O Impactor Da Engenharia Social Na Segurança Da Informação

UNIVERSIDADE TIRADENTES
LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA
SEGURANA DA INFORMAO
Aracaju
2004
m.br/pdfFactory
www .ProjetodeRedes .com.br
Outros trabalhos em:
O IMPACTO DAENGENHARIA SOCIAL NA
SEGURANADAINFORMAO
Monografia apresentada
UniversidadeTiradentes,
como pr-requisito de
concluso do curso de Ps-
Graduao em redes de
computadores.
MARIO VASCONCELOS
Aracaju
2004

O IMPACTO DAENGENHARIA SOCIAL NASEGURANA DA
INFORMAO
Monografia apresentada
Universidade Tiradentes, como pr-
requisito de concluso do curso de
Ps-Graduao em redes de
computadores.
APROVADA EM :___/___/____
BANCA EXAMINADORA
______________________________
Orientador(a)
UNIT
______________________________
Examinador(a)
UNIT
______________________________
Examinador(a)
UNIT
minha esposa, por seu auxlio
e pacincia e aos meus filhos,
simplesmente por existirem e,
atravs de seus sorrisos,
contriburem para meu
crescimento.
AGRADECIMENTOS
Para a concluso deste trabalho foi fundamental a colaborao de:
Minha filha Jssica cuidando de seu irmo Gustavo para que eu pudesse
estudar, da minha esposa Ivnia que me motivou em meus momentos de fraqueza,
dos gerentes de informtica e de recursos humanos das empresas que formam o
ambiente de pesquisa que, apesar de no poder citar seus nomes aqui por questes
de segurana, agradeo sua ateno e presteza, alm dos usurios que
forneceram as informaes que formam a base deste trabalho.
Professor Ronaldo Linhares, que me orientou na fase inicial de construo
deste projeto, ao professor Domingos que, na matria de segurana em redes,
abordou com competncia a norma NBR ISSO 17799 e os demais assuntos que
esto contidos neste trabalho, dos professores Exson, Hugo, Marco Simes e Othon
que contriburam excelentemente com o meu aprendizado e, conseqentemente,
com o meu desenvolvimento profissional e do professor Mrio Vasconcelos que
ampliou a minha viso deste trabalho ao mesmo tempo em que me motivou durante
todo o processo de desenvolvimento do mesmo, sempre com ateno e simpatia.
Agradeo a todos que contriburam direta ou indiretamente durante todo o
projeto, desde as aulas iniciais do curso at as ltimas linhas desta monografia.
"Mentes grandes discutem idias; mentes medianas
discutem eventos; mentes pequenas discutem
pessoas".
Blaise Pascal
fsico, matemtico e filsofo
FRA, 1623-1662....
RESUMO
O principal objetivo deste trabalho criar uma metodologia para diagnosticar
a conscincia dos usurios quanto ao risco de ataques de engenharia social no
ambiente corporativo e saber qual o nvel de conscientizao de seus colaboradores
quanto a confidencialidade, integridade e disponibilidade da informao. Para isso
dividimos o trabalho em basicamente trs etapas: A pesquisa, a tabulao e anlise
dos dados e a proposta de solues. Antes de abordarmos a metodologia,
iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e
engenharia social, como ela funciona e qual o papel do usurio na segurana da
informao. Visando uma abordagem sistmica, a pesquisa foi feita com os
usurios, com o setor de recursos humanos e com a rea responsvel pela
tecnologia da informao, com questionrios criados para abordar os principais
pontos da engenharia social como por exemplo a confidencialidade de senhas.
Aplicamos os questionrios em empresas com modelos administrativos distintos,
sendo uma da administrao pblica e a outra, uma empresa privada. Aps a
tabulao dos dados, analisamos os principais pontos, cruzando respostas dos trs
questionrios, analisando de acordo com o tipo da empresa, se o usurio da rea
gerencial, operacional ou um usurio temporrio, como por exemplo um
terceirizado ou um estagirio. Finalmente, utilizando como base os questionamentos
elencados na metodologia e o resultado da anlise, elaboramos uma proposta com
sugestes de implementao de controles e aes para minimizar os riscos de
ataques de engenharia social. Para isso utilizamos controles que achamos mais
relevantes no tratamento dos riscos de ataques de engenharia social existentes na
norma ISO/IEC 17799 - Cdigo de Prtica para Gesto da segurana da Informao
nas Empresas.
LISTAS
LISTAS DE FIGURAS
Fig. 1. A empresa possui poltica de segurana da informao? .......................... 50
Fig. 2. Os usurios conhecem as informaes vitais para a empresa?................. 52
Fig. 3. Tabela Informaes confidenciais / vitais x comunicao interna .............. 53
Fig. 4. Freqncia de alterao de senhas dos usurios com acesso informaes
confidenciais...................................................................................................... 55
Fig. 5. Quantos usurios divulgam as senhas....................................................... 55
Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de
fcil acesso........................................................................................................ 56
LISTAS DE TABELAS
Tab 1. Quantidade de questionrios por empresa................................................. 33
Tab 2. Distribuio dos usurios por funo Pblica .......................................... 34
Tab 3. Distribuio dos usurios por funo - Privada .......................................... 35
Tab 4. Usurios e Computadores.......................................................................... 36
Tab 5. Faixa Etria ................................................................................................ 36
Tab 6. Sexo ........................................................................................................... 36
Tab 7. Funo........................................................................................................ 37
Tab 8. Tempo de empresa..................................................................................... 37
Tab 9. Possui outro emprego................................................................................. 37
Tab 10. Senha aberta .......................................................................................... 37
Tab 11. Senha de terceiros.................................................................................. 38
Tab 12. Anota Senha........................................................................................... 38
Tab 13. Cede em caso de trabalhos rpidos ....................................................... 38
Tab 14. Freqncia de alterao de senhas........................................................ 38
Tab 15. Informaes por telefone ........................................................................ 39
Tab 16. Outras respostas - Informaes por telefone.......................................... 39
Tab 17. Poltica de comunicao interna............................................................. 39
Tab 18. Classificao de informaes ................................................................. 40
Tab 19. Comunicao Externa............................................................................. 40
Tab 20. Divulgao de informaes..................................................................... 40
Tab 21. Informaes vitais................................................................................... 40
Tab 22. Poltica de segurana da informao...................................................... 40
Tab 23. Papel na mesa........................................................................................ 41
Tab 24. Poltica de mesa limpa............................................................................ 41
Tab 25. Bloqueio de estaes de trabalho........................................................... 41
Tab 26. informaes confidenciais....................................................................... 41
Tab 27. Conscincia da importncia da informao ............................................ 41
Tab 28. Acesso informao por pessoas externas ........................................... 42
Tab 29. Acesso por tipo de informao................................................................ 42
Tab 30. Sistemas utilizados ................................................................................. 42
Tab 31. Novos contratados - RH.......................................................................... 43
Tab 32. Termo de confidencialidade - RH............................................................ 43
Tab 33. Orienta utilizao de e-mail, Internet ou telefone - RH................................. 43
www.divertire.com.br/pdfFactory
Tab 34. Orienta utilizao de e-mail, Internet ou telefone /outros - RH..................... 43
Tab 35. Checa currculos- RH.............................................................................. 43
Tab 36. Checa currculos/outros - RH.................................................................. 44
Tab 37. Recm contratados - RH ........................................................................ 44
Tab 38. Recm contratados/Outros RH............................................................ 44
Tab 39. Funcionrios Transferidos - RH.............................................................. 44
Tab 40. Recm contratados - RH ........................................................................ 44
Tab 41. Demitidos - RH........................................................................................ 44
Tab 42. Demitidos/Outros - RH............................................................................ 45
Tab 43. Acesso fsico dos Demitidos - RH........................................................... 45
Tab 44. Acesso fsico dos Demitidos/Outros - RH............................................... 45
Tab 45. Poltica de segurana aos terceiros - RH................................................ 45
Tab 46. Termos de responsabilidade aos terceiros - RH.................................... 45
Tab 47. Terceiros recm contratados- RH........................................................... 46
Tab 48. Observaes - RH.................................................................................. 46
Tab 49. Funcionrios novos TI.......................................................................... 46
Tab 50. Funcionrios Transferidos TI ............................................................... 46
Tab 51. Demisso de Funcionrios TI .............................................................. 46
Tab 52. Poltica de senhas TI ........................................................................... 47
Tab 53. Expirao de senhas da rede TI ........................................................... 47
Tab 54. Poltica de senhas dos demais sistemas TI ......................................... 47
Tab 55. Senhas compartilhadas TI ................................................................... 47
Tab 56. Identificao de terceiros TI................................................................. 47
Tab 57. Controle de Atendimento de terceiros TI ............................................. 48
Tab 58. Poltica de Segurana TI...................................................................... 48
Tab 59. Restries de Acesso TI ...................................................................... 48
Tab 60. Quais restries de acesso TI.............................................................. 48
Tab 61. Proteo de Equipamentos TI.............................................................. 48
Tab 62. Descarte d Mdias removveis TI.......................................................... 48
Tab 63. Criptografia TI ...................................................................................... 49
Tab 64. Antivrus corporativo TI ........................................................................ 49
Tab 65. Senha para computao mvel TI ....................................................... 49
Tab 66. Orientaes aos usurios de computao mvel TI ............................ 49
Tab 67. Acesso remoto TI................................................................................. 49
Tab 68. Controles para acesso remoto TI......................................................... 49
SUMRIO
RESUMO.......................................................................................................... 7
1. INTRODUO.......................................................................................... 16
1.1. JUSTIFICATIVA................................................................................... 19
1.2. OBJETIVOS......................................................................................... 20
1.2.1. OBJETIVO GERAL....................................................................... 20
1.2.2. OBJETIVOS ESPECFICOS......................................................... 20
2. ENGENHARIA SOCIAL............................................................................ 21
2.1. CONCEITO DE INFORMAO........................................................... 21
2.2. DEFINIO DE ENGENHARIA SOCIAL............................................. 22
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL .................................... 24
2.4. A SEGURANA E O USURIO........................................................... 26
2.5. EXEMPLOS DE ATAQUES ................................................................. 26
3. METODOLOGIA ....................................................................................... 28
4. ESTUDO DE CASO.................................................................................. 33
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS................... 33
4.1.1. APLICAO DOS QUESTIONRIOS.......................................... 33
4.1.2. EMPRESA PBLICA.................................................................... 34
4.1.3. EMPRESA PRIVADA.................................................................... 35
4.2. PESQUISA APLICADA........................................................................ 36
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS................. 36
4.2.2. SOBRE O FUNCIONRIO............................................................ 36
4.2.3. SOBRE SENHAS.......................................................................... 37
4.2.4. SOBRE DIVULGAO DE INFORMAES ............................... 39
4.2.5. SOBRE A EMPRESA ................................................................... 39
4.2.6. SOBRE ACESSO INFORMAO............................................. 41
4.2.7. SOBRE OS SISTEMAS UTILIZADOS.......................................... 42
4.3. TABULAO DO QUESTIONRIO DO RH........................................ 43
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS....................... 43
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS................................ 44
4.3.3. SOBRE A CONTRATAO DE TERCEIROS.............................. 45
4.4. TABULAO DO QUESTIONRIO DA TI .......................................... 46
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS ... 46
4.4.2. SOBRE SENHAS.......................................................................... 47
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO ................ 47
4.4.4. SOBRE SEGURANA DA INFORMAO................................... 48
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO......... 49
4.5. ANLISE DA PESQUISA..................................................................... 50
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO ........... 50
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS .................... 51
4.5.3. SOBRE TERMO DE RESPONSABILIDADE ................................ 53
4.5.4. SOBRE SENHAS......................................................................... 54
4.5.5. SOBRE ACESSO S INFORMAES....................................... 57
4.5.6. COMPUTAO MVEL E ACESSO REMOTO........................... 58
4.5.7. PROCESSOS DO RH................................................................... 58
4.5.8. PROCESSOS DA TI ..................................................................... 59
4.6. SOLUES PROPOSTAS.................................................................. 61
4.6.1. CONTROLES SUGERIDOS......................................................... 61
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA............... 62
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS ................... 62
4.6.4. POLTICA DE SENHAS FORTES ................................................ 63
4.6.5. TREINAMENTO DOS USURIOS ............................................... 64
4.6.6. CONTROLE NO ACESSO DE TERCEIROS................................ 65
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET .................. 65
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS................ 66
4.6.9. DESCARTE DE MDIAS REMOVVEIS........................................ 66
4.6.10. CRIPTOGRAFIA....................................................................... 67
4.6.11. COMPUTAO MVEL E ACESSO REMOTO....................... 67
4.6.12. CONTROLES GERAIS ............................................................. 68
4.6.13. FRUM DE SEGURANA ....................................................... 69
5. CONCLUSO........................................................................................... 70
6. ANEXOS ................................................................................................... 72
6.1. ANEXO I QUESTIONRIO APLICADO AOS USURIOS................ 72
6.2. ANEXO-II QUESTIONRIO APLICADO AO RH.................................. 74
6.3. ANEXO-III QUESTIONRIO APLICADO INFORMTICA................ 76
6.4. ANEXO III CRONOGRAMA.............................................................. 79
7. GLOSSRIO............................................................................................. 80
8. REFERENCIAS BIBLIOGRFICAS......................................................... 82
16
1. INTRODUO
Homo homini lupus: O homem o lobo do homem. Das palavras do
dramaturgo Plauto, resgatadas pelos filsofos Francis Bacon e Thomas
Hobbes, temos o mote para uma das maiores preocupaes em termos de
segurana: como prevenir as pessoas contra as prprias pessoas. [7]
Os fatores humanos sempre ficam, naturalmente, em segundo plano,
quando existem diversos aparatos tecnolgicos de ltima gerao para garantir a
segurana. Porm, deixar as pessoas desinformadas sobre as questes de
segurana pode expor uma organizao a riscos desnecessrios, uma vez que os
invasores utilizam a habilidade de enganar os usurios, alinhada inclinao
natural das pessoas de confiar uma nas outras e de querer ajudar, para persuadi-las
a abrir-lhes a porta de entrada, quebrando a segurana da informao atravs da
explorao de falhas ou, pior ainda, do prprio nome e senha do usurio.
Por sermos humanos, seres imperfeitos, modificamos nosso
comportamento natural em situaes de riscos, fazendo com que,
inconscientemente, tomemos decises baseados em confiana e no grau de
criticidade da situao, permitindo assim que o engenheiro social possa explorar de
maneira eficaz nossas falhas para burlar a segurana da informao.[7]
Um dos principais problemas que a segurana da informao deve tratar
a segurana em pessoas. A cooperao dos usurios essencial para a eficcia
da segurana. Eles exercem um forte impacto sobre a confidencialidade, a
17
integridade e a disponibilidade da informao, pois, por exemplo, o usurio que no
mantiver a confidencialidade da senha, no evitar o registro da mesma em papis
que no esto guardados em locais seguros, no utilizar senhas de qualidade ou
ainda que compartilha senhas individuais, compromete a segurana da informao.
Chamamos de Engenharia social a habilidade de enganar um ou mais
usurios para quebrar a segurana da informao. Ela um perigo real e sutil e
fundamental que as organizaes assegurem-se que seus usurios sejam atuantes
defensores da sua informao e que no sejam facilmente ludibriados por pessoas
mal intencionadas e no autorizadas, abrindo assim o caminho para o acesso a
informao. Por esses e outros motivos, antes de qualquer coisa, todos os usurios
devem saber o que a informao para sua empresa, qual a sua importncia e por
que a segurana da informao fundamental.
A segurana da informao pode ser caracterizada pela preservao de
trs fatores [14]:
Confidencialidade: Garantia de que a informao acessvel
somente por pessoas autorizadas a terem acesso;
Integridade: Exatido, completeza da informao e dos mtodos de
processamento;
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que
necessrio.
18
A informao de uma empresa o seu principal patrimnio. O cdigo de
prtica para a gesto da segurana da informao diz que:
A informao um ativo que, como qualquer outro, importante para os
negcios, tem um valor para a organizao. A segurana da informao
protege a informao de diversos tipos de ameaas para garantir a
continuidade dos negcios, minimizar os danos ao negcio e maximizar o
retorno dos investimentos e as oportunidades de negcios.
(NBR ISO/IEC 17799:2001, pg. 2).
Este trabalho visa avaliar a conscincia que os usurios possuem sobre a
segurana da informao, sugerindo aes para evitar problemas com a engenharia
social e orientar a implementao de controles de segurana em pessoas no
ambiente estudado.
19
1.1. JUSTIFICATIVA
A informao de uma empresa o seu principal patrimnio, fundamental
para o seu funcionamento, garantindo a competitividade no mercado. Por conta
disso, concorrentes, utilizando-se da engenharia social, podem vir a obter
informaes confidenciais sobre a estratgia, metas e planejamento.
Com base nisso propomos s empresas que tenham o interesse de
avaliar a segurana da informao, no que diz respeito engenharia social, seguir a
metodologia utilizada aqui como base para implementao de controles que
minimizem as falhas no acesso informao, aumentando a segurana nas pessoas
e conscientizando seus usurios da importncia da informao da empresa,
tornando-os um agente da segurana da informao, cumprindo o seu papel e
suas obrigaes de, por exemplo, manter a sua senha segura.
A sociedade que possuir pessoas que tenham o devido cuidado com a
informao ser uma sociedade mais segura, pois ser muito mais difcil utilizar a
engenharia social para conseguir burlar a segurana da informao, seja ela de uma
empresa, da conta bancria de um usurio ou de um projeto comunitrio importante,
evitando assim golpes que venham a lesar algum desta comunidade.
Este projeto tem o intuito de, baseando-se em um estudo de caso real,
criar uma orientao dos passos para tratar o problema da engenharia social,
prevenindo que pessoas no autorizadas utilizem os usurios desinformados e
desatentos para conseguir acesso a informaes importantes.
20
1.2. OBJETIVOS
1.2.1. OBJETIVO GERAL
Desenvolver um procedimento que nos permita, atravs da aplicao
de questionrios, conhecer as falhas que podem ser utilizadas pela
engenharia social para quebrar a segurana da informao em instituies
com caractersticas diferentes, propondo solues para estas falhas.
1.2.2. OBJETIVOS ESPECFICOS

Avaliar a conscincia dos usurios sobre a importncia da informao
que eles tm acesso e sobre o problema da engenharia social, atravs de
pesquisa aplicada ;
Propor melhorias nos processos que envolvem o RH e a engenharia
social;
Sugerir a implementao de controles e aes para minimizar os riscos
de ataque de engenharia social;
Servir como modelo na preveno do problema de engenharia social,
desenvolvendo um procedimento para avaliao da conscincia dos usurios
sobre o referido problema.
21
2. ENGENHARIA SOCIAL
Antes de entendermos como a engenharia social funciona, fundamental que
conheamos seu conceito, bem como o conceito de informao.
2.1. CONCEITO DE INFORMAO
Podemos dizer que Informao um processo que visa o conhecimento, ou,
mais simplesmente, Informao tudo o que reduz a incerteza. Um instrumento de
compreenso do mundo e da ao sobre ele" [10].
Toda informao est associada a um dado ou valor representando o suporte
lgico para a mesma. o uso que ser feito deste dado e dos conceitos a ele
relacionados, que o torna til ou no.
A informao desempenha um papel estratgico dentro das organizaes,
tornando-se uma necessidade crescente e indispensvel para qualquer setor da
atividade humana. Justamente por isso, surge a preocupao em garantir a sua
segurana e proteg-la de acessos indevidos. Sendo assim, seja qual for a forma
que a informao apresentada (impressa, escrita, falada, entre outras) faz-se
necessrio que ela seja sempre protegida adequadamente.
22
Independente do meio em que a informao circula, ela sempre destinada
a pessoas, que a priori podem e devem acessa-las. exatamente este o alvo da
engenharia social.
2.2. DEFINIO DE ENGENHARIA SOCIAL
A arte de trapacear, construir mtodos e estratgias de enganar em cima de
informaes cedidas por pessoas ou ganhar a confiana para obter informaes,
so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo:
Engenharia Social.
Engenharia por que constri, em cima de informaes, tticas de acesso a
sistemas e informaes sigilosas, de forma indevida. Social por que se utiliza de
pessoas que trabalham e vivem em grupos organizados.
Podemos dizer que a engenharia social um tipo de ataque utilizado por
hackers, onde a principal arma utilizada a habilidade de lhe dar com pessoas,
induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer
senhas de acesso.
A segurana compreende trs componentes pessoas, processos e
tecnologia , e o resultado final deve ser a preservao da confiana.
MCCARTTHY e CAMPBELL (2003, p. 44), citando MacLean, a vice-
presidente snior e diretora de proteo da informao do Bank of Amrica.
A engenharia social visa explorar as pessoas no intuito de ocasionar a
perda, a indisponibilidade ou a violao da informao. Ela vai diretamente para o
elo mais fraco de qualquer sistema de segurana: pessoas. O chamado engenheiro
23
social utiliza a sua criatividade, poder de persuaso e habilidade, para envolver a
vtima em uma situao onde, muitas vezes, ela nem percebe que abriu as portas
para um invasor.
O ataque do engenheiro social pode ocorrer atravs de um bom papo,
numa mesa de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo.
O sucesso deste ataque esta no fato de o usurio abordado nem seque se dar
conta do que acabou de acontecer. Ou seja, o engenheiro social, alm de obter a
informao que deseja ainda mantm as portas abertas com o seu informante.
Os alvos principais so os usurios detentores de privilgios equivalentes
aos dos chefes como, por exemplo, auxiliares e secretrios, que muitas vezes tm
acesso ao correio eletrnico, aos sistemas gerenciais e sabem at a senha utilizada
pelo seu superior.
Geralmente as pessoas so o ponto mais suscetvel em um esquema de
segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525)
A falta de conscincia das tcnicas de engenharia social utilizadas e o
excesso de autoconfiana das pessoas (por no se considerarem ingnuas e
acharem que no podem ser manipuladas) so os principais fatores que favorecem
ao sucesso da Engenharia Social.
24
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL
Muitos so os meios e tcnicas para se obter acesso indevido
informao, esteja ela em formato eletrnico, em papel ou em outros formatos. A
engenharia social muito utilizada para o levantamento de informaes preliminares
que possam tornar a tentativa de invaso mais eficiente.
Um ataque de engenharia social pode ser feito atravs email, telefone,
fax, Chat e at, em ltimo caso, pessoalmente. A ingenuidade ou a confiana de um
usurio utilizada pelos engenheiros sociais para se conseguir informaes, que
muitas vezes parecem sem importncia, mas que nas mos erradas podem causar
bastante estrago.
Uma das tticas fundamentais de engenharia social obter acesso a
informaes que os funcionrios da empresa tratam como inofensivas e utiliz-las
para ganhar a confiana de outros usurios e conseguir as informaes que ele
realmente deseja.[8]
Muitos acreditam que os engenheiros sociais utilizam ataques com
mentiras elaboradas bastante complexas, porm, muitos ataques so diretos,
rpidos e muito simples, onde eles simplesmente pedem a informao desejada.
Os grupos de atacantes no se restringem a pessoas externas
empresa, pois, visto que a motivao, a habilidade e a oportunidade so essenciais
a um atacante que deseja ter acesso informao de uma empresa, (ex)
funcionrios e (ex) contratados so os mais perigosos grupos de atacantes, pois
eles so capacitados pelas empresas para dominarem as habilidades e, muitas
25
vezes eles se sentem frustrados, o que pode ser um motivo para idealizarem um
ataque. Sendo eles conhecidos e se transmitem confiana a outros funcionrios, ou
pior, se ainda fazem parte do quadro funcional da empresa, eles possuem a
oportunidade necessria para um ataque [3].
Geralmente as pessoas so o ponto mais suscetvel em um esquema de
segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525).
As tcnicas mais costumeiras, que podem ser usadas de maneira individual
ou combinadas, so: [7]
Contatos telefnicos, simulando atendimento de suporte ou uma ao
de emergncia;
Contato atravs de e-mail, atuando como estudante com interesse em
pesquisa sobre determinado assunto ou como pessoa com interesse
especfico em assunto de conhecimento da vtima;
Contato atravs de ferramentas de Instant Messaging (Yahoo
Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com
afinidades com a vtima;
Obteno de informaes vazadas por parte da administrao de rede
e funcionrios em geral em listas de discusso ou comunidades
virtuais na Internet, o que motivaria tambm um contato posterior mais
estruturado;
Uso de telefone pblico, para dificultar deteco;
Varredura do lixo informtico, para obteno de informaes adicionais
para tentativas posteriores de contato;
Disfarce de equipe de manuteno;
26
Visita em pessoa, como estudante, estagirio ou pessoa com disfarce
de ingenuidade.
2.4. A SEGURANA E O USURIO
indiscutvel que todos os usurios desejam segurana, porm quando
eles tm que interagir com ela e tomar decises baseando-se em procedimentos de
segurana, a maioria acha que ela atrapalha. comum que usurios nem pensem
duas vezes para contornar os procedimentos de segurana em determinadas
situaes, como por exemplo quando se aproxima um prazo para entrega de um
trabalho importante. Eles podem desativar um firewall ou at mesmo fornecer uma
senha, pois o trabalho precisa ser feito.[12]
Os engenheiros sociais sabem que esta maneira de agir dos usurios e
exploram este comportamento criando este tipo de situao para que a segurana
seja quebrada.
2.5. EXEMPLOS DE ATAQUES
A engenharia social tambm pode ser utilizada como ttica no terrorismo
fsico. O mundo presenciou os ataques Nova York (World Trade Center) e
Washington D.C. em setembro de 2001 que imputaram tristeza e medo em nossos
coraes, aumentando temporariamente os nveis de nossa conscincia de
segurana, e nos colocando em alerta quanto ao do terrorismo no mundo.
Porm, a conscincia deste perigo deve permanecer conosco, visto, por exemplo,
PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory
27
que os terroristas utilizam identidades falsas, assumem os papeis de alunos e
vizinhos, misturando-se multido enquanto conspiram contra as pessoas e
escondem suas verdadeiras crenas e intenes.
Esto cada vez mais comuns notcias de tentativas de fraude utilizando
diversos meios de comunicao, onde a Internet o mais popular, sendo registrado
pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de
segurana, 1.358 incidentes envolvendo fraudes pela Internet somente nos ltimos 6
meses [15]. Um dos principais alvos dos fraudadores o internet banking. Eles
utilizam, alm de outras tcnicas, a engenharia social para, por exemplo, tentar se
passar por funcionrios de confiana do banco, como um gerente ou o administrador
do site, ou ainda, enviam um link por e-mail que aponta para o site clonado de um
banco, na tentativa de fazer o usurio digitar seus dados, inclusive a sua senha.
Alm das fraudes, os vrus, spywares e outros malwares, utilizam a
engenharia social tentando diversos truques para persuadir as pessoas a abri-los.
Os Cavalos de Tria, por exemplo, necessitam da interveno de um usurio para
que possam atingir seus objetivos.
Alm dos ataques que utilizam tecnologias como Internet, e-mails e
programas de Chats, muitas informaes so conseguidas em documentos
impressos, at mesmo no lixo, e em entrevistas para emprego, onde os engenheiros
sociais, por exemplo, fingem interesse em uma vaga e participam da seleo
somente para levantar informaes para um concorrente.
28
3. METODOLOGIA
Para entender como as empresas tratam do assunto engenharia social,
desenvolvemos um procedimento para aplicao de uma pesquisa descritiva com
questes relativas Segurana da Informao. A idia central desta pesquisa
consiste em identificar como o ambiente estudado trata suas informaes e qual o
nvel de conscientizao de seus colaboradores quanto a confidencialidade,
integridade e disponibilidade da informao.
Para tal, foram elaborados 03 (trs) instrumentais de pesquisas (vide anexos
I,II e III), sendo o Questionrio I direcionado a todos os colaboradores do escopo,
com acesso a computadores, abrangendo todos os cargos, o Questionrio II
destinado ao setor de Recursos Humanos e o Questionrio III, destinado ao setor de
Informtica.
Em todos os questionrios foram abordadas questes direcionadas a senhas,
tipos de informaes que circulam pela empresa, existncia de uma poltica de
comunicao interna e externa, poltica de segurana, dentre outras questes
relevantes para identificao dos pontos mais crticos que refletem o nvel de
conscientizao dos usurios, quanto Segurana da Informao.
O primeiro passo a pesquisa aplicada, que visa conhecer como est a
conscincia dos funcionrios. Esta pesquisa tem o intuito de levantar se os usurios
tm conscincia do valor da informao, se eles sabem quais podem ser
disseminadas e quais no podem ser discutidas fora do ambiente seguro, que o
29
seu grupo de trabalho, se existe uma cultura de divulgao de aes de segurana
como poltica de utilizao de senhas, de e-mails, termos de confidencialidade e
responsabilidade, entre outros.
O Questionrio do ANEXO I foi elaborado visando permitir identificar se
os usurios tm conscincia da engenharia social e de seus riscos, se suas senhas
so realmente individuais, se confiam em todas as informaes que chegam por e-
mail, se existe uma poltica de segurana conhecida na empresa, quais os sistemas
utilizados, se trabalham em outras empresas atuantes na mesma rea da empresa
pesquisada, entre outros.
Em paralelo com a pesquisa dos usurios, os processos que envolvem o
setor de recursos humanos e de tecnologia da informao com a engenharia social,
tais como de admisso e demisso, devem ser re-avaliados visando identificar
oportunidades de melhorias e a integrao dos processos de ambos os setores,
como por exemplo no caso da demisso de um funcionrio, onde o setor de TI deve
ser informado imediatamente para cancelamento de todos os acessos rede e aos
sistemas. Foi com esse intuito que os questionrios dos ANEXO II e III foram
elaborados: Padronizar o levantamento das informaes no setor de recursos
humanos e de informtica.
Aps a tabulao dos dados, deve-se analisar a pesquisa, levantando os
pontos fortes e fracos em relao conscincia da importncia da segurana da
informao. Visando facilitar esta anlise, sugerimos caracterizar em trs grupos
identificados aqui como:
30
1. Gerencial: Composto pelos principais lderes da organizao. Estes
usurios detm acesso s principais informaes da empresa. So
conhecedores das estratgias utilizadas para alcanar as metas da
instituio, dos e projetos existentes e dos indicadores de desempenho
estratgicos.
2. Operacional: So os tcnicos que possuem conhecimentos especficos
dos processos de cada rea e tm acesso aos sistemas que fornecem a
informao para tomadas de deciso. Esto includos os agentes
administrativos, os oficiais administrativo, os auxiliares de Gabinete entre
outros.
3. Temporrio: So usurios prestadores de servios e estagirios que, em
sua maioria, acabam saindo da empresa com informaes importantes.
A Anlise da pesquisa deve cruzar as informaes colhidas nos trs
questionrios, buscando responder os questionamentos abaixo:
1. A empresa possui uma poltica de segurana da informao
amplamente divulgada aos seus usurios?
2. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa possui poltica de comunicao interna?
3. Quantos usurios sabem quais as informaes vitais para a empresa,
por grupo?
31
4. Se os funcionrios assinam algum termo de responsabilidade e/ou de
confidencialidade sobre as informaes da empresa?
se a empresa possui responsvel pela comunicao externa e interna?
se a empresa orienta quanto a divulgao de informaes?
7. Qual a freqncia de alterao de senhas das pessoas que acessam
informaes confidenciais?
8. Quantos usurios divulgam suas senhas?
9. Quantos usurios permitem que outros utilizem suas senhas?
10. Quantos usurios anotam suas senhas em locais que podem no ser
seguros?
11. Quais sistemas tm usurios que divulgam ou anotam suas senhas?
12.Os usurios bloqueiam seus computadores ao sair e fazem a poltica
de mesa limpa?
13. O setor de RH contribui para a segurana da informao?
14. Existe restrio quanto a utilizao de e-mail, Internet e telefone?
15. Quais os principais controles utilizados pelo setor de informtica para
minimizar os riscos de acessos indevidos informao?
16. Os setores de RH e informtica trabalham integrados para garantir a
segurana da informao?
17. Existe controle de acesso aos prestadores de servio/Terceirizados?
Esses questionamentos formam a base para o dimensionamento do
impacto da engenharia social na segurana da informao, avaliando a conscincia
32
dos usurios sobre a importncia da informao que eles tm acesso e sobre o
problema da engenharia social.
Finalmente, elabora-se uma proposta contendo melhorias nos processos
que envolvem o RH, a Tecnologia da Informao e a engenharia social, com
sugestes de implementao de controles e aes para minimizar os riscos de
ataque de engenharia social;
33
4. ESTUDO DE CASO
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS
Por questes de segurana e privacidade, os nomes das empresas, bem
como outras informaes sigilosas sero preservadas, evitando assim que estas
sejam utilizadas indevidamente em possveis ataques. As empresas sero
identificadas aqui como Pblica e Privada.
4.1.1. APLICAO DOS QUESTIONRIOS
Ao todo foram respondidos 91 questionrios, sendo 47 da empresa
Pblica e 44 da empresa Privada, conforme quadro abaixo:
EMPRESA
PBLICA
EMPRESA
PRIVADA
TOTAL
% EMPRESA
PBLICA*
% EMPRESA
PRIVADA*
QUESTIONRIO I
(Funcionrios)
45 42 87 51,72 % 48,27 %
QUESTIONRIO II
(Recursos humanos)
01 01 2 50 % 50%
QUESTIONRIO III
(Informtica)
01 01 2 50% 50%
TOTAL 47 44 91 48,36% 51,64 %
* Percentual em relao ao total de questionrios
Tab 1. Quantidade de questionrios por empresa
34
4.1.2. EMPRESA PBLICA
Trata-se de um rgo integrante da Administrao Estadual Direta, tendo
como propsito fomentar a poltica governamental para o desenvolvimento
econmico do estado de Sergipe.
Atualmente possui 67 funcionrios, incluindo estagirios e terceirizados,
dos quais foram entrevistados todos os usurios que fazem parte do escopo, num
total de 45 (quarenta e cinco), sendo que:
- 53,33% possuem mais de 40 anos;
- 31,11% no possui mais do que 1 (um) ano de trabalho na empresa;
- 28,89% trabalha nela h mais de 10 anos;
- 22,22% possui outro emprego, dos quais 8,89% na mesma rea em
que trabalha na empresa;
- 62,22% do sexo feminino;
Os usurios do escopo esto distribudos por funo, de acordo com a
figura abaixo:
Funo Quantidade. %
Gerencial 12 26,67%
Operacional 22 48,89%
Terceirizado 7 15,56%
Sem resposta 4 8,89%
TOTAL. 45 100%
Tab 2. Distribuio dos usurios por funo Pblica
35
4.1.3. EMPRESA PRIVADA
Trata-se de uma instituio que tem o propsito de atuar na rea de
sade em todo estado de Sergipe, destacando-se tambm em aes para o
desenvolvimento de programas sociais.
Atualmente possui 142 funcionrios, incluindo estagirios e terceirizados,
dos quais foram entrevistados 42 (Quarenta e dois) usurios, sendo que somente
2,38% tem menos de 21 anos e 47,62% do sexo feminino, distribudos por funo,
de acordo com a tabela abaixo:
Funo Quantidade. %
Gerencial 6 14,29%
Operacional 24 57,14%
Terceirizado 5 11,90%
Sem resposta 7 16,67%
TOTAL. 42 100%
Tab 3. Distribuio dos usurios por funo - Privada
O escopo do projeto compreende todos os usurios de informtica da
empresa Pblica, e uma amostra de usurios da empresa Privada de maneira que
todas as reas foram abrangidas. Qualquer funcionrio deste universo que tiver
acesso rede e s informaes contidas em seus principais sistemas foi
entrevistado e faz parte deste projeto.
36
Atualmente as empresas estudadas possuem a seguinte estrutura:
Empresa N de
Computadores
N de
Funcionrios
Funcionrios por
Mquina
Pblica 24 67 2,79
Privada 104 142 1,36
TOTAL 128 209 1,6
Tab 4. Usurios e Computadores
4.2. PESQUISA APLICADA
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS
A seguir demonstramos a tabulao do questionrio aplicado a todos os
usurios de informtica do ambiente estudado, estratificado por tipo de empresa,
4.2.2. SOBRE O FUNCIONRIO
1.Faixaetria
Faixaetria Publica Privada TOTAL
At20Anos 2,22% 2,38% 2,30%
De21a30anos 22,22% 45,24% 33,33%
De31a40anos 22,22% 45,24% 33,33%
Acimade40anos 53,33% 7,14% 31,03%
NoRespondeu 0,00% 0,00% 0,00%
TOTAL 100% 100% 100%
Tab 5. Faixa Etria
2.Sexo
Sexo Publica Privada TOTAL
Masculino 28,89% 35,71% 32,18%
Feminino 62,22% 47,62% 55,17%
Norespondeu 8,89% 16,67% 12,64%
TOTAL 100% 100% 100%
Tab 6. Sexo
37
3.Funo
FunonaEmpresa Publica Privada TOTAL
Gerencial 26,67% 14,29% 20,69%
Operacional 49% 57,14% 52,87%
Terceirizado 16% 11,90% 13,79%
NoRespondeu 8,89% 16,67% 12,64%
TOTAL 100% 100% 100%
Tab 7. Funo
4.Trabalhanaempresaa
Anos deTrabalhonaempresa Publica Privada TOTAL
Menosde1ano 31,11% 28,57% 29,89%
De1a5anos 22,22% 50,00% 35,63%
De6a10anos 6,67% 4,76% 5,75%
Acimade10Anos 28,89% 11,90% 20,69%
Norespondeu 11,11% 4,76% 8,05%
TOTAL 100% 100% 100%
Tab 8. Tempo de empresa
5.Possuioutroemprego?
Possui outroEmprego Publica Privada TOTAL
Sim, na mesma rea em que trabalho na
EMPRESA
8,89% 0,00% 4,60%
Sim, emoutrarea 13,33% 9,52% 11,49%
No 51,11% 69,05% 59,77%
Norespondeu 26,67% 21,43% 24,14%
TOTAL 100% 100% 100%
Tab 9. Possui outro emprego
4.2.3. SOBRE SENHAS
6.Algum,almdevoc,sabea(s)sua(s)senha(s)utilizada(s)paraacessar informaesda
empresa?
Algummaissabesuasenha Publica Privada TOTAL
Sim 11,11% 4,76% 8,05%
No 84,44% 90,48% 87,36%
Norespondeu 4,44% 4,76% 4,60%
TOTAL 100% 100% 100%
Tab 10. Senha aberta
38
7.Vocutilizaasenhadealgumoutrofuncionrioparaacessoa informaesdaempresa?
Sabeasenhadeoutrousurio Publica Privada TOTAL
Sim 15,56% 11,90% 13,79%
No 73,33% 85,71% 79,31%
Norespondeu 11,11% 2,38% 6,90%
TOTAL 100% 100% 100%
Tab 11. Senha de terceiros
8.Vocanotaassuassenhasemalgumlocalprximoaocomputador,naagenda,oulocal
similar?
AnotaSenha Publica Privada TOTAL
Sim 6,67% 7,14% 6,90%
No 82,22% 92,86% 87,36%
Norespondeu 11,11% 0,00% 5,75%
TOTAL 100% 100% 100%
Tab 12. Anota Senha
9.Vocdeixaoutraspessoasutilizaremsuasenhaparaalgumtrabalhorpido?
TrabalhoRpido Publica Privada TOTAL
Sim 33,33% 30,95% 32,18%
No 57,78% 66,67% 62,07%
Norespondeu 8,89% 2,38% 5,75%
TOTAL 100% 100% 100%
Tab 13. Cede em caso de trabalhos rpidos
10.Comquefreqnciavocaltera(s)sua(s)senha(s):
FreqnciaqueAlteraSenhas Publica Privada TOTAL
Mensalmente 2,22% 0,00% 1,15%
Trimestralmente 6,67% 2,38% 4,60%
Semestralmente 4,44% 2,38% 3,45%
Somentequandoosistemasolicitaalterao 64,44% 35,71% 50,57%
Sempreutilizoamesmasenha 20,00% 59,52% 39,08%
norespondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 14. Freqncia de alterao de senhas
39
4.2.4. SOBRE DIVULGAO DE INFORMAES
11.Comovocprocedeparafornecer informaes,quevoctemacesso,solicitadaspor
telefoneoue-mail?
Fornece informaespor telefone Publica Privada TOTAL
Norespondeu 2,22% 2,38% 2,30%
Forneoa informao, poisnohnada
confidencial emminharea
4,44% 4,76% 4,60%
Forneoa informao, apsidentificar o
solicitante
33,33% 47,62% 40,23%
Solicitoautorizaoaomeusuperior para
liberar a informao
57,78% 33,33% 45,98%
Outros 6,67% 14,29% 10,34%
TOTAL 100% 100% 100%
Tab 15. Informaes por telefone
Fornece Informaesportelefone-outros Empresa
Dependedotipodeinformaosolicitada
No forneo
NOESPECIFICOU
Pblica
Minhaprtica fornecer informaespor escrito
enopor telefone, autorizadopeloGestor
Sdouinformaesaos gestoresdaempresa
Dependedequemsejaosolicitante, qual
informaosolicitadaesefoi liberadopelo
coordenador
Forneosomentequandoa informaono for
confidencial
S forneoapartir dequandoelepedesomente
paraconfirmar osdados
Dependedainformao
Privada
Tab 16. Outras respostas - Informaes por telefone
4.2.5. SOBRE A EMPRESA
12.AEmpresapossuipolticadecomunicao interna?
PolticadeComunicao Interna Publica Privada TOTAL
Sim 64,44% 73,81% 68,97%
No 24,44% 9,52% 17,24%
Norespondeu 11,11% 16,67% 13,79%
TOTAL 100% 100% 100%
Tab 17. Poltica de comunicao interna
40
13.As informaessoclassificadasnaEmpresa(confidencial,secreta,pblicaetc....)
As informaessoclassificadas Publica Privada TOTAL
Sim 37,78% 40,48% 39,08%
No 42,22% 40,48% 41,38%
Norespondeu 20,00% 19,05% 19,54%
TOTAL 100% 100% 100%
Tab 18. Classificao de informaes
14.AEmpresapossuiumresponsvelpelacomunicaoexterna?
Humresponsvel pela
comunicaoExterna
Publica Privada TOTAL
Sim 55,56% 66,67% 60,92%
No 24,44% 21,43% 22,99%
Norespondeu 20,00% 11,90% 16,09%
TOTAL 100% 100% 100%
Tab 19. Comunicao Externa
15.AEmpresapossuialgumaorientaoquantodivulgaode informao?
Orientado quantodivulgaodeinformaes Publica Privada TOTAL
Sim 42,22% 71,43% 56,32%
No 37,78% 19,05% 28,74%
Norespondeu 20,00% 9,52% 14,94%
TOTAL 100% 100% 100%
Tab 20. Divulgao de informaes
16.Vocsabequaisasinformaessovitaisparaonegciodaempresa?
SabequaissoasinformaesVitais
paraaempresa
Sim 40,00% 59,52% 49,43%
No 44,44% 28,57% 36,78%
Norespondeu 15,56% 11,90% 13,79%
TOTAL 100% 100% 100%
Tab 21. Informaes vitais
17.Aempresapossuipolticadeseguranadainformao?
Existeumapoltica
segurana
Sim 42,22% 40,48% 41,38%
No 42,22% 35,71% 39,08%
Norespondeu 15,56% 23,81% 19,54%
TOTAL 100% 100% 100%
Tab 22. Poltica de segurana da informao
41
4.2.6. SOBRE ACESSO INFORMAO
18.Nestemomentoexistealgumpapelsobresuamesacominformaessobreaempresa?
Hpapel namesacom
informaesdaempresa
Sim 46,67% 40,48% 43,68%
No 44,44% 50,00% 47,13%
Norespondeu 8,89% 9,52% 9,20%
TOTAL 100% 100% 100%
Tab 23. Papel na mesa
19.Aosairvoccostumadeixarsuasmesa limpa,sempapis?
Mesa_Limpa/Empresa Publica Privada TOTAL
Sim 77,78% 69,05% 73,56%
No 20,00% 30,95% 25,29%
Norespondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 24. Poltica de mesa limpa
20.AosairvoccostumadeixarseucomputadorbloqueadoouefetuaroLogOff?
BloqueiaEquipamento Publica Privada TOTAL
Sim 86,67% 71,43% 79,31%
No 8,89% 23,81% 16,09%
Norespondeu 4,44% 4,76% 4,60%
TOTAL 100% 100% 100%
Tab 25. Bloqueio de estaes de trabalho
21.Oseusetorpossui informaesconsideradasconfidenciais?
Setor comInformaes
Confidenciais
Sim 75,56% 71,43% 73,56%
No 22,22% 23,81% 22,99%
Norespondeu 2,22% 4,76% 3,45%
TOTAL 100% 100% 100%
Tab 26. informaes confidenciais
22.Nasuaopinio,todososfuncionriosdoseusetorsabema importnciadas informaesda
empresa?
SabemaImportnciadasInformaes Publica Privada TOTAL
Sim 62,22% 78,57% 70,11%
No 31,11% 16,67% 24,14%
Norespondeu 6,67% 4,76% 5,75%
TOTAL 100% 100% 100%
Tab 27. Conscincia da importncia da informao
42
23.Nasuaopinio,seriadifcilpessoasexternasconseguireminformaes importantesna
empresa?
difcil pessoasExternas conseguirem
informaes
Sim 53,33% 45,24% 49,43%
No 33,33% 47,62% 40,23%
Norespondeu 13,33% 7,14% 10,34%
TOTAL 100% 100% 100%
Tab 28. Acesso informao por pessoas externas
24.Quaisostiposde informaesquevoctemacesso?
Tipodeinformaesquetemacesso Publica Privada TOTAL
Informaesoperacionais 66,67% 92,86% 79,31%
InformaesGerenciais 31,11% 47,62% 39,08%
InformaesConfidenciaisdaEmpresa 28,89% 30,95% 29,89%
Informaes imprescindveiscontinuidade
donegciodaEmpresa
22,22% 23,81% 22,99%
No tenhoacessoanenhuma informao
importante
22,22% 4,76% 13,79%
Norespondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 29. Acesso por tipo de informao
4.2.7. SOBRE OS SISTEMAS UTILIZADOS
25.Dossistemasabaixo,quaisvocutiliza?
Sistemasqueutiliza Publica Privada TOTAL
Norespondeu 22,22% 16,67% 19,54%
Sistemadeponto 22,22% 50,00% 35,63%
SistemaFinanceiro/Contbil 22,22% 19,05% 20,69%
Sistemadepatrimnio 2,22% 4,76% 3,45%
Folhadepagamento 17,78% 14,29% 16,09%
Sistemaoramentrio 17,78% 4,76% 11,49%
Sistemacom informaesgerenciais 8,89% 28,57% 18,39%
Outros 35,56% 11,90% 24,14%
TOTAL 100% 100% 100%
Tab 30. Sistemas utilizados
43
4.3. TABULAO DO QUESTIONRIO DO RH
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS
1. Apolticadeseguranada informaodivulgadaaosnovoscontratados?
Empresa Resposta
Publica No
Privada Sim
Tab 31. Novos contratados - RH
2. Osfuncionriosassinamalgumtermoderesponsabilidadee/oudeconfidencialidade
sobreas informaesdaempresa?
Empresa Resposta
Publica No
Privada No
Tab 32. Termo de confidencialidade - RH
3. Existealgumaorientaoderestrioquantoutilizaodee-mail,Internetou
telefone?
Empresa Resposta
Publica
Sim, atravs do servidor da redes e dacentral
telefnica;
Privada Outros
Tab 33. Orienta utilizao de e-mail, Internetoutelefone- RH
4. Emcasodeoutros,qual?
Empresa Resposta
Publica
Privada
Divulgao da melhor forma de utilizar as
ferramentas Intranet, e-mail e Internet por
partedaassessoriadeinformtica.
Tab 34. Orienta utilizao de e-mail, Internetoutelefone/outros - RH
5. As informaes(geralmentecontidasnocurrculo)doscandidatos,fornecidasno
processodeseleo,sochecadasantesdacontratao?
Empresa Resposta
Publica Outros
Privada Sim
Tab 35. Checa currculos- RH
44
Empresa Resposta
Publica
Contratooudecretoso feitospelasecretaria
deestadodaadministrao.
Privada
Tab 36. Checa currculos/outros - RH
7. Osfuncionriosrecmcontratados ...
Empresa Resposta
Publica
So encaminhados diretamente TI para
cadastronaredeedemaissistemas.
Privada
Aguardam o processo de criao de e-mail
aps umdocumento ser enviadodoRHpara o
setor de TI informando quais sistemas o
mesmo teracesso.
Tab 37. Recm contratados - RH
Empresa Resposta
Publica
Privada
Soencaminhadosdiretamenteaosetor deTI
paraalteraodocadastronaredeenos
demaissistemas;
Tab 38. Recm contratados/Outros RH
9. Osfuncionriosquesotransferidosdefuno...
Empresa Resposta
Publica
Privada
So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
demaissistemas
Tab 39. Funcionrios Transferidos - RH
Empresa Resposta
Publica
Privada
Tab 40. Recm contratados - RH
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS
11. Oacessoaossistemaserededosfuncionriosdemitidos ...
Empresa Resposta
Publica Outros
Privada Sobloqueados antesdademisso
Tab 41. Demitidos - RH
45
Empresa Resposta
Publica Sobloqueados apsademisso
Privada
Tab 42. Demitidos/Outros - RH
13. Oacessodosfuncionriosdemitidoss instalaesdaempresa...
Empresa Resposta
Publica No mais permitido
Privada restritorecepo
Tab 43. Acesso fsico dos Demitidos - RH
Empresa Resposta
Publica
Privada
Tab 44. Acesso fsico dos Demitidos/Outros - RH
4.3.3. SOBRE A CONTRATAO DE TERCEIROS
15. Apolticadeseguranada informaodivulgadasemprenacontrataode
terceirizados?
Empresa Resposta
Publica
No existe poltica de segurana da
informaonaempresa
Privada Sim
Tab 45. Poltica de segurana aos terceiros - RH
16. Osterceirizadosassinamalgumtermoderesponsabilidadee/oudeconfidencialidade
sobreas informaesdaempresa?
Empresa Resposta
Publica No
Privada No
Tab 46. Termos de responsabilidade aos terceiros - RH
46
17. Osterceirizados recmcontratados ...
Empresa Resposta
Publica
So encaminhados diretamente ao setor de TI
paracadastronaredeenosdemaissistemas
Privada
Aguardamo processo de criao de e-mail e
senhas aps um documento interno ser
enviado do RHpara o setor de TI informando
quaissistemasomesmo teracesso
Tab 47. Terceiros recm contratados- RH
18. Observaes:
Empresa Resposta
Publica -
Privada -
Tab 48. Observaes - RH
4.4. TABULAO DO QUESTIONRIO DA TI
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. Ocadastrodesenhadefuncionriosnovos...
Empresa Resposta
Publica Bastaousuriocomparecer TI esolicitar
Privada Comsolicitaopor e-mail doGerentedarea
Tab 49. Funcionrios novos TI
Empresa Resposta
Publica Solicitamatransfernciadiretamente informtica
Privada So transferidosmediantesolicitaopor e-mail doGerentedarea
Tab 50. Funcionrios Transferidos TI
3. NoprocessodeDemissodefuncionrios,ainformtica...
Empresa Resposta
Publica nohouvedemissoainda
Privada
A informticafaz backupda informaodamquinadousurioantes da
demisso.
Tab 51. Demisso de Funcionrios TI
47
4.4.2. SOBRE SENHAS
4. Existeumapolticaparautilizaodesenhasfortes?
Empresa Resposta
Publica No
Privada No
Tab 52. Poltica de senhas TI
5. As senhas deacesso rede expiramautomaticamente emumdeterminado
perododetempo?
Empresa Resposta
Publica Sim
Privada Sim
Tab 53. Expirao de senhas da rede TI
6. Assenhasdossistemascorporativosso mudadascomquefreqncia?
Empresa Resposta
Publica Nunca
Privada Esporadicamenteemmanutenesdosistema
Tab 54. Poltica de senhas dos demais sistemas TI
7. permitida a utilizao de senhas compartilhadas (uma senha nica para
usuriosdeumsetorporexemplo)?
Empresa Resposta
Publica No
Privada No
Tab 55. Senhas compartilhadas TI
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO
8. Existealgummecanismoparaidentificaodosterceiros,prestadoresde
servioefuncionrios,(Crachcomfoto,Uniforme,etc)?
Empresa Resposta
Publica Sim
Privada Sim
Tab 56. Identificao de terceiros TI
48
9. Oatendimentodeprestadoresdeservioeterceiroscontroladoporalgum
tipodeordemdeserviocoma logomarcadaempresaemqueeletrabalha?
Empresa Resposta
Publica No
Privada No
Tab 57. Controle de Atendimento de terceiros TI
4.4.4. SOBRE SEGURANA DA INFORMAO
10. Existeumapolticadeseguranada informaonaempresa?
Empresa Resposta
Publica Emfasededesenvolvimento
Privada Emfasededesenvolvimento
Tab 58. Poltica de Segurana TI
11. Existemrestriesdeacesso Internetee-mail?
Empresa Resposta
Publica Sim
Privada Sim
Tab 59. Restries de Acesso TI
12. Emcasodesim,quais?
Empresa Resposta
Publica Sitespornogrficos
Privada
Nemtodas asmquinasacessamainternet. Existeumablack list
comossitesproibidos;
Tab 60. Quais restries de acesso TI
13. Os Principais equipamentos de informtica (Switches,Servidorer,
Roteadores,...)estorealmenteprotegidosdeacessonoautorizado?
Empresa Resposta
Publica Parcialmente
Privada Parcialmente
Tab 61. Proteo de Equipamentos TI
14. Existecuidadocomodescartede mdiaremovvel(Documentos impressos,
fitas magnticas,CDR,CDRWentreoutros)?
Empresa Resposta
Publica No
Privada Sim
Tab 62. Descarte d Mdias removveis TI
49
15. Utilizamcriptografianacomunicaoqueenvolva informaesdaempresa?
Empresa Resposta
Publica No
Privada No
Tab 63. Criptografia TI
16. Existeantivruscorporativocomatualizaoautomticadasestaes?
Empresa Resposta
Publica Sim
Privada Sim
Tab 64. Antivrus corporativo TI
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO
17. Oscomputadores mveispossuemvalidaodesenhaantesdoacessoao
sistemaoperacional?
Empresa Resposta
Publica No
Privada Sim
Tab 65. Senha para computao mvel TI
18. Os usurios da computao mvel so orientados quanto aos cuidados
especiais quedevemter com, por exemplo, atualizaodeantivrus, acessono
autorizadoedivulgaode informaes aliarmazenadas?
Empresa Resposta
Publica No
Privada No
Tab 66. Orientaes aos usurios de computao mvel TI
19. Existeacessoremotoaossistemasdaempresa?
Empresa Resposta
Publica No
Privada Sim, aos funcionriosdaempresa
Tab 67. Acesso remoto TI
20. Sesim,quaisoscontrolesutilizadosparaestesacessos?
Empresa Resposta
Publica
Privada Orientaoaosusurioseanlisedelogsdeacesso
Tab 68. Controles para acesso remoto TI
50
4.5. ANLISE DA PESQUISA
A anlise da pesquisa foi feita com o intuito de responder a todos os
questionamentos levantados na descrio da metodologia, caracterizada de acordo
com as informaes dos questionrios, destacando os pontos fortes e fracos,
quando existirem, e ainda comparando por tipo de empresa (Pblica e privada).
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO
Em ambas as empresas existem polticas de segurana da informao
sendo desenvolvida, porm ainda no est muito claro para os usurios o que esta
poltica, pois, em mdia, somente 41,38% dos usurios afirmam a existncia da
mesma.
0%
20%
40%
60%
80%
100%
Publica Privada
Norespondeu
No
Sim
15,56%
42,22%
42,22%
40,48%
35,71%
23,81%
Fig. 1.A empresa possui poltica de segurana da informao?
A questo de existir uma poltica de segurana em desenvolvimento
demonstra conscincia da sua necessidade, porm, a falta desta poltica atualmente
uma das principais falhas no combate aos ataques que utilizam a engenharia
social.
51
Desta forma, as duas empresas devem Priorizar a finalizao da poltica
de segurana da informao e garantir a sua divulgao para todos os usurios,
atravs de aes como uma campanha de lanamento, distribuio de folders,
informativos, palestras, auditorias internas e outros meios de divulgao e
conscientizao.
O comprometimento da alta direo fundamental para a implantao da
poltica de segurana da informao. Ela deve estar envolvida em todo o processo e
motivar os funcionrios.
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS
Para a segurana da informao fundamental que os usurios
conheam, entre as informaes que ele tem acesso, quais so confidenciais e
vitais para a continuidade do seu negcio, evitando assim que elas sejam divulgadas
ou violadas inadvertidamente.
Na empresa privada 59,52% dos usurios afirmam conhecer as
informaes consideradas vitais para a empresa, enquanto que na empresa pblica,
o percentual cai para 40%. Esta conscincia deve ser trabalhada, de maneira que
cada usurio saiba quais informaes, dentre as que ele tem acesso, so
fundamentais para a empresa.
52
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Publica Privada
Norespondeu
No
Sim
Fig. 2. Os usurios conhecem as informaes vitais para a empresa?
Tanto na empresa Privada quanto na empresa pblica h um
responsvel pela comunicao interna e externa. Ele deve ter uma viso sistmica
do impacto causado ao se divulgar uma informao, principalmente uma informao
considerada vital e, alm disso, deve orientar a forma como as informaes so
repassadas, de maneira padronizada, tornando este padro conhecido por todos da
empresa.
Dos 87 (oitenta e sete) entrevistados, 86,21% afirmam acessar
informaes vitais ou informaes confidenciais. Desse universo, 18,67% no
possuem conhecimento quanto existncia de um responsvel pela comunicao
interna, sendo que na empresa publica so 26,32% do seu escopo, enquanto que na
empresa privada este percentual cai para 10,81%, conforme demonstrado no quadro
abaixo.
1
15,56%
4
44,44%
4
40,00%
1
59,52%
1
28,57%
1
11,90%
53
Humresponsvel pelacomunicao
interna?
Sim 63,16% 72,97% 68,00%
No 26,32% 10,81% 18,67%
Norespondeu 10,53% 16,22% 13,33%
TOTAL 100% 100% 100%
Fig. 3.Tabela Informaes confidenciais / vitais x comunicao interna
Dos usurios que acessam informaes confidenciais, menos da metade
(47,06%) na empresa pblica afirma que a empresa orienta quanto divulgao de
informaes e na empresa Privada este percentual sobre para 73,33%.
4.5.3. SOBRE TERMO DE RESPONSABILIDADE
Quando um usurio assina um termo responsabilizando-se pela
informao, ele ser um defensor da segurana desta informao e pensar duas
vezes antes de quebrar qualquer procedimento de segurana que ele saiba que
existe.
Em ambas as empresas, nem funcionrios nem terceiros assinam
nenhum termo ou acordo de responsabilidade / confidencialidade.
Em mdia, nas duas empresas, 73,56% dos usurios tm acesso a
informaes consideradas confidenciais, dos quais menos da metade (45,31%)
afirma saber que as informaes so classificadas dentro da empresa e pouco mais
da metade deles (aproximadamente 60%) sabem da existncia de um responsvel
pela comunicao externa/Interna e das orientaes sobre divulgao da
informao.
54
Dos usurios que acessam informaes confidencias, em ambas as
empresas, metade s altera a senha quando o sistema solicita e, praticamente, a
outra metade (40,63%) sempre utiliza a mesma senha.
4.5.4. SOBRE SENHAS
As senhas so comumente utilizadas para validar a identificao dos
usurios e conceder acesso aos sistemas de informao. Para os engenheiros
sociais conseguir uma senha de acesso com um usurio o prmio que ele mais
deseja, pois, desta forma ter acesso s mesmas informaes que o usurio e o
dono da senha ser responsabilizado por quaisquer problemas que venham a
ocorrer.
Os usurios que tm acesso informaes confidenciais e vitais para a
empresa devem ter um cuidado especial, pois so os principais alvos dos ataques
contra a segurana da informao. O grfico da Fig. 4 mostra que, dos usurios que
acessam informaes confidencias, em ambas as empresas, metade s altera a
senha quando o sistema solicita e, praticamente, a outra metade (40,63%) sempre
utiliza a mesma senha.
55
Sempreutilizo a
mesmasenha
40,63%
Mensalmente
1,56%
Somente quando o
sistema solicita
alterao
50,00%
Semestralmente
1,56%
Trimestralmente
6,25%
Fig. 4.Freqncia de alterao de senhas dos usurios com acesso
informaes confidenciais
Em ambas as empresas, a grande maioria dos usurios afirma no
divulgar as suas senhas, conforme Fig. 5.
11,11%
84,44%
4,44%
4,76%
90,48%
4,76%
0%
20%
40%
60%
80%
100%
Publica Privada
No respondeu
No Divulgasenha
Divulgasenha
Fig. 5.Quantos usurios divulgamas senhas
Em mdia, 87,36% dos usurios entrevistados tm suas senhas
individuais, no permitindo que outros usurios a conheam. Na divulgao de
56
senhas, chama a ateno o fato de que 20% dos gerentes da empresa Pblica tm
sua senha conhecida por outros funcionrios e que 32,18% dos usurios deixa que
outros utilizem a sua senha para realizar algum trabalho rpido.
Somente 6,90% afirmam anotar suas senhas em algum local prximo ao
computador, na agenda ou similar.
Na empresa Pblica, 15,56% afirma que sabe a senha de outros usurios,
contra 11,90% da empresa Privada.
Dentre usurios que afirmam divulgar e/ou anotar senhas em locais que
podem no ser seguros, levantamos quais sistemas de ambas as empresas tem ao
menos um funcionrio que realiza esta prtica, conforme Fig. 6:
Empresa
Sistemas que tm usurios que
divulgam senhas
Sistemas que tm usurios que anotam
suas senhas
PBLICA
- Sistema Financeiro/Contbil
- Sistema Oramentrio
- Outros sistemas corporativos
- Sistema Financeiro/Contbil
- Sistema Oramentrio
PRIVADA
- Sistema de ponto
- Folha de Pagamento
- Sistema de ponto
- Folha de Pagamento
- Sistema com informaes gerenciais
Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas emlocais de fcil acesso
57
Vemos que os principais sistemas como por exemplo, folha de
pagamento , Financeiro/Contbil e alguns sistemas coorporativos, possuem ao
menos uma senha compartilhada com mais de um usurio.
4.5.5. SOBRE ACESSO S INFORMAES
Por mais que uma empresa invista em tecnologia para garantir a
segurana da informao, fundamental que os seus usurios participem
ativamente com aes, muitas vezes simples, como manter a mesa sem
documentos expostos e no deixar um sistema conectado com a sua senha ao sair.
O bloqueio dos computadores feito pela grande maioria dos usurios,
86,67% na empresa Pblica e 71,31% na Privada. O mesmo ocorre com a poltica
de mesa limpa, onde 77,78% dos usurios da empresa Pblica e 69,05% da
Privada, afirmam ter o costume de deixar a mesa limpa, sem papeis, evitando assim
que informaes, muitas vezes sigilosas, fiquem expostas.
Praticamente metade dos usurios da empresa Privada (47,62%) acha que
no seria difcil que pessoas externas consigam informaes importantes da
empresa. Na empresa pblica, este percentual cai para 33,33%.
58
4.5.6. COMPUTAO MVEL E ACESSO REMOTO
Somente a empresa privada afirma utilizar validao de senha antes do
acesso ao sistema operacional e nenhuma das duas empresas orienta os usurios
da computao mvel quanto aos cuidados como, por exemplo, a atualizao de
antivrus e acesso de pessoas no autorizadas, incluindo parentes e amigos.
Somente a empresa privada faz acesso remoto aos seus sistemas e j realiza
a orientao aos usurios e analisa os logs de acesso.
4.5.7. PROCESSOS DO RH
necessrio, em ambas as empresas, uma ao de procedimentar os
principais processos que envolvem riscos segurana da informao, como por
exemplo todos os processos onde h uma interao com o setor responsvel pela
tecnologia da informao, como no caso de contratao, demisso e transferncia
de funcionrios e terceiros onde, temos falhas como:
1. Na empresa Pblica, basta que o usurio comparea rea de TI
informando que um novo funcionrio para que seja criada uma senha de acesso
rede e aos sistemas;
2. Na empresa Privada, a TI libera o acesso com uma requisio do
gerente da rea, enquanto que o RH informa que necessrio um documento do
59
RH para a TI, informando quais sistemas o funcionrio novo, transferido ou
Terceirizado ir acessar.
Alm do termo de responsabilidade, o RH deve solicitar a assinatura de
termos como o de utilizao de e-mail e Internet, de confidencialidade de senhas e,
principalmente realizar treinamentos da poltica de segurana, assim que o
funcionrio admitido.
Aes como estas permitiro uma maior contribuio do setor de RH em
ambas as empresas, minimizando os riscos de falhas na segurana da informao.
4.5.8. PROCESSOS DA TI
A rea de TI deve ter uma atuao decisiva no processo de segurana da
informao. Vrios controles podem ser implementados para minimizar os riscos
sobre a segurana da informao e abaixo citamos os controles existentes no
ambiente estudado:
Controle de senhas: A expirao automtica de senhas de aceso rede,
em um perodo pr-definido, que j utilizado em ambas as empresas. Porm,
deve-se atentar para situaes como as dos sistemas corporativos, que, na empresa
Pblica, nunca mudam as senhas e, na empresa privada, mudam somente
esporadicamente nas manutenes dos sistemas.
Controle sobre prestadores de servios e terceiros: Apesar dos
prestadores de servios e terceiros possurem mecanismos de identificao como
60
crachs com fotos, senhas, ou uniformes, no existe um controle sobre os servios
executados, atravs de uma ordem de servio, por exemplo.
Controle no acesso Internet: Existe algum controle de acesso Internet,
como por exemplo uma lista de usurios com acesso negado (Black list) ou o
bloqueio a sites pornogrficos.
Controle de segurana dos equipamentos: Em ambas as empresas existe
um controle parcial sobre o acesso no autorizado. necessrio realizar um
levantamento mais detalhado de quais so os equipamentos que no esto
protegidos .
Antivrus: Em ambas as empresas existe um antivrus coorporativo
implementado.
61
4.6. SOLUES PROPOSTAS
Como vimos, existem diversas tcnicas que podem ser utilizadas em
ataques de engenharia social e todas elas usam a boa f e a ingenuidade das
pessoas, conquistando sua confiana para conseguir quebrar a segurana.
Ainda nos dias de hoje, a viso de segurana da informao est
atrelada apenas a tecnologia, esquecendo que por trs de cada mquina h pelo
menos uma pessoa. Implantar controles de segurana exige uma estrutura complexa
de pessoas, meios e processos, interagindo de maneira a preservar a
confidencialidade, integridade e disponibilidade das informaes.
Mitnick (2003, p. 4) diz que A segurana no um produto, ela um
processo. Para ele, a grande maioria das empresas investe em ferramentas que
ajudam somente na proteo dos intrusos amadores, que em sua maioria so
crianas (script kiddies) que s causam aborrecimento. Elas no esto realmente
protegidas contra os atacantes sofisticados, com alvos bem definidos e motivados
pelo ganho financeiro.
4.6.1. CONTROLES SUGERIDOS
Para minimizar os riscos da segurana da informao, baseados na
anlise da pesquisa aplicada, sugerimos alguns controles que podem ser
implementados tanto na empresa Pblica quanto na Privada, so eles:
62
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA
A finalizao da poltica de segurana fundamental e prioritrio para as
duas empresas estudadas. Ela deve ser elaborada com a participao do RH e da
TI, baseando-se nas melhores prticas da norma NBR ISO 17799, divulgando para
todos os funcionrios na contratao (atravs do RH) e em meio eletrnico com por
e-mail e na intranet (gerenciado pela TI). Ela deve abordar questes como a
privacidade, direitos de acesso, responsabilidades e deve refletir os objetivos do
negcio alm de estar de acordo com a cultura organizacional de cada empresa.
importante frisar que deve ser avaliado o custo da implantao de tal
poltica, para que no seja superior ao valor da informao que se est protegendo,
levando-se em conta fatores, como por exemplo a imagem da empresa em caso de
uma falha na segurana da informao.
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS
Em nenhuma das empresas existe um procedimento padro e seguro
para contratar, demitir ou transferir usurios. Convm que os usurios assinem
termos de responsabilidade e/ou acordos de confidencialidade ou no divulgao no
incio da sua contratao ou antes do acesso s instalaes de processamento da
informao [13]. As responsabilidades e direitos legais dos usurios devem ser
claros e formais, sendo recomendado que sejam inseridos dentro dos termos e
condies de trabalho;
63
O RH deve checar as informaes contidas nos currculos e os
certificados dos cursos apresentados pelos candidatos pr-selecionados para uma
contratao, para confirmar a veracidade das informaes. No caso da empresa
Pblica, deve-se avaliar se o funcionrio est apto a exercer a funo que lhe
assiste e tomar as providencias cabveis como transferncia de funo ou
treinamento.
A rea de TI deve criar, transferir ou bloquear um usurio, somente com
uma autorizao do responsvel pela contratao, em geral do RH, por escrito, com
todas as informaes necessrias, como nome completo, setor de destino, funo,
entre outros. At que o novo acesso seja liberado, o futuro usurio no deve utilizar
senha de nenhum outro funcionrio.
No caso da demisso, o responsvel pelo bloqueio de senhas no setor de
TI deve ser comunicado antes do usurio que ser demitido, para que as devidas
providncias de segurana sejam tomadas, de acordo com a prtica da empresa,
seja ela bloquear o usurio, fazer backup dos dados, alterar o acesso para somente
leitura, etc.
4.6.4. POLTICA DE SENHAS FORTES
Nenhuma das empresas utiliza uma poltica de senhas fortes e nem
orienta seus usurios neste sentido. Esta poltica deve estar inserida na poltica de
segurana da informao e conter pelo menos as condies a seguir:
64
- As senhas devem ser nicas e individuais, permitindo a identificao de
cada usurio e responsabilizandoo por suas aes, .
- Os usurios devem estar cientes, formalmente, que devem manter a
confidencialidade de sua(a) senha(s), atravs de um documento escrito sobre seus
direitos de acesso;
- As senhas devem expirar automaticamente em um perodo pr-definido,
solicitando que o usurio altere-a de maneira que ele no possa repetir senhas
antigas e seja obrigado a misturar, no mnimo, letras e nmeros;
- As senhas dos sistemas coorporativos devem ser alteradas com uma
determinada freqncia.
4.6.5. TREINAMENTO DOS USURIOS
Visando assegurar que os usurios esto cientes das ameaas e
transform-los em defensores da segurana da informao, eles devem ser
treinados nos procedimentos de segurana e no uso correto das instalaes da
empresa. Isso inclui os prestadores de servio e terceiros.
Como j foi dito neste trabalho, no importa o valor que uma empresa
invista em tecnologia para a segurana da informao, pois a cooperao dos
usurios autorizados fundamental para eficcia da segurana
65
4.6.6. CONTROLE NO ACESSO DE TERCEIROS
Para o controle de acesso de terceiros e/ou prestadores de servio, deve-
se verificar o tipo de acesso (Lgico ou fsico), as razes para acesso, questes
relativas a confidencialidade das informaes (conforme controle sugerido na
contratao, demisso e transferncia de funcionrios e terceiros).
Para o acesso fsico interno, deve-se verificar a utilizao de uma
identificao que permita rpida confirmao de identidade como um crach com
foto e se possvel o uso de um uniforme e a execuo de um servio deve ser
acompanhada por um documento com a logomarca da empresa (Ordem de servio),
contendo no mnimo o motivo da interveno, a data, a hora e o nome do tcnico;
Deve estar claro, e em contrato, a questo sobre definio de
responsabilidade (Em caso de acidentes) e, antes de qualquer acesso s
instalaes, os tcnicos devem ser treinados nos procedimentos de segurana;
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET
Existem pequenas medidas de restries de acesso Internet, em ambas
empresas, que utilizam a tecnologia, mas no existe nenhum termo de uso de e-mail
e Internet para orientao e conscientizao dos usurios.
A criao de um termo que regulamenta o uso do e-mail e Internet
fundamental e deve ser includa na poltica de segurana da informao. Ele deve
66
incluir proteo de anexos, orientao de quando no se deve utiliz-los,
responsabilidade sobre o uso indevido, uso de criptografia em mesagens com
informaes da empresa, entre outros. Alm disso, a TI deve monitorar os acessos
Internet e bloquear os acessos a sites que no agregam valor ao negcio.
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS
Em ambas as empresas os principais equipamentos que podem por em
risco a segurana da informao (Servidores, switchs, entre outros) s esto
parcialmente protegidos do acesso a pessoas no autorizadas.
Deve-se realizar um levantamento de todos os equipamentos crticos e
definir a melhor maneira para proteg-los, verificando inclusive a necessidade de
Implementao de mecanismos de segurana fsica como por exemplo circuitos
fechados de TV e fechaduras eletrnicas.
4.6.9. DESCARTE DE MDIAS REMOVVEIS
Informaes importantes podem ser divulgadas atravs da eliminao de
mdias de maneira descuidada. A empresa privada afirma ter um cuidado com o
descarte de mdias removveis, mas no informa quais. Sugerimos a utilizao de
um triturador de papel em reas com informaes consideradas confidenciais como
a T.I. e o RH, alm de um controle sobre as mdias removveis, desabilitando este
recurso nas mquinas que no devem utiliz-lo, alm da orientao aos usurios na
utilizao das mesmas.
67
Pode-se criar uma coleta de descarte seguro, de maneira que todas as
mdias removveis a serem inutilizadas sejam encaminhadas para um responsvel
pelo descarte seguro das mesmas.
4.6.10. CRIPTOGRAFIA
No existe cultura de utilizao da criptografia em nenhuma das empresas.
Sugerimos que esta cultura seja inserida em ambas as empresas de forma
gradativa, iniciando com um grupo de usurios, sugerimos a T.I., e em seguida seja
expandido para outros usurios, como os que utilizam notebook, os do RH e os
demais usurios que trocam informaes confidenciais das empresas.
4.6.11. COMPUTAO MVEL E ACESSO REMOTO
Cuidados especiais so necessrios para a utilizao de computao
mvel. Convm que os usurios sejam formalmente alertados dos riscos para a
segurana da informao com a computao mvel.
Alguns controles podem ser implementados como precauo para
diminuir estes riscos, como a orientao de que o usurio sempre mantenha o
equipamento longe de acesso de pessoas no autorizadas como parentes e
visinhos, atualize seu antivrus freqentemente, utilizao de senha na inicializao
68
do equipamento, cuidados contra roubo dos equipamentos e o uso freqente da
criptografia em arquivos com informaes da empresa;
Para a empresa privada que utiliza acesso remoto, o acesso remoto deve
ser autorizado e controlado o desenvolvimento de polticas, procedimentos e normas
especficas, que abordem questes como por exemplo, qual trabalho permitido, as
horas de trabalho e o acesso de pessoas no autorizadas ao equipamento de onde
se faz o acesso remoto.
4.6.12. CONTROLES GERAIS
Para minimizar os riscos de roubo e exposio de informaes, ambas
instituies, devem adotar a poltica de mesa limpa em toda a instituio,
principalmente na empresa pblica, onde o percentual de usurios que tem esse
costume menor. Sugerimos que seja feito uma sensibilizao para que os
usurios mantenham vista somente os papeis que esto sendo utilizados no
momento, bloqueiem os terminais quando no estiverem em uso, informaes
impressas devem ser retiradas imediatamente da impressora e, ao sarem da
empresa, mantenham os micros desligados e os papeis com informaes
confidenciais em gavetas adequadas, preferencialmente com fechadura.
Todos os usurios devem estar cientes, formalmente, que equipamentos,
informaes ou softwares so de propriedade da empresa e no devem ser retirados
da mesma sem autorizao.
69
4.6.13. FRUM DE SEGURANA
O processo de segurana da informao responsabilidade de todos os
usurios da direo da empresa, porm, natural que, ao menos nas empresas
estudadas, os setores de RH e TI liderem a implantao dos controles citados.
Desta forma, com base na norma NBR ISO 17788, sugerimos que seja
criado um frum de gesto da segurana da informao, multifuncional onde os
setores mais relevantes na empresa estejam representados. Seu principal objetivo
de garantir uma implantao adequada, realizando anlises crticas e monitorao
necessrias para que a segurana seja parte de todo e qualquer processo na
empresa.
70
5. CONCLUSO
O procedimento proposto neste trabalho nos permitiu realizar um
levantamento da atual conscincia dos usurios, quanto importncia da
informao acessada pelos mesmos, de maneira que o impacto da engenharia
social na segurana da informao pde ser avaliado com base na anlise dos
questionrios aplicados.
Alinhado anlise da conscincia dos usurios, foram analisados os
processos das reas de recursos humanos e de tecnologia da informao, no que
diz respeito engenharia social. Toda a anlise foi realizada em duas empresas
com caractersticas diferentes, permitindo assim que o procedimento criado possa
ser utilizado em vrios tipos de empresas, independente de suas caractersticas.
Aps a anlise da pesquisa, utilizamos a norma NBR ISO 17799, Cdigo
de Prtica para Gesto da segurana da Informao, como base para propor um
leque de controles que visam minimizar as falhas de segurana da informao e os
riscos de ataques bem sucedidos de engenharia social, aumentando a segurana
nas pessoas e conscientizando seus usurios da importncia da informao da
empresa para que eles cumpram seu papel de agentes da segurana da informao.
Porm este trabalho limita-se apenas ao diagnstico do problema. As
aes necessrias implantao dos controles so de responsabilidade de cada
empresa que, aps este trabalho, j esto com os seus pontos crticos na segurana
71
da informao identificados e, para cada um deles, existe aqui um ou mais controles
que visam eliminar as falhas existentes.
Muitas empresas investem nas melhores tecnologias de segurana e,
muitas vezes esquecem de tratar o elo mais fraco na segurana da informao: o
fator humano. Desta forma, a metodologia utilizada neste trabalho permite que
empresas implementem controles que minimizem o risco de ataques de engenharia
social com um baixo custo.
72
6. ANEXOS
6.1.ANEXO I QUESTIONRIO APLICADO AOS
USURIOS
PESQUISA SOBREA SEGURANADA INFORMAO
ARACAJU, ____ / ____ DE2004
SOBREOFUNCIONRIO
1.Faixaetria
a) [ ]At20anos
b) [ ]De21a30anos
c) [ ]De31a40anos
d) [ ]Acimade40
2.Sexo
a) [ ]Masculino
b) [ ]Feminino
3.Funo
a) [ ]Gerencial (Chefedediviso, ChefedeGabinete, Diretoria, etc...)
b) [ ]Operacional (Agenteadministrativo, Oficial administrativo,
Auxiliar deGabinete, etc...)
c) [ ]Terceirizados(Prestadores deServios, estagirios, etc...)
4.TrabalhanaEMPRESAa
a) [ ]Menosde1ano
b) [ ]De1a5anos
c) [ ]De6a10anos
d) [ ]Acimade10anos
5.Possuioutroemprego?
a) [ ]Sim, na mesmareaemque trabalhonaEMPRESA
b) [ ]Sim, emoutrarea
c) [ ]No
SOBRE SENHAS
6.Algum,almdevoc,sabea(s)sua(s)senha(s)utilizada(s)paraacessar informaesda
EMPRESA? [ ] Sim [ ] No
7.Vocutilizaasenhadealgumoutrofuncionrioparaacesso informaesdaEMPRESA?
[ ] Sim [ ] No
8.Vocanotaassuassenhasemalgumlocalprximoaocomputador,naagenda,oulocalsimilar?
[ ] Sim [ ] No
9.Vocdeixaoutraspessoasutilizaremsuasenhaparaalgumtrabalhorpido?[ ] Sim [ ] No
10.Comquefreqnciavocaltera(s)sua(s)senha(s):
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Somentequandoosistemasolicitaalterao
e) [ ]Sempreutilizo mesmasenha
SOBREDIVULGAODE INFORMAES
11.Comovocprocedeparafornecer informaes,quevoctemacesso,solicitadasportelefoneoue-
mail?
a) [ ]Forneoainformao, poisnohnadaconfidencial emminharea.
b) [ ]Forneoainformaoapsidentificar osolicitante
c) [ ]Solicitoautorizaoa meusuperior paraliberar ainformao;
d) [ ]Outros:
_________________________________________________________________________________
SOBREA EMPRESA
12.AEMPRESApossuipolticadecomunicao interna?[ ] Sim [ ] No
13.As informaessoclassificadasnaEMPRESA(confidencial,secreta,pblicaetc.)[ ] Sim [ ] No
14.AEMPRESApossuiumresponsvelpelacomunicaoexterna?[ ] Sim [ ] No
15.AEMPRESApossuialgumaorientaoquantodivulgaode informao?[ ] Sim [ ] No
16.Vocsabequaisas informaessovitaisparaonegciodaEMPRESA?[ ] Sim [ ] No
17.AEMPRESApossuipolticadeseguranada informao?[ ] Sim [ ] No
SOBREACESSO INFORMAO
18.NestemomentoexistealgumpapelsobresuamesacominformaessobreaEMPRESA?
[ ] Sim [ ] No
73
19.Aosairvoccostumadeixarsuasmesa limpa,sempapis?
[ ] Sim [ ] No
20.AosairvoccostumadeixarseucomputadorbloqueadoouefetuaroLogOff?
[ ] Sim [ ] No
21.Oseusetorpossui informaesconsideradasconfidenciais?
[ ] Sim [ ] No
22.Nasuaopinio,todososfuncionriosdoseusetorsabema importnciadas informaesda
EMPRESA?
[ ] Sim [ ] No
23.Nasuaopinio,seriadifcilpessoasexternasconseguireminformaes importantesna
EMPRESA?
[ ] Sim [ ] No
24.Quaisostiposde informaesquevoctemacesso?
a) [ ]Informaesoperacionais
b) [ ]Informaesgerenciais
c) [ ]Informaesconfidenciais
d) [ ]Informaesimprescindveiscontinuidadedonegcio
e) [ ]No tenhoacessoanenhumainformaoimportante
SOBREOSSISTEMASUTILIZADOS
25.Dossistemasabaixo,quaisvocutiliza?
a) [ ]SistemadePonto
b) [ ]SistemaFinanceiroe/ouContbil
c) [ ]SistemadePatrimnio
d) [ ]FolhadePagamento
e) [ ]Sistemaoramentrio
f) [ ]Sistemascominformaesgerenciais
g) [ ]Outros__________________________________
_____________________________________________
OBSERVAES
26.Qualquerobservaosobrealgumaresposta,favor informarondaquestoeaObservao:
74
6.2.ANEXO-II QUESTIONRIO APLICADO AO RH
PESQUISA SOBREA SEGURANADA INFORMAO APLICADAAORH
ARACAJU, ____ / ____ DE2004
SOBREACONTRATAODEFUNCIONRIOS
1. Apolticadeseguranada informaodivulgadaaosnovoscontratados?
a) [ ]Sim
b) [ ]No
c) [ ]Noexistepolticadeseguranadainformaonaempresa
2. Osfuncionriosassinamalgumtermoderesponsabilidadee/oudeconfidencialidadesobreas
informaesdaempresa?
a) [ ]Sim
b) [ ]No
3. Existealgumaorientaoderestrioquantoutilizaodee-mail,Internetoutelefone?
a) [ ]Sim, por escritoeassinada;
b) [ ]Sim, atravsdoServidor daredeedacentral telefnica
c) [ ]Noexiste
d) [ ]Outros
5. As informaes(geralmentecontidasnocurrculo)doscandidatos,fornecidasnoprocessode
seleo,sochecadasantesdacontratao?
a) [ ]Sim
b) [ ]No
c) [ ]Outros
7. Osfuncionriosrecmcontratados ...
a) [ ]Acessamossistemasearedeutilizandoassenhasdeoutros funcionriosatqueassuassejam
criadas;
b) [ ]Soencaminhadosdiretamenteaosetor deTI paracadastronaredeenosdemaissistemas;
c) [ ]Aguardamoprocessodecriaodee-mail esenhasapsumdocumentointernoser enviadodoRH
paraosetor deTI informandoquaissistemas o mesmo teracesso;
d) [ ]Tmseusnomese funesinformadosaosetor deTI, viae-mail ou fax, paraprovidenciasdesenhas;
e) [ ]Outros
a) [ ]Acessamossistemasearedeutilizandoassenhasdeoutros funcionriosatqueseunovoacesso
sejaliberado;
b) [ ]Soencaminhadosdiretamenteaosetor deTI paraalteraodocadastronaredeenosdemais
sistemas;
c) [ ]Aguardamoprocessodealteraodeacesso, apsumdocumentointernoser enviadodoRHparao
setor deTI solicitandoatransferncia;
d) [ ]Tmseusnomese funes(novas eantigas) informadosaosetor deTI, viae-mail ou fax, para
providenciasdebloqueioeliberaodeacesso.
e) [ ]Outros
10.Emcasodeoutros,qual?
75
SOBREADEMISSODEFUNCIONRIOS
11.Oacessoaossistemaserededosfuncionriosdemitidos ...
a) [ ]Sobloqueadosantesdademisso;
b) [ ]Sobloqueadosapso funcionrioremover seusarquivospessoaisdarede;
c) [ ]Nuncasobloqueados;
d) [ ]Outros
13.Oacessodosfuncionriosdemitidossinstalaesdaempresa...
a) [ ]Continuaomesmosemrestries;
b) [ ]restritorecepo;
c) [ ]No mais permitido
d) [ ]Outros
SOBREACONTRATAODETERCEIROS
15.Apolticadeseguranada informaodivulgadasemprenacontrataodeterceirizados?
a) [ ]Sim
b) [ ]No
c) [ ]Noexistepolticadeseguranadainformaonaempresa
16.Osterceirizadosassinamalgumtermoderesponsabilidadee/oudeconfidencialidadesobreas
informaesdaempresa?
a) [ ]Sim
b) [ ]No
17.Osterceirizados recmcontratados ...
a) [ ]Acessamossistemasearedeutilizandoassenhasdeoutros funcionriosatqueassuassejam
criadas;
b) [ ]Soencaminhadosdiretamenteaosetor deTI paracadastronaredeenosdemaissistemas;
c) [ ]Aguardamoprocessodecriaodee-mail esenhasapsumdocumentointernoser enviadodoRH
paraosetor deTI informandoquaissistemas o mesmo teracesso;
d) [ ]Tmseusnomese funesinformadosaosetor deTI, viae-mail ou fax, paraprovidenciasdesenhas;
e) [ ]Outros
OBSERVAES
18.Qualquerobservaosobrealgumaresposta,favor informarondaquestoeaObservao:
76
6.3.ANEXO-III QUESTIONRIO APLICADO INFORMTICA
PESQUISA SOBREA SEGURANADA INFORMAO APLICADATI
ARACAJU, ____ / ____ DE2004
SOBREACONTRATAO/DEMISSODEFUNCIONRIOS
1. Ocadastrodesenhadefuncionriosnovos...
a) [ ]Bastaqueousuriocompareasaladainformticasolicitandoacriaodasenha;
b) [ ]realizado mediantesolicitaopor e-mail doGerentedarea;
c) [ ]Somenteapsumdocumentointernoser enviadodoRHparaosetor deTI informandoquais sistemaso
mesmo teracesso;
d) [ ]Outros
a) [ ]Solicitamatransfernciadiretamenteinformtica;
b) [ ]So transferidos mediantesolicitaopor e-mail doGerentedarea;
c) [ ]Aguardamoprocessodealteraodeacesso, apsumdocumentointernoser enviadodoRHparaosetor de
TI solicitandoatransferncia;
d) [ ]Outros
5. NoprocessodeDemissodefuncionrios,ainformtica...
a) [ ]Bloqueiaosacessosredeedossistemascorporativosantesdademisso;
b) [ ]Osacessossobloqueadosapso funcionrioremover seusarquivospessoaisdarede;
c) [ ]Osacessosnuncasobloqueados;
d) [ ]Outros
SOBRE SENHAS
7. Existeumapolticaparautilizaodesenhasfortes?
[ ] Sim, aindanodivulgada;
[ ] Sim, emplenofuncionamento
[ ] No
8. Assenhasdeacessoredeexpiramautomaticamenteemumdeterminadoperododetempo?
[ ] Sim [ ] No
9. Assenhasdossistemascorporativosso mudadascomquefreqncia?
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Esporadicamenteemmanutenesdosistema
e) [ ]Nunca
77
10. permitidaautilizaodesenhas compartilhadas (umasenhanicaparausurios deum
setorporexemplo)?
[ ] Sim [ ] No
SOBRETERCEIROS/PRESTADORESDESERVIO
11. Existe algum mecanismo para identificao dos terceiros, prestadores de servio e
funcionrios,(Crachcomfoto,Uniforme,etc)?
a) [ ] Sim;
b) [ ] No;
12. Oatendimentodeprestadoresdeservioeterceiroscontroladoporalgumtipodeordemde
serviocoma logomarcadaempresaemqueeletrabalha??
a) [ ] Sim;
b) [ ] No;
SOBRE SEGURANADA INFORMAO
13. Existeumapolticadeseguranada informaonaempresa?
a) [ ]Sim
b) [ ]No
c) [ ]Em fasededesenvolvimento
14. Existemrestriesdeacesso Internetee-mail?
a) [ ]Sim
b) [ ]No
15. Emcasodesim,quais?
16. Os Principais equipamentos de informtIca (Switches,Servidorer, Roteadores,...) esto
realmenteprotegidosdeacessonoautorizado?
a) [ ]Sim;
b) [ ]Parcialmente;
c) [ ]No;
17. Existecuidadocomodescartede mdiaremovvel(Documentos impressos,fitas magnticas,
CDR,CDRWentreoutros)?
a) [ ]Sim;
b) [ ]No;
18. Utilizamcriptografianacomunicaoqueenvolva informaesdaempresa?
a) [ ]Sim;
b) [ ]No;
19. Existeantivruscorporativocomatualizaoautomticadasestaes?
a) [ ]Sim;
b) [ ]No;
78
SOBRECOMPUTAOMVELETRABALHOREMOTO
20. Oscomputadores mveispossuemvalidaodesenhaantesdoacessoaosistema
operacional?
a) [ ]Sim;
b) [ ]No;
c) [ ]Nohcomputadores mveis
21. Os usurios dacomputaomvel soorientadosquantoaoscuidados especiais quedevem
ter com, por exemplo, atualizao de antivrus, acesso no autorizado e divulgao de
informaes ali armazenadas?
a) [ ]Sim;
b) [ ]No;
c) [ ]Nohusuriosdecomputao mvel
22. Existeacessoremotoaossistemasdaempresa?
a) [ ]Sim, aos funcionrios;
b) [ ]Sim, para terceiros;
c) [ ]No;
23. Sesim,quaisoscontrolesutilizadosparaestesacessos?
a) [ ]Alteraesdesenhascom maior freqncia;
b) [ ]Orientaoaosusurios;
c) [ ]Definiodehorriosparaacesso;
d) [ ]Anlisedelogsdeacesso;
e) [ ]Nenhum
OBSERVAES
6
.
4
.
A
N
E
X
O

I
I
I
C
R
O
N
O
G
R
A
M
A
A
t
i
v
i
d
a
d
e
N
o
v
D
e
z
J
a
n
F
e
v
M
a
r
A
b
r
M
a
i
J
u
n
J
u
l
A
g
o
S
e
t
O
u
t
N
o
v
D
e
z
J
a
n
F
e
v
M
a
r
A
b
r
M
a
i
J
u
n
J
u
l
L
e
v
a
n
t
a
m
e
n
t
o
b
i
b
l
i
o
g
r
f
i
c
o
E
l
a
b
o
r
a
o
d
o
P
r
o
j
e
t
o
E
l
a
b
o
r
a
o
d
o
s

Q
u
e
s
t
i
o
n
r
i
o
s
A
p
l
i
c
a
o
d
o
s
q
u
e
s
t
i
o
n
r
i
o
s
E
s
t
u
d
o
d
o
s
P
r
o
c
e
s
s
o
s
d
o
R
H
A
v
a
l
i
a
o
d
a
P
e
s
q
u
i
s
a
C
r
i
a
o
d
o
s
C
o
n
t
r
o
l
e
s
e
A
e
s
E
l
a
b
o
r
a
o
d
o
R
e
l
a
t
r
i
o

F
i
n
a
l
A
p
r
e
s
e
n
t
a
o
*

I
n
c
i
o
d
o
p
r
o
j
e
t
o
:
N
o
v
d
e
2
0
0
3
.
P
D
F
c
r
i
a
d
o
c
o
m
v
e
r
s
o
d
e

t
e
s
t
e
d
o
p
d
f
F
a
c
t
o
r
y
P
r
o
.
P
a
r
a
c
o
m
p
r
a
r
,
a
c
e
s
s
e
w
w
w
.
d
i
v
e
r
t
i
r
e
.
c
o
m
.
b
r
/
p
d
f
F
a
c
t
o
r
y
7. GLOSSRIO
Biometria
Sistema de identificao de usurios que utiliza caractersticas fsicas, como por exemplo
a impresso digital, a ris, a voz entre outros.
Cavalos de Tria
Programas que so aparentemente inofensivos, mas que, ao serem executados, iniciam
de forma escondida, ataques ao sistema.[16]
Engenheiro social
Geralmente Hackers que tentam ganhar a confiana dos usurios no intuito de conseguir
informaes teis em seus ataques. Tentam se passar por um usurio autorizado e
ganhar o acesso ilcito aos sistemas. [16]
Hackers
Pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. [16]
internet banking
a Home Page de um banco. O site onde so oferecidos basicamente os mesmos
servios de uma agencia bancria. Atravs do site de um banco um cliente pode realizar
transferncias bancrias, pagamentos, etc.
Malware
Os vrus, trojans, worms , entre outros, so batizados a genericamente de Malwares;
Poltica de Segurana
O conjunto das leis, diretrizes, regras, e das prticas que regulam como uma organizao
controla, protege, e distribui a sua informao.[16]
Procedimentar:
Padronizar uma ao ou um processo em documento oficial.
Script kiddies
So, em geral, adolescentes que utilizam ferramentas e receitas prontas para ataques
virtuais. Atacam somente pela curiosidade e muitas vezes no esto interessados em
pegar informaes, mas sim por a prova seus conhecimentos.
Smart cards
Carto semelhantes aos cartes de crditos e que geralmente so utilizados na
identificao do usurio para controle de acesso, convnios mdicos e tambm como
dinheiro eletrnico.
Spywares
Spyware geralmente includo na instalao de algum outro software gratuito. Tem o
objetivo de coletar informaes sem o conhecimento do usurio, e envi-las para
anunciantes ou para o desenvolvedor do software. Ele pode coletar e transmitir
informaes sobre teclas pressionadas, hbitos de navegao na Web, senhas,
endereos de e-mail entre outros.
TI
Sigla que significa Tecnologia da informao. Aqui citado como sendo o setor
responsvel em manter a tecnologia utilizada na empresa de maneira a garantir que a
informao esteja disponvel e segura para todos que possuem acesso mesma.
Corresponde ao ento setor de informtica.
Usurio
Pessoa que opera um microcommputador, que tem acesso informaes da empresa
atravs e que faz parte do escopo deste projeto.
8. REFERENCIAS BIBLIOGRFICAS
[1] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de
dezembro de 2000.
[2] LIMA, MAYKA DE SOUZA. Metodologia para Desenvolvimento de Polticas de
Segurana. Aracaju,2001. 152p. Monografia de Graduao de curso de Cincia da
Computao. UNIT- Universidade Tiradentes, 2001.
[3] WADLOW, Thomas A. Segurana de Redes : Projeto e gerenciamento de redes
seguras. Traduo : Fbio Freitas da Silva. Rio de Janeiro : Campus, 2000. 269 p.
[4] COMER, Douglas E. Interligao em redes com TCP/IP: Princpios, protocolos e
arquitetura. Traduo : ARX Publicaes. Rio de Janeiro : Campus, 1998. 672 p.
[5] MCCARTTHY, Mary pat; CAMPBELL, Stuart. Transformao na Segurana
Eletrnica: Estratgia e gesto da Defesa Digital. Traduo: Celso Roberto Paschoa.
So Paulo: Pearson Education do brasil, 2003. 184 p.
[6]Agencia Folha Entrevista com Kevin Mitnick. Disponvel em: <
http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de
novembro de 2003.
[7] MODULO SECURITY SOLUTIONS. Ameaa alm do firewal: Por que as empresas
devem se preparar contra a Engenharia social. Disponvel em: <www.modulo.com.br>.
Acesso em: 08 de novembro de 2003.
[8] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurana da Informao. Traduo : Ktia Aparecida
Roque. So Paulo: Pearson Education do brasil, 2003. 278 p.
[9] CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de
informao. So Paulo: Administrao regional do SENAC , 1999. 367 p.
[10] ZORRINHO, C. (1995)-Gesto da Informao. Condio para Vencer. Iapmei
pg.15.
[11]. Computarword. O Brasil ainda investe pouco em segurana da informao.
Disponvel em: <http://idgnow.terra.com.br/idgnow/corporate/2002/04/0033>. Acesso em:
24 de abril de 2004.
[12] SCHNEIER, Bruce. Segurana .com: Segredos e mentiras sobre a proteo na vida
digital. Rio de janeiro: Campus, 2001. 403 p.
[13] NORMA NBR ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas: itens 6.1.3 e 6.1.4. ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.
[14] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas: itens 2.1 ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.
[15] MODULO SECURITY SOLUTIONS. Ferramenta gratuita ajuda usurios no
combate s fraudes de internet. Disponvel em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=3139&pagenumber=0&idi
om=0. Acesso em: 27 de julho de 2004.
[16] MODULO SECURITY SOLUTIONS. Glossrio. Disponvel em:
http://www.modulo.com.br/pt/page_i.jsp?page=50&tipoid=12&pagecounter=0. Acesso em:
27 de julho de 2004.

O Impactor Da Engenharia Social Na Segurança Da Informação

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

O Impactor Da Engenharia Social Na Segurança Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE TIRADENTES

LUCIANO ALVES LUNGUINHO SANTOS

1.2.2. OBJETIVOS ESPECFICOS

Você também pode gostar