GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO_TRABALHO

Prévia do material em texto

1 
 
 
 
 
 
 
 
CENTRO UNIVERSITÁRIO ESTÁCIO DO CEARÁ 
PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 
 
 
Resenha Crítica de Caso 
 
 
 
 
Trabalho da disciplina Governança de Segurança da Informação 
 Tutor: Prof. Carlos Alberto de Farias 
 
 
Fortaleza 
2020 
http://portal.estacio.br/
 
 
 
2 
Intel Corp. - Bring Your Device 
 
Referências: CHANDRASEKHAR, R.; COMPEAU, Joe; HAGGERTY, Nicole SAS. Ivey 
Editorial, versão 15-02-2013. 
 
O referido artigo nos mostra um problema enfrentado por Malcolm Harkins, diretor 
executivo de segurança da Intel Corp., com relação a implementação de uma política de 
segurança que englobasse a tendência conhecida como Bring Your Own Device (BYOD) 
(Traga Seu Próprio Dispositivo). A iniciativa consistia na ideia de cada funcionário utilizar o seu 
próprio dispositivo pessoal no trabalho. Malcolm estudava uma maneira em que isso se torna-
se uma vantagem competitiva para a Intel ao mesmo tempo em que não comprometesse a 
segurança dos dados corporativos da empresa. 
Em 2009, Malcolm notou uma tendência entre os funcionários da Intel. Estava cada vez 
mais comum a utilização de dispositivos pessoais no ambiente de trabalho. Não era mais 
possível fazer distinção do que era dado corporativo e dado pessoal visto que as pessoas não 
estavam mais limitando o uso dos seus dispositivos pessoais somente no horário de trabalho. 
Isso causou certa apreensão nos profissionais de TI, pois a incidência de problemas iria 
aumentar já que as vulnerabilidades e ameaças não estavam mais limitadas somente aos 
dispositivos gerenciados. Essa tendência causou vários impactos, fossem eles positivos ou 
negativos. Do ponto de vista financeiro, essa prática fez o custo da Intel com aquisição de 
equipamentos diminuir, pois os funcionários estavam investindo cada vez mais em notebooks, 
netbooks e dispositivos moveis para realizar o trabalho da empresa. Já do ponto de vista de 
segurança, essa prática acabou aumentando os custos com relação a suporte, avaliação e 
deixava os dados da empresa vulneráveis. 
A Intel estudava três maneiras de lidar com o BYOD. Poderia não fazer nada acreditando 
ser uma tendência passageira, emitir um comunicado interno proibindo os funcionários de 
utilizarem seus dispositivos pessoais em ambiente de trabalho ou apoiar o BYOD como 
estratégia de mercado. 
Com o surgimento dos smartphones em 2006 a tendência BYOD se tornou incontrolável. 
Em 2009, a Intel reconheceu que precisaria adotar estratégias para abordar a tendência de 
BYOD internamente. 
 
 
 
3 
Harkins pretendia extrair valor do BYOD de três formas: redução de custo, ganhos de 
produtividade e vantagem competitiva. 
Redução de custo – A Intel não precisaria mais pagar pelos 10 mil dispositivos já em circulação, 
pela compra de dispositivos individuais e pelo seu serviço de suporte contínuo. A expectativa 
era que em 2014, mais de 60 mil funcionários trariam seus próprios dispositivos para o trabalho 
e com isso a Intel não precisaria mais assumir esses custos. 
 
Ganhos de produtividade – Os funcionários da Intel que estavam usando seus próprios 
dispositivos estavam gastando, em média, um adicional de 57 minutos por dia em trabalho 
relacionado à empresa. Os funcionários também estariam gradualmente felizes com o BYOD, 
o que levaria a ganhos como a resolução conjunta no caso de um prazo final ou uma 
emergência. 
 
Vantagem Competitiva – O networking levaria, com o tempo, ao desenvolvimento de melhores 
produtos e serviços. O uso de dispositivo autorizado também minimizaria o perfil de risco geral 
dentro da TI. A disposição do BYOD provavelmente melhoraria os rankings da Intel na lista da 
revista Fortune. Esse ranking mostrava as melhores empresas para se trabalhar. A posição da 
Intel nesse ranking seria bom para o seu programa de recrutamento anual. Com a posição 
elevada elevaria o valor de marca melhorado dentre potenciais funcionários. 
 
Em relação a segurança, o risco estava dividido em dois componentes amplos – 
dispositivo, que era onde as medidas de segurança seriam implantadas, e dados - que era 
predominante em qualquer caso, poderia ser extraída em uma situação BYOD. 
Outro detalhe, é que os dispositivos gerenciados pela empresa eram equipados com 
características de segurança embutidas como configurações, procedimentos de login, 
protocolos de autenticação, controle de aceso, firewall e software anti-malware. Diante da 
integração de dispositivos não gerenciados a Intel dividiu os controles em duas formas – 
criptografia e capacidade de apagamento remoto. 
Outra questão relevante, era a situação de funcionários que recebiam por hora. 
Funcionários pagos por hora na Intel EUA eram requeridos a reportar as horas que eles 
passavam fazendo trabalho de escritório em seus dispositivos pessoais enquanto fora da rede 
e longe de suas estações de trabalho. Estas horas contavam não apenas para compensação 
 
 
 
4 
de hora extra, mas também para quaisquer despesas relacionadas. Mesmo atividades de 
rotina conduzidas em um dispositivo pessoal fora das horas normais, como verificação de um 
calendário ou respondendo a e-mails, eram requeridas pela Intel para serem registradas como 
hora extra. O registro deixaria uma trilha, que provavelmente criaria um passivo a longo prazo 
para a empresa no caso de qualquer reclamação a qualquer momento no futuro por qualquer 
funcionário pago por hora. 
Outra questão que Harkins deveria abordar na política de segurança era o e-Discovery. 
Empresas americanas tinham a obrigação legal de cumprir demandas de tribunais de direito 
para documentos internos em caso de litígio. 
 
“Em dezembro de 2006, a descoberta eletrônica (e-Discovery, como foi chamado) 
ganhou um mandato nos Estados Unidos. Os FRCP foram alterados para expandir a cobertura 
do e-Discovery para todas as informações intensivas de documento nos quais a empresa 
confiava para conduzir negócios diários. A alteração trouxe sob a competência do e-Discovery 
todos os sistemas de computador e dispositivos armazenando informações digitais. Também 
trouxe sob 
seu âmbito todos os tipos de litígio - ação de classe, fraude corporativa e emprego. As 
mudanças deram aos litigantes poderes abrangentes para procurar, como parte de sua 
revisão, acesso à ampla variedade de dados correndo através de redes de uma empresa, 
incluindo não apenas dados de legado arquivados em fitas de backup, mas também e-mails, 
mensagens instantâneas, calendários e listas de contato. Também incluídos nos dados 
acessíveis estavam posts no MySpace, uma plataforma de mídia social; registros do Sistema 
de Posicionamento Global (GPS), um protocolo de navegação baseada em satélite; e dados 
do EZ-Pass, um sistema de cobrança de pedágio que automaticamente deduzia pedágios de 
uma conta pré-paga. Todos estes dados se tornaram parte do que era coletivo denominado 
informações armazenadas eletronicamente (ESI), que poderia ser requerido a ser produzido 
como evidência em um tribunal de direito.” 
(CHANDRASEKHAR, Intel Corp. – Bring Your Own Device, p. 8) 
 
Com todas essas preocupações e oportunidades, Harkins começou a planejar o que 
apresentar para os executivos da Intel com relação ao BYOD. Três questões práticas, cada 
uma com implicações abrangentes, precisavam ser determinadas. 
 
 
 
5 
 
Consideração Financeira: Harkins poderia incorporar incentivos para a compra de 
dispositivos com prestação de suporte específico. 
Segurança: Harkins poderia negar todo acesso de dispositivos "não gerenciados" a dados 
protegidos. A parte boa era que todos os dispositivos sob o BYOD seriam totalmente 
"gerenciados". 
e-Discovery: Harkins estava considerando três opções relacionadas ao e-Discovery: Todos 
os funcionários poderiam ser requeridos a assinar um acordo de serviço incorporando 
salvaguardas legais; Aplicativos poderiam serdesenvolvidos para garantir que todas as 
informações fluíssem através de servidores corporativos, assim sem prejuízo da necessidade 
de tocar no dispositivo do funcionário; a Intel poderia colaborar com fabricantes de dispositivo 
para instalar as capacidades do e-Discovery. 
 
Harkins procurava maneiras de criação de valor através do BYOD. Além de uma 
infraestrutura de dados segura, ele queria que os funcionários pudessem colaborar livremente, 
agir com inovação e independência. Isso seria possível ou os riscos do BYOD iriam sobrepor 
os ganhos? 
 
Conclusão 
Tendo em vista os argumentos apresentados no artigo, podemos concluir que apesar 
do risco ao se aplicar o BYOD, o mesmo agrega um grande valor de negócio para a empresa. 
Alguns dos pontos que podem ser citados são: diminuição de custo com aquisição de 
equipamentos já que os funcionários utilizarão os seus próprios dispositivos, a flexibilidade 
proporcionada para o funcionário realizar suas tarefas, não limitação do espaço físico de 
trabalho, dentre outros. Com essa redução significativa de custos, a empresa pode optar por 
investimentos em outras áreas como por exemplo treinamentos em segurança de dados, 
suporte, desenvolvimento de novos projetos, etc. 
Trazendo o estudo do artigo para o mundo atual, posso citar como exemplo o home 
office, que até então não era visto com bons olhos por muitos gestores. Devido a pandemia do 
novo coronavírus, muitas empresas tiveram ganho de produtividade e redução drástica de 
custos operacionais por adotarem essa modalidade de trabalho. Muitos funcionários passaram 
 
 
 
6 
a trabalhar integralmente de casa, e vários gestores já consideram essa pratica como 
permanente nos próximos anos, mesmo com o fim da pandemia. 
 
Complemento: Construir um plano (apenas a lista de itens) para implementação de 
Governança de Segurança em uma empresa, tendo como base o COBIT versão 5. 
 
1. Analisar o ambiente interno da empresa e o seu contexto para definir o seu próprio 
roteiro de implementação. 
2. Definir modelos de acordo com a necessidade e objetivos da empresa. 
3. Criar o ambiente apropriado para a implementação para que ela seja governada e 
gerenciada adequadamente. 
4. Identificar problemas cotidianos para facilitar a adesão a implantação. 
5. Capacitar as partes envolvidas no projeto para que a mudança seja feita de forma 
estruturada e proativa. 
6. Utilização do “ciclo de vida” da implementação para que sejam aplicadas melhorias 
contínuas ao projeto de implantação.