Estudo de Caso :

GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO

INTEL CORP. – BRING YOUR OWN DEVICE

REFERÊNCIA: Richard Ivey School of Business Foundation. INTEL CORP. –

BRING YOUR OWN DEVICE

O diretor executivo de segurança da informação da Intel Corp, Malcolm Harkins,

precisava tomar frente da implementação do BYOD (traga seu próprio dispositivo)
em toda empresa. Cerca de treze por cento dos funcionários da Intel ao redor do
mundo já traziam dispositivos para o trabalho, Harkins previu um grande aumento
deste numero com a implantação deste projeto. Porém havia alguns dilemas para
ele, como obter vantagem competitiva com a iniciativa? Como garantir a segurança
dos dados? Como solicitar informações em dispositivos que não são da empresa?

No inicio de 2009 Harkins observou uma forte tendência, muitos funcionários

traziam seus dispositivos e usava durante o trabalho, o crescimento de uso de
smartphones aumentava cada vez mais, porém nesses dispositivos dados
corporativos podiam ser usados fora do horário de trabalho e dados pessoais
durante o trabalho. Para implementar o projeto havia preocupações da TI em ter
que dar suporte a dispositivos não gerenciados por outro lado funcionários
poderiam perder produtividade sendo distraídos pelas aplicações.

As preocupações de Harkins iam além, a prática de aquisições feitas pelos

funcionários reduziu custos para Intel, porém aumento custos de avaliação,
configuração, suporte e reserva de equipamentos. Os dados estavam vulneráveis
e a Intel precisava controlar as informações da empresa sem violar a privacidade
dos funcionários, também era difícil definir quais funcionários seriam incluídos no
programa de BYOD. A Intel tinha três opções: 1 - Não fazer nada (comprometeria
o trabalho da TI), 2 - Não permitir (a Intel teria controle, mas poderia perder
funcionários alinhados a esta tendência), 3 - Apoiar o BYOD, porém Harkins
imaginava que o comprometimento era inevitável para CIOs que não poderiam
impor suas próprias regras por causa de (As pessoas clicaram nas coisas, falar,
postar, compartilhar informações quando conectados a internet, códigos de
programas sempre terá algum erro, existiram processos executando em segundo
plano, a eficácia de um controle se deteriora com o tempo.)
A Intel permitia que funcionários específicos que assumia processos críticos
acessassem a rede da Intel remotamente. O lançamento dos notebooks em 97
permitiu dispositivos pessoais conectar-se a rede, mas os smartphones em 2006
que criou uma forte tendência incontrolável para isso e a Intel reconheceu que
precisava abordá-la. Harkins organizou uma sessão web temporária para que
todos os funcionários pudessem discutir com a sua equipe sobre como eles
queriam usar seus smatphones e também para explicar o que significaria este uso
para organização. Apenas 30% dos participantes concordavam com o acesso
corporativo a seus dispositivos, mas era quase unânime que permitir o
gerenciamento do dispositivo pela Intel em troca da liberdade de trazer os
dispositivos para o trabalho. A política era desenvolvida responsabilizando a TI
pelo impacto tecnológico e o funcionário pelos riscos potenciais.

A iniciativa reduziria perda de hardware, funcionários seriam mais vigilantes pelo

seu senso de posse, calendário corporativo no dispositivo aumentaria
produtividade, custo de dados das operadoras de Telecom diminuiriam. Para
atender todas as expectativas da empresa, jurídico, RH, contabilidade, incluído
privacidade e licenciamento, Harkins desenvolveu um modelo especifico para
gerenciar o risco. Cada camada oferecia um grau de permissão a acesso a dados
corporativos sendo 1 o menor grau de permissão e 5 o maior.

O alcance da TI no inicio, na época dos mainframes era limitado a poucos

funcionários, com e evolução tecnológica esta abrangência foi aumentando até
chegar os computadores portáteis que trouxe a emancipação do funcionário que
veio a ser chamado de consumerização de TI (CoIT). CoIT: auto-fornecimento de
tecnologia, abrangendo mídias sociais, nuvem, desenvolvimento de aplicativos
(apps) e, ultimamente, BYOD. Do CoIT que traziam ganhos internos e externos

Internamente traria funcionários mais engenhosos e inovadores trazendo

produtividade, produtividade de TI, aumento de capacidade de TI sem requerer
recursos adicionais, maior atração e retenção de funcionários. Externamente a
empresa conseguiria maior atendimento das expectativas de consumidores,
fornecedores, parceiros e investidores.

Beneficio com o desenvolvimento rápido de aplicativos que facilitava o negócio, de

baixo custo, funcionários desenvolviam aplicativos para atender seus requisitos,
tudo isso melhorava o ambiente da empresa, porém o CoIT se tornou um desafio
para os CIOs. Primeiro falta de garantias jurídicas e contábeis nas compras, esta
cultura livre para todos era contraria a cultura tradicional de Harkins. Segundo o
contexto da época era de que dispositivos pessoais promoviam desvios de
atenção e perda de produtividade e não aprimoramento. Outros desafios eram
proteger os dados de ameaças, gerenciar infraestrutura de TI e ficar no lado de
uma nova geração de mão de obra, acompanhar a legislação de vários países
diferentes em relação a TI. A Intel era a maior fabricante de chips e
semicondutores que eram matéria prima para indústria de computação e
telecomunicações. Seus clientes eram grandes marcas como HP e Dell. Os custos
da indústria eram altos incluindo pesquisa e desenvolvimento e mão de obra
qualificada, o ciclo de vida do produto limitado, como consequência as inovações
eram frequentes. A Intel sistematicamente lançava seus produtos de forma
melhorada para fornecendo chips e plataformas para economia global. Em 2009 a
Intel atuava em vários segmentos de operação como desktops, data centers,
saúde digital, ultra mobilidade, etc. Harkins previu o crescimento da demanda de
microprocessadores móveis. A Intel contava com varias unidades de fabricação e
teste ao redor do mundo e terminou 2009 com uma receita liquida de 4,3 bilhões.

Uma das questões para Harkins era a extração de valor, o valor do BYOD poderia
ser extraído com redução de custo ganho de produtividade e vantagem
competitiva. A redução de custo era obvia já que a Intel não precisaria mais pagar
por 10000 pequenos dispositivos, os funcionários usando seus próprios
dispositivos trabalhavam de forma adicional diariamente com negócios
relacionados à Intel, isso gerava ganho de produtividade. O networking poderia
trazer vantagens competitivas. A marca estava figurando entre as melhores
empresas para se trabalhar nos EUA, com a política de BYOD sua classificação
poderia aumentar e junto a isso o valor da marca.

Harkins pensava na dificuldade em alinhar as vantagens do BYOD com os riscos

da exposição de dados sensíveis da Intel. Como alinhar a segurança nos
dispositivos pessoais que era uma novidade para Intel a segurança dos dados que
já era de praxe. A Intel agora precisaria criar controles para dois tipos de
dispositivos, os gerenciados que era propriedade da Intel e já tinham controles de
segurança definidos e os não gerenciados. Os dispositivos gerenciados atendiam
as expectativas de TI perfeitamente, já os não gerenciados trariam vários riscos a
segurança das informações da empresa e danificar a privacidade do funcionário.
Havia duas soluções, criptografia dos dados e apagamento remoto para
dispositivos perdidos ou roubados, porém para dispositivos pessoais o
apagamento também afetaria dados pessoais.

Outro desafio era controlar as horas trabalhadas dos funcionários, o uso fora da
empresa deveria ser contabilizado, os usuários também poderiam vincular contas
na nuvem pessoal a seus dispositivos podendo expor ainda mais os dados da Intel
a outros ambientes. Além disso, os dados corporativos poderiam se misturar a
dados pessoais.

A Intel utilizava um framework para trabalhar de forma pro ativa em relação aos
riscos, Harkins refletia sobre como isso se aplicaria com o BYOD. A Intel também
tinha precisava estar em conformidade com as leis federais, qualquer controvérsia
na base de dados era potencialmente perceptível e revisável por lei, isso foi
chamado de e-discovery, de 2006. Vários tipos de dados poderiam ser requeridos
para uso em tribunais como, e-mails, backups, dados em mídias sociais, dados de
GPS, etc. Tudo isso se tornou parte do que foi denominado ESI, dados
armazenados eletronicamente. Os ESI tinham mais volume, pois se replicava em
vários locais diferente de dados em papel, porem eram mais passiveis de
alterações. Os maiores nos processos eram relacionados à ESI.
Outro grande risco para empresas nos processos era de que os advogados tinham
dificuldades para entender o ESI e os profissionais de TI tinham dificuldade com a
linguagem jurídica. A própria Intel enfrentou uma grande dificuldade em um
processo movido pela AMD, a Intel percebeu que rastrear e-mails no e-discovery
estava tomando muito tempo e planejava localizá-los direto nas caixas dos
funcionários. O e-discovery também era um desafio à implementação do BYOD
tendo em vista que os dispositivos não eram da Intel e sim de seus funcionários,
como solicitá-los em caso de uma ação judicial e como saber onde estão os
dados.

As opções de Harkins, oportunidades e preocupações ao mesmo tempo, ele

precisava analisar três questões praticas diante dos executivos.

Considerações financeiras: incentivos de suporte, e pagar o dispositivo e serviços

para dispositivos aprovados e apenas os serviços para não aprovados.

Segurança: Permitir apenas dispositivos gerenciados. Usar um servidor para

armazenar os dados trabalhados nos dispositivos, porém os não gerenciados
poderia comprometer o servidor. Permitir apenas capturas de tela nos não
gerenciados, sem acesso aos dados propriamente dito.

E-discovery: Todos os funcionários deveriam assinar um acordo que permitiria

acesso e apenas serviços e dados da Intel nos dispositivos.

Harkis queria ganhar agregar valor a Intel com o uso o BYOD, inovou motivando
pessoal e adequando a infraestrutura para que os funcionários trabalhassem mais
livremente, esta visão pode ter um efeito contrario os riscos atrelados a esta nova
metodologia de trabalho podem ser maiores do que o ganho esperado, sem
controles ou talvez até mesmo com eles, pode surgir novas situações inesperadas
pela empresa que podem por em risco o negócio).