Estudo de Caso :

GESTÃO DE RISCOS, AMEAÇAS E VULNERABILIDADES

F-Secure Corporation: Software como Serviço (SaaS) no Mercado de Soluções de
Segurança

REFERÊNCIA: ROBE RT D. AUSTIN et AL. Secom: Gerindo Segurança da

informação em um Mundo Perigoso.

Vários meses após a lei de proteção a informações pessoais o vazamentos de

informações de empresas continuavam em pequenas e grandes empresas,
Mamoru Sekine suspirou, o Diretor executivo tinha razões para se preocupar, tinha
varias licenças de serviços de segurança da informação vencendo e varias
propostas para analisar, estava preocupado também em reduzir despesas que não
contribuem diretamente para o ROI, mas a equipe de TI recebeu uma proposta da
Secom TS para integração da SI mais cara que os serviços de segurança já
usados. Mamoru tinha que decidir.

A Jashopper era uma empresa pequena na Internet, Jashopper.com, nela

varejistas pagavam para ter uma loja virtual em seu site. Uma base de 600,000
clientes registrados.

Na epoca o uso de internet era corriqueiro no Japão, e grande parte das pessoas
fazia compras pela internet, havia um elevado numero de usuários e muitos
incidentes de roubos de identidade, por exemplo, o Softbank BB, dona da Yahoo
BB vazou informações de 4,5 milhões, o Kakaku.com de comparação de preços
perdeu dados de 20000 clientes para hackers, houve também vazamento de
dados de moradores de Yuzawa, o Michinoku Bank também sofreu incidentes de
perda dados sigilosos. Ações internas propositais e não propositais estavam entre
a maioria dos incidentes, Softbank BB, estimou que o incidente causou um impacto
nos negócios de ¥10 a ¥20 bilhões.

Em 2004 o governo japonês decretou uma Lei de proteção das informações

Pessoais para empresas que administram banco de dados com mais de 5000
identidades. As empresas não podiam usar informações para outros fins que não
aqueles declarados quando a informação era adquirida e a empresa devia tomar
medidas para proteger os dados de vazamentos, caso contrario, as empresas e
até as pessoas poderiam ser punidos pela lei, com isso, as empresas lutavam com
investimentos para estar em conformidade.
Apesar da lei as brechas continuavam e os roubos permaneciam, o Japão
trabalhava na elaboração de uma versão da Lei SOX para entrar em vigor em
2008. Em 2005 uma Lei chamada de e-document permitiu que alguns documentos
exigidos pelo governo fossem mantidos eletronicamente, isso ajudou a cortar
custos, mas aumento a necessidade de proteção eletrônica.
Sekine refletia sobre esses desafios e como a Secom TS poderia ajudá-lo.

A Secom era o maior provedor de serviço de segurança no Japão. Sua historia foi
construída na seguinte cronologia:

1962: nasce a Japan Patrol Security Corporation, oferecia serviços de patrulha

com seguranças, mas o conceito de terceirização de segurança ainda era fraco.
1964: A empresa administra a segurança das olimpíadas, o negócio ganha
visibilidade e expansão, precisou educar funcionários para lidar com problemas de
internos como roubos.
1966: Cria o Alarme de Patrulha de Segurança (SP) Sistema de vigilância remoto
para detecção de invasões e incêndio, quando acionado era enviada uma equipe
para investigar. Modelo de negócio único já que nos EUA e Europa as empresas
não enviavam equipes quando havia detecções.
1970: mudança seus clientes de seguranças no local para Alarmes SP. O
rendimento do negócio aumentou.
1974: Entrada na bolsa de valores de Tóquio.
1978: Junto a Taiwan se expandiu para os outros países.
1980: Novos negócios; uma empresa de TV a cabo, participação na constituição
da segunda maior operadora de telecomunicações do Japão, serviços médicos,
informação geográfica e Segurança da informação.
1985: Japan Computer Security para venda de softwares de proteção contra vírus
para evitar a contaminação de disquetes. Secom Net(serviços de rede) e Vídeo
Techs(fornecedor de conteúdos)
1991: Secom Information Systems para administrar a rede da Secom.
1994: Tókio Internet, provedor de internet para empresas.
1998: Liderou a criação da Entrust Japan Co. Ltd. Junto a outras varias empresas.
1999: Segurança de internet com a Secom Trust Net.
2006: Fusão da Secom Information Systems e da Secom Trust Net para fornecer
segurança de informação e integração de sistemas de rede, nasce a Secom Trust
Systems Co.
2007: Contratos com 694000 empresas e 390000 casas. 2100 depósitos de
emergência. Segurança era 70% de todas as vendas. A marca ficou extremamente
forte.
A secom tinha uma Data Center com extrema proteção tanto física quanto virtual
fornecida 24h por dia, 365 dias por ano.

Sekine folheava as páginas da proposta da Secom e pensava sobre as

necessidades de seu negócio, serviço de Hospedagem/Alojamento, Sekine
precisava decidir entre comprar e armazenar servidores localmente ou em um
centro de dados alugado, ou alugar uma hospedagem. Havia a necessidade de
cinco servidores para funções da Internet e para abrigar o site da Jashopper.
A Secom TS oferecia: Hospedagem de servidores de serviços e internet.
Informações a qualquer tempo, IDS, certificado SSL, monitoramento de servidores,
controle climático, múltiplas conexões elétricas, guardas, acesso restrito a
equipamentos além de fornecer serviços para varias empresas que exigiam um
alto nível de segurança. Serviços de Monitoramento e Proteção, Hardware e
softwares como firewall e IDS/IPS monitorados 24 horas quanto a falhas. Políticas
normas bem definidas alinhadas ao cliente e relatórios diários sobre atividades,
fornecia informações para contramedida, porém aplicação das contramedidas era
na maior parte de responsabilidade do cliente. A Secom TS monitorava não só o
fluxo de pacotes de uma rede de uma empresa, mas também a rede como um
todo.

Sekine pensou que esses produtos poderiam ajudar a fortalecer o nível de

segurança de informação sem precisar aumentar a equipe de TI, também pensou
em fornecer o IDS para cada loja listada na Jashopper.com.

Para Identificação e Controle de Acesso a Secom tinha o chip IC, cartão de

identificação pessoal (Rastreamento de histórico de entrada/saída dos titulares do
cartão e limitação de acesso a prédios, salas, computadores e laptops), o custo do
Sistema era ¥1 milhão, ¥300.000 para engenharia, e a configuração do cartão
¥6.000.
Para se ter um leitor de cartão no computador era necessário um servidor de
¥600.000, a taxa de engenharia de sistema era ¥300.000, a taxa de licença de
software de ¥10, 000.
Sekine se perguntou se precisava controlar o fluxo físico das informações,
normalmente no Japão a responsabilidade era do departamento de assuntos
gerais e o fluxo virtual da normalmente da TI. Os dois precisam estar juntos?

Sekine também examinou os dois serviços de certificação digitais apresentados.

1 - Passaporte para a Web Secom: verifica se o site existe e esta funcionando,
oferece encriptação e ao passar pelas políticas era instalado um adesivo no
servidor o custo era de ¥65.000.

2 - Passaporte para Membro Secom: O usuário identificado como valido tinha o

certificado instalado em seu computador, o preço era de ¥300.000 para 500
certificados por dois anos e a taxa ¥110.000 mês, para 1000 certificados ¥140.000
mês, 5000 certificados ¥650.000, 10000 certificados ¥1.5 milhões
.
As lojas cadastradas na Jashopper.com precisavam de segurança ao entrar no site
para ver as compras e enviar as mercadorias, mas Sekine se perguntou se existia
realmente uma diferença tecnológica entre a Secom TS e sua competidora e como
ele deveria decidir se precisava do produto.

Sekine acreditava que sua empresa tinha dado os passos certos ao lidar com os
problemas de segurança. Porém, com surto recente de violações de segurança,
ele se perguntava se precisava voltar à estaca zero, a Secom poderia ser um bom
ponto novo de partida.

A Secom oferecia avaliação de Segurança Total Secom, realizava uma auditoria

de segurança de duas semanas, e entregava um relatório com as medidas a
serem tomadas por ¥500.000 para oito endereços de IP. Outro serviço oferecido
foi o serviço 365 Avaliação e-Secom que checava o site diariamente para descobrir
fraquezas; avaliações de vulnerabilidades no servidor, vírus, versões de patches,
verificação de acesso ilegal, verificação de firewall, verificação e certificação de
sites através de adesivos de segurança. A Instalação era ¥100.000 e a
mensalidade ¥480.000 para quatro IPS.
Também poderia ajudar as empresas na Lei e-document com soluções e-
document dentro da norma, consultoria de segurança para obter o Privacy Mark
(certificado emitido para empresas que cumprem certos padrões para proteger
informações de clientes).

Sekine começava a refletir que obter o Privacy Mark poderia ajudar a acalmar os
clientes mostrando que o seu site era seguro, mas isso exigiria um custo
significante.

Finalmente a Secom propôs três alternativas para a Jashopper.

A Primeira: serviço de alojamento avançado; (Segurança física e virtual, minimizar

ameaça de vírus e hackers, ambiente tolerante com estrutura anti-sísmica e rede
excedente. ¥300.000 e taxa mensal de ¥300.000.)

A Segunda: alojamento avançado + sistema de identificação e controle de acesso,

cartão ID ONE da Secom equipado com chips para controle de acesso a entrada
redes e computadores (Smarton), fechadura elétrica com relatórios de entrada.
Para 20 funcionários ¥120.000, TR2 (sistema de controle de acesso de entrada)1.3
milhões, Smarton (sistema de controle de acesso aos computadores)1.1 milhões.

A Terceira: Todos os itens da segunda + serviço para acessar a vulnerabilidade da

segurança física e virtual. Segurança Total da Secom (analisar seu nível de
segurança atual a partir de quatro pontos de vista: (1)
organizações/sistemas/políticas, (2) segurança física, (3) controle de acesso aos
dados, e (4) segurança de rede). Evidenciaria riscos e contramedidas, Este serviço
adicional de auditoria custaria ¥500.000.

Sekine não queria ver sua empresa nas matérias de jornais por algum escândalo
ligado segurança da informação, as conseqüências seriam devastadoras. Ele
refletia sobre como manter seus funcionários comprometidos com a segurança e
se deveria contratar um diretor para gerenciá-la, também pensava se a segurança
poderia afetar negativamente a velocidade dos processos de tomada de decisão.
Sekine sabia que a segurança da informação era importante, porém não sabia se
valeria a pena o risco do investimento em relação ao retorno. Seu maior dilema era
quanto seu negocio necessitava de investimentos em segurança da informação.