas três anos que 
tinha vendas anuais de quase 1 bilhão de iene e 20 funcionários, a Jashopper.com. Varejista 
pagavam para ter uma loja virtual em seu site. 
Clientes japonese visitavam seu site para comprar vastas gamas de produtos. Para realizar a 
compra, os clientes tinham que registrar seus dados pessoais. 
Era uma empresa jovem que havia iniciado suas atividades a três anos, mas começara a dar 
lucros, e seu fundador considerava abrir capital para aumentar seu negócio. Para ilustrar a 
necessidade de uma Lei de Proteção de Informações Pessoais, foram apresentados diversos 
incidentes de vazamentos de informações como o da Yahoo! BB, Softbank BB, Kakaku.com 
entre outros, incidentes estes que chegaram a ter o saldo de contas bancarias expostos.Com 
isso o governo japonês decretou em 2004 a Lei de Proteção de Informações Pessoais, o 
que não foi muito eficiente, visto que brechas na segurança continuavam, então uma nova lei 
que exigiria melhor administração das informações, baseada na Lei Sarbanes-Oxley era 
esperada para entrar emvigor em 2008, o que levou Sekine a pensar sobre estes desafios e 
implicações e como os serviços de segurança da Secom iriam ajuda-lo a supera-los. 
Com o aumento do uso da internet veio acompanhado de aumento considerável de roubos 
de identidade e reocupação de dados entre o público. Em 2004 o maior provedor do Japão, o 
Yahoo, anunciou vazamentos de dados de 4,5 milhões de usuários. Outros incidentes foram 
causados pelas ações de empresas descuidadas e seus funcionários. Isto representou uma 
ameaça para os clientes e uma perda financeira para as empresas. 
Para proteger os clientes de roubos de identidades, o governo japonês decretou a Lei de 
Proteção de Informação Pessoais em abril de 2004. Essa lei aplica as empresas que 
administram bancos de dados com mais de 5,000 identidades pessoais. A administração e 
proteção de informações de identidade pessoal se tornaram uma questão de conformidade. 
Sekine pensou sobre e sses desafios e suas im plicações em seu negócio. Com os 
serviços da Secom TS iriam ajuda ló a vencer esse desafio. 
O Grupo Secom é apresentado como o maior provedor de serviço de segurança do Japão, 
que começou suas operações com serviço de patrulha de segurança física em 1962, seus 
serviços foram evoluindo com instalação de sensores capaz de alertar invasões ou 
incêndios para que a Secom pudesse agir, em 1978 a empresa começou a expandir para 
 
 
 
3 
outros mercados estrangeiros, tanto na Ásia, quando na Europa e América do Norte, além 
de expandir seus serviços e criar novas soluções, o que levou os negócios de segurança 
atingirem 70% de todas as vendas do Grupo, e fazendo com que fosse conhecida como a 
maior empresa de segurança do Japão. 
 
Introdução: 
Japão, em meados de 2005, vários meses haviam passado desde que a Lei de Proteção de 
Informações Pessoais tinha entrado em vigor. Porém, vazamentos de informação de dados 
pessoais continuavam, a um nível tão crítico ao ponto de se tornarem matéria diária nos 
jornais e noticiários. Tanto pequenas como grandes corporações, com tecnologias 
sofisticadas ou não, foram afetadas por vazamentos de informações pessoais e tudo isso 
estava sendo observado com certo “temor” pelo Diretor Executivo da jovem empresa 
Jashopper, Mamoru Sekine. 
Ao se deparar com novas situações de renovação de serviços de TI, como segurança e 
infraestrutura, diversas dúvidas passaram pela cabeça de Sekine, como a relação entre 
custos de manter os investimentos em segurança e os retornos que sua empresa poderia ter. 
Os produtos valeriam o investimento? Quanta proteção era necessária? Suas decisões 
mudariam se sua empresa decidisse abrir seu capital? 
Sua empresa possuía um domínio na internet, chamado jashopper.com e estava crescendo, 
já com uma base de clientes forte. Sekine então sentiu que pode seria ser forte e 
considerava uma oferta pública inicial (IPO) para ganhar fundos para aumentar o negócio. 
Sekine esperava que a Jashopper talvez renegociasse acordos com melhores propostas dos 
fornecedores de TI para maximizar os fundos investidos na construção da rentabilidade e na 
redução de despesas que aos olhos errados da Governança atual, não contribuíam para o 
retorno em investimento. 
Ainda falando sobre a influência externa das regulamentações governamentais Japonesas, o 
uso frequente da internet no Japão em 2006 já ultrapassava a marca dos 85 mil usuários, 
mais de 65% da população já possuía internet em seus computadores e dispositivos móveis 
e, mais da metade desses, experiência com compras na internet. No entanto, esse 
crescimento foi acompanhado por um aumento de roubos de identidade e preocupação 
elevada entre o público. Como contramedida, o governo japonês decretou a Lei de Proteção 
de Informações Pessoais que se aplica a empresas que administram banco de dados com 
mais de 5 mil identidades pessoais. Com isso, as empresas detentoras das informações de 
seus clientes eram forçadas a agir dentro da finalidade proposta quando adquirida. 
A Secom era o maior provedor de serviço de segurança no Japão com uma quota de 
mercado de mais de 60%. Em 1966, a Secom introduziu o “Alarme de Patrulha de 
Segurança (SP)”, um sistema de vigilância remoto que contava com sensores para pegar 
invasores e incêndios. Este modelo de negócio era único já que no Estados Unidos ou 
Europa, os clientes compravam seus próprios sensores e empresas de segurança 
monitoravam os sensores, mas não enviavam suas equipes. Conforme o negócio se 
expandiu, as economias de escalas estavam a seu favor e melhoravam a rentabilidade geral 
do negócio. 
O Governo do Japão então implementa a versão Japonesa para a Lei americana Sarbanes-
Oxley, que fora utilizada na tentativa de fechar algumas brechas de segurança que 
continuavam mesmo após o decreto da Lei de Proteção de Informações Pessoais. Empresas 
de Capital aberto, tendem a seguir as regulamentações da SOX, que exige uma maior 
 
 
 
4 
implementação de controles internos para melhoria na administração das informações das 
referidas empresas. 
 
Conclusão: 
A informação atualmente é um dos bens mais valiosos. Mas precisamos saber lidar com a 
informação, principalmente a que trata do dado pessoal, pois as pessoas estão, cada vez 
mais, buscando maior controle sobre seus dados. Preservar conteúdos privados não é mais 
uma opção, tornou-se uma necessidade: tanto do cidadão consigo mesmo; como do governo 
e de empresas que se relacionam com esses dados e que precisam escutar o clamor das 
pessoas, se não quiserem ficar para trás. Para atender esta necessidade foram e estão 
sendo criadasdiversas regulamentações de proteção de dados em diversos países.