Case Study Europeia Foods

Perfil da Empresa Europeia Foods.......................................................................................2

Informação de Contexto – O Que Fazemos:......................................................................2
Informação de Contexto – Financeiras:...............................................................................3
Informação de Contexto – Estrutura Organizacional:.......................................................3
Informação de Contexto – Operacional:..............................................................................4
Informação de Contexto – Competição:..............................................................................5
Informação de Contexto – Objetivos de Negócio...............................................................5
Um dia na vida do CISO.........................................................................................................6
Programa de Segurança da Informação - Projetos Atuais...............................................8
Programa de Segurança da Informação - Projetos Passados.........................................8
Programa de Segurança da Informação – Gap Analysis..................................................9
Programa de Segurança da Informação – Relatório de Auditoria.................................10
Programa de Segurança da Informação – Relatório de Auditoria Recente.................10
Perfil da Empresa Europeia Foods
 Tipo de Negócio: Cadeia de supermercados de retalho
 Dimensão da Empresa: Corporação de médio porte com aproximadamente
5.000 colaboradores e contratados
 Estrutura da Empresa: Sociedade anónima cotada em bolsa desde há
quatro anos, tendo iniciado a sua atividade há 14 anos

Informação de Contexto – O Que Fazemos:

 Cadeia de Supermercados: A EuropeiaFoods é uma cadeia de
supermercados de retalho, com sede em Portugal.
 Distribuição de Lojas: Tem 28 supermercados distribuídos maioritariamente
pelo território português, cobrindo regiões como o Norte, Centro, Lisboa e
Alentejo.
 Competência Central: A EuropeiaFoods destaca-se pela criação de novas
formas de reduzir os custos de aquisição de produtos de mercearia e outros
itens que vende, expandindo lojas em locais estratégicos.
 Crescimento: Tem tido um crescimento estável ao longo dos anos,
sustentado por uma base de clientes fiel e consistente. Os consumidores
reconhecem que na EuropeiaFoods pagam menos mantendo uma qualidade
de alimentos e outros produtos comparável à das lojas concorrentes.

Objetivos de Negócio
 Principal Objetivo: O principal objetivo da EuropeiaFoods é aumentar a sua
rentabilidade. A administração está convencida que a empresa está no
caminho certo em termos de crescimento de receita e acredita que a redução
de custos, parcialmente resultado da desaceleração recente da expansão,
será determinante para o futuro.
Informação de Contexto – Financeiras:
 Rentabilidade: A EuropeiaFoods manteve-se rentável desde o início da sua
atividade. Embora a rentabilidade não tenha sido elevada, a empresa
conseguiu manter-se consistentemente no verde.
 Receitas e Margem de Lucro: No último ano fiscal, a receita bruta alcançou
os 70 milhões de euros, com uma margem de lucro marginalmente inferior a
2%. A EuropeiaFoods poderia aumentar os preços dos produtos para elevar a
margem de lucro, mas isso poderia comprometer o seu diferencial
competitivo de oferecer preços mais acessíveis.
 Despesas de Expansão: Os custos associados à abertura de novas lojas em
Portugal foram o principal fator para a margem de lucro limitada. Contudo, a
gestão executiva decidiu reduzir o ritmo de expansão, dado que as principais
localizações estratégicas já contam com lojas da EuropeiaFoods.
 Futuro e Expansão: Acredita-se que a redução dos custos com a expansão
contribuirá para o aumento das margens de lucro nos próximos anos. A
administração tem como foco a maximização da rentabilidade, otimizando os
custos operacionais e mantendo a lealdade da sua base de clientes.

Informação de Contexto – Estrutura

Organizacional:
Conselho de Administração:
 Composto por membros da EuropeiaFoods e de outras organizações, sendo
a maioria externa à empresa. A maior parte dos membros possui experiência
no setor de retalho e está familiarizada com os métodos operacionais do
negócio.
 Apresenta uma tolerância ao risco moderada, embora o nível de conforto em
relação ao risco empresarial de alguns membros tenha sido ultrapassado
pela iniciativa anterior de abrir mais lojas.
 É liderado por um presidente que acumula também as funções de CEO.

Comité Executivo:
Composto por:
 CEO (Diretor Executivo)
 CFO (Diretor Financeiro)
 COO (Diretor de Operações)
 VP de Negócios
 Partilha uma tolerância ao risco moderada, alinhada com a do conselho de
administração.
  Reconhecido pela capacidade de atrair e contratar talentos de topo,
estabelecendo diretrizes amplas e objetivos para indivíduos-chave e
avaliando posteriormente o desempenho de cada um.
 Tem como objetivo principal aumentar a rentabilidade da empresa.

Informação de Contexto – Operacional:

Gestão de Negócios:
 A equipa de gestão é composta pelos gestores das unidades de negócio e
pelos gestores das unidades centrais.
 Os gestores de negócios são conhecidos pela rapidez na implementação de
novas iniciativas e por concretizar projetos dentro do prazo e orçamento
estipulados.
 São reconhecidos pela sua capacidade de fazer recomendações de negócio
criativas, como a ideia de formar cooperativas alimentares.
 Tendem a ter uma alta tolerância ao risco, por vezes negligenciando
vulnerabilidades e riscos de segurança identificados por outros.

Gestão Financeira:
 Sob a responsabilidade do CFO, que gere as operações financeiras,
incluindo contratos, aquisições e pagamentos; contabilidade; e auditoria.
 O CFO está sob pressão para reduzir custos e aumentar a rentabilidade,
mantendo um controlo de gastos rigoroso até que os lucros melhorem.

Gestão de Operações:
 É da responsabilidade do COO e inclui operações de lojas e instalações,
segurança física, logística (incluindo transporte) e outras funções menores.

Gestão de TI:
 Sob o domínio do CIO, que não está ao mesmo nível hierárquico dos outros
executivos C-level, reportando-se ao COO.
 O CIO supervisiona a infraestrutura de TI, operações de sistemas e redes,
continuidade dos negócios e operações de recuperação de desastres, e
segurança de TI.
 Investimentos passados em tecnologia de ponta não impediram o aumento
de interrupções e outros problemas de TI, especialmente no último ano.

Expansão e Desenvolvimento:
 A expansão das lojas tem sido conservadora, apesar dos custos de juros por
dívidas de expansão impactarem os lucros.
 A EuropeiaFoods passou por várias fases de redução e aumento de pessoal,
com a expansão das lojas sendo um fator primordial para o aumento do
quadro de colaboradores.
 Tentativas de Aquisição:
 No ano passado, a EuropeiaFoods foi alvo de uma tentativa de aquisição
hostil, que falhou devido à falta de capital do potencial comprador para
adquirir o número necessário de ações para controlo.
 Rumores no setor financeiro indicam que outra corporação poderá tentar
assumir a EuropeiaFoods, devido à desvalorização das ações provocada
pela baixa margem de lucro.

Informação de Contexto – Competição:

Cooperativas Alimentares:
Organizou cooperativas alimentares em Portugal que permitem à empresa
estabelecer contratos fixos para a compra de alimentos perecíveis e carnes.
Isso garante à EuropeiaFoods um fornecimento constante e fiável de
alimentos a um custo fixo e previsível.
Eliminação de Intermediários:
Ao negociar diretamente com as cooperativas, a EuropeiaFoods consegue
reduzir significativamente os custos associados à aquisição de produtos
alimentares, eliminando os intermediários em muitos tipos de alimentos.
Vantagem de Preço ao Consumidor:
Uma parte destas economias é transferida para os consumidores, o que torna
a EuropeiaFoods a cadeia de supermercados com os preços mais baixos em
Portugal.

Informação de Contexto – Objetivos de Negócio

Direção Estratégica:
A administração e a direção executiva estão convencidas que a empresa está
a seguir o caminho correto em termos de crescimento de receitas.
Há uma confiança robusta de que as medidas de redução de custos, algumas
das quais ocorrem naturalmente como resultado da desaceleração
significativa recente na expansão, serão decisivas para melhorar a
rentabilidade.

Esforços de Redução de Custos:

O departamento financeiro, liderado pelo CFO, está a dedicar um esforço
considerável na identificação de áreas onde cortes de custos podem ser
realizados sem comprometer a eficiência e qualidade do serviço.
Um dia na vida do CISO
Há Alguns Meses Atrás:
Como CISO, enviaste um memorando ao CIO expressando preocupação
com a possibilidade de infraestruturas críticas de segurança, como firewalls e
sistemas de deteção de intrusões (IDSs), não estarem a funcionar
corretamente devido a problemas de manutenção.
Seguiu-se uma reunião com o CIO, mas sem resultados relevantes.
Muitos problemas foram atribuídos às operações de sistemas e redes, que,
após vários cortes, sofreram redução no número de colaboradores.
Alguns dos melhores talentos técnicos saíram para trabalhar noutros lugares,
devido às constantes emergências e à necessidade de resolução de
problemas urgentes a toda a hora.
A manutenção de sistemas, dispositivos e aplicações tem sido geralmente
deficiente, e a gestão de mudanças tem sido fraca.

8:00 AM:
O dia começa normalmente na sede da EuropeiaFoods numa segunda-feira,
31 de janeiro. As reuniões de grupo que cobrem tarefas e responsabilidades
semanais são a ordem do dia, e a maioria dos gestores de nível médio e
sénior já terminou pelo menos uma ronda de reuniões e agora estão em mais
reuniões, ao telefone ou a atualizar o e-mail.

9:30 AM:
Ao saíres da reunião de equipa de segurança da informação, a tua assistente
administrativa entrega-te um bilhete urgente para ligares para Filipe Opera, o
COO, o mais rápido possível.

10:00 AM:
Inicialmente, o acesso à rede estava normal, mas pouco depois, vários
utilizadores não conseguiram aceder à rede, sobrecarregando a assistência
técnica.
O CEO também não conseguiu aceder à rede e alguns parceiros de negócios
também se queixaram que não conseguiam trabalhar.
É provável que o problema esteja no sistema de gestão de identidades
(IDMS), implementado no ano passado.

10:30 AM:
Recebes um telefonema de Margarida Pilim, chefe das operações
financeiras, informando-te sobre transações financeiras altamente suspeitas.

11:30 AM:
O assistente do gerente de Carlos Financa, o CFO, solicita uma reunião para
discutir a discrepância entre as expectativas operacionais de negócios e os
níveis reais de controlos de segurança.

11:45 AM:
Recebes uma mensagem de e-mail do vice-CFO, Francisco Massa,
informando que haverá cortes no orçamento e que o programa de treino de
segurança está sob intenso escrutínio.

2:30 PM:
Mais tarde, um dos webmasters informa que uma das aplicações chave foi
comprometida, expondo nomes e números de cartões de crédito de milhares
de clientes.

3:00 PM:
Lembras-te quando um dos teus engenheiros de segurança te avisou, antes
do lançamento da aplicação, que os padrões de desenvolvimento de código
seguro tinham sido ignorados pelos programadores.

3:30 PM:
Apesar de relutante, chegaste a um acordo escrito com o gerente da unidade
de negócios para integrar funcionalidades de segurança numa futura versão
do software.

4:00 PM:
Mantiveste o CIO informado sobre todos os eventos.

6:00 PM:
O CIO liga-te, pedindo uma explicação do que foi feito para garantir a
segurança da aplicação comprometida.
Programa de Segurança da Informação - Projetos
Atuais
Como CISO da EuropeiaFoods, apesar de um orçamento anual não muito
generoso, esforças-te por otimizar os recursos disponíveis. Estão em andamento os
seguintes projetos:
Autenticação Baseada em Smartphone:
Está a ser implementado um projeto para substituir as passwords tradicionais pela
autenticação via smartphone. Os utilizadores terão de introduzir uma código
mostrado no seu telemóvel e um número de identificação pessoal (PIN) para serem
autenticados onde necessário. Um estudo piloto revelou uma elevada aceitação
deste método de autenticação devido à popularidade dos smartphones e à
simplificação da gestão de passwords.
Melhoria das Métricas de Segurança da Informação:
Embora tenhas estabelecido um sistema de medição de desempenho baseado em
métricas pouco após iniciares o teu papel como CISO, apercebeste-te de que
muitas das métricas selecionadas eram genéricas.
Atualmente, estás a trabalhar com o comité de direção de segurança da informação
para desenvolver métricas mais significativas em termos de construtos
empresariais, particularmente para a gestão executiva e partes interessadas chave.

Programa de Segurança da Informação - Projetos

Passados
Projeto de Deteção de Intrusões na Rede:
Há vários anos, iniciaste e completaste um projeto de deteção de intrusões na rede.
As operações de deteção de intrusões estão ativas, embora, tal como os firewalls e
o sistema de gestão de identidades (IDMS), não sejam mantidas por ti, mas sim
pelo pessoal de operações de sistemas e redes.
Sistemas de Deteção de Intrusões (IDSs):
Os IDSs que operam dentro da rede da EuropeiaFoods detetaram muitas violações
de segurança, reais e potenciais, ao longo dos anos.
Análise e Recomendações para Procedimentos Operacionais:
No ano passado, realizaste um projeto para analisar e fazer recomendações para os
procedimentos operacionais dentro da EuropeiaFoods. O objetivo era alinhar esses
procedimentos com os padrões de segurança da informação da EuropeiaFoods.
Este projeto foi bem-sucedido numa primeira fase, mas ainda há muito trabalho a
ser feito, sendo que os recursos disponíveis atualmente são insuficientes.

Programa de Segurança da Informação – Gap

Analysis
Servidores e Estações de Trabalho Internos: Vulneráveis a uma grande
variedade de ataques iniciados externamente, devido a listas de controlo de acesso
de firewall configuradas e mantidas inadequadamente.
Aplicações Web Públicas: Não têm controlos suficientes para impedir muitos dos
ataques dirigidos contra elas.
Aplicações de Negócio Específicas: Vulneráveis a ataques cuidadosamente
elaborados por insiders (e possivelmente também por outsiders).
Risco Devido a Consequências Inesperadas de Mudanças: O risco devido a
consequências não antecipadas de mudanças é controlado de forma inadequada.
Patches: Não são testados de forma tão completa quanto as necessidades
empresariais exigem antes de serem instalados.
Dispositivos Móveis de Computação: Quase sem exceção, estão em desacordo
com os padrões de segurança da EuropeiaFoods para esses dispositivos.
Programa de Segurança da Informação –
Relatório de Auditoria
Políticas e Normas: São completas, atualizadas e bem alinhadas com os objetivos
empresariais da EuropeiaFoods.
Esforços para a Conformidade: Os esforços para alcançar a conformidade com
políticas e normas são adequados, considerando os recursos limitados da prática de
segurança. 85% dos sistemas, dispositivos e aplicações incluídos no âmbito da
auditoria estavam em conformidade, pelo menos, a 90% com as normas relevantes.
Organização do Programa de Segurança da Informação: A organização do
programa de segurança da informação e a definição e atribuição de papéis e
responsabilidades dentro do mesmo são adequadas.

Programa de Segurança da Informação –

Relatório de Auditoria Recente
Comunicação e Cooperação: A comunicação e cooperação com o comité de
direção de segurança da informação são, em particular, louváveis. No entanto, a
escalada de informações relacionadas a incidentes para a gestão executiva ainda
necessita de melhorias.
Formação e Sensibilização em Segurança: O programa de formação e
sensibilização em segurança é sustentado por um plano bem elaborado e pensado.
Apesar de tentar alcançar todos os colaboradores, não tem sido eficaz em chegar à
gestão. Além disso, falta-lhe métricas que meçam mudanças de comportamento no
trabalho como resultado da formação e sensibilização.
Sistema de Métricas: O sistema de métricas existente não é suficiente porque
contém muitas métricas que são úteis apenas para profissionais de segurança da
informação — são necessárias mais métricas relacionadas com o negócio.
Processo de Resposta a Incidentes: Embora exista um processo de resposta a
incidentes bem definido com uma abundância de procedimentos específicos para
incidentes, os procedimentos não foram testados nos últimos 18 meses.