Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 CENTRO UNIVERSITÁRIO ESTÁCIO DO CEARÁ PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Resenha Crítica de Caso Trabalho da disciplina Governança de Segurança da Informação Tutor: Prof. Carlos Alberto de Farias Fortaleza 2020 http://portal.estacio.br/ 2 Intel Corp. - Bring Your Device Referências: CHANDRASEKHAR, R.; COMPEAU, Joe; HAGGERTY, Nicole SAS. Ivey Editorial, versão 15-02-2013. O referido artigo nos mostra um problema enfrentado por Malcolm Harkins, diretor executivo de segurança da Intel Corp., com relação a implementação de uma política de segurança que englobasse a tendência conhecida como Bring Your Own Device (BYOD) (Traga Seu Próprio Dispositivo). A iniciativa consistia na ideia de cada funcionário utilizar o seu próprio dispositivo pessoal no trabalho. Malcolm estudava uma maneira em que isso se torna- se uma vantagem competitiva para a Intel ao mesmo tempo em que não comprometesse a segurança dos dados corporativos da empresa. Em 2009, Malcolm notou uma tendência entre os funcionários da Intel. Estava cada vez mais comum a utilização de dispositivos pessoais no ambiente de trabalho. Não era mais possível fazer distinção do que era dado corporativo e dado pessoal visto que as pessoas não estavam mais limitando o uso dos seus dispositivos pessoais somente no horário de trabalho. Isso causou certa apreensão nos profissionais de TI, pois a incidência de problemas iria aumentar já que as vulnerabilidades e ameaças não estavam mais limitadas somente aos dispositivos gerenciados. Essa tendência causou vários impactos, fossem eles positivos ou negativos. Do ponto de vista financeiro, essa prática fez o custo da Intel com aquisição de equipamentos diminuir, pois os funcionários estavam investindo cada vez mais em notebooks, netbooks e dispositivos moveis para realizar o trabalho da empresa. Já do ponto de vista de segurança, essa prática acabou aumentando os custos com relação a suporte, avaliação e deixava os dados da empresa vulneráveis. A Intel estudava três maneiras de lidar com o BYOD. Poderia não fazer nada acreditando ser uma tendência passageira, emitir um comunicado interno proibindo os funcionários de utilizarem seus dispositivos pessoais em ambiente de trabalho ou apoiar o BYOD como estratégia de mercado. Com o surgimento dos smartphones em 2006 a tendência BYOD se tornou incontrolável. Em 2009, a Intel reconheceu que precisaria adotar estratégias para abordar a tendência de BYOD internamente. 3 Harkins pretendia extrair valor do BYOD de três formas: redução de custo, ganhos de produtividade e vantagem competitiva. Redução de custo – A Intel não precisaria mais pagar pelos 10 mil dispositivos já em circulação, pela compra de dispositivos individuais e pelo seu serviço de suporte contínuo. A expectativa era que em 2014, mais de 60 mil funcionários trariam seus próprios dispositivos para o trabalho e com isso a Intel não precisaria mais assumir esses custos. Ganhos de produtividade – Os funcionários da Intel que estavam usando seus próprios dispositivos estavam gastando, em média, um adicional de 57 minutos por dia em trabalho relacionado à empresa. Os funcionários também estariam gradualmente felizes com o BYOD, o que levaria a ganhos como a resolução conjunta no caso de um prazo final ou uma emergência. Vantagem Competitiva – O networking levaria, com o tempo, ao desenvolvimento de melhores produtos e serviços. O uso de dispositivo autorizado também minimizaria o perfil de risco geral dentro da TI. A disposição do BYOD provavelmente melhoraria os rankings da Intel na lista da revista Fortune. Esse ranking mostrava as melhores empresas para se trabalhar. A posição da Intel nesse ranking seria bom para o seu programa de recrutamento anual. Com a posição elevada elevaria o valor de marca melhorado dentre potenciais funcionários. Em relação a segurança, o risco estava dividido em dois componentes amplos – dispositivo, que era onde as medidas de segurança seriam implantadas, e dados - que era predominante em qualquer caso, poderia ser extraída em uma situação BYOD. Outro detalhe, é que os dispositivos gerenciados pela empresa eram equipados com características de segurança embutidas como configurações, procedimentos de login, protocolos de autenticação, controle de aceso, firewall e software anti-malware. Diante da integração de dispositivos não gerenciados a Intel dividiu os controles em duas formas – criptografia e capacidade de apagamento remoto. Outra questão relevante, era a situação de funcionários que recebiam por hora. Funcionários pagos por hora na Intel EUA eram requeridos a reportar as horas que eles passavam fazendo trabalho de escritório em seus dispositivos pessoais enquanto fora da rede e longe de suas estações de trabalho. Estas horas contavam não apenas para compensação 4 de hora extra, mas também para quaisquer despesas relacionadas. Mesmo atividades de rotina conduzidas em um dispositivo pessoal fora das horas normais, como verificação de um calendário ou respondendo a e-mails, eram requeridas pela Intel para serem registradas como hora extra. O registro deixaria uma trilha, que provavelmente criaria um passivo a longo prazo para a empresa no caso de qualquer reclamação a qualquer momento no futuro por qualquer funcionário pago por hora. Outra questão que Harkins deveria abordar na política de segurança era o e-Discovery. Empresas americanas tinham a obrigação legal de cumprir demandas de tribunais de direito para documentos internos em caso de litígio. “Em dezembro de 2006, a descoberta eletrônica (e-Discovery, como foi chamado) ganhou um mandato nos Estados Unidos. Os FRCP foram alterados para expandir a cobertura do e-Discovery para todas as informações intensivas de documento nos quais a empresa confiava para conduzir negócios diários. A alteração trouxe sob a competência do e-Discovery todos os sistemas de computador e dispositivos armazenando informações digitais. Também trouxe sob seu âmbito todos os tipos de litígio - ação de classe, fraude corporativa e emprego. As mudanças deram aos litigantes poderes abrangentes para procurar, como parte de sua revisão, acesso à ampla variedade de dados correndo através de redes de uma empresa, incluindo não apenas dados de legado arquivados em fitas de backup, mas também e-mails, mensagens instantâneas, calendários e listas de contato. Também incluídos nos dados acessíveis estavam posts no MySpace, uma plataforma de mídia social; registros do Sistema de Posicionamento Global (GPS), um protocolo de navegação baseada em satélite; e dados do EZ-Pass, um sistema de cobrança de pedágio que automaticamente deduzia pedágios de uma conta pré-paga. Todos estes dados se tornaram parte do que era coletivo denominado informações armazenadas eletronicamente (ESI), que poderia ser requerido a ser produzido como evidência em um tribunal de direito.” (CHANDRASEKHAR, Intel Corp. – Bring Your Own Device, p. 8) Com todas essas preocupações e oportunidades, Harkins começou a planejar o que apresentar para os executivos da Intel com relação ao BYOD. Três questões práticas, cada uma com implicações abrangentes, precisavam ser determinadas. 5 Consideração Financeira: Harkins poderia incorporar incentivos para a compra de dispositivos com prestação de suporte específico. Segurança: Harkins poderia negar todo acesso de dispositivos "não gerenciados" a dados protegidos. A parte boa era que todos os dispositivos sob o BYOD seriam totalmente "gerenciados". e-Discovery: Harkins estava considerando três opções relacionadas ao e-Discovery: Todos os funcionários poderiam ser requeridos a assinar um acordo de serviço incorporando salvaguardas legais; Aplicativos poderiam serdesenvolvidos para garantir que todas as informações fluíssem através de servidores corporativos, assim sem prejuízo da necessidade de tocar no dispositivo do funcionário; a Intel poderia colaborar com fabricantes de dispositivo para instalar as capacidades do e-Discovery. Harkins procurava maneiras de criação de valor através do BYOD. Além de uma infraestrutura de dados segura, ele queria que os funcionários pudessem colaborar livremente, agir com inovação e independência. Isso seria possível ou os riscos do BYOD iriam sobrepor os ganhos? Conclusão Tendo em vista os argumentos apresentados no artigo, podemos concluir que apesar do risco ao se aplicar o BYOD, o mesmo agrega um grande valor de negócio para a empresa. Alguns dos pontos que podem ser citados são: diminuição de custo com aquisição de equipamentos já que os funcionários utilizarão os seus próprios dispositivos, a flexibilidade proporcionada para o funcionário realizar suas tarefas, não limitação do espaço físico de trabalho, dentre outros. Com essa redução significativa de custos, a empresa pode optar por investimentos em outras áreas como por exemplo treinamentos em segurança de dados, suporte, desenvolvimento de novos projetos, etc. Trazendo o estudo do artigo para o mundo atual, posso citar como exemplo o home office, que até então não era visto com bons olhos por muitos gestores. Devido a pandemia do novo coronavírus, muitas empresas tiveram ganho de produtividade e redução drástica de custos operacionais por adotarem essa modalidade de trabalho. Muitos funcionários passaram 6 a trabalhar integralmente de casa, e vários gestores já consideram essa pratica como permanente nos próximos anos, mesmo com o fim da pandemia. Complemento: Construir um plano (apenas a lista de itens) para implementação de Governança de Segurança em uma empresa, tendo como base o COBIT versão 5. 1. Analisar o ambiente interno da empresa e o seu contexto para definir o seu próprio roteiro de implementação. 2. Definir modelos de acordo com a necessidade e objetivos da empresa. 3. Criar o ambiente apropriado para a implementação para que ela seja governada e gerenciada adequadamente. 4. Identificar problemas cotidianos para facilitar a adesão a implantação. 5. Capacitar as partes envolvidas no projeto para que a mudança seja feita de forma estruturada e proativa. 6. Utilização do “ciclo de vida” da implementação para que sejam aplicadas melhorias contínuas ao projeto de implantação.
Compartilhar