Governança de Segurança da Informação

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Resenha Crítica de Caso
Alan Pinheiro Mendes
Trabalho da disciplina
Governança de Segurança da Informação
Tutor: Prof. Airton Sartore
Rio de Janeiro
2020
Universidade Estácio de Sá
Disciplina: Governança de Segurança da Informação
Tutor: Airton Sartore
Aluno: Alan Pinheiro Mendes
Resenha Crítica do Caso Intel Corp. - Bring Your Own Device
Bibliografia: Chandrasekhar, R., Compeau, Joe, Haggerty, Nicole. Ivey Publishing, Intel Corp. - Bring Your Own Device, Richard Ivey School of Business Foundation, The University of Western Ontario, Londres, Ontario, Canadá, versão 15/02/2013.
O Senhor R. Chandrasekhar, criou este trabalho baseando-se nas dificuldades de implementação da prática do BYOD (traga seu próprio dispositivo, do inglês bring your own device) porém tal prática exponenciava o risco de exposição de dados tanto da empresa quanto de seus colaboradores, a vida pessoal e profissional começavam a se fundir. Mesmo que o os custos de aquisição de ativos tenha diminuido, elevou os seus custos de suporte e gerou diminuição da segurança, criando vulnerabilidades. Era necessário ter o controle e a proteção dos dados, mas sem invadir a vida pessoal ou expor seus colaboradores. Perante este contexto, vimos a atuação do diretor executivo de segurança da informação, da Intel Corp., o Sr. Malcolm Harkins, e suas preocupações quanto à melhor e mais otimizada forma de implementar o uso do BYOD, agregando valor ao negócio, mitigando problemas e gerando soluções.
No primeiro trimestre do ano de 2009, paralelamente ao crescente uso dos smartphones, o Sr. Malcom Harkins notou que muitos dos colaboradores da Intel Corp. estavam levando para os seus locais de trabalho, dispositivos particulares. Era cada vez mais dificil a separação, o que era corporativo e o que era pessoal, pois, o acesso a dados pessoais durante o expediente, bem como, o acesso aos dados corporativos após o expediente estavam ao bel prazer do colaborador.
Perante esta situação a Intel Corp. viu-se forçada a tomar uma decisão, baseada em 03 opções: Ficar de braços cruzados e aguardar o fim do novo modismo; retroceder em suas políticas e proibir tal prática, e perder parte significativa de seus colaboradores para os concorrentes ou mergulhar de cabeça nesta nova tendência e ser um marco de uma prática que brevemente se tornaria mundial. Mesmo com vários percalços, graças a Deus e ao Sr. Malcolm Harkins, foi tomada a decisão pela última opção.
Já quase completando um ano de inicitiva BYOD, em 2010, a divisão de tecnologia da Intel Corp., bem como, o Sr. Malcolm Harkins ainda tinham problemas em dar prosseguimento ao BYOD. Após a alta direção aprovar estratégicamente a implementação do BYOD, mesmos sabendo das dificuldades que enfrentaria o Sr. Malcom Harkins assumiu o controle desta estratégica implementação em toda a Intel Corp. Porém os Sr. Malcolm Harkins ainda precisava resolver algumas questões de segurança e valor: Como garantir a segurança dos dados corporativos disponíveis em um dispositivo particular? Como extrair valor desta nova iniciativa tornando o BYOD uma nova fonte de vantagem competitiva? Como reportar para o e-discovery as solicitações de informações em um dispositivo que não é de propriedade da Intel?
Os profissionais que integravam a equipe de tecnologia da Intel Corp. estavam apreensivos com a possibilidade de sobrecarga de serviços, devido as resoluções de problemas em dispositivos não gerenciados. Sem falar que era enorme o risco a segurança da informação e que qualquer problema poderia prejudicar todo o planejamento de negócios da empresa.
As preocupações do Sr. Malcolm Harkins, embora ele não possuíse tanta competência, não se limitavam apenas as suas áreas de domínio (tecnologia e segurança da informação), mas também estendiam-se a outras áreas e questões: O valor de marca da empresa, questões de cunho financeiro e de recursos humanos. De um lado os custos da Intel Corp. em relação a aquisição de dispositivos foi reduzido, porém, de outro lado aumentou os custos de avaliação, configuração e suporte a tais dispositivos particulares. Era muito complicado para a Intel Corp., como organização, ter o controle e acesso as suas informações, contidas dentro dos dispositivos de seus colaboradores sem invadir as suas respectivas privacidades.
Para que o sucesso almejado fosse atingido na implementação do BYOD em toda a Intel Corp., foi aplicada pelo Sr. Malcolm Harkins e sua equipe de tecnologia, uma estratégia durante o período de 48 horas de atendimento e resolução de todas as dúvidas de seus quase 7.000 colaboradores, o que também incluiu a resposta a mais de 1.000 postagens. Desta maneira foi aplicado o reforço positivo a pratica do BYOD entre os já adeptos e na tentativa de convencer aqueles que ainda se encontravam inseguros de tal prática. A sessão de atendimento permitiu que os colaboradoes da Intel Corp. espalhados pelo mundo não obtivessem apenas o material sobre a utilização otimizada de seus smartphones, mas forneceu também dados as equipes de SI e TI para que analisasem e explicassem o que a utilização dos smartphones significava para a Intel Corp., e deste modo foi partilhada quase que unanimamente a idéia do gerenciamento da segurança dos dispositivos particulares pela empresa. Apenas 30% dos participantes deste evento concordaram com o acesso corporativo aos seus dispositivos, porém, em troca da liberdade de poder trazer ao ambiente corporativo seus dispositivos, 100% dos colaboradores aceitaram ser treinados e sofre ajustes necessários ao comportamento. 
Deste modo houve o compartilhamento da resposabilidade entre as partes envolvidas, tornando-se uma das premissas sobre as quais a política se desenvolvia. Por média anual a Intel Corp., tinha 01% de seus notebooks extraviados (perdidos ou furtados) oque onerava seus cofre gerando um custo para a reposição, mas a partir do início da implementação do BYOD, esta oneração foi reduzida a zero, pois permitindo que seus colaboradores utilizassem os seus próprios dispositivos, tornou-os mais vigilantes e cuidadosos, reduzindo significativamente os casos de furto e extravio.
Além de uma questão tecnológica percebeu-se que o BYOD veio para ficar, era definitivo; tal prática envolvia outras funções da corporação, como o recursos humanos, contabilidade e jurídico, cujo o engajamento era de suma importância, primordial para a definição da política, aplicação de conformidade, licenciamento de software e privacidade.
O Sr. Malcolm Harkins, baseado na informação vital oriunda da revisão de dados dos últimos trimestres, tomou a decisão: A Intel Corp., poderia utilizar o que era chamado de “taxa de encargo”, cerca de cem dólares por hora, por colaborador, para chegar ao ganho de produtividade. Através da colaboração em tempo real com clientes internos e externos foi percebido em colaboradores que aproveitavam as oportunidades, ganhos adicionais, em horas extras a jornada de trabalho, elevando os negócios da Intel Corporation. Gradualmente os colaboradores estavam satisfeitos e felizes com o BYOD, o que conduziu a ganhos como a resolução conjunta no caso de uma emergência ou prazo final.
Como o networking, eram visualizados pelo Sr. Malcolm Harkins, alguns recursos potenciais de vantagem competitiva, que com o tempo levariam a otimização do desenvolvimento de produtos e serviços, bem como, a diminuição significativa do perfil de risco geral dentro da área tecnologica, através da utilização de dispositivo particular autorizado. 
O problema enfrentado pelo Sr. Malcolm Harkins em relação aos riscos de segurança dentro do ambiente BYOD, possuiam dois componentes críticos: Dispositivos – A medida que a implantação da segurança do dispositivo era realizada e Dados – A medida que a extração de dados ocorre-se em uma situação BYOD. Os conhecidos como dispositivos gerenciados, hardware de posse da Intel Corp., eram equipados características de segurança da informação, como configurações básicas,procedimentos de login, protocolos de autenticação, controles de acesso, firewalls e softwares anti-malware. Os equipamentos particulares, pertencentes aos colaboradores foram denominados como dispositivos não gerenciados.
Deste modo, a empresa Intel Corp., particionou seus controles de segurança em camadas em todos os dispositivos gerenciados, criando duas formas de atuar: Criptografia e Apagamento Remoto. Estas soluções de segurança foram como providenciais nestes equipamentos e perfeitas ao ambiente e as expectativas de TI. Porém, para os dispositivos não gerenciados, não existia nenhuma solução que comportasse a todos. Deste modo, representando um risco iminente a segurança. Exemplificando: Se criarmos a hipotese de que um dispositivo não gerenciado fosse extraviado (perdido, furtado ou roubado), a soluçao de apagamento remoto destruiria tanto os dados pessoais do colaborador, quanto os dados da empresa.
Existiam também outras preocupações que afligiam a corporação: Múltiplas identificações globais, como Google ID, estavam ganhando popularidade, inclusive entre os funcionários, mas a integração destas com o Active Directory (serviço usado para gerenciar permissões e acesso dos usuários em um ambiente de rede corporativo) era repleta de riscos de segurança. Se um funcionário colocasse dados corporativos em um dispositivo sincronizado com uma identificação global, qualquer dispositivo em que essa identificação global estivesse autenticada teria acesso aos dados, tornando-se inviável o rastreamento.
Logo, concluímos que: Mesmo com todo o risco apresentado ao ambiente corporativo na implementação do BYOD, percebemos não se tratou apenas de um modismo, mas sim de um ótimo investimento que agregou grande valor a marca e consequentemente ao negócio. Através de sua mobilidade e flexibilidade trouxe ótimos resultados ao permitir que o colaborador não fique restrito a uma única tecnologia, espaço físico ou ao horário; diminuição significativa de gastos com recursos de TI, não tendo a necessidade de repor ou investir em dispositivos; focando em segurança de dados e rede, gerenciando em tempo real projetos, acessando dados, detalhes técnicos e tomando decisões a qualquer tempo ou lugar. Criando-se uma metodologia de segurança da informação para os dispositivos não gerenciados, estimula-se a participação vigorosa do colaborador, dando tranquilidade e segurança para a utilização do referido dispositivo.
Universidade Estácio de Sá
Disciplina: Governança de Segurança da Informação
Tutor: Airton Sartore
Aluno: Alan Pinheiro Mendes
Complemento do Caso Intel Corp. - Bring Your Own Device, Construção de um plano para implementação de Governança de Segurança em uma empresa, tendo como base o COBIT versão 5 (apenas a lista de itens) .
Bibliografia: COBIT 5 - Principais mudanças em relação a versão 4.1, portal gsti, 2012. Disponível em: https://www.portalgsti.com.br/2012/04/cobit-5.html. Acesso em: 02, setembro, 2020. COBIT 5 Business Framework Portuguese Final Version [EBOOK], cefet-rj, 2018. Disponível em: http://www.cefet-rj.br/attachments/article/2870/Cobit_5_pt-br.pdf. Acesso em: 02, setembro, 2020.
1. Definir uma política de governança de segurança da informação alinhada e com manutenção da estrutura de Governança;
2. Definir padrões de qualidade com modelos de acordo com a necessidade e objetivos da empresa;
3. Criar métricas a serem gerenciadas através de indicadores;
4. Feedback contínuo;
5. Melhorias continuas e soluções tecnológicas;