P. 1
Segurança da Informação e Engenharia Social

Segurança da Informação e Engenharia Social

|Views: 688|Likes:
Publicado porJosué Costa Jr

More info:

Published by: Josué Costa Jr on Feb 05, 2012
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/29/2013

pdf

text

original

JOSUÉ COSTA JÚNIOR

SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social

JEQUIÉ-BA. 2012

JOSUÉ COSTA JÚNIOR

SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social
Artigo apresentado ao curso de pósgraduação como requisito obrigatório para obtenção do título de especialista em Gestão em Tecnologia da Informação, da Faculdade de Tecnologia e Ciência. Orientador: Prof. MsC. Saulo Correia Peixoto

JEQUIÉ-BA. 2012

Coordenador do Curso de Nome do Curso FACULDADE DE TECNOLOGIA E CIÊNCIAS DE UNIDADE (CIDADE) JEQUIÉ-BA. Titulação.FOLHA DE APROVAÇÃO Nome do aluno: _____________________________________________________ Curso: _____________________________________________________________ Título do Artigo:_____________________________________________________ PARECER: 1) Trabalho aprovado sem alteração 3) Trabalho não aprovado – comentar Comentários: ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________ NOTA:___________ Data de aprovação / / • • 2) Trabalho aprovado com sugestão – comentar BANCA EXAMINADORA: Orientador Prof. FACULDADE DE TECNOLOGIA E CIÊNCIAS DE UNIDADE (CIDADE) Prof. 2012 .

São Judas Tadeu. Conclui que. 1 Pos-graduando em Gestão em Tecnologia da Informação. a reformulação contínua de políticas de segurança. information. Social. E-mail: josuecostajr@gmail. 357. Engenharia. Awareness. Conscientização. a informação. Seu objetivo é identificar ferramentas.204-010. while not definitive. Revisa textos com base nos conceitos e fundamentos da segurança. Metodologia do Ensino Superior. Revises text based on the concepts and fundamentals of safety. e Bacharel em Ciências da Computação. o comprometimento dos profissionais da alta gestão da empresa diante deste tema. Auditoria Fiscal e Criminalística. Jequié/Bahia. Key Words: Security. and on tendencies in attacks against an organization's greatest asset. a melhor forma de minimizar as vulnerabilidades humanas diante de ataques de engenharia social é. Concludes that. medidas e principalmente atitudes comportamentais que poderiam minimizar ataques contra sistemas de informação das organizações. Informação. E-mail: saulopeixoto@hotmail. awareness and on going training of staff and especially the commitment of top management professionals company on this issue. Palavras Chave: Segurança.com . ABSTRACT This study discusses different views of authors on information security and social engineering. Mestre em Administração Pública. Engeneering.FTC.com 2 Professor Orientador da Faculdade de Tecnologia e Ciências . Information. sobretudo. mesmo não sendo definitiva. e nas tendências de ataques contra o maior ativo de uma organização. Especialista em Redes de Computadores. Rua Antônio Orrico. CEP: 45. tactics and especially behavioral attitudes that could minimize attacks against information systems of organizations. Your purpose is to identify tools. the best way to minimize human vulnerabilities facing social engineering attacks is continuous reformulation of security policies. pela Faculdade de Tecnologia e Ciências – FTC. a conscientização e o treinamento contínuo de pessoal e.4 SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social Josué Costa Júnior1 Saulo Correa Peixoto2 RESUMO Este estudo discute diversos pontos de vista de autores sobre segurança da informação e engenharia social. Human. Humano. Social.

com. (SIQUEIRA. são minimas tarefas. fibra-ótica. manutenção e desenvolvimento das organizações de forma plena e organizada. aplicações remotas. No cenário corporativo. Sejam em diferentes aspectos ou em épocas distintas a informação ganhou seu espaço tornando-se o bem mais valioso do século atual. Nesta realidade empresarial moderna percebe-se o quanto as empresas tem se tornado cada vez mais dependentes da informação – muito mais digitalizada. lixo eletrônico. moeda eletrônica. telefonia digital. A facilidade para roubar senhas e códigos de acesso e assim ganhar acesso indevido à informação. ensino à distância. se tornou tão incrivelmente iminente quanto o crescimento tecnológico das últimas décadas. A informação e o conhecimento tornaram-se os principais recursos econômicos para a competitividade das empresas. Para Siqueira (2005). quando do anúncio do iPad2. Compras online. da Apple. entre outros. pagamentos e transferências bancárias. assinatura digital.br/blog/tecnologia/2011/12/12/a-era-pos-pc/ . Fonte: http://computerworld.uol. na mesma proporção que o uso destas facilidades abriram novas fronteiras e tornaram a sociedade moderna na “sociedade da informação”. criando uma necessidade de valorização. necessária às empresas que buscavam maior velocidade nas ações. No entanto. a sociedade moderna realiza atividades por meios eletrônicos. É real e suas consequências irão revolucionar o uso dos equipamentos pessoais. Vivendo na era pós-PC 3. Cada vez mais no ambiente corporativo se ouve falar em: videoconferência. E não é uma buzzword. e-commerce. biblioteca virtual. conectividade. que antes exigiam ações presenciais e manuais de seus realizadores. os mercados empresariais também se modificaram com essa nova realidade. certificados digitais. atualmente. Sêmola (2003) diz que compartilhar informação passou a ser considerada uma prática moderna de gestão. compartilhada e distribuída – 3 O termo pós-PC começou a ser badalado em uma entrevista de Steve Jobs. também se abriram outras possibilidades: ações que ameaçam a segurança. correio eletrônico. possíveis de serem realizadas por meios eletrônicos. 2005).5 1 INTRODUÇÃO De todas as mudanças que marcaram a sociedade chamada produtiva nas últimas décadas. comunicação por mensagens instantâneas ou voz. Com este crescimento a tecnologia da informação se difundiu tão rapidamente que ninguém mais sobrevive a este contexto sem algum tipo de dispositivo eletrônico que possibilite o acesso à rede mundial (internet). nenhuma foi mais importante que o aumento da informação.

como por exemplo. que a mantém. as organizações devem ter cuidado com todo o tipo de informação que circula dentro dela. demonstram que a segurança da informação nos ambientes corporativos merece uma maior atenção. se torna um dos fatores predominantes na “quebra” da confidencialidade de informações vitais ao negócio. . Diante do exposto surge então o problema motivador desta pesquisa: Quais são as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurança da informação diante de ataques de Engenharia Social? O tema deste estudo tem como base a vulnerabilidade da Segurança da Informação diante da Engenharia Social. Entretanto. o despreparo de colaboradores envolvidos nas áreas de gestão. mostrando assim que a maior das falhas constatada ainda é a ingenuidade humana. Desde os objetos de proteção até os fatores ambientais.2 Objetivos O objetivo final deste trabalho é identificar as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurança da informação diante de ataques de Engenharia Social.Abordar a importância da gestão da segurança das informações para os executivos .Entender elementos de segurança da informação.1 Problema O surgimento de vários especialistas na prática de crimes baseados na exploração de falhas de arquiteturas e sistemas. 1. que da mesma maneira que cada pessoa deve ter cuidado com seus documentos pessoais. o que o torna extremamente abrangente. referente. no âmbito físico. controla e a gerencia. tecnológico e humano. sobretudo às pessoas que por elas são responsáveis. como rede de relacionamentos do indivíduo e o conhecimento externo que as pessoas tem a seu respeito. são pontos fortes exploráveis dentro desta temática.6 além. os profissionais ligados às áreas administrativas e gerenciais. de todo o material humano e infra-estrutura envolvidos. para lidar e reconhecer situações de riscos. 1. Para tanto foi necessário perpassar os seguintes objetivos intermediários: . .Abordar quesitos relevantes de ameças e vulnerabilidades à segurança da informação nas organizações. E é justamente neste panorama.

pretende discutir os diversos pontos de vista de autores sobre segurança da informação e engenharia social através da revisão de suas obras. Engenharia Social e Gestão da Informação. eventos. dados são itens referentes a uma descrição primária de objetivos. . De acordo com Turban et al (2004). leitura e análise de textos relevantes ao tema do projeto. implica seleção. Quanto aos fins. Quanto aos meios. trata-se de uma abordagem de caráter explicativo. o conteúdo do referencial teórico deste estudo é composto por informações extraídas de livros e artigos na Internet referentes à Segurança da Informação. já que estão sendo utilizados como fonte de informação. . atividades e transações que são gravados. De acordo com Roesch (1999) apud Castro (2006). figuras. obras de vários autores envolvidos nos temas explorados neste trabalho. alfanuméricos. Os dados podem ser numéricos. . som ou imagens. classificados e armazenados. Portanto. 3 REVISÃO DE LITERATURA 3. através de levantamento bibliográfico e estudos de dados e informações que visem compreender o problema proposto. na prática. a pesquisa tem caráter bibliográfico.1 Informação Para chegar ao ponto conceitual da informação é preciso primeiramente entender o conceito que serve de base para a informação: os dados. 2 METODOLOGIA O presente estudo. “a revisão da literatura. seguida de um relato por escrito”.Verificar questões de ética quanto à segurança da informação para os profissionais envolvidos nas diversas áreas de gestão de uma organização.Analisar a difusão do conceito de Engenharia Social entre os profissionais da área administrativa e operacional (Treinamento e Conscientização).7 envolvidos na administração de uma Organização. através de sua metodologia. mas não chegam a ser organizados de forma a transmitir algum significado específico.

al. Assim.. Para Sêmola (2003) a informação é o sangue da empresa. Laudon e Laudon (2004) conceituam a informação de forma mais simplificada: dados apresentados em uma forma significativa e útil para os seres humanos. quando diante de um engenheiro social (FILHO. servindo a determinado propósito e sendo de utilidade ao ser humano. chamados ativos. Trata-se de tudo aquilo que permite a aquisição de conhecimento.. a informação cumpre um papel importante para fornecer instrumentos para gestão do negócio. principalmente. conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais. a informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional da empresa. 2004). . Distribuída por todos os processos de negócios e circulando por diversos ativos (tudo o que manipula direta ou indiretamente a informação inclusive ela própria). Filho (2004) diz que informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo. (2004) informação é todo conjunto de dados organizados de forma a terem sentido e valor para seu destinatário. usuários de informações desconhecem seu valor e podem colocar a si ou uma instituição numa condição vulnerável. Este interpreta o significado e tira conclusões do material desenvolvido pelos dados. Segundo Turban et. Na grande maioria das situações. Laudon e Laudon (2004) diz que dados representam eventos que estão ocorrendo nas organizações ou no ambiente físico. os recursos físicos de sistemas de informações. ambientes e tecnologias. procedimentos e quaisquer outros recursos de informação ficam vulneráveis em muitos lugares e a todo instante. software. SÊMOLA (2003:45) De acordo Sêmola (2003 apud Peixoto. 2006). Sêmola (2003) define como informação: “. dados. al. (TURBAN et.. A informação é transmitida de e para a empresa e entre seus integrantes. 2004). antes de terem sido organizados e arranjados de uma forma que as pessoas possam entendê-los e usálos.8 Em concordância com o conceito citado acima. (…) A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo. os quais são alvos de proteção de segurança da informação”.

a impossibilidade de que agentes participantes em transações ou na comunicação repudiem a autoria de suas mensagens. Ele pode se dar por um conjunto de técnicas e ferramentas.2 Segurança da Informação nas Empresas O termo “segurança” abarca políticas. a conformidade com a legislação vigente e a continuidade dos negócios. a expressão “Segurança da Informação” é um termo ambíguo. . Por exemplo: Segurança como “meio”: A segurança da informação visa garantir a confidencialidade. SÊMOLA (2003:44) diz que devemos ter consciência desta ambiguidade. 2. objetivo a ser alcançado. objetivo é prática). e processos que manipulam e executem a informação. rede de comunicação e dados. softwares. Segundo Sêmola (2003). Portanto. autorização e auditoria). roubo ou danos físicos a sistemas de informação. alteração. integridade e disponibilidade da informação. podendo assumir dupla interpretação: 1. ação. 2004). de caráter interdisciplinar. e procedimentos para garantir a continuidade de negócios na ocorrência de acidentes. Resultado da prática adotada. composta de um conjunto de metodologias e aplicações que visam estabelecer: controles de segurança dos elementos constituintes de uma rede de comunicação e/ou que manipulem a informação (por exemplo. (LAUDON e LAUDON. Segurança como uma prática adotada para tornar um ambiente seguro (atividade. Peixoto (2006) diz que o termo Segurança da Informação pode ser designado como uma área do conhecimento que salvaguarda os chamados ativos da informação contra os acessos indevidos. destinadas a salvaguardar hardwares. a fim de identificar o conceito mais apropriado. modificações não autorizadas ou até mesmo sua não disponibilidade. É a característica que a informação adquire ao ser alvo de uma prática de segurança (segura é adjetivo. ao se utilizar este termo. procedimentos e medidas técnicas usados para impedir acesso não autorizado. preservação dos princípios). Segurança como “fim”: A segurança da informação é alcançada por meio de práticas e políticas voltadas a uma adequada padronização operacional e gerencial dos ativos. de autenticação.9 3.

Já na disponibilidade observamos um suporte a um acesso disponível e confiável a informações (o que implica dados e sistemas prontamente disponíveis e confiáveis). integridade e disponibilidade da informação.1 Princípios da Segurança da Informação A Segurança da Informação se tornou um pré-requisito para todo e qualquer sistema de informações. O não repúdio e a autenticidade poderiam ser compreendidos e denominados como responsabilidade 4 Disponível no endereço: http://www.com. assegurando-lhes integridade. Esses elementos constituem os cinco pilares da segurança da informação e. Em conformidade com Peixoto (2003).10 3. são essenciais para assegurar a integridade e confiabilidade em sistemas de informações” FILHO (20044) Com base no artigo escrito por Filho (2004). não repúdio. visando a limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Para Sêmola (2003).htm . são descritos esses três princípios: Confidencialidade: Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo. autenticidade e confidencialidade.espacoacademico.br/042/42amsf. a confidencialidade. é observado que dentro desse contexto o suporte à prevenção de revelação não autorizada de informações tem como suporte. Na integridade vemos a prevenção da modificação não autorizada de informações. disponibilidade. Disponibilidade: Toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que eles necessitarem delas para qualquer finalidade Filho (2004) em seu artigo coloca a segurança da informação sob cinco pilares: “Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações. portanto. a Segurança da Informação é considerada como a prática de gestão de riscos e incidentes que comprometam os três principais conceitos de segurança: confidencialidade. em um momento em que o conhecimento e a informação são elementos de extrema importância para uma organização.2. intencionais ou acidentais. visando protegê-las contra alterações indevidas. Integridade: Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário.

org/wiki/Biometria . ou seja. entre outros. dessa maneira buscar-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem. 3. quando da ocorrência de alguma ameaça surgida.wikipedia. Para Siqueira (2005). Hoje a biometria é usada na identificação criminal. A preservação da disponibilidade garante que o acesso autorizado à informação esteja disponível para fins de negócio contínuo. circuitos internos de televisão. a garantia que toda vez que uma informação for manipulada.11 final e. a preservação da confidencialidade é o que garante o acesso à informação somente por pessoas autorizadas. Fonte: http://pt. ainda tem-se que considerar a 5 Biometria [bio (vida) + metria (medida)] é o estudo estatístico das características físicas ou comportamentais dos seres vivos. 3. sem falhas. A preservação da integridade é a garantia de exatidão da informação. roletas de controle de acesso físico. integridade e disponibilidade) tange como principais questionamentos. máquinas ou processos.2.2 Elementos da segurança da informação Segundo Peixoto (2006) deve-se ter em mente que o alicerce que assegura os princípios básicos da Segurança da Informação (confidencialidade. limitando o acesso às entidades autenticadas.2 Segurança Tecnológica da Informação Sêmola (2003) diz que a lista de dispositivos aplicáveis aos ativos tecnológicos é extensa. Recentemente este termo também foi associado à medida de características físicas ou comportamentais das pessoas como forma de identificá-las unicamente. um conjunto de mecanismos devem ser implementados no ambiente físico voltados a controlar o acesso e as condições destes ambientes.2.2. constante e atemporal às informações. além da diversidade e heterogeneidade de tecnologias.1 Segurança Física da Informação De acordo com Sêmola (2003). 3. alarmes e sirenes. sinalizando registrando. ela esteja íntegra. sejam elas pessoas.2. detectores de fumaça. etc. em três aspectos: Segurança Física. fragmentadores de papel. como por exemplo. impedindo e autorizando acessos e estados. pois. controle de acesso. Segurança Tecnológica e Segurança Humana.2. dispositivos de biometria5. ininterrupto. acionadores de água para o combate a incêndios.

existem dispositivos destinados ao monitoramento. etc. O mais conhecido é o sistema de firewall6. As pessoas que participam desse esforço são denominadas criptoanalistas. Combate a ataques e invasões: Destinados a suprir a infra-estrutura tecnológica com dispositivos de software e hardware de proteção. Para Sêmola (2003) sem identificar a origem de um acesso e seu agente. Em se tratando de Tecnologia da Informação para a Segurança da Informação. identificação e tratamento de tentativas de ataque.org/wiki/Criptoanálise . esta ciência se utiliza de algoritmos matemáticos e da criptoanálise7 para conferir maior ou menor proteção de acordo com a complexidade e estrutura de desenvolvimento (SÊMOLA. Privacidade das comunicações: Nesta categoria. Fonte: http://pt. 6 Firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. proxy de aplicações. tornase praticamente inviável realizar autorizações condizentes com os direitos de acesso. controle de acesso e consequentemente combate a ataques e invasões. Fonte: http://pt. Os componentes criptográficos da segurança da informação tratam da confidencialidade. à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente (SÊMOLA.12 velocidade criativa do setor que apresenta uma nova ferramenta ou equipamento praticamente todo dia. O firewall pode ser do tipo filtros de pacotes. Da fusão da criptografia com a criptoanálise. A criptoanálise é a arte de tentar descobrir o texto cifrado e/ou a lógica utilizada em sua encriptação (chave). este grupo de mecanismos tem papel importante no modelo de gestão de segurança. Muito aplicada na comunicação de dados. bem como dispositivos voltados para a segmentação de perímetros. 2003:122). equipamentos. podendo levar a empresa a compartilhar informações valiosas sem controle. automação e compartilhamento de informações. sistemas e agentes em geral. a criptografia é a principal maneira de combate em relação a este aspecto. Para Sêmola (2003). Os firewalls são geralmente associados a redes TCP/IP. mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informatização. meios e métodos para proteger a confidencialidade das informações através da codificação ou processo de cifração e que permite a restauração da informação original através do processo de decifração. a criptografia é uma ciência que estuda os princípios. os instrumentos aplicáveis aos ativos tecnológicos são divididos por Sêmola (2003) em três famílias: Autenticação e autorização: Destinados a suprir os processos de identificação de pessoas. forma-se a criptologia. filtragem e registro de acessos lógicos.wikipedia.org/wiki/Firewall 7 A criptoanálise representa o esforço de descodificar ou decifrar mensagens sem que se tenha o conhecimento prévio da chave secreta que as gerou.wikipedia. Nesta categoria. 2003).

conta de e-mail criada para este funcionário. Funcionários insatisfeitos ou revoltados por uma demissão devem ser sempre pontos de suspeita em casos às vezes inexplicáveis de perdas de documentos importantes. e softwares de monitoramento e filtragem de conteúdo.13 integridade. Ao pensar em capital humano como um dos elos mais críticos e relevantes para a redução dos riscos. Sêmola (2003) aponta os seguintes controles: seminários de sensibilização. crachás de identificação. dentre inúmeros outros problemas quanto à seguridade de informações internas da empresa. . campanhas de divulgação da política de segurança. softwares de auditoria de acessos. isso deve ser comunicado imediatamente ao setor de T. administrar e manter a gestão da informação através de dispositivos e equipamentos para acesso. de forma a gerar informações para tomada de decisão. De acordo com Peixoto (2006). 3.org/wiki/Tecnologia_da_Informação.I. procedimentos específicos para demissão e admissão de funcionários. procedimentos específicos para tratamento de recursos terceirizados. cursos de capacitação. 8 T. operação e armazenamento dos dados.2. o nome de usuário ou e-mail que serve de identificação pessoal aos internautas. id9. 8 da empresa caso existam identificações em âmbito tecnológico com responsabilidade perante armazenamento da entrada/saída de funcionários no banco de dados. por exemplo. ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim. não repúdio e autenticidade. o exfuncionário representa um grande fator de risco em se tratando de informações confidenciais. pode se tornar um dos principais elementos da quebra de segurança dentro de uma empresa. (Tecnologia da Informação) É a área de conhecimento responsável por criar. o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações. assim como o funcionário que trabalha na empresa. entrega de informações que somente aquele setor deveria saber. 2004). Um funcionário insatisfeito.wikipedia. 9 ID.2. dentre outros meios existentes que autentiquem este funcionário como integrante da empresa (PEIXOTO. termo de confidencialidade. 2006). pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos (FILHO. termo de responsabilidade. Vale.I. senha. enquanto acessam certos sites (sobretudo clientes de e-mail e/ou acesso à internet).3 Segurança Humana Diversos autores defendem que o fator humano é extremamente crucial para a Segurança da Informação no âmbito pessoal e corporativo. no entanto. Quando se demite um funcionário. etc. Fonte: http://pt.

como hackers10.14 3. Segundo Peixoto (2006). . tais como: incêndios naturais. Podem ser causadas por acidentes. integridade e disponibilidade e. escreve que ameaças são muitas vezes consequências das vulnerabilidades existentes. Ameaças involuntárias: Ameaças inconscientes. (SÊMOLA. Quanto à sua intencionalidade elas podem ser assim classificadas: Ameaças naturais: Fenômenos da natureza. Fonte: http://pt. tempestades.. 10 Hackers. são indivíduos que elaboram e modificam software e hardware de computadores. Causadas por agentes humanos. que buscam identificar um ponto fraco compatível. que são as ameaças. agentes ou condições que causam incidentes que comprometam as informações e seu ativos por meio da exploração de vulnerabilidades. enchentes. podemos exemplificar como vulnerabilidades dentro de um ambiente corporativo: Físicas: Estrutura e infraestrutura ruins e mal planejadas. Com base nos conceitos dos dois autores. etc. Peixoto (2006).org/wiki/Hacker. integridade e disponibilidade.3 Ameaça versus Vulnerabilidade A todo instante os negócios. seja desenvolvendo funcionalidades novas. causando impactos aos negócios de uma organização” SÊMOLA (2003:47) Amparando Sêmola (2003). provocando perdas de confidencialidade. Ameaças voluntárias: Ameaças propositais que mais se relacionam com a Engenharia Social. necessitando para tanto de um agente causador ou condição favorável. Quando essa possibilidade aparece a quebra de segurança é consumada. tecnológicos e humanos são alvo de investidas de ameaças de toda ordem.wikipedia. terremotos. as vulnerabilidades por si só não provocam incidentes. as vulnerabilidades são também frutos de ameaças generalizadas e exploradas. além de terem muito conhecimento em informática. 2003). Segundo Sêmola (2003) ameaças são: “. uma vulnerabilidade capaz de potencializar sua ação. Para Sêmola (2003). pois são elementos passivos. etc. que ocorrem quase sempre devido ao desconhecimento. seus processos e ativos físicos. seja adaptando as antigas.. invasores. aferando assim a segurança das informações. consequentemente. provocando assim perdas de confidencialidade.

3. diversas instalações. ausência de políticas de seguranças. falta de sistema de classificação de dados e nenhum plano ou grupo de resposta aos incidentes de segurança. Comunicação: Acessos não autorizados ou perda de comunicação Humanas: Ataques de Engenharia Social. obsolescência ou mal uso de equipamentos. Fonte: http://www. etc. falta de treinamento em segurança. em seu artigo. informações sobre o paradeiro dos empregados deixadas nas mensagens de voice-mail11. vulnerabilidades do fator humano por falta de treinamento. dado a arte de trapacear ou construir métodos para enganar alguém. Costa Jr (2010).pt/signal/sait/voicemail. Hardware: Desgastes. dispositivos e processos que se 11 Um sistema de Voice Mail permite não perder chamadas importantes: se se encontrar ausente as chamadas serão desviadas para o sistema que convidará as pessoas que o querem contactar (os emissores) a gravarem a sua mensagem.1 Engenharia Social O termo “Engenharia Social” abarca todas as possibilidades da exploração do comportamento humano com a finalidade de um indivíduo ser capaz de induzir e manipular outro a agir de determinada maneira. A engenharia social é tratada aproximadamente na mesma linha de pensamento por vários autores. leva em conta o significado das palavras supostamente separadas: “Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas habilitações específicas à criação de estruturas. Peixoto (2006). Software: Erros na instalação e configuração acarretando em acesso indevido.uc.htm . vazamento de informações e até perda de dados. com a finalidade de extrair destas pessoas informações relevantes e cruciais que proporcionarão o acesso a ambientes ou informações realmente de grande valor. Mídias: Dispositivos de armazenamento que podem ser perdidos ou danificados. tais como: um número grande de funcionários. em sua obra. 3.15 Naturais: Danos causados a equipamentos computacionais decorrente de causas naturais. informações de ramal de telefone disponíveis. De acordo Mitnick e Simon (2003) existem alguns fatores que tornam uma empresa vulnerável ao ataque de Engenharia Social.it. define que Engenharia Social […] […] é um termo moderno.

uma definição mais apropriada para Engenharia Social seria. Que interessa à sociedade. com frequência. No entanto. como uma rota para o seu objetivo de ataque. 2003). 1995:687 apud PEIXOTO 2006:4) “Social: Da sociedade.” (MANN... enganando-as. o alvo do ataque pode não ter nem mesmo reconhecido a natureza confidencial da informação que está revelando. Sociável. a manipulação de usuários legítimos pode desempenhar um papel importante em um ataque de engenharia social. algumas vezes. Enganar um guarda de segurança para que ele dê acesso ao prédio usando engenharia social não oferece informações confidenciais diretamente. .16 utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. “manipular pessoas. em conjunto com os dois principais desfechos – perda direta da informação e obtenção de alguma ação desejada pelo agressor. tem a intenção de furtar informações utilizando a habilidade de lidar com pessoas induzindo-as a fornecer informações ou executar ações desejadas pelo agressor. O objetivo do hacker é obter informações que irão permitir que ele obtenha acesso não autorizado a um sistema de valor e as informações que residem no sistema.” (FERREIRA. p. No entanto.” Segundo um dos maiores especialistas na arte da Engenharia Social.” Para MANN (2011).” (FERREIRA. ou relativo a ela. para que forneçam informações ou executem uma ação. a engenharia social pode ser usada para obter diretamente informações confidenciais.a engenharia social é geralmente a hábil manipulação de um hacker da tendência humana natural de confiança. há outras ocasiões em que a ação que um agressor busca pode não ser diretamente planejada com o objetivo de manipular alguém para revelar informações. Segundo Mann (2011).19) A Engenharia Social. (MITINICK. você pode enganar um funcionário para que ele passe os direitos legítimos que tem como usuário. Kevin Mitnick. “Essa definição capta os aspectos distintos de fazer as pessoas de alvos e manipulá-las. De acordo com MANN (2011). 1995:687 apud PEIXOTO 2006:4) Segundo GRANGER (2001): “. portanto. 2011. apesar de muitas vezes as informações não terem sido classificadas de nenhuma maneira. a Engenharia Social “é um termo diferente para definir o uso de persuasão para influenciar as pessoas a concordar com um pedido”.

Assim. naturalmente tentamos adicionar padrões aos eventos. pois não conseguimos ver nenhuma razão para sua ocorrência. . ofereça um melhor ponto de partida na exploração do risco da engenharia social. não consideramos a natureza aleatória dos eventos reais.2 Riscos da Engenharia Social Segundo MANN (2011). Segundo MANN (2011). a combinação de algum impacto (mesmo que pequeno) e uma probabilidade real (mesmo que remota) nos dá um risco (mesmo que pequeno). Assim. pois com a falsa sensação de segurança as pessoas podem dirigir mais rápido. as respostas a um ataque são puro apagamento de incêndio. A consequência negativa disso é que. a existência de air bags (e outros itens de segurança nos carros) pode levar a mais acidentes. Otimismo: Apesar de todas as evidências apontarem para o contrário. Busca de Padrão: A natureza humana tem uma tendência a colocar significado onde não existe nenhum. muitos executivos acreditam estar no controle dos seus sistemas de TI e acham que eventos de segurança acontecem somente com outras organizações. ela pode nos levar a correr riscos desnecessariamente altos. Mann (2011). com frequência. como. e têm muito pouca correlação com qualquer plano pré-elaborado. Percepção tardia: Em muitos casos. pois nós supercompensamos. por exemplo. a “possibilidade de que alguma coisa desagradável ou indesejada acontecerá”. de novo. É preciso que haja alguma chance de um evento ocorrer para criar um risco real. relaciona os seguintes riscos que beneficiariam ataques de engenharia social: Excesso de confiança: Muitos executivos sêniores têm excesso de confiança na segurança das informações de sua organização e subestimam a possibilidade de violações graves (até que elas acontecem). então. uma definição mais apropriada de risco. De acordo MANN (2011). A exemplo. Sem impacto não há risco.3. dois componentes são essenciais para a compreensão do risco: 1) Impacto – precisa haver algum impacto (ou dano) sobre o sistema em questão.17 3. o impacto e a probabilidade devem ser utilizado para discernir quais riscos são realistas para uma organização. 2) Probabilidade – se é garantido que o risco nunca vai acontecer. Supercompensação: Quando desenvolvemos confiança em nossos sistemas de gerenciamento de risco. não estamos interessados.

1 Medidas de segurança Conforme escrito por Sêmola (2003). Sêmola (2003) considera as medidas de segurança como controles que podem ter as seguintes características: Preventivas: Medidas de segurança que tem como objetivo evitar que incidentes venham a ocorrer. a limitação do impacto ou minimização do risco de qualquer forma. geralmente parecem ser reduzidos. procedimentos e mecanismos usados para proteção da informação e seus ativos. que podem impedir que as ameaças explorem vulnerabilidades. Fanatismo: É a tendência a prender-se a uma visão do futuro (e ao risco associado a ele). 3. a fim de evitar que as mesmas explorem vulnerabilidades. medidas de segurança são práticas. Complacência: Os riscos com os quais estamos familiarizados. Medidas Defensivas Contra Engenharia Social Kevin Mitnick. a despeito de todas as evidências que apontam para o fato de essa ser a estratégia de mais alto risco disponível. Detectáveis: Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças. Inércia: Não fazer nada é a escolha feita em muitas ocasiões.4.18 Miopia: Envolve o erro de considerar o passado recente e uma visão do futuro próximo como os únicos períodos indicados para avaliação de risco. 2006:56). diz que: “A verdade é que não existe tecnologia no mundo que evite o ataque de um Engenheiro Social (MITINICK e SIMON. um dos maiores especialistas no assunto. 3. 2003 apud PEIXOTO. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança da instituição.” Contudo a ideia é dificultar ao máximo a concretização dos planos que o Engenheiro Social tem em mente e deseja por em prática. mesmo quando a evidência fortemente aponta para um ambiente que está mudando e ignorar o fato de que desenvolver uma nova estratégia seria inteligente.4. Corretivas: ações voltadas à correção de uma estrutura tecnológica e humana para que as . a redução das vulnerabilidades.

e a Resistência Sistêmica – capacidade do sistema de informação de resistir a um ataque de engenharia social sem contar com a intervenção humana. Exemplo: quando um indivíduo que foi enganado para mandar uma informação para alguém externo por e-mail descobre que o e- . torna-se necessário. colaboradores e os demais da hierarquia. global e ampla. plano de continuidade operacional. para depois atingir os demais profissionais. plano de recuperação de desastres. é útil compreender duas variáveis de proteção contra engenharia social: a Resistência do Pessoal – capacidade dos indivíduos de dentro do sistema de informação de detectar um ataque de engenharia social e resistir a ele. tecnológicos e humanos que sustentam a operação do negócio. ou voltadas à redução dos impactos: equipes para emergências. Sêmola (2003) diz que é importante conseguir a eliminação de ações redundantes e. 3. é comum que as empresas atualmente adotem avaliações de vulnerabilidade técnica para seus sistemas de TI. os mesmos princípios de testes deveriam ser aplicado ao elemento humano da sua segurança da informação. Essas avaliações com frequência combinam escaneamento automatizado e ferramentas de auditoria com testes manuais. muitas vezes conflitantes. Por se tratar de um problema generalizado e corporativo. capaz de criar sinergia entre as atividades. restauração de backup. Para MANN (2011).4. envolvendo os aspectos físicos. Segundo MANN (2011). E é totalmente aceitável que estes testes sejam realizados por terceiros com a finalidade de revelar a vulnerabilidade sobre as quais não se estava anteriormente ciente. para isso.19 mesmas se adaptem às condições de segurança estabelecidas pela instituição. e as ações tem seu início no nível operacional.2 Mapeamento de Vulnerabilidade De acordo com MANN (2011). Exemplo: quando um operador da assistência se recusa a reconfigurar um login de acesso remoto sem telefonar (internamente) ao gerente superior para confirmação. que se inicie os trabalhos relacionados às medidas defensivas mobilizando primeiro os executivos da diretoria da empresa. As ações precisam estar intimamente alinhadas com as diretrizes estratégicas da empresa e. para compreender as vulnerabilidades presentes em determinado sistema de informação. que depreciam o plano corporativo de segurança da informação. é necessário ter uma visão corporativa.

podemos ter mais certeza da reação delas ao treinamento e como vão lidar com determinado ataque a engenharia social. para produzir mapeamentos úteis aos sistemas.4. pode-se começar a compor o quadro dos níveis reais de segurança. já haverá um plano de ação claro com uma gama de estratégias de melhoria que proporcionem um retorno real sobre qualquer investimento de segurança.20 mail é automaticamente bloqueado devido ao seu conteúdo de informação confidencial. Implementar melhorias – nesse estágio. testes podem ser muito mais direcionados e podem ajudar a tomar decisões importantes. 3. pode-se utilizar a seguinte metodologia (a abordagem foi utilizada com clientes que tinham dificuldades em identificar suas vulnerabilidades à engenharia social): • • • • • • Compreender as ameças às suas informações – ponto de partida para a avaliação de risco.3 Mapeando Sistemas Segundo MANN (2011). Testar para confirmar suas avaliações – nesse estágio. 3. o benefício de mapear personalidades é que é possível identificar essas variações e depois permiti-las ao desenvolver melhores mecanismos de proteção contra a engenharia social. Ajuda a direcionar a análise a áreas que trarão maior benefício. Mann (2011). Com um conjunto de personalidades fortemente agrupado. Mapear seus sistemas – oferece uma indicação visual e comparação de diferentes sistemas dentro da sua proteção geral de segurança da informação. Essas variáveis proporcionam uma indicação de quão dependente você é das pessoas dentre da sua segurança da informação e se você possui sistemas que compensam as suas vulnerabilidades (MANN. diz que quando vemos uma amplitude maior de personalidades. precisamos ser mais cuidadosos e planejar uma gama maior de .4.5 Mapeando Personalidades De acordo com MANN (2011). 2011). Avaliar a resistência do pessoal – ao medir a capacidade do pessoal de resistir a ataques. Identificar os níveis de proteção sistêmica – elementos da segurança que protegem as pessoas e ajudam a combater as vulnerabilidades humanas sempre presentes.

” (MANN. .21 reações a vetores de ataque específicos. o maior erro que as pessoas cometem quando pensam em proteção contra engenharia social é pensar somente em termos de conscientização da equipe. deixando suas informações e sistemas vulneráveis ao ataque. Portanto. responsabilidades e critérios para o manuseio. melhorias sistêmicas leva ainda a conclusão de que elas tendem a oferecer uma camada mais forte e mais consistente de defesa do que simples atividades de conscientização da equipe. Para MANN (2011). segundo Sêmola (2003). […] consideramos a conscientização da equipe e a reação associada como a primeira e mais importante camada de defesa. pelo agressor com sucesso. tem papel fundamental. a política.” (MANN. armazenamento. esses sistemas conterão o ataque em que vários indivíduos foram persuadidos. para construir defesas eficazes. transporte e descarte das informações dentro do nível de segurança estabelecido sob medida pela e para a empresa. 2011. as melhorias sistêmicas é que são mais eficientes na proteção das informações. p. é preciso combinar camadas de conscientização da equipe com camadas de proteção sistêmica. a obedecer. a mesma deve ser personalizada. O sistema evita que o usuário enganado cause uma violação. Porém. potencialmente de maneira regular. 2011. De acordo MANN (2011). “Em nossa experiência.6 Política de Segurança da Informação Com o propósito de fornecer orientação e apoio às ações de gestão de segurança. p. em muitos casos. supomos que essa camada seja violada. portanto. Presumimos que nenhuma das duas camadas é impenetrável. considerando-se que o estabelecimento de consciência tende a fortalecer somente os processos conscientes. confiar somente nesse mecanismo de proteção é uma estratégia de alto risco. 3. 167) Muitas das melhorias sistêmicas oferecem forte proteção contra a engenharia social. para a obtenção de informações valiosas. 176) Portanto.5 Sistemas de Proteção Segundo MANN (2011). Uma política estabelece padrões. 3. provavelmente.

2006:) enumeram “oito segredos” para tratar o lixo com mais sabedoria: . e classificação da informação são bons exemplos de normas de uma típica política de segurança para Sêmola (2003). acesso remoto. Pode-se perceber. manter atualizada a política de segurança da informação com todos os seus componentes. Primeiramente.8 Medidas de defesas quanto ao lixo Como mostrado anteriormente. descarte de informação em mídia magnética. além dos eventuais dados. Esta percepção torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnológico de uma empresa. Critérios normatizados para admissão e demissão de funcionários. uma resposta que ficará armazenada no cadastro. contratação de serviços terceirizados. Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais (SÊMOLA. 2003). pedir que o cliente faça uma pergunta pessoal e. durante o cadastro por telefone. mudanças previsíveis e imprevisíveis que o negócio poderá sofrer (SÊMOLA. Mitnick e Simon (2003 apud PEIXOTO. Muitas vezes é muito confortável para o cliente responder o CPF ou RG e a pergunta do que todos os dados do seu cadastro. principalmente. obviamente. ainda. a informação poderá ser passada. O autor frisa ser importante que tal pergunta seja de cunho pessoal e que não sobreponha nenhum dos dados. desenvolvimento e manutenção de sistemas. o lixo é um dos meios utilizados para ataques dos Engenheiros Sociais. criação de manutenção de senhas. uso da internet. uso de notebook. 2003).7 Medidas de defesas quanto as senhas Peixoto (2006) escreve sobre uma técnica para burlar ataques de Engenheiros Sociais que querem obter senhas e usuários. refletida pelo caráter oficial com que a política é comunicada e compartilhada junto aos funcionários.22 É muito importante o envolvimento da alta direção. e. 3. portanto o quão complexo é desenvolver e. 3. Caso a resposta também seja correta.

p. “Sendo tão importantes e tão inteligentes.23 • • • Classificar todas as informações confidenciais com base no grau de confidencialidade. é exatamente essa fraqueza que será explorada pelo engenheiro social. Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a saída em polpa inútil. 2011. discos ZIP.9 Suporte dos executivos e executivos seniores Dentro desta análise. as quais resultam em tiras de papal que podem ser montadas novamente por um atacante determinado e com paciência. se for apropriado. fitas removíveis ou unidades de disco rígido antigas e outras mídias de computador – antes de descartála. Importante lembrar que os arquivos apagados não são realmente removidos. Trancar os contêineres de lixo. Insistir para que todas as informações confidenciais descartadas passem primeiro pela máquina cortadora de papel e fornecer um modo seguro de se livrar das informações importantes em pedaços de papel que são pequenos demais e passam pela máquina. Fazer com que os empregados pensem periodicamente na natureza do material que estão jogando no lixo. eles ainda podem ser recuperados. 3. • • • • Manter um nível de controle apropriado sobre a seleção das pessoas da sua equipe de limpeza usando a verificação de antecedentes. as políticas e os procedimentos para proteção de informações são tratados pelos executivos sêniores como um conjunto de regras válido para as outras pessoas. • Fornecer um modo de inutilizar ou apagar completamente a mídia de computador – os disquetes. CD's e DVD's usados para armazenar arquivos. eles não precisam ser tolhidos por essas regras inflexíveis. As máquinas não devem ser muito baratas. Usar contêineres separados para material confidencial e fazer com que os materiais dispensados sejam manuseados por uma empresa especializada nesse trabalho.182) .” (MANN. Isso requer atividades consistentes para ajudar os executivos seniores a entender as ameaças e potenciais impactos de violações de segurança da informação. Estabelecer procedimentos em toda a empresa para descartar as informações confidenciais. MANN (2011) diz que é preciso um forte suporte das pessoas que estão no topo das organizações para apoiar a segurança.” No entanto. “No pior caso.

5) Treinar os usuários para cumprir e apoiar as medidas defensivas de segurança sistêmica que protegem as informações e sistemas de ataque. Para MANN (2011). porém com duas desvantagens: 1) o número de pessoas que realmente leem pode ser muito baixo. c) Boletins por e-mail – mecanismo eficaz em termos de custo para passar mensagem de segurança da informação. analisa algumas atividades de conscientização praticadas em empresas: a) Treinamento de adequação – elementos de conscientização e treinamento para funcionários novos. Mann (2011). um agressor precisa somente assumir o mesmo nível de autoridade e todas as pessoas permitem a ele o acesso necessário para roubar suas informações. para aumentar a probabilidade de um ataque ser detectado e impedido. Isso faz transparecer seu profissionalismo que conquista maior prestígio e confiança das pessoas com que trabalha. b) Treinamentos presenciais – direcionados a um grupo de funcionários. 2) pode-se estar abrindo vulnerabilidades de engenharia social d) Postagem de intranet – a intranet é um local eficaz para armazenar material de referência .10 Conscientização e Treinamento em Segurança Seria um engano afirmar que as estratégias para o desenvolvimento de um programa de conscientização parta quase exclusivamente do Setor de TI. se um executivo sênior forçasse alguém a enviar a ele um documento secreto contra as regras de segurança da informação. mas também por uma questão ética. Não podemos esquecer que o elemento mais importante de todos a considerar dentro de um plano de “defesa” é o ser humano. adequando-os ao seu novo ambiente de trabalho. Não somente no aspecto de ataques externos que pode prejudicar a empresa. O comprometimento e responsabilidade desses profissionais ligados a alta gestão.24 Segundo MANN (2011). ele deveria ser punido. 3. envolvendo apenas tecnologias e estruturas físicas. Segundo MANN (2011). de forma interativa. os objetivos com conscientização e treinamento em segurança contra engenharia social são dois: 4) Promover a conscientização sobre a ameaça do ataque de engenharia social. com relação a gestão e segurança da informação deve ser total. se a sua autoridade permite que você drible regras.

de modo visual ou táctil. muitas vezes requerem ações complementares. b) Campanha e divulgação: Suas diretrizes devem ser conhecidas por todos. motivando-o a colaborar. c) Carta ao Presidente: Como instrumento de oficialização dos interesses da empresa em 12 Um display (ou mostrador. No entanto. podem ser eficazes. Porém. e rastrear as suas atividades pode ter suas limitações. Sêmola (2003) apresenta algumas formas de iniciar a construção da cultura de segurança: a) Seminários: O trabalho deve começar com seminários abertos voltados a compartilhar a percepção dos riscos associados às atividades da empresa. Fonte: http://pt. os impactos potenciais no negócio e. a mesma preocupação existe em deixar que as pessoas a acessem. Por conta disso. cada membro percebe suas responsabilidades dentro de cada modelo de segurança único. em português) é um dispositivo para a apresentação de informação. Deve-se lembrar que os resultados efetivos de comprometimento ocorrem lentamente e. se elas forem desenvolvidas para captar a atenção e se forem modificadas com alguma frequência. g) Pôsteres – o potencial subliminar de mensagens de login na tela pode também ser duplicado com o uso de pôsteres ou outros displays12 na organização. voltados para a segurança da informação são úteis para o treinamento de um grande número de funcionários. eles podem ser intensivos em termos de recursos. eles podem proporcionar grandes ganhos. como acontece com o treinamento presencial. armazenada ou transmitida sob várias formas. desenvolver uma cultua eficaz. Quando existem grupos grandes de funcionários que precisam ter acesso às informações. adquirida. em que as informações são compartilhadas somente quando for estritamente necessário.wikipedia. o comprometimento dos processos críticos se alguma ameaça se concretizar. f) Mensagens de login na tela – apesar de não dar nenhuma garantia de quem vai lê-las. a campanha deverá lançar mão de diversos artifícios para comunicar os padrões.25 de uma forma facilmente acessível. critérios e instruções operacionais. ela pode ser útil. e suas normas. Em situações limitadas e direcionadas. principalmente.org/wiki/Display . Desta forma. inclusive engenharia social. procedimentos e instruções específicas devem ser apresentados a cada grupo com perfil de atividade semelhante. De acordo Mann (2011). é um bom ponto de partida para manter os detalhes dos sistemas longe da atenção dos agressores. h) Testes e atividades relacionadas – testes apropriados de segurança da informação. e) Treinamento online interativo – pacotes de treinamento online interativos. e outras atividades interativas estão entre os melhores mecanismos de conscientização e treinamento.

mas sim um fato comprovado de eficiência quando se trata . garante a segurança dos seus sistemas. esclarecer que a empresa é o legítimo proprietário dos ativos. o que pode ser preservado e o que vale à pena ser preservado quando se trata de segurança da informação. existem perfis profissionais que necessitam de maior domínio dos conceitos.26 adequar o nível de segurança de suas informações a partir do envolvimento de todos os níveis hierárquicos é conveniente que o presidente. Além disso. mesmo dispondo de recursos para implementar estes meios. CONSIDERAÇÕES FINAIS Grande parte das empresas não dispõem de meios para detectar o que deve ser preservado. sob qualquer natureza de interpretação ou observação. ainda. dando caráter forma ao movimento. Não existe segurança total. A Carta ao Presidente tem esse papel e é disponibilizada ou encaminhada a cada funcionário. que propõem uma certificação como instrumento de reconhecimento da competência. variar sua área de interesse e profundidade. O uso de técnicas de Engenharia Social para enganar usuários não é mais algo iminente. a negligência e a indiferença seriam os termos mais adequados para rotular as deficiências encontradas no contexto da segurança da informação corporativa. que fluem pelos processos de negócio e ora são temporariamente custodiadas pelas pessoas. também. principalmente alcançar os objetivos. não se atentam adequadamente à seriedade do assunto por consequência do descaso da alta gestão. Para todos esses casos não bastam os seminários. este termo se encarrega de divulgar as punições cabíveis por desvios de conduta e. podendo inclusive. unicamente técnica. campanhas de conscientização ou a carta ao presidente. CEO o CIO manifeste esta vontade oficialmente. medir e avaliar os índices e indicadores de segurança para subsidiar seus planos de gestão das ações e. Observou-se. O Security Officer deve ter condições de definir. que um bom número de empresas acredita que a solução. Em qualquer uma das situações. incluindo as informações. métodos e técnicas de segurança. e) Cursos de Capacitação e Certificação: Dentro do quadro de funcionários. d) Termo de Responsabilidade e Confidencialidade: Tem o propósito de formalizar o compromisso e o entendimento do funcionário diante de suas novas responsabilidades relacionadas à proteção das informações que manipula. Eles precisam de capacitação formal através de cursos especializados. Enquanto outras.

requer postura e comprometimento para criar confiança nos demais subordinados. atenuando os efeitos nocivos da TI. por se tratar de um profissional com papel estratégico dentro da empresa. as políticas elaboradas para a segurança. este deveria dominar todo o fluxo de informações que movem o negócio e. Lamentavelmente esta visão não contribui de forma nenhuma com a eficácia para a gestão do maior ativo organizacional: a informação. pois. assim como conscientizar e educar constantemente os colaboradores. ter a noção exata da gestão e a segurança destas informações. Entretanto. Mesmo não sendo definitiva. . eles também responderão. Infelizmente neste aspecto manifesta-se na maioria das vezes uma postura obstinada de descaso e descomprometimento. a necessidade de manter a metodologia da segurança e até mesmo o investimento financeiro é facilmente descartado por considerarem que estas despesas não trarão retorno algum sobre o investimento. quando se trata de segurança da informação. É neste ponto que observamos a maior “falha de segurança”. Dentro desta miopia o pessoal da informática resolve tudo. Muitos ignoram o valor de suas informações. É importante destacar que a posição estratégica do alto posto da cadeia hierárquica. a falta de engajamento é facilmente observada no posicionamento de muitos profissionais ligados à diretoria de uma empresa. Os gestores da alta administração tem por obrigação entender o poder e o valor que as informações possuem e não podem supor que a tecnologia é a solução definitiva. E é diante desse posicionamento que surgem também os desafios éticos. analisando os aspectos da segurança. e as vulnerabilidades existentes na estrutura tecnológica dos sistemas de informação. pois. a inteligência está nas pessoas.27 de posse indevida de informações vitais à continuidade do negócio. E quando algo errado acontecer. obviamente. As dimensões éticas devem ser consideradas pelas organizações na elaboração e implementação da metodologia da segurança. A tecnologia é burra. a forma mais eficiente ainda é manter sob reformulação e reforço contínuo. nada merece mais destaque neste assunto que o comportamento e a responsabilidade dos profissionais que compõem a alta Gestão de uma Organização. colocando-os sob punição quando regras de segurança forem quebradas ou desobedecidas.

Processo de comunicação nas organizações virtuais: um estudo de caso na Escola Aberta Superior do Brasil. 9a reimpressão. FILHO. 5a ed. Porto Alegre: Bookman. Faculdade de Tecnologia e Ciências. 2. Rio de Janeiro: Elsevier. SÊMOLA. Disponível em: http://www. F. LAUDON. 2006.htm Acesso em: 21 dez. 2005. Sistemas de Informação Gerenciais: administrando a empresa digital. ROESCH. Rio de Janeiro: Brasport. Marcelo Costa.. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações in Revista Espaço Acadêmico no 43 – dezembro 2004. IAN. São Paulo: Blucher. Engenharia Social – A arte de trapacear. MANN. TURBAN. Renate Schinke.1999 apud CASTRO. Jane P. Artigo acadêmico. ed. 2003 PEIXOTO.espacoacademico. 2011 MITNICK. LAUDON. São Paulo: Person Pretice Hall. 2006. WETHERBE. James. Engenharia Social & Segurança da Informação na Gestão Corporativa. Josué.. trad. 3a ed. Viçosa. Tecnologia da Informação para Gestão: transformando os negócios na economia digital. SIMON. Antônio Mendes da Silva. William L. Monografia (Graduação). Ephraim. Kenneth C. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. S. Mitnick: A Arte de Enganar. 2004. 2011. Efaim. Engenharia Social. Projeto de estágio e de pesquisa em administração. São Paulo: Atlas. 2011. M. São Paulo: Pearson Makron Books. 2004. 2003 SIQUEIRA.br/043/43amsf. Mário César Pintaudi.28 REFERÊNCIAS COSTA JR. Kevin D. 1a ed. Universidade Federal de Viçosa. Gestão Estratégica da Informação. A. . Rio de Janeiro: Brasport. F. 2006. MCLEAN.com. Marcos.

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->