JOSU COSTA JNIOR

SEGURANA DA INFORMAO Ferramentas e atitudes efi a!es "ara minimi!ar ata#ues de En$en%aria S& ia'

JE(UI)*A+ ,-.,

JOSU COSTA JNIOR

SEGURANA DA INFORMAO Ferramentas e atitudes efi a!es "ara minimi!ar ata#ues de En$en%aria S& ia'
Artigo apresentado ao curso de psgraduao como requisito obrigatrio para obteno do ttulo de especialista em Gesto em Tecnologia da Informao, da Faculdade de Tecnologia e Ci ncia! Orientad&r/ "rof! #sC! $aulo Correia "ei%oto

JE(UI)*A+ ,-.,

FO01A DE A2RO3AO
N&me d& a'un&/ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& Curs&/ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& T4tu'& d& Arti$&/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 2ARECER/ '( Trabal)o apro*ado sem alterao -( Trabal)o no apro*ado , comentar C&ment5ri&s/ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& NOTA/66666666666 .ata de apro*ao / / +( Trabal)o apro*ado com sugesto , comentar

*ANCA E7AMINADORA/

0rientador "rof! FAC12.A.3 .3 T3C4020GIA 3 CI54CIA$ .3 14I.A.3 6CI.A.3(

"rof! Titulao! Coordenador do Curso de 4ome do Curso FAC12.A.3 .3 T3C4020GIA 3 CI54CIA$ .3 14I.A.3 6CI.A.3( JE(UI)*A+ ,-.,

SEGURANA DA INFORMAO Ferramentas e atitudes efi a!es "ara minimi!ar ata#ues de En$en%aria S& ia'

J&su8 C&sta J9ni&r. Sau'& C&rrea 2ei:&t&,

RESUMO 3ste estudo discute di*ersos pontos de *ista de autores sobre segurana da informao e engen)aria social! 8e*isa te%tos com base nos conceitos e fundamentos da segurana, e nas tend ncias de ataques contra o maior ati*o de uma organi9ao, a informao! $eu ob:eti*o ; identificar ferramentas, medidas e principalmente atitudes comportamentais que poderiam minimi9ar ataques contra sistemas de informao das organi9a<es! Conclui que, mesmo no sendo definiti*a, a mel)or forma de minimi9ar as *ulnerabilidades )umanas diante de ataques de engen)aria social ;, a reformulao contnua de polticas de segurana, a conscienti9ao e o treinamento contnuo de pessoal e, sobretudo, o comprometimento dos profissionais da alta gesto da empresa diante deste tema! 2a'a;ras C%a;e/ $egurana! Informao! =umano! $ocial! 3ngen)aria! Conscienti9ao! A*STRACT T)is stud> discusses different *ie?s of aut)ors on information securit> and social engineering! 8e*ises te%t based on t)e concepts and fundamentals of safet>, and on tendencies in attac@s against an organi9ationAs greatest asset, information! Bour purpose is to identif> tools, tactics and especiall> be)a*ioral attitudes t)at could minimi9e attac@s against information s>stems of organi9ations! Concludes t)at, ?)ile not definiti*e, t)e best ?a> to minimi9e )uman *ulnerabilities facing social engineering attac@s is continuous reformulation of securit> policies, a?areness and on going training of staff and especiall> t)e commitment of top management professionals compan> on t)is issue! <e= >&rds/ $ecurit>! Information! =uman! $ocial! 3ngeneering! A?areness!

' "os-graduando em Gesto em Tecnologia da Informao, pela Faculdade de Tecnologia e Ci ncias , FTC! 8ua AntCnio 0rrico, -DE, $o Fudas Tadeu, Fequi;/Ga)ia, C3"H 7D!+I7-I'I! 3-mailH :osuecosta:rJgmail!com + "rofessor 0rientador da Faculdade de Tecnologia e Ci ncias - FTCK #estre em Administrao "LblicaK 3specialista em 8edes de Computadores, #etodologia do 3nsino $uperior, Auditoria Fiscal e CriminalsticaK e Gac)arel em Ci ncias da Computao! 3-mailH saulopei%otoJ)otmail!com

D . INTRODUO .e todas as mudanas que marcaram a sociedade c)amada produti*a nas Lltimas d;cadas, nen)uma foi mais importante que o aumento da informao! $e:am em diferentes aspectos ou em ;pocas distintas a informao gan)ou seu espao tornando-se o bem mais *alioso do s;culo atual! Com este crescimento a tecnologia da informao se difundiu to rapidamente que ningu;m mais sobre*i*e a este conte%to sem algum tipo de dispositi*o eletrCnico que possibilite o acesso M rede mundial 6internet(! Ni*endo na era ps-"C -, a sociedade moderna reali9a ati*idades por meios eletrCnicos, que antes e%igiam a<es presenciais e manuais de seus reali9adores! Compras online, pagamentos e transfer ncias bancOrias, comunicao por mensagens instantPneas ou *o9, so minimas tarefas, atualmente, poss*eis de serem reali9adas por meios eletrCnicos! "ara $iqueira 6+IID(, os mercados empresariais tamb;m se modificaram com essa no*a realidade! Cada *e9 mais no ambiente corporati*o se ou*e falar emH *ideoconfer ncia, aplica<es remotas, conecti*idade, e-commerce, fibra-tica, correio eletrCnico, biblioteca *irtual, certificados digitais, ensino M distPncia, moeda eletrCnica, assinatura digital, telefonia digital, li%o eletrCnico, entre outros! 4o entanto, na mesma proporo que o uso destas facilidades abriram no*as fronteiras e tornaram a sociedade moderna na Qsociedade da informaoR, tamb;m se abriram outras possibilidadesH a<es que ameaam a segurana! A facilidade para roubar sen)as e cdigos de acesso e assim gan)ar acesso inde*ido M informao, se tornou to incri*elmente iminente quanto o crescimento tecnolgico das Lltimas d;cadas! 4o cenOrio corporati*o, $ mola 6+II-( di9 que compartil)ar informao passou a ser considerada uma prOtica moderna de gesto, necessOria Ms empresas que busca*am maior *elocidade nas a<es! A informao e o con)ecimento tornaram-se os principais recursos econCmicos para a competiti*idade das empresas, criando uma necessidade de *alori9ao, manuteno e desen*ol*imento das organi9a<es de forma plena e organi9ada! 6$IS13I8A, +IID(! 4esta realidade empresarial moderna percebe-se o quanto as empresas tem se tornado cada *e9 mais dependentes da informao , muito mais digitali9ada, compartil)ada e distribuda ,
- 0 termo "?s)2C comeou a ser badalado em uma entre*ista de $te*e Fobs, da Apple, quando do anLncio do i"ad+! 3 no ;
uma bu99?ord! T real e suas consequ ncias iro re*olucionar o uso dos equipamentos pessoais! FonteH )ttpH//computer?orld!uol!com!br/blog/tecnologia/+I''/'+/'+/a-era-pos-pc/

U al;m, de todo o material )umano e infra-estrutura en*ol*idos, que a mant;m, controla e a gerencia! 3 ; :ustamente neste panorama, que da mesma maneira que cada pessoa de*e ter cuidado com seus documentos pessoais, as organi9a<es de*em ter cuidado com todo o tipo de informao que circula dentro dela, referente, sobretudo Ms pessoas que por elas so responsO*eis, como por e%emplo, os profissionais ligados Ms Oreas administrati*as e gerenciais! .+. 2r&@'ema 0 surgimento de *Orios especialistas na prOtica de crimes baseados na e%plorao de fal)as de arquiteturas e sistemas, demonstram que a segurana da informao nos ambientes corporati*os merece uma maior ateno! 3ntretanto, o despreparo de colaboradores en*ol*idos nas Oreas de gesto, para lidar e recon)ecer situa<es de riscos, se torna um dos fatores predominantes na QquebraR da confidencialidade de informa<es *itais ao negcio, mostrando assim que a maior das fal)as constatada ainda ; a ingenuidade )umana! .iante do e%posto surge ento o problema moti*ador desta pesquisaH Suais so as ferramentas e atitudes efica9es para minimi9ar as *ulnerabilidades de segurana da informao diante de ataques de 3ngen)aria $ocialV 0 tema deste estudo tem como base a *ulnerabilidade da $egurana da Informao diante da 3ngen)aria $ocial, o que o torna e%tremamente abrangente! .esde os ob:etos de proteo at; os fatores ambientais, como rede de relacionamentos do indi*duo e o con)ecimento e%terno que as pessoas tem a seu respeito, so pontos fortes e%plorO*eis dentro desta temOtica! .+, O@Aeti;&s 0 ob:eti*o final deste trabal)o ; identificar as ferramentas e atitudes efica9es para minimi9ar as *ulnerabilidades de segurana da informao diante de ataques de 3ngen)aria $ocial! "ara tanto foi necessOrio perpassar os seguintes ob:eti*os intermediOriosH - 3ntender elementos de segurana da informao, no Pmbito fsico, tecnolgico e )umanoK - Abordar quesitos rele*antes de ameas e *ulnerabilidades M segurana da informao nas organi9a<esK - Abordar a importPncia da gesto da segurana das informa<es para os e%ecuti*os

E en*ol*idos na administrao de uma 0rgani9aoK - Nerificar quest<es de ;tica quanto M segurana da informao para os profissionais en*ol*idos nas di*ersas Oreas de gesto de uma organi9aoK - Analisar a difuso do conceito de 3ngen)aria $ocial entre os profissionais da Orea administrati*a e operacional 6Treinamento e Conscienti9ao(! , METODO0OGIA 0 presente estudo, atra*;s de sua metodologia, pretende discutir os di*ersos pontos de *ista de autores sobre segurana da informao e engen)aria social atra*;s da re*iso de suas obras! Suanto aos fins, trata-se de uma abordagem de carOter e%plicati*o, atra*;s de le*antamento bibliogrOfico e estudos de dados e informa<es que *isem compreender o problema proposto! .e acordo com 8oesc) 6'WWW( apud Castro 6+IIU(, Qa re*iso da literatura, na prOtica, implica seleo, leitura e anOlise de te%tos rele*antes ao tema do pro:eto, seguida de um relato por escritoR! Suanto aos meios, a pesquisa tem carOter bibliogrOfico, :O que esto sendo utili9ados como fonte de informao, obras de *Orios autores en*ol*idos nos temas e%plorados neste trabal)o! "ortanto, o conteLdo do referencial terico deste estudo ; composto por informa<es e%tradas de li*ros e artigos na Internet referentes M $egurana da Informao, 3ngen)aria $ocial e Gesto da Informao! B RE3ISO DE 0ITERATURA B+. Inf&rmaCD& "ara c)egar ao ponto conceitual da informao ; preciso primeiramente entender o conceito que ser*e de base para a informaoH os dados! .e acordo com Turban et al 6+II7(, dados so itens referentes a uma descrio primOria de ob:eti*os, e*entos, ati*idades e transa<es que so gra*ados, classificados e arma9enados, mas no c)egam a ser organi9ados de forma a transmitir algum significado especfico! 0s dados podem ser num;ricos, alfanum;ricos, figuras, som ou imagens!

X 3m concordPncia com o conceito citado acima, 2audon e 2audon 6+II7( di9 que dados representam e*entos que esto ocorrendo nas organi9a<es ou no ambiente fsico, antes de terem sido organi9ados e arran:ados de uma forma que as pessoas possam entend -los e usOlos! $egundo Turban et! al! 6+II7( informao ; todo con:unto de dados organi9ados de forma a terem sentido e *alor para seu destinatOrio! 3ste interpreta o significado e tira conclus<es do material desen*ol*ido pelos dados! 2audon e 2audon 6+II7( conceituam a informao de forma mais simplificadaH dados apresentados em uma forma significati*a e Ltil para os seres )umanos! Fil)o 6+II7( di9 que informao compreende qualquer conteLdo que possa ser arma9enado ou transferido de algum modo, ser*indo a determinado propsito e sendo de utilidade ao ser )umano! Trata-se de tudo aquilo que permite a aquisio de con)ecimento! $ mola 6+II-( define como informaoH
Q!!! con:unto de dados utili9ados para a transfer ncia de uma mensagem entre indi*duos e/ou mOquinas em processos comunicati*os ou transacionais! 6Y( A informao pode estar presente ou ser manipulada por inLmeros elementos deste processo, c)amados ati*os, os quais so al*os de proteo de segurana da informaoR! $5#02A 6+II-H7D(

.e acordo $ mola 6+II- apud "ei%oto, +IIU(, a informao representa a intelig ncia competiti*a dos negcios e ; recon)ecida como ati*o crtico para a continuidade operacional da empresa! "ara $ mola 6+II-( a informao ; o sangue da empresa! .istribuda por todos os processos de negcios e circulando por di*ersos ati*os 6tudo o que manipula direta ou indiretamente a informao inclusi*e ela prpria(, ambientes e tecnologias, a informao cumpre um papel importante para fornecer instrumentos para gesto do negcio! A informao ; transmitida de e para a empresa e entre seus integrantes! Assim, os recursos fsicos de sistemas de informa<es, dados, soft?are, procedimentos e quaisquer outros recursos de informao ficam *ulnerO*eis em muitos lugares e a todo instante! 6T18GA4 et! al!, +II7(! 4a grande maioria das situa<es, usuOrios de informa<es descon)ecem seu *alor e podem colocar a si ou uma instituio numa condio *ulnerO*el, principalmente, quando diante de um engen)eiro social 6FI2=0, +II7(!

W B+, Se$uranCa da Inf&rmaCD& nas Em"resas 0 termo QseguranaR abarca polticas, procedimentos e medidas t;cnicas usados para impedir acesso no autori9ado, alterao, roubo ou danos fsicos a sistemas de informao! 3le pode se dar por um con:unto de t;cnicas e ferramentas, destinadas a sal*aguardar )ard?ares, soft?ares, rede de comunicao e dados! 62A1.04 e 2A1.04, +II7(! "ei%oto 6+IIU( di9 que o termo $egurana da Informao pode ser designado como uma Orea do con)ecimento que sal*aguarda os c)amados ati*os da informao contra os acessos inde*idos, modifica<es no autori9adas ou at; mesmo sua no disponibilidade! $egundo $ mola 6+II-(, a e%presso Q$egurana da InformaoR ; um termo ambguo, podendo assumir dupla interpretaoH '! $egurana como uma prOtica adotada para tornar um ambiente seguro 6ati*idade, ao, preser*ao dos princpios(, de carOter interdisciplinar, composta de um con:unto de metodologias e aplica<es que *isam estabelecerH controles de segurana dos elementos constituintes de uma rede de comunicao e/ou que manipulem a informao 6por e%emplo, de autenticao, autori9ao e auditoria(K e procedimentos para garantir a continuidade de negcios na ocorr ncia de acidentes! +! 8esultado da prOtica adotada, ob:eti*o a ser alcanado! T a caracterstica que a informao adquire ao ser al*o de uma prOtica de segurana 6segura ; ad:eti*o, ob:eti*o ; prOtica(! "ortanto, ao se utili9ar este termo, $5#02A 6+II-H77( di9 que de*emos ter consci ncia desta ambiguidade, a fim de identificar o conceito mais apropriado! "or e%emploH $egurana como QmeioRH A segurana da informao *isa garantir a confidencialidade, integridade e disponibilidade da informao, a impossibilidade de que agentes participantes em transa<es ou na comunicao repudiem a autoria de suas mensagens, a conformidade com a legislao *igente e a continuidade dos negcios! $egurana como QfimRH A segurana da informao ; alcanada por meio de prOticas e polticas *oltadas a uma adequada padroni9ao operacional e gerencial dos ati*os, e processos que manipulam e e%ecutem a informao!

'I B+,+. 2rin 4"i&s da Se$uranCa da Inf&rmaCD& A $egurana da Informao se tornou um pr;-requisito para todo e qualquer sistema de informa<es, em um momento em que o con)ecimento e a informao so elementos de e%trema importPncia para uma organi9ao! "ara $ mola 6+II-(, a $egurana da Informao ; considerada como a prOtica de gesto de riscos e incidentes que comprometam os tr s principais conceitos de seguranaH confidencialidade, integridade e disponibilidade da informao! 3m conformidade com "ei%oto 6+II-(, so descritos esses tr s princpiosH ConfidencialidadeH Toda informao de*e ser protegida de acordo com o grau de sigilo de seu conteLdo, *isando a limitao de seu acesso e uso apenas Ms pessoas para quem elas so destinadas! IntegridadeH Toda informao de*e ser mantida na mesma condio em que foi disponibili9ada pelo seu proprietOrio, *isando proteg -las contra altera<es inde*idas, intencionais ou acidentais! .isponibilidadeH Toda informao gerada ou adquirida por um indi*duo ou instituio de*e estar dispon*el aos seus usuOrios no momento em que eles necessitarem delas para qualquer finalidade Fil)o 6+II7( em seu artigo coloca a segurana da informao sob cinco pilaresH
Q$egurana da informao compreende um con:unto de medidas que *isam proteger e preser*ar informa<es e sistemas de informa<es, assegurando-l)es integridade, disponibilidade, no repdio, autenticidade e confidencialidade! 3sses elementos constituem os cinco pilares da segurana da informao e, portanto, so essenciais para assegurar a integridade e confiabilidade em sistemas de informa<esR FI2=0 6+II77(

Com base no artigo escrito por Fil)o 6+II7(, ; obser*ado que dentro desse conte%to o suporte M pre*eno de re*elao no autori9ada de informa<es tem como suporte, a confidencialidade! 4a integridade *emos a pre*eno da modificao no autori9ada de informa<es! FO na disponibilidade obser*amos um suporte a um acesso dispon*el e confiO*el a informa<es 6o que implica dados e sistemas prontamente dispon*eis e confiO*eis(! 0 no repLdio e a autenticidade poderiam ser compreendidos e denominados como responsabilidade
7 .ispon*el no endereoH )ttpH//???!espacoacademico!com!br/I7+/7+amsf!)tm

'' final e, dessa maneira buscar-se fa9er a *erificao da identidade e autenticidade de uma pessoa ou agente e%terno de um sistema a fim de assegurar a integridade de origem! "ara $iqueira 6+IID(, a preser*ao da confidencialidade ; o que garante o acesso M informao somente por pessoas autori9adas, limitando o acesso Ms entidades autenticadas, se:am elas pessoas, mOquinas ou processos! A preser*ao da integridade ; a garantia de e%atido da informao, ou se:a, a garantia que toda *e9 que uma informao for manipulada, ela este:a ntegra! A preser*ao da disponibilidade garante que o acesso autori9ado M informao este:a dispon*el para fins de negcio contnuo, sem fal)as, ininterrupto, constante e atemporal Ms informa<es! B+,+, E'ement&s da se$uranCa da inf&rmaCD& $egundo "ei%oto 6+IIU( de*e-se ter em mente que o alicerce que assegura os princpios bOsicos da $egurana da Informao 6confidencialidade, integridade e disponibilidade( tange como principais questionamentos, quando da ocorr ncia de alguma ameaa surgida, em tr s aspectosH $egurana Fsica, $egurana Tecnolgica e $egurana =umana! B+,+,+. Se$uranCa F4si a da Inf&rmaCD& .e acordo com $ mola 6+II-(, um con:unto de mecanismos de*em ser implementados no ambiente fsico *oltados a controlar o acesso e as condi<es destes ambientes, sinali9ando registrando, impedindo e autori9ando acessos e estadosK como por e%emplo, roletas de controle de acesso fsico, acionadores de Ogua para o combate a inc ndios, detectores de fumaa, dispositi*os de biometriaD, circuitos internos de tele*iso, alarmes e sirenes, fragmentadores de papel, entre outros! B+,+,+, Se$uranCa Te n&'?$i a da Inf&rmaCD& $ mola 6+II-( di9 que a lista de dispositi*os aplicO*eis aos ati*os tecnolgicos ; e%tensa, pois, al;m da di*ersidade e )eterogeneidade de tecnologias, ainda tem-se que considerar a
D *i&metria Zbio 6*ida( [ metria 6medida(\ ; o estudo estatstico das caractersticas fsicas ou comportamentais dos seres
*i*os! 8ecentemente este termo tamb;m foi associado M medida de caractersticas fsicas ou comportamentais das pessoas como forma de identificO-las unicamente! =o:e a biometria ; usada na identificao criminal, controle de acesso, etc! FonteH )ttpH//pt!?i@ipedia!org/?i@i/Giometria

'+ *elocidade criati*a do setor que apresenta uma no*a ferramenta ou equipamento praticamente todo dia! 3m se tratando de Tecnologia da Informao para a $egurana da Informao, os instrumentos aplicO*eis aos ati*os tecnolgicos so di*ididos por $ mola 6+II-( em tr s famliasH Autenti aCD& e aut&ri!aCD&/ .estinados a suprir os processos de identificao de pessoas, equipamentos, sistemas e agentes em geral, mecanismos de autenticao mostram-se fundamentais para os atuais padr<es de informati9ao, automao e compartil)amento de informa<es! "ara $ mola 6+II-( sem identificar a origem de um acesso e seu agente, tornase praticamente in*iO*el reali9ar autori9a<es condi9entes com os direitos de acesso, podendo le*ar a empresa a compartil)ar informa<es *aliosas sem controle! C&m@ate a ata#ues e in;asEes/ .estinados a suprir a infra-estrutura tecnolgica com dispositi*os de soft?are e )ard?are de proteo, controle de acesso e consequentemente combate a ataques e in*as<es, este grupo de mecanismos tem papel importante no modelo de gesto de segurana, M medida que as cone%<es eletrCnicas e tentati*as de acesso inde*ido crescem e%ponencialmente 6$5#02A, +II-(! 4esta categoria, e%istem dispositi*os destinados ao monitoramento, filtragem e registro de acessos lgicos, bem como dispositi*os *oltados para a segmentao de permetros, identificao e tratamento de tentati*as de ataque! 0 mais con)ecido ; o sistema de fire?allU! 2ri;a idade das &muni aCEes/ 4esta categoria, a criptografia ; a principal maneira de combate em relao a este aspecto! "ara $ mola 6+II-(, a criptografia ; uma ci ncia que estuda os princpios, meios e m;todos para proteger a confidencialidade das informa<es atra*;s da codificao ou processo de cifrao e que permite a restaurao da informao original atra*;s do processo de decifrao! #uito aplicada na comunicao de dados, esta ci ncia se utili9a de algoritmos matemOticos e da criptoanOliseE para conferir maior ou menor proteo de acordo com a comple%idade e estrutura de desen*ol*imento 6$5#02A, +II-H'++(! 0s componentes criptogrOficos da segurana da informao tratam da confidencialidade,
U FireFa'' 6em portugu sH parede de fogo( ; um dispositi*o de uma rede de computadores que tem por ob:eti*o aplicar uma
poltica de segurana a um determinado ponto da rede! 0 fire?all pode ser do tipo filtros de pacotes, proxy de aplica<es, etc! 0s fire?alls so geralmente associados a redes TC"/I"! FonteH )ttpH//pt!?i@ipedia!org/?i@i/Fire?all

E A ri"t&an5'ise representa o esforo de descodificar ou decifrar mensagens sem que se ten)a o con)ecimento pr;*io da
c)a*e secreta que as gerou! A criptoanOlise ; a arte de tentar descobrir o te%to cifrado e/ou a lgica utili9ada em sua encriptao 6c)a*e(! As pessoas que participam desse esforo so denominadas criptoanalistas! .a fuso da criptografia com a criptoanOlise, forma-se a criptologia! FonteH )ttpH//pt!?i@ipedia!org/?i@i/CriptoanOlise

'integridade, no repLdio e autenticidade! Nale, no entanto, ressaltar que o uso desses pilares ; feito em conformidade com as necessidades especficas de cada organi9ao! Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informa<es ou sistemas de informa<es, pelo n*el de ameaas ou por quaisquer outras decis<es de gesto de riscos 6FI2=0, +II7(! B+,+,+B Se$uranCa 1umana .i*ersos autores defendem que o fator )umano ; e%tremamente crucial para a $egurana da Informao no Pmbito pessoal e corporati*o! 1m funcionOrio insatisfeito, por e%emplo, pode se tornar um dos principais elementos da quebra de segurana dentro de uma empresa! Ao pensar em capital )umano como um dos elos mais crticos e rele*antes para a reduo dos riscos, $ mola 6+II-( aponta os seguintes controlesH seminOrios de sensibili9aoK cursos de capacitaoK campan)as de di*ulgao da poltica de seguranaK crac)Os de identificaoK procedimentos especficos para demisso e admisso de funcionOriosK procedimentos especficos para tratamento de recursos terceiri9adosK termo de responsabilidadeK termo de confidencialidadeK soft?ares de auditoria de acessosK e soft?ares de monitoramento e filtragem de conteLdo, etc! .e acordo com "ei%oto 6+IIU(, assim como o funcionOrio que trabal)a na empresa, o e%funcionOrio representa um grande fator de risco em se tratando de informa<es confidenciais! FuncionOrios insatisfeitos ou re*oltados por uma demisso de*em ser sempre pontos de suspeita em casos Ms *e9es ine%plicO*eis de perdas de documentos importantes, entrega de informa<es que somente aquele setor de*eria saber, dentre inLmeros outros problemas quanto M seguridade de informa<es internas da empresa! Suando se demite um funcionOrio, isso de*e ser comunicado imediatamente ao setor de T!I! X da empresa caso e%istam identifica<es em Pmbito tecnolgico com responsabilidade perante arma9enamento da entrada/sada de funcionOrios no banco de dados, conta de e-mail criada para este funcionOrio, idW, sen)a, dentre outros meios e%istentes que autentiquem este funcionOrio como integrante da empresa 6"3I]0T0, +IIU(!
X T+I+ GTe n&'&$ia da Inf&rmaCD&H T a Orea de con)ecimento responsO*el por criar, administrar e manter a gesto da
informao atra*;s de dispositi*os e equipamentos para acesso, operao e arma9enamento dos dados, de forma a gerar informa<es para tomada de deciso! FonteH )ttpH//pt!?i@ipedia!org/?i@i/Tecnologia&da&Informao!

W ID, o nome de usuOrio ou e-mail que ser*e de identificao pessoal aos internautasK enquanto acessam certos sites
6sobretudo clientes de e-mail e/ou acesso M internet(!

'7 B+B AmeaCa ;ersus 3u'nera@i'idade A todo instante os negcios, seus processos e ati*os fsicos, tecnolgicos e )umanos so al*o de in*estidas de ameaas de toda ordem, que buscam identificar um ponto fraco compat*el, uma *ulnerabilidade capa9 de potenciali9ar sua ao! Suando essa possibilidade aparece a quebra de segurana ; consumada! 6$5#02A, +II-(! $egundo $ mola 6+II-( ameaas soH
Q!!! agentes ou condi<es que causam incidentes que comprometam as informa<es e seu ati*os por meio da e%plorao de *ulnerabilidades, pro*ocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negcios de uma organi9aoR $5#02A 6+II-H7E(

Amparando $ mola 6+II-(, "ei%oto 6+IIU(, escre*e que ameaas so muitas *e9es consequ ncias das *ulnerabilidades e%istentes, pro*ocando assim perdas de confidencialidade, integridade e disponibilidade! Suanto M sua intencionalidade elas podem ser assim classificadasH AmeaCas naturais/ FenCmenos da nature9a, tais comoH inc ndios naturais, enc)entes, tempestades, terremotos, etcK AmeaCas in;&'unt5rias/ Ameaas inconscientes, que ocorrem quase sempre de*ido ao descon)ecimento! "odem ser causadas por acidentesK AmeaCas ;&'unt5rias/ Ameaas propositais que mais se relacionam com a 3ngen)aria $ocial! Causadas por agentes )umanos, como )ac@ers'I, in*asores, etcK $egundo "ei%oto 6+IIU(, as *ulnerabilidades so tamb;m frutos de ameaas generali9adas e e%ploradas, aferando assim a segurana das informa<es! "ara $ mola 6+II-(, as *ulnerabilidades por si s no pro*ocam incidentes, pois so elementos passi*os, necessitando para tanto de um agente causador ou condio fa*orO*el, que so as ameaas! Com base nos conceitos dos dois autores, podemos e%emplificar como *ulnerabilidades dentro de um ambiente corporati*oH F4si as/ 3strutura e infraestrutura ruins e mal plane:adasK
'I
1a Iers, so indi*duos que elaboram e modificam soft?are e )ard?are de computadores, se:a desen*ol*endo funcionalidades no*as, se:a adaptando as antigas, al;m de terem muito con)ecimento em informOtica! FonteH )ttpH//pt!?i@ipedia!org/?i@i/=ac@er!

'D Naturais/ .anos causados a equipamentos computacionais decorrente de causas naturaisK 1ardFare/ .esgastes, obsolesc ncia ou mal uso de equipamentosK S&ftFare/ 3rros na instalao e configurao acarretando em acesso inde*ido, *a9amento de informa<es e at; perda de dadosK M4dias/ .ispositi*os de arma9enamento que podem ser perdidos ou danificadosK C&muni aCD&/ Acessos no autori9ados ou perda de comunicao 1umanas/ Ataques de 3ngen)aria $ocial, *ulnerabilidades do fator )umano por falta de treinamento, aus ncia de polticas de seguranas, etc! .e acordo #itnic@ e $imon 6+II-( e%istem alguns fatores que tornam uma empresa *ulnerO*el ao ataque de 3ngen)aria $ocial, tais comoH um nLmero grande de funcionOrios, di*ersas instala<es, informa<es sobre o paradeiro dos empregados dei%adas nas mensagens de *oice-mail'', informa<es de ramal de telefone dispon*eis, falta de treinamento em segurana, falta de sistema de classificao de dados e nen)um plano ou grupo de resposta aos incidentes de segurana! B+B+. En$en%aria S& ia' 0 termo Q3ngen)aria $ocialR abarca todas as possibilidades da e%plorao do comportamento )umano com a finalidade de um indi*duo ser capa9 de indu9ir e manipular outro a agir de determinada maneira! A engen)aria social ; tratada apro%imadamente na mesma lin)a de pensamento por *Orios autores! Costa Fr 6+I'I(, em seu artigo, define que 3ngen)aria $ocial ZY\
ZY\ ; um termo moderno, dado a arte de trapacear ou construir m;todos para enganar algu;m, com a finalidade de e%trair destas pessoas informa<es rele*antes e cruciais que proporcionaro o acesso a ambientes ou informa<es realmente de grande *alor!

"ei%oto 6+IIU(, em sua obra, le*a em conta o significado das pala*ras supostamente separadasH
Q3ngen)ariaH Arte de aplicar con)ecimentos cientficos e empricos e certas )abilita<es especficas M criao de estruturas, dispositi*os e processos que se '' 1m sistema de 3&i e Mai' permite no perder c)amadas importantesH se se encontrar ausente as c)amadas sero
des*iadas para o sistema que con*idarO as pessoas que o querem contactar 6os emissores( a gra*arem a sua mensagem! FonteH )ttpH//???!it!uc!pt/signal/sait/*oicemail!)tm

'U
utili9am para con*erter recursos naturais em formas adequadas ao atendimento das necessidades )umanas!R 6F3883I8A, 'WWDHUXE apud "3I]0T0 +IIUH7( Q$ocialH .a sociedade, ou relati*o a ela! $ociO*el! Sue interessa M sociedade!R 6F3883I8A, 'WWDHUXE apud "3I]0T0 +IIUH7(

$egundo G8A4G38 6+II'(H

Q!!!a engen)aria social ; geralmente a )Obil manipulao de um )ac@er da tend ncia )umana natural de confiana! 0 ob:eti*o do )ac@er ; obter informa<es que iro permitir que ele obten)a acesso no autori9ado a um sistema de *alor e as informa<es que residem no sistema!R

$egundo um dos maiores especialistas na arte da 3ngen)aria $ocial, ^e*in #itnic@, a 3ngen)aria $ocial Q; um termo diferente para definir o uso de persuaso para influenciar as pessoas a concordar com um pedidoR! 6#ITI4IC^, +II-(! $egundo #ann 6+I''(, uma definio mais apropriada para 3ngen)aria $ocial seria, Qmanipular pessoas, enganando-as, para que forneam informa<es ou e%ecutem uma ao!R "ara #A44 6+I''(, algumas *e9es, a engen)aria social pode ser usada para obter diretamente informa<es confidenciais, apesar de muitas *e9es as informa<es no terem sido classificadas de nen)uma maneiraK o al*o do ataque pode no ter nem mesmo recon)ecido a nature9a confidencial da informao que estO re*elando! 4o entanto, )O outras ocasi<es em que a ao que um agressor busca pode no ser diretamente plane:ada com o ob:eti*o de manipular algu;m para re*elar informa<es! 3nganar um guarda de segurana para que ele d acesso ao pr;dio usando engen)aria social no oferece informa<es confidenciais diretamente! .e acordo com #A44 6+I''(, a manipulao de usuOrios legtimos pode desempen)ar um papel importante em um ataque de engen)aria social! 4o entanto, com frequ ncia, *oc pode enganar um funcionOrio para que ele passe os direitos legtimos que tem como usuOrio, como uma rota para o seu ob:eti*o de ataque!
Q3ssa definio capta os aspectos distintos de fa9er as pessoas de al*os e manipulO-las, em con:unto com os dois principais desfec)os , perda direta da informao e obteno de alguma ao dese:ada pelo agressor!R 6#A44, +I'', p!'W(

A 3ngen)aria $ocial, portanto, tem a inteno de furtar informa<es utili9ando a )abilidade de lidar com pessoas indu9indo-as a fornecer informa<es ou e%ecutar a<es dese:adas pelo agressor!

'E B+B+, Ris &s da En$en%aria S& ia' $egundo #A44 6+I''(, uma definio mais apropriada de risco, como, por e%emplo, a Qpossibilidade de que alguma coisa desagradO*el ou indese:ada acontecerOR, oferea um mel)or ponto de partida na e%plorao do risco da engen)aria social! .e acordo #A44 6+I''(, dois componentes so essenciais para a compreenso do riscoH '( Impacto , precisa )a*er algum impacto 6ou dano( sobre o sistema em questo! $em impacto no )O risco! +( "robabilidade , se ; garantido que o risco nunca *ai acontecer, ento, de no*o, no estamos interessados! T preciso que )a:a alguma c)ance de um e*ento ocorrer para criar um risco real! Assim, a combinao de algum impacto 6mesmo que pequeno( e uma probabilidade real 6mesmo que remota( nos dO um risco 6mesmo que pequeno(! $egundo #A44 6+I''(, o impacto e a probabilidade de*em ser utili9ado para discernir quais riscos so realistas para uma organi9ao! #ann 6+I''(, relaciona os seguintes riscos que beneficiariam ataques de engen)aria socialH 3%cesso de confianaH #uitos e%ecuti*os s niores t m e%cesso de confiana na segurana das informa<es de sua organi9ao e subestimam a possibilidade de *iola<es gra*es 6at; que elas acontecem(! Otimism&/ Apesar de todas as e*id ncias apontarem para o contrOrio, muitos e%ecuti*os acreditam estar no controle dos seus sistemas de TI e ac)am que e*entos de segurana acontecem somente com outras organi9a<es! 2er e"CD& tardia/ 3m muitos casos, as respostas a um ataque so puro apagamento de inc ndio, e t m muito pouca correlao com qualquer plano pr;-elaborado! *us a de 2adrD&/ A nature9a )umana tem uma tend ncia a colocar significado onde no e%iste nen)um! Assim, naturalmente tentamos adicionar padr<es aos e*entos! A consequ ncia negati*a disso ; que, com frequ ncia, no consideramos a nature9a aleatria dos e*entos reais, pois no conseguimos *er nen)uma ra9o para sua ocorr ncia! Su"er &m"ensaCD&/ Suando desen*ol*emos confiana em nossos sistemas de gerenciamento de risco, ela pode nos le*ar a correr riscos desnecessariamente altos, pois ns supercompensamos! A e%emplo, a e%ist ncia de air bags 6e outros itens de segurana nos carros( pode le*ar a mais acidentes, pois com a falsa sensao de segurana as pessoas podem dirigir mais rOpido!

'X Mi&"ia/ 3n*ol*e o erro de considerar o passado recente e uma *iso do futuro pr%imo como os Lnicos perodos indicados para a*aliao de risco! In8r ia/ 4o fa9er nada ; a escol)a feita em muitas ocasi<es, a despeito de todas as e*id ncias que apontam para o fato de essa ser a estrat;gia de mais alto risco dispon*el! C&m"'a Jn ia/ 0s riscos com os quais estamos familiari9ados, geralmente parecem ser redu9idos! Fanatism&/ T a tend ncia a prender-se a uma *iso do futuro 6e ao risco associado a ele(, mesmo quando a e*id ncia fortemente aponta para um ambiente que estO mudando e ignorar o fato de que desen*ol*er uma no*a estrat;gia seria inteligente! B+K+ Medidas Defensi;as C&ntra En$en%aria S& ia' ^e*in #itnic@, um dos maiores especialistas no assunto, di9 queH
QA *erdade ; que no e%iste tecnologia no mundo que e*ite o ataque de um 3ngen)eiro $ocial 6#ITI4IC^ e $I#04, +II- apud "3I]0T0, +IIUHDU(!R

Contudo a ideia ; dificultar ao mO%imo a concreti9ao dos planos que o 3ngen)eiro $ocial tem em mente e dese:a por em prOtica! B+K+. Medidas de se$uranCa Conforme escrito por $ mola 6+II-(, medidas de segurana so prOticas, procedimentos e mecanismos usados para proteo da informao e seus ati*os, que podem impedir que as ameaas e%plorem *ulnerabilidades, a reduo das *ulnerabilidades, a limitao do impacto ou minimi9ao do risco de qualquer forma! $ mola 6+II-( considera as medidas de segurana como controles que podem ter as seguintes caractersticasH 2re;enti;as/ #edidas de segurana que tem como ob:eti*o e*itar que incidentes *en)am a ocorrer! Nisam manter a segurana :O implementada por meio de mecanismos que estabeleam a conduta e a ;tica da segurana da instituio! Dete t5;eis/ #edidas de segurana que *isam identificar condi<es ou indi*duos causadores de ameaas, a fim de e*itar que as mesmas e%plorem *ulnerabilidades! C&rreti;as/ a<es *oltadas M correo de uma estrutura tecnolgica e )umana para que as

'W mesmas se adaptem Ms condi<es de segurana estabelecidas pela instituio, ou *oltadas M reduo dos impactosH equipes para emerg ncias, restaurao de bac@up, plano de continuidade operacional, plano de recuperao de desastres! "or se tratar de um problema generali9ado e corporati*o, en*ol*endo os aspectos fsicos, tecnolgicos e )umanos que sustentam a operao do negcio, torna-se necessOrio, que se inicie os trabal)os relacionados Ms medidas defensi*as mobili9ando primeiro os e%ecuti*os da diretoria da empresa, para depois atingir os demais profissionais, colaboradores e os demais da )ierarquiaK e as a<es tem seu incio no n*el operacional! As a<es precisam estar intimamente alin)adas com as diretri9es estrat;gicas da empresa e, para isso, ; necessOrio ter uma *iso corporati*a, global e ampla, capa9 de criar sinergia entre as ati*idades! $ mola 6+II-( di9 que ; importante conseguir a eliminao de a<es redundantes e, muitas *e9es conflitantes, que depreciam o plano corporati*o de segurana da informao! B+K+, Ma"eament& de 3u'nera@i'idade .e acordo com #A44 6+I''(, ; comum que as empresas atualmente adotem a*alia<es de *ulnerabilidade t;cnica para seus sistemas de TI! 3ssas a*alia<es com frequ ncia combinam escaneamento automati9ado e ferramentas de auditoria com testes manuais! 3 ; totalmente aceitO*el que estes testes se:am reali9ados por terceiros com a finalidade de re*elar a *ulnerabilidade sobre as quais no se esta*a anteriormente ciente! "ara #A44 6+I''(, os mesmos princpios de testes de*eriam ser aplicado ao elemento )umano da sua segurana da informao! $egundo #A44 6+I''(, para compreender as *ulnerabilidades presentes em determinado sistema de informao, ; Ltil compreender duas *ariO*eis de proteo contra engen)aria socialH a 8esist ncia do "essoal , capacidade dos indi*duos de dentro do sistema de informao de detectar um ataque de engen)aria social e resistir a ele! 3%emploH quando um operador da assist ncia se recusa a reconfigurar um login de acesso remoto sem telefonar 6internamente( ao gerente superior para confirmao! e a 8esist ncia $ist mica , capacidade do sistema de informao de resistir a um ataque de engen)aria social sem contar com a inter*eno )umana! 3%emploH quando um indi*duo que foi enganado para mandar uma informao para algu;m e%terno por e-mail descobre que o e-

+I mail ; automaticamente bloqueado de*ido ao seu conteLdo de informao confidencial! 3ssas *ariO*eis proporcionam uma indicao de quo dependente *oc ; das pessoas dentre da sua segurana da informao e se *oc *ulnerabilidades 6#A44, +I''(! B+K+B Ma"eand& Sistemas $egundo #A44 6+I''(, para produ9ir mapeamentos Lteis aos sistemas, pode-se utili9ar a seguinte metodologia 6a abordagem foi utili9ada com clientes que tin)am dificuldades em identificar suas *ulnerabilidades M engen)aria social(H Compreender as ameas Ms suas informa<es , ponto de partida para a a*aliao de risco! A:uda a direcionar a anOlise a Oreas que traro maior benefcio! A*aliar a resist ncia do pessoal , ao medir a capacidade do pessoal de resistir a ataques, pode-se comear a compor o quadro dos n*eis reais de segurana! Identificar os n*eis de proteo sist mica , elementos da segurana que protegem as pessoas e a:udam a combater as *ulnerabilidades )umanas sempre presentes! #apear seus sistemas , oferece uma indicao *isual e comparao de diferentes sistemas dentro da sua proteo geral de segurana da informao! Testar para confirmar suas a*alia<es , nesse estOgio, testes podem ser muito mais direcionados e podem a:udar a tomar decis<es importantes! Implementar mel)orias , nesse estOgio, :O )a*erO um plano de ao claro com uma gama de estrat;gias de mel)oria que proporcionem um retorno real sobre qualquer in*estimento de segurana! B+K+L Ma"eand& 2ers&na'idades .e acordo com #A44 6+I''(, o benefcio de mapear personalidades ; que ; poss*el identificar essas *aria<es e depois permiti-las ao desen*ol*er mel)ores mecanismos de proteo contra a engen)aria social! Com um con:unto de personalidades fortemente agrupado, podemos ter mais certe9a da reao delas ao treinamento e como *o lidar com determinado ataque a engen)aria social! #ann 6+I''(, di9 que quando *emos uma amplitude maior de personalidades, precisamos ser mais cuidadosos e plane:ar uma gama maior de possui sistemas que compensam as suas

+' rea<es a *etores de ataque especficos! B+L Sistemas de 2r&teCD& $egundo #A44 6+I''(, pro*a*elmente, o maior erro que as pessoas cometem quando pensam em proteo contra engen)aria social ; pensar somente em termos de conscienti9ao da equipe!
Q3m nossa e%peri ncia, considerando-se que o estabelecimento de consci ncia tende a fortalecer somente os processos conscientes, as mel)orias sist micas ; que so mais eficientes na proteo das informa<es!R 6#A44, +I'', p! 'UE(

#uitas das mel)orias sist micas oferecem forte proteo contra a engen)aria social! "ara #A44 6+I''(, em muitos casos, esses sistemas contero o ataque em que *Orios indi*duos foram persuadidos, pelo agressor com sucesso, a obedecer! 0 sistema e*ita que o usuOrio enganado cause uma *iolao! .e acordo #A44 6+I''(, mel)orias sist micas le*a ainda a concluso de que elas tendem a oferecer uma camada mais forte e mais consistente de defesa do que simples ati*idades de conscienti9ao da equipe!
ZY\ consideramos a conscienti9ao da equipe e a reao associada como a primeira e mais importante camada de defesa! "or;m, supomos que essa camada se:a *iolada, potencialmente de maneira regular, para a obteno de informa<es *aliosas! "ortanto, confiar somente nesse mecanismo de proteo ; uma estrat;gia de alto risco, dei%ando suas informa<es e sistemas *ulnerO*eis ao ataque!R 6#A44, +I'', p! 'EU(

"ortanto, para construir defesas efica9es, ; preciso combinar camadas de conscienti9ao da equipe com camadas de proteo sist mica! "resumimos que nen)uma das duas camadas ; impenetrO*el! B+M 2&'4ti a de Se$uranCa da Inf&rmaCD& Com o propsito de fornecer orientao e apoio Ms a<es de gesto de segurana, a poltica, segundo $ mola 6+II-(, tem papel fundamental! 1ma poltica estabelece padr<es, responsabilidades e crit;rios para o manuseio, arma9enamento, transporte e descarte das informa<es dentro do n*el de segurana estabelecido sob medida pela e para a empresaK portanto, a mesma de*e ser personali9ada!

++ T muito importante o en*ol*imento da alta direo, refletida pelo carOter oficial com que a poltica ; comunicada e compartil)ada :unto aos funcionOrios! 3ste instrumento de*e e%pressar as preocupa<es dos e%ecuti*os e definir as lin)as de ao que orientaro as ati*idades tOticas e operacionais 6$5#02A, +II-(! Crit;rios normati9ados para admisso e demisso de funcionOriosK criao de manuteno de sen)asK descarte de informao em mdia magn;ticaK desen*ol*imento e manuteno de sistemasK uso da internetK acesso remotoK uso de noteboo@K contratao de ser*ios terceiri9adosK e classificao da informao so bons e%emplos de normas de uma tpica poltica de segurana para $ mola 6+II-(! "ode-se perceber, portanto o quo comple%o ; desen*ol*er e, principalmente, manter atuali9ada a poltica de segurana da informao com todos os seus componentes! 3sta percepo torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnolgico de uma empresa, e, ainda, mudanas pre*is*eis e impre*is*eis que o negcio poderO sofrer 6$5#02A, +II-(! B+N Medidas de defesas #uant& as sen%as "ei%oto 6+IIU( escre*e sobre uma t;cnica para burlar ataques de 3ngen)eiros $ociais que querem obter sen)as e usuOrios! "rimeiramente, durante o cadastro por telefone, al;m dos e*entuais dados, pedir que o cliente faa uma pergunta pessoal e, ob*iamente, uma resposta que ficarO arma9enada no cadastro! Caso a resposta tamb;m se:a correta, a informao poderO ser passada! 0 autor frisa ser importante que tal pergunta se:a de cun)o pessoal e que no sobrepon)a nen)um dos dados! #uitas *e9es ; muito confortO*el para o cliente responder o C"F ou 8G e a pergunta do que todos os dados do seu cadastro! B+O Medidas de defesas #uant& a& 'i:& Como mostrado anteriormente, o li%o ; um dos meios utili9ados para ataques dos 3ngen)eiros $ociais! #itnic@ e $imon 6+II- apud "3I]0T0, +IIUH( enumeram Qoito segredosR para tratar o li%o com mais sabedoriaH

+ Classificar todas as informa<es confidenciais com base no grau de confidencialidadeK 3stabelecer procedimentos em toda a empresa para descartar as informa<es confidenciaisK Insistir para que todas as informa<es confidenciais descartadas passem primeiro pela mOquina cortadora de papel e fornecer um modo seguro de se li*rar das informa<es importantes em pedaos de papel que so pequenos demais e passam pela mOquina! As mOquinas no de*em ser muito baratas, as quais resultam em tiras de papal que podem ser montadas no*amente por um atacante determinado e com paci ncia! 3las de*em ser do tipo que fa9 cortes cru9ados ou do tipo que transforma a sada em polpa inLtilK Fornecer um modo de inutili9ar ou apagar completamente a mdia de computador , os disquetes, discos _I", C.As e .N.As usados para arma9enar arqui*os, fitas remo**eis ou unidades de disco rgido antigas e outras mdias de computador , antes de descartOla! Importante lembrar que os arqui*os apagados no so realmente remo*idosK eles ainda podem ser recuperadosK #anter um n*el de controle apropriado sobre a seleo das pessoas da sua equipe de limpe9a usando a *erificao de antecedentes, se for apropriadoK Fa9er com que os empregados pensem periodicamente na nature9a do material que esto :ogando no li%oK Trancar os cont ineres de li%oK 1sar cont ineres separados para material confidencial e fa9er com que os materiais dispensados se:am manuseados por uma empresa especiali9ada nesse trabal)o! B+P Su"&rte d&s e:e uti;&s e e:e uti;&s seni&res .entro desta anOlise, #A44 6+I''( di9 que ; preciso um forte suporte das pessoas que esto no topo das organi9a<es para apoiar a segurana! Isso requer ati*idades consistentes para a:udar os e%ecuti*os seniores a entender as ameaas e potenciais impactos de *iola<es de segurana da informao!
Q4o pior caso, as polticas e os procedimentos para proteo de informa<es so tratados pelos e%ecuti*os s niores como um con:unto de regras *Olido para as outras pessoas! Q$endo to importantes e to inteligentes, eles no precisam ser tol)idos por essas regras infle%*eis!R 4o entanto, ; e%atamente essa fraque9a que serO e%plorada pelo engen)eiro social!R 6#A44, +I'', p!'X+(

+7 $egundo #A44 6+I''(, se a sua autoridade permite que *oc drible regras, um agressor precisa somente assumir o mesmo n*el de autoridade e todas as pessoas permitem a ele o acesso necessOrio para roubar suas informa<es! "ara #A44 6+I''(, se um e%ecuti*o s nior forasse algu;m a en*iar a ele um documento secreto contra as regras de segurana da informao, ele de*eria ser punido! 0 comprometimento e responsabilidade desses profissionais ligados a alta gesto, com relao a gesto e segurana da informao de*e ser total! 4o somente no aspecto de ataques e%ternos que pode pre:udicar a empresa, mas tamb;m por uma questo ;tica! Isso fa9 transparecer seu profissionalismo que conquista maior prestgio e confiana das pessoas com que trabal)a! B+.- C&ns ienti!aCD& e Treinament& em Se$uranCa $eria um engano afirmar que as estrat;gias para o desen*ol*imento de um programa de conscienti9ao parta quase e%clusi*amente do $etor de TI, en*ol*endo apenas tecnologias e estruturas fsicas! 4o podemos esquecer que o elemento mais importante de todos a considerar dentro de um plano de QdefesaR ; o ser )umano! $egundo #A44 6+I''(, os ob:eti*os com conscienti9ao e treinamento em segurana contra engen)aria social so doisH 7( "romo*er a conscienti9ao sobre a ameaa do ataque de engen)aria social, para aumentar a probabilidade de um ataque ser detectado e impedido! D( Treinar os usuOrios para cumprir e apoiar as medidas defensi*as de segurana sist mica que protegem as informa<es e sistemas de ataque! #ann 6+I''(, analisa algumas ati*idades de conscienti9ao praticadas em empresasH aH Treinament& de ade#uaCD& , elementos de conscienti9ao e treinamento para funcionOrios no*os, adequando-os ao seu no*o ambiente de trabal)oK @H Treinament&s "resen iais , direcionados a um grupo de funcionOrios, de forma interati*aK H *&'etins "&r e)mai' , mecanismo efica9 em termos de custo para passar mensagem de segurana da informao, por;m com duas des*antagensH '( o nLmero de pessoas que realmente leem pode ser muito bai%oK +( pode-se estar abrindo *ulnerabilidades de engen)aria social dH 2&sta$em de intranet , a intranet ; um local efica9 para arma9enar material de refer ncia

+D de uma forma facilmente acess*el! Suando e%istem grupos grandes de funcionOrios que precisam ter acesso Ms informa<es, ela pode ser Ltil! "or;m, a mesma preocupao e%iste em dei%ar que as pessoas a acessem, e rastrear as suas ati*idades pode ter suas limita<es! eH Treinament& &n'ine interati;& , pacotes de treinamento online interati*os, *oltados para a segurana da informao so Lteis para o treinamento de um grande nLmero de funcionOrios! fH Mensa$ens de '&$in na te'a , apesar de no dar nen)uma garantia de quem *ai l -las, se elas forem desen*ol*idas para captar a ateno e se forem modificadas com alguma frequ ncia, podem ser efica9es! $H 2Qsteres , o potencial subliminar de mensagens de login na tela pode tamb;m ser duplicado com o uso de pCsteres ou outros displa>s'+ na organi9ao! %H Testes e ati;idades re'a i&nadas , testes apropriados de segurana da informao, inclusi*e engen)aria social, e outras ati*idades interati*as esto entre os mel)ores mecanismos de conscienti9ao e treinamento! 4o entanto, como acontece com o treinamento presencial, eles podem ser intensi*os em termos de recursos! 3m situa<es limitadas e direcionadas, eles podem proporcionar grandes gan)os! .e acordo #ann 6+I''(, desen*ol*er uma cultua efica9, em que as informa<es so compartil)adas somente quando for estritamente necessOrio, ; um bom ponto de partida para manter os detal)es dos sistemas longe da ateno dos agressores! $ mola 6+II-( apresenta algumas formas de iniciar a construo da cultura de seguranaH aH Semin5ri&s/ 0 trabal)o de*e comear com seminOrios abertos *oltados a compartil)ar a percepo dos riscos associados Ms ati*idades da empresa, os impactos potenciais no negcio e, principalmente, o comprometimento dos processos crticos se alguma ameaa se concreti9ar! @H Cam"an%a e di;u'$aCD&/ $uas diretri9es de*em ser con)ecidas por todos, e suas normas, procedimentos e instru<es especficas de*em ser apresentados a cada grupo com perfil de ati*idade semel)ante! .esta forma, cada membro percebe suas responsabilidades dentro de cada modelo de segurana Lnico, moti*ando-o a colaborar! .e*e-se lembrar que os resultados efeti*os de comprometimento ocorrem lentamente e, muitas *e9es requerem a<es complementares! "or conta disso, a campan)a de*erO lanar mo de di*ersos artifcios para comunicar os padr<es, crit;rios e instru<es operacionais! H Carta a& 2residente/ Como instrumento de oficiali9ao dos interesses da empresa em
'+ 1m dis"'a= 6ou m&strad&r, em portugu s( ; um dispositi*o para a apresentao de informao, de modo *isual ou tOctil,
adquirida, arma9enada ou transmitida sob *Orias formas! FonteH )ttpH//pt!?i@ipedia!org/?i@i/.ispla>

+U adequar o n*el de segurana de suas informa<es a partir do en*ol*imento de todos os n*eis )ierOrquicos ; con*eniente que o presidente, C30 o CI0 manifeste esta *ontade oficialmente! A Carta ao "residente tem esse papel e ; disponibili9ada ou encamin)ada a cada funcionOrio, dando carOter forma ao mo*imento! dH Term& de Res"&nsa@i'idade e C&nfiden ia'idade/ Tem o propsito de formali9ar o compromisso e o entendimento do funcionOrio diante de suas no*as responsabilidades relacionadas M proteo das informa<es que manipula! Al;m disso, este termo se encarrega de di*ulgar as puni<es cab*eis por des*ios de conduta e, ainda, esclarecer que a empresa ; o legtimo proprietOrio dos ati*os, incluindo as informa<es, que fluem pelos processos de negcio e ora so temporariamente custodiadas pelas pessoas! eH Curs&s de Ca"a itaCD& e Certifi aCD&/ .entro do quadro de funcionOrios, e%istem perfis profissionais que necessitam de maior domnio dos conceitos, m;todos e t;cnicas de segurana, podendo inclusi*e, *ariar sua Orea de interesse e profundidade! 0 $ecurit> 0fficer de*e ter condi<es de definir, medir e a*aliar os ndices e indicadores de segurana para subsidiar seus planos de gesto das a<es e, principalmente alcanar os ob:eti*os! "ara todos esses casos no bastam os seminOrios, campan)as de conscienti9ao ou a carta ao presidente! 3les precisam de capacitao formal atra*;s de cursos especiali9ados, que prop<em uma certificao como instrumento de recon)ecimento da compet ncia!

CONSIDERARES FINAIS Grande parte das empresas no disp<em de meios para detectar o que de*e ser preser*ado, o que pode ser preser*ado e o que *ale M pena ser preser*ado quando se trata de segurana da informao! 3nquanto outras, mesmo dispondo de recursos para implementar estes meios, no se atentam adequadamente M seriedade do assunto por consequ ncia do descaso da alta gesto! 0bser*ou-se, tamb;m, que um bom nLmero de empresas acredita que a soluo, unicamente t;cnica, garante a segurana dos seus sistemas! 3m qualquer uma das situa<es, sob qualquer nature9a de interpretao ou obser*ao, a neglig ncia e a indiferena seriam os termos mais adequados para rotular as defici ncias encontradas no conte%to da segurana da informao corporati*a! 4o e%iste segurana total! 0 uso de t;cnicas de 3ngen)aria $ocial para enganar usuOrios no ; mais algo iminente, mas sim um fato compro*ado de efici ncia quando se trata

+E de posse inde*ida de informa<es *itais M continuidade do negcio! #esmo no sendo definiti*a, a forma mais eficiente ainda ; manter sob reformulao e reforo contnuo, as polticas elaboradas para a segurana, assim como conscienti9ar e educar constantemente os colaboradores, colocando-os sob punio quando regras de segurana forem quebradas ou desobedecidas! 3ntretanto, nada merece mais destaque neste assunto que o comportamento e a responsabilidade dos profissionais que comp<em a alta Gesto de uma 0rgani9ao! T neste ponto que obser*amos a maior Qfal)a de seguranaR, pois, por se tratar de um profissional com papel estrat;gico dentro da empresa, este de*eria dominar todo o flu%o de informa<es que mo*em o negcio e, ob*iamente, ter a noo e%ata da gesto e a segurana destas informa<es! Infeli9mente neste aspecto manifesta-se na maioria das *e9es uma postura obstinada de descaso e descomprometimento, pois, quando se trata de segurana da informao, a falta de enga:amento ; facilmente obser*ada no posicionamento de muitos profissionais ligados M diretoria de uma empresa! #uitos ignoram o *alor de suas informa<es, a necessidade de manter a metodologia da segurana e at; mesmo o in*estimento financeiro ; facilmente descartado por considerarem que estas despesas no traro retorno algum sobre o in*estimento! 2amenta*elmente esta *iso no contribui de forma nen)uma com a eficOcia para a gesto do maior ati*o organi9acionalH a informao! .entro desta miopia o pessoal da informOtica resol*e tudo! 3 quando algo errado acontecer, eles tamb;m respondero! T importante destacar que a posio estrat;gica do alto posto da cadeia )ierOrquica, requer postura e comprometimento para criar confiana nos demais subordinados! 3 ; diante desse posicionamento que surgem tamb;m os desafios ;ticos! As dimens<es ;ticas de*em ser consideradas pelas organi9a<es na elaborao e implementao da metodologia da segurana, atenuando os efeitos noci*os da TI, analisando os aspectos da segurana, e as *ulnerabilidades e%istentes na estrutura tecnolgica dos sistemas de informao! 0s gestores da alta administrao tem por obrigao entender o poder e o *alor que as informa<es possuem e no podem supor que a tecnologia ; a soluo definiti*a! A tecnologia ; burra, a intelig ncia estO nas pessoas!

+X REFERSNCIAS

C0$TA F8, Fosu;! En$en%aria S& ia' T A arte de tra"a ear+ Artigo acad mico! Faculdade de Tecnologia e Ci ncias, +I''! FI2=0, AntCnio #endes da $il*a! Entendend& e E;itand& a En$en%aria S& ia'/ 2r&te$end& Sistemas e Inf&rmaCEes in 8e*ista 3spao Acad mico no 7- , de9embro +II7K .ispon*el emH )ttpH//???!espacoacademico!com!br/I7-/7-amsf!)tm Acesso emH +' de9! +I''! 2A1.04, ^ennet) C!K 2A1.04, Fane "! Sistemas de Inf&rmaCD& Geren iais/ administrand& a em"resa di$ita'+ Da ed! $o "auloH "erson "retice =all, +II7! #A44, IA4! En$en%aria S& ia'! $o "auloH Gluc)er, +I'' #IT4IC^, ^e*in .!K $I#04, `illiam 2! #itnic@H A Arte de En$anar+ $o "auloH "earson #a@ron Goo@s, +II"3I]0T0, #Orio C;sar "intaudi! En$en%aria S& ia' U Se$uranCa da Inf&rmaCD& na GestD& C&r"&rati;a+ 'a ed! 8io de FaneiroH Grasport, +IIU! 803$C=, A! #! $! 2r&Aet& de est5$i& e de "es#uisa em administraCD&+ +! ed! $o "auloH Atlas,'WWW apud CA$T80, F! F! 2r& ess& de &muni aCD& nas &r$ani!aCEes ;irtuais/ um estud& de as& na Es &'a A@erta Su"eri&r d& *rasi'+ +IIU! #onografia 6Graduao(! 1ni*ersidade Federal de Niosa, Niosa, +IIU! $5#02A, Mar &s+ GestD& da Se$uranCa da Inf&rmaCD&/ uma ;isD& e:e uti;a da se$uranCa da inf&rmaCD&+ Wa reimpresso! 8io de FaneiroH 3lse*ier, +II$IS13I8A, #arcelo Costa! GestD& Estrat8$i a da Inf&rmaCD&+ 8io de FaneiroH Grasport, +IID! T18GA4, 3faimK #C23A4, 3p)raimK `3T=38G3, FamesK trad! 8enate $c)in@e! Te n&'&$ia da Inf&rmaCD& "ara GestD&/ transf&rmand& &s ne$? i&s na e &n&mia di$ita'+ -a ed! "orto AlegreH Goo@man, +II7!