INSTITUTO A VOZ DO MESTRE

PROGRAMA DE PS-GRADUAO EM
SEGURANA DE REDES DE COMPUTADORES
DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de Segurana da
Informao
Ribeiro Preto SP
2012
INSTITUTO A VOZ DO MESTRE
DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de Segurana da
Informao
Monografia apresentada ao Instituto A Voz do
Mestre, como requisito parcial para a obteno
do ttulo de Especialista em Segurana de
Redes de Computadores.
.
Orientador: Prof. MSc Robson do Nascimento
Ribeiro Preto - SP
2012
DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de Segurana da
Informao
Monografia apresentada ao Instituto A Voz do
Mestre, como requisito parcial para a obteno
do ttulo de Especialista em Segurana de
Redes de Computadores.
Orientador: Prof. MSc Robson do Nascimento
APROVADO EM ____/____/____
Ribeiro Preto - SP
2012
BANCA EXAMINADORA
______________________________________________________________
ROBSON DO NASCIMENTO ORIENTADOR E PRESIDENTE DA BANCA
______________________________________________________________
NOME DO PROFESSOR EXAMINADOR
______________________________________________________________
NOME DO PROFESSOR EXAMINADOR
Ribeiro Preto - SP
2012
DEDICATRIA
A todos aqueles que passaram noites e noites em claro embalados pelo
sonho de tornar a existncia humana mais digna e justa.
AGRADECIMENTOS
Agradeo, acima de tudo, a meus pais, por me ensinarem que quando
se trata de honestidade, no existe meio termo.
Agrao tambm a minha esposa, que, mesmo grvida de nosso primeiro
filho, sempre me apoiou e esteve ao meu lado.
Numa poca de mentiras universais, dizer a verdade um
ato revolucionrio.
George Orwell
Experincia no o que acontece com um homem; o que
um homem faz com o que lhe acontece.
Aldous Huxley
RESUMO
O presente trabalho traz um relato sobre a definio de Engenharia Social e
os principais mtodos utilizados pelos Engenheiros Sociais para burlar os sistemas
de segurana das empresas. So demonstrados tambm os motivos que fazem
esse tipo de golpe ser to aplicado, os prejuzos por ele causados e porque as
pessoas so to suscetveis a ele. Finalizando so apresentadas formas de defesa
contra esses ataques e como manter a empresa em operao caso um desastre de
grandes propores ocorra.

Palavras-Chave: Segurana da Informao, Engenharia Social, Hackers,
Continuidade do Negcio.
ABSTRACT
This paper presents an account of the definition of Social Engineering and the
main methods used by Social Engineers to bypass systems enterprise security. It
also demonstrated the reasons that make this type of scam be so applied, the
damage caused by it and why people are so susceptible to it. Finally are presented
forms of defense against these attacks and how to keep the business running if a
major disaster occurs.
Keywords: Information Security, Social Engineering, Hackers, Business
Continuity.
LISTA DE ABREVIATURAS E SIGLAS
ABNT - Associao Brasileira de Normas Tcnicas
Apacs - Association for Payment Clearing Services
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil
CGI.br - Comit Gestor da Internet no Brasil
CIO - Chief Information Officer
CISO - Chief of Information Security Officer
CSO - Chief Security Officers
IEC - International Electrotechnical Commission
ISO - International Organization for Standardization
NBR - Norma Brasileira
SIGEO - Sistema de Gerenciamento Oramentrio do Estado de So Paulo
TCC - Trabalho de Concluso de Curso
TI - Tecnologia da Informao
SUMRIO
RESUMO 08
ABSTRACT 09
LISTA DE ABREVIATURAS E SIGLAS 10
1 INTRODUO 13
1.1 Objetivos 14
1.1.1 Objetivos Gerais 14
1.1.2 Objetivos Especficos 14
1.2 Procedimentos Metodolgicos 14
1.3 Estrutura do Trabalho 14
2 REFERENCIAL TERICO 16
2.1 Ameaas s Informaes 16
2.2 Engenharia Social 17
2.2.1 Entendendo a Engenharia Social 17
2.2.2 As Vulnerabilidades Humanas 19
2.3 Segurana da Informao 21
3 TCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 25
3.1 Principais Tcnicas de Ataque da Engenharia Social 25
3.2 Fatores Motivadores da Engenharia Social 26
3.3 Anlise dos Ataques e dos Fatores Motivadores 29
4 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 32
4.1 Crimes de Difcil Apurao 32
4.2 Nmeros do Phishing 33
5 COMO GARANTIR A SEGURANA DAS INFORMAES 35
5.1 Polticas de Segurana da Informao e sua Importncia 35
5.2 Sucesso da Poltica de Segurana da Informao 37
5.3 O Responsvel pela Poltica de Segurana da Informao 39
5.4 Desenvolvendo uma Poltica de Segurana da Informao 41
6 SEGURANA DA INFORMAO VERSUS ENGENHARIA SOCIAL 45
6.1 Segurana da Informao Focada na Engenharia Social 45
7 MANTENDO A EMPRESA EM ATIVIDADE APS UM DESASTRE 49
7.1 PCN - Plano de Continuidade do Negcio 49
7.2 Elaborao do PCN 50
7.2.1 Estratgias de Contingncia 52
7.3 Avaliando o PCN 54
7.4 Outra Abordagem Para Elaborao do PCN 55
8 CONSIDERAES FINAIS 57
REFERNCIAS BIBLIOGRFICAS 60
13
1 INTRODUO
Diferentemente do que muitas pessoas acreditam, inclusive as entendidas em
assuntos tecnolgicos e de segurana, muitas falhas nos sistemas de defesa das
informaes das empresas ocorrem por irregularidades cometidas por funcionrios e
colaboradores dessas prprias organizaes, ou seja, seres humanos, e no por
brechas nesses sistemas, que contam com uma parafernlia cada vez mais
complexa para a preservao das informaes, como firewalls, proxy, antivrus,
senhas criptografadas e controle de acesso, entre outros.
Mitnick
1
e Simon (2003) explicam que:
medida que os especialistas contribuem para o desenvolvimento contnuo
de melhores tecnologias de segurana, tornando ainda mais difcil a
explorao de vulnerabilidades tcnicas, os atacantes se voltaro cada vez
mais para a explorao do elemento humano. Quebrar a "firewall humana"
quase sempre fcil, no exige nenhum investimento alm do custo de uma
ligao telefnica e envolve um risco mnimo.
Por essa razo vital que as empresas estejam preparadas para os crimes
focados em explorar as falhas humanas, como os crimes de Engenharia Social, e
busquem formas mais eficazes de garantir a segurana de suas prprias
informaes e as informaes que so a elas confiadas.
Buscando contribuir para o combate dessa prtica criminosa, o trabalho
desvenda o mundo da Engenharia Social, descrevendo o seu significado, suas
principais tcnicas de abordagem, os fatores que motivam os criminosos a optarem
por esse tipo de ataque e porque o ser humano , e sempre ser, o elo mais
vulnervel nessa intricada cadeia de meios e mtodos que visam proteger as
informaes confidencias das empresas.
Para apoiar as ideias descritas acima, alm de vasta pesquisa bibliogrfica,
ser mostrada uma anlise dos impactos estimados causados por esses tipos de
ataques e, para finalizar, sero apresentados meios de se criar um Programa de
Segurana da Informao e um Plano de Continuidade do Negcio, visando sempre
salvaguardar as Informaes dentro dos limites das empresas.
1 Antigo Engenheiro Social e atual consultor de segurana da informao norte-americano.
14
1.1 Objetivos
1.1.1 Objetivos Gerais
Entender o que Engenharia Social, estudar suas tcnicas e seus reflexos
nas questes relacionadas com a Segurana da Informao, mostrar mecanismos
de defesa para as Informaes empresariais e como manter a organizao em
atividade, mesmo aps a ocorrncia de desastres que afetem seu funcionamento.
1.1.2 Objetivos Especficos
Apresentar as principais tcnicas de Engenharia Social;
Estudar as vulnerabilidades humanas sujeitas a essas tcnicas;
Identificar as necessidades de educao do usurio; e
Relacionar as principais medidas de segurana contra esse tipo de crime e
que garantam a estabilidade das informaes e a continuidade do negcio da
empresa.
1.2 Procedimentos Metodolgicos
Este trabalho foi elaborado a partir de pesquisas bibliogrficas e documentais,
apoiando-se em fontes primrias e secundrias, alm de pginas de internet e
artigos, pois so essas as principais fontes de materiais relacionados ao estudo. A
referncia cronolgica parte de publicaes selecionadas a partir da dcada de 90,
pois, se tratando de Tecnologia da Informao (TI) e essa sendo uma rea onde as
mudanas ocorrem muito rapidamente, ficaria um tanto obsoleto mencionar prticas
realizadas antes desse perodo, apesar de a Engenharia Social ter se iniciado h
dcadas atrs, antes mesmo at da disseminao dos computadores.
1.3 Estrutura do Trabalho
Este Trabalho de Concluso de Curso (TCC) esta elaborado da seguinte
maneira:
15
O segundo captulo apresenta o Referencial Terico, contendo os principais
conceitos sobre Segurana da Informao, Engenharia Social e Vulnerabilidade
Humana.
O terceiro captulo apresenta as principais tcnicas de ataque de Engenharia
Social e seus fatores motivadores.
O quarto captulo estuda os impactos causados por essa arte criminosa.
O quinto captulo identifica as necessidades de educao do usurio e
apresenta a importncia de uma Poltica de Segurana da Informao e como
elabor-la.
O sexto captulo relaciona as principais medidas de segurana contra as
tcnicas de Engenharia Social.
O capitulo stimo mostra como criar um Plano de continuidade do Negcio,
demonstrando como manter a empresa em operao aps esta ser vitima de algum
desastre.
O oitavo captulo apresenta as consideraes finais, concluindo com um
aparato geral do que foi exposto, reforando a ateno que deve ser disponibilizada
para com a segurana das informaes no mbito empresarial e, em particular, para
com as tcnicas de Engenharia Social e propem ainda uma sugesto para
trabalhos futuros que contribuam ainda mais para o combate a essa tcnica de
roubo de informaes.
16
2 REFERENCIAL TERICO
2.1 Ameaas s Informaes
Para Smola (2011), ameaa algo que pode agir voluntria ou
involuntariamente em prejuzo de algum ou alguma coisa. Sendo assim, essa
possibilidade de algo causar dano tambm afeta s informaes, que esto
continuamente expostas ameaas oriundas de vrios fatores. Peixoto (2006) ainda
aponta o conceito de vulnerabilidade, reforando que uma ameaa no implica
necessariamente em uma vulnerabilidade, ou seja, uma vulnerabilidade uma
brecha onde uma ameaa pode causar dano.
No que se referem s informaes, as ameaas exploram as vulnerabilidades
existentes nos processos a elas integrados, isto , de acordo com Peixoto (2006), as
ameaas, muitas vezes, so decorrentes de vulnerabilidades existentes, provocando
nas informaes perda da confidencialidade, integridade e disponibilidade e podem
ser agrupados em trs categorias distintas:
Ameaas naturais: fenmenos da natureza;
Ameaas involuntrias: decorrentes do desconhecimento de normas, padres
ou operao, acidentes e erros;
Ameaas voluntrias: so amaas causadas propositalmente por pessoas.
Ainda continuando com as definies de Peixoto (2005), as vulnerabilidades
so frutos de ameaas generalizadas, afetando assim a segurana da informao e
podem ser assim classificadas:
Fsicas: salas de CPD mal planejadas, estrutura de segurana fora dos
padres exigidos;
Naturais: falta de energia, incndios, aumento de umidade;
Hardware: Desgastes de equipamentos, equipamentos obsoletos;
Software: m instalao e configurao;
Mdias: Perda ou dano das mdias de armazenamento de informaes;
Comunicao: acesso no autorizado ou perda da mesma;
Humana: Falhas de ateno, treinamento de funcionrios inadequado e as
decorrentes de prticas de Engenharia Social.
Como pde ser constatado, as informaes esto expostas continuamente a
inmeros tipos de ameaas que buscam explorar as suas muitas vulnerabilidades,
17
que podem ser naturais, falhas de projeto ou at mesmo humanas, e os sistemas de
segurana da informao tm que estar aptos a lidarem com todas essas questes.
Dentre essas ameaas generalizadas contra as informaes, as referentes
Engenharia Social so uma classe que merecem especial ateno, pois, como ser
definido adiante, exploram as falhas existentes na personalidade humana e so de
difcil preveno.
2.2 Engenharia Social
2.2.1 Entendendo a Engenharia Social
Entre as principais ameaas segurana dos sistemas de informao est a
Engenharia Social. Esta est inserida como um dos desafios (seno o maior deles)
mais complexos no mbito das vulnerabilidades encontradas na gesto da
segurana da informao. (PEIXOTO, 2006).
Segundo Mitnick e Simon (2003), a Engenharia Social pode ser definida como
o uso da influncia e da persuaso para enganar as pessoas e convenc-las de que
o Engenheiro Social algum que na verdade ele no . O Engenheiro Social fica
ento caracterizado como algum que se utilizada das tcnicas de Engenharia
Social e em geral citado como o atacante ou criminoso.
Outra forma de descrever a Engenharia Social seria como o encontrado na
Cartilha de Segurana Para a Internet, disponibilizada pelo Comit Gestor da
Internet no Brasil (CGI.br):
um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes
abusando da ingenuidade ou confiana do usurio, para obter informaes
que podem ser utilizadas para ter acesso no autorizado a computadores ou
informaes.(CGI.br 2006)
A Engenheira Social, portanto, fica evidenciada pela ao de um indivduo ou
indivduos, que atravs de tcnicas de persuaso, intimidao e presso
psicolgicas, conseguem obter acesso a informaes confidenciais de empresas e
pessoas para fins ilcitos. Esses ataques conseguem sucesso porque o criminoso
que se utiliza dessas tcnicas explora vulnerabilidades na personalidade humana
18
que proporcionam alto grau de sucesso nesses ataques. Como citado por Mitnick e
Simon (2003):
a maioria das pessoas supe que no ser enganada, com base na crena
de que a probabilidade de ser enganada muito baixa; o atacante,
entendendo isso como uma crena comum, faz a sua solicitao soar to
razovel que no levanta suspeita enquanto explora a confiana da vtima.
Diferentemente de outras formas de crimes ligados a Sistemas de
Informao, como invaso de sistemas ou destruio de Informaes, cometidos por
Hackers
2
e Crackers
3
, que possuem como motivador a autopromoo, o desafio e a
chance de quebrar regras, a Engenharia Social sempre esteve relacionada com as
relaes interpessoais e, mais recentemente, com a tentativa de burlar os sistemas
de segurana das corporaes para obteno de informaes sigilosas e seu
principal objetivo o ganho financeiro obtido com a divulgao ou uso de tais
informaes.
Conforme pesquisa realizada pela empresa de softwares de Segurana
Check Point e publicada no site cio.uol
4
, cujo tema foi segurana da informao,
foram entrevistados 850 profissionais de segurana em TI de vrias partes do
mundo e a maioria dos entrevistados, 51%, responderam que o ganho financeiro o
principal fator motivador para crimes de Engenharia Social.
Para conseguir esse retorno financeiro, o Engenheiro Social apoia-se na falta
de capacitao para o trato de informaes empresariais e pessoais por parte dos
indivduos e sua inclinao para cometer atos ilcitos quando utilizando sistemas de
informao. Laureano (2005) salienta que para preservar os segredos da empresa,
alm do investimento em softwares de segurana muito importante investir em
treinamento de funcionrios, pois no so poucas as ocorrncias referentes
espionagem industrial (forma de Engenharia Social).
interessante salientar que as tcnicas de Engenharia Social podem ser
verificadas em vrios aspectos da sociedade e em diferentes pocas, no se
restringindo apenas a Tecnologia da Informao. At mesmo a Bblia, atravs da
2 Hacker invasor de sistemas informatizados cujo objetivo aprender sobre esse sistema, se autopromover e
divulgar as falhas do mesmo.
3 Cracker Invasor de sistemas informatizados cujo objetivo destruir informaes ou fazer uso dessas
informaes para beneficio prprio.
4 Fonte: Novos funcionrios esto mais propensos a ataques de engenharia social. Disponvel em
<www.cio.uol.com.br>.
19
conhecida histria do encontro de Ado e Eva com a Serpente, j fazia aluso ao
assunto (PEIXOTO, 2006). Portanto, o uso de tcnicas de Engenharia Social muito
diversificado e antigo, precedendo at mesmo os computadores.
2.2.2 As Vulnerabilidades Humanas
Como distinguido no item 2.1, intitulado Ameaas s Informaes, o que
acarreta a quebra de segurana de um sistema de informao so suas
vulnerabilidades, que passam a ser exploradas por ameaas at que as falhas
ocorram. O termo vulnerabilidade, segundo o dicionrio on-line Aurlio
5
significa
Carter ou qualidade de vulnervel. Logo se faz necessrio a compreenso da
palavra vulnervel para darmos entendimento ao termo. Vulnervel, segundo essa
mesma fonte, quer dizer Suscetvel de ser ferido, ofendido ou tocado. Portanto
uma vulnerabilidade uma caracterstica que torna algo vulnervel, ou seja, passvel
de sofrer dano.
Entre as muitas vulnerabilidades encontradas em um sistema de informao,
as relacionadas com o fator humano esto entre as de trato e soluo mais difceis,
conforme discutido anteriormente. So essas vulnerabilidades que tornam as
pessoas to suscetveis aos ataques de Engenharia Social, pois:
o engenheiro social trabalha como ningum os pontos relativos psicologia
humana. Explora sentimentos como o medo e a insegurana da vtima.
Utiliza a simpatia para tentar convencer. Ou at mesmo a culpa [...].
(PEIXOTO, 2006).
Um atacante procura entender essas caractersticas vulnerveis do
comportamento humano a fim de explor-las com seu portflio de truques para
conseguir maior sucesso nos seus ataques.
Para Mitnick e Simon (2003), as principais vulnerabilidades humanas que
podem ser exploradas por um ataque de Engenharia Social so:
O respeito autoridade: quando um ataque faz uma requisio
demonstrando autoridade, a chance de ela ser atendida muito grande;
A afabilidade: uma pessoal que demonstra ser agradvel consegue que as
pessoas atendam seu pedido mais facilmente;
5 Fonte: <http://www.dicionariodoaurelio.com/>.
20
A reciprocidade: essa vulnerabilidade faz as pessoas terem uma inclinao
natural a retribuir um pedido de ajuda feito por algum que j fez algo por voc.
Nesse caso os Engenheiros Sociais procuram causar algum problema para as
vitimas e depois o solucionam, deixando a pessoa com a obrigao da retribuio;
A consistncia: os atacantes induzem as pessoas a fazerem um
comprometimento pblico ou ento ludibriam essas pessoas com o argumento que
esse pedido ser favorvel a alguma causa comum a vitima;
Validao social: ocorre quando o criminoso faz uma solicitao que vai de
encontro com o que outras pessoas esto fazendo, tornando essa ao das outras
pessoas uma validao para o comportamento em questo;
Escassez: quando a solicitao por algo escasso ou esse algo esta
disponvel por curto perodo de tempo.
Outra falha muito comum referentes s pessoas, mas ocorridas no mbito
profissional, a falta de interesse ou desateno para com as informaes que so
disponibilizadas a terceiros por parte dos funcionrios das empresas. Como descrito
por Peixoto (2006):
Se todo funcionrio fosse to questionador como uma criana,
demonstrando interesse nos mnimos detalhes, ouvindo mais, estando
fortemente atento a tudo a sua volta, e principalmente fazendo o uso dos
poderosos por qus, com certeza as empresas transformariam os frgeis
cadeados em legtimos dispositivos dificultantes de segurana da
informao.
Mais uma vulnerabilidade que pode ser explorada com relao segurana
das informaes empresariais reside nos funcionrios que no receberam
treinamento adequado em prticas de segurana e no foram alertados em como as
informaes da empresa devem ser tratadas. Tambm vale lembrar que a segurana
um processo continuo e os pontos de verificao das polticas e os treinamentos
devem ser reciclados de tempos em tempos.
Peixoto (2006) define que:
Como chefe de segurana das informaes de uma empresa [...], nada mais
coerente do que fazer com que os funcionrios desta empresa estejam
aptos a entender o quanto importante a preservao consciente das
informaes que cada um manipula em seu dia-a-dia.
21
Outro grupo de funcionrios que merecem ateno so os funcionrios
descontentes, que por algum motivo qualquer, podem usar informaes
confidenciais da empresa para prejudicar a prpria organizao, no caso do
funcionrio tiver algum ressentimento com a companhia, ou fazer uso dessas
informaes para vend-las a concorrentes, com o intuito de levantar quantias
financeiras com essas venda. Essa vulnerabilidade est mais associada a falta de
carter do funcionrio e a sua inclinao por desenvolver um sentimento de
vingana em relao a empresa onde atuou.
Quando um engenheiro social sabe como as coisas funcionam dentro da
empresa-alvo, ele pode usar esse conhecimento para desenvolver a
confiana junto aos empregados. As empresas precisam estar preparadas
para os ataques da engenharia social vindos de empregados atuais ou ex-
empregados, que podem ter um motivo de descontentamento. (MITNICK E
SIMON, 2003).
Esses pontos vulnerveis destacados fazem parte do comportamento humano
e so, na maioria das vezes, respostas comuns a estmulos provocados por
situaes diversas. O grande problema desse comportamento falho esta na sua
explorao por parte de pessoas mal-intencionadas, ocasionado com isso quebra
nos sistemas de segurana das organizaes e ameaando suas informaes.
A vantagem de se conhecer esses pontos da personalidade humana reside
numa possibilidade de se desenvolver Polticas de Segurana da Informao mais
adequadas com a realidade dos funcionrios e alinhadas com os objetivos da
empresa, inibindo assim os ataques de Engenharia Social e garantindo uma maior
segurana para com as informaes.
2.3 Segurana da Informao
As informaes pertinentes a uma empresa, como seu catlogo de projetos,
carteira de clientes, fornecedores e colaboradores, estratgias de marketing e
campanhas publicitrias, contas a pagar e receber, manuais de utilizao de
equipamentos e sistemas, organogramas e fluxogramas, documentos detalhados da
topologia de rede e configurao de servidores, entre outros, constituem um artigo
de vital importncia para a sobrevivncia da mesma, pois, conforme menciona
Laureano (2005, apud KATZAM, 1977):
22
Vivemos em uma sociedade que se baseia em informaes e que exibe
uma crescente propenso para coletar e armazenar informaes e o uso
efetivo da informao permite que uma organizao aumente a eficincia de
suas operaes.
Sendo essas informaes um ativo to importante para as organizaes, elas
necessitam de um sistema eficaz de proteo contra os diversos tipos de ameaas
que possam corromp-las e comprometer sua segurana, acarretando assim
enormes danos para as empresas como um todo.
Para um sistema de informao ser considerado seguro ele deve ter
preservado os seguintes aspectos: integridade, disponibilidade, no repdio,
autenticidade e confidencialidade. Para Filho (2004), estes aspectos so
considerados essenciais para que o sistema em questo possa ser confivel e
integro.
A fim de garantir a preservao dessas caractersticas, recomenda-se a
utilizao de um Sistema de Segurana da Informao, que, de uma forma genrica
e sem adentrarmos nos domnios de como colocar em prtica essas medidas de
segurana, domnios esses que sero tratados posteriormente nesse trabalho,
caracterizado, segundo definio da NBR ISO/IEC 27002 (2005), pela proteo da
informao contra vrios tipos de ameaas para garantir a continuidade do negcio,
maximizar o retorno sobre os investimentos e as oportunidades de negcio.
A base para qualquer projeto de segurana da informao consiste em se
definir primeiramente dois fatores primordiais: quem so os proprietrios dessas
informaes e qual o seu grau de importncia para a organizao. Conforme
relatado por Silva, P., Carvalho e Torres (2003) esses dois pontos podem assim ser
definidos:
Proprietrio da Informao - para que um sistema de Segurana da
Informao possa ser posto em prtica necessrio, primeiramente, identificar os
proprietrios da informao. Ao se definir esses proprietrios, possvel determinar
mais claramente as necessidades reais de segurana dessa informao.
Classificao das Informaes - uma vez definidos os responsveis pela
informao, esta poder mais facilmente ser classificada de acordo com sua
sensibilidade e, posteriormente, protegida de acordo com essa classificao. Deve-
se notar que a classificao no constitui um fim em si mesmo, mas antes um meio
que permite definir procedimentos para a gesto da informao, como por exemplo,
a sua destruio, armazenamento ou transporte.
23
Os autores reforam tambm que:
Este esforo de classificao permite desenvolver nveis de proteo
idnticos para informao com os mesmos requisitos de segurana,
permitindo a sua concentrao, o que ir maximizar o efeito dos esforos de
proteo. Nos casos em que no seja possvel agrupar a informao com as
mesmas necessidades de segurana, a classificao permite definir
padres de proteo, claros e inequvocos, para as vrias categorias de
classificao. (SILVA, P., CARVALHO E TORRES, 2003)
Quando se define o proprietrio de uma informao e quem a ela ser dado
acesso, fica mais fcil definir uma poltica para tratar sua proteo, definindo com
isso, formas de compartilhamento, restries de acesso e auditorias.
Com relao classificao da informao, a sua tarefa separar as
informaes em grupos homogneos, para que esses grupos recebam o mesmo
grau de proteo, onde ser definido se essa informao confidencial ou no, o
tempo necessrio que essa informao poder ficar indisponvel, a forma como ser
realizado seu backup
6
(diariamente, semanalmente, etc..), onde o backup ser
armazenado, como e quando essa informao dever ser destruda, entre outras
definies.
Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 2011) apoiam que
o correto classificar as informaes em nveis de prioridade, respeitando sempre
as necessidades das empresas, assim como a importncia da classe da informao
para a manuteno da empresa. Segundo eles, as informaes podem ser assim
classificadas:
Pblica: quando a informao pode vir a pblico sem consequncias mais
srias ao funcionamento normal da empresa, e cuja integridade no vital.
Interna: quando o acesso livre a este tipo de informao deve ser evitado,
mesmo no sendo muito srias as consequncias oriundas de uso no autorizado.
Sua integridade no considerada vital, mas muito importante.
Confidencial: quando a informao se restringe aos limites da empresa e sua
divulgao ou perda pode causar uma falha no equilbrio operacional e perdas
financeiras ou quebra da confiana por parte dos clientes externos.
6 Cpia das informaes para posterior recuperao caso ocorra problemas com as originais.
24
Secreta: quando a informao considerada crtica para as atividades da
empresa. Sua integridade deve ser preservada a qualquer custo e seu acesso deve
ser restrito a um nmero reduzido de pessoas. Sua segurana vital para a
organizao.
A partir da correta separao das informaes, pode-se definir mecanismos
para garantir sua segurana, como Polticas de Segurana da Informao
acompanhadas de processos de treinamento e conscientizao de funcionrios,
especificando o que cada tipo de informao implica para a empresa e definindo
punies diferentes em caso de divulgao no autorizada dessas informaes.
Aps a correta classificao das informaes parte-se para a definio do
Sistema de Segurana da Informao e a melhor maneira de implantar esse sistema
atravs de uma Poltica de Segurana da Informao bem definida. Esta consiste
em documentos descrevendo a forma como a informao dever ser tratada pela
instituio.
Maneiras de se desenvolver uma Poltica de Segurana de Informao e
como treinar funcionrios em boas prticas de segurana sero detalhadas em
captulos posteriores. O importante de se frisar at aqui que as informaes, por
serem algo de muito valor para qualquer instituio, necessitam serem protegidas de
uma forma pensada e de maneira a entender as ameaas que podem afet-las.
25
3 TCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL
3.1 Principais Tcnicas de Ataque da Engenharia Social
Os Engenheiros Sociais utilizam inmeras tcnicas e truques para conseguir
a colaborao de pessoas, que muitas vezes so vtimas inocentes, para que estas
disponibilizem informaes confidencias, sejam elas pessoais ou empresarias, para
poderem fazer uso dessas informaes para fins ilcitos. Como principal meio de
conseguir essa colaborao est explorao da reao comum das pessoas a
pedidos de ajuda e solicitao de informaes, que, primeiramente, pensam em
ajudar ao solicitante e somente posteriormente se preocupam com a importncia da
informao fornecida.
De acordo com Mitnick e Simon (2003), [...] como seres humanos, somos
todos sujeitos a sermos enganados, porque a confiana das pessoas pode ser
usada de forma errada se for manipulada de determinadas maneiras. O Engenheiro
Social conhece ou consegue perceber essa confiana que lhe depositada e, a
partir dai, desenvolve tcnicas que buscam focar principalmente esse desejo dos
homens de ajudarem aos seus pares.
Entre as principais tcnicas de Engenharia Social temos, conforme relatado
por Peixoto (2006):
Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridade
proporcionada pelo uso do telefone, garantindo sua difcil identificao, tenta se
passar por algum que ele no e solicita informaes ou aes ao atendente;
Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicar em
links maliciosos que podero executar aplicativos de captura de senhas e sequestro
de computadores, tornando seus PCs zumbis, entre outras coisas;
Chats de internet: onde, como no telefonema, o atacante pode se passar
muito facilmente por qualquer pessoa;
Fax: o criminoso envia formulrios, pedidos de requisio, entre outros
documentos, solicitando que sejam respondidos e enviados para endereos
falsificados;
Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim de encontrar
dados sigilosos que possam ajudar a burlar os sistemas de segurana dos mesmos;
26
Surfar sobre os ombros: o atacante posiciona-se atrs das vitimas no
momento que estas vo digitar suas senhas em terminais eletrnicos de bancos,
computadores pessoais e coisas do tipo;
Pessoalmente: constitui uma visita in loco
7
por parte do transgressor para
levantamento de informaes ou para execuo de aes. Talvez seja o menos
utilizado, pois o que atrai um Engenheiro Social a obscuridade que essa tcnica
fornece. Mas, apesar do risco, s vezes essa nica alternativa que resta aos
criminosos.
Alm das tcnicas clssicas mencionadas acima, a Engenharia Social vm se
aprimorando com o passar do tempo e com o advento de novas tecnologias, criando
formas inovadoras de obteno de informaes sigilosas constantemente. Entre
essas formas mais modernas de ataques esta o Phishing, que inspirado no
clssico Fakemail, porm mais aprimorado. Segundo o a empresa Symantec
8
,
respeitvel empresa do ramo de segurana e antivrus, o Phishing uma tcnica de
falsificao on-line que consiste na utilizao de websites falsificados e e-mails
fraudulentos com o intuito de induzir as vitimas a clicarem em links adulterados onde
sero persuadidos a passarem informaes pessoais e seus criadores no passam
de falsrios e ladres de identidade.
Portanto a Engenharia Social no uma tcnica de obteno de informaes
estagnada e passa ainda por grandes transformaes, resultado da criatividade dos
criminosos adeptos dessa classe de golpes que exploram as muitas vulnerabilidades
humanas.
3.2 Fatores Motivadores da Engenharia Social
A obteno de lucro o que mais motiva um criminoso a buscar informaes
sigilosas de forma ilcita atravs de tcnicas de Engenharia Social
9
. Mas tambm
existe uma grande quantidade de atrativos secundrios que motivam esses
7 No prprio local.
8 Fonte: Symantec Relata Aumento De Roubo De Dados, Vazamento De Dados E Ataques Direcionados De
Hackers Com Objetivo De Ganho Financeiro. Disponvel em:
<http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20070322_01>.
9 Ver item 2.2.1 - Entendendo a Engenharia Social.
27
atacantes a adotarem essa famlia de fraudes para conseguirem ganho financeiro.
Entre esses atrativos podemos citar:
Facilidade para conseguir informaes confidenciais: atravs das inmeras
tcnicas de ataques j discutidas anteriormente, os Engenheiros Sociais conseguem
obter informaes sigilosas com incrvel facilidade. Santos (2004) comenta que:
muitos acreditam que os Engenheiros Sociais utilizam ataques com
mentiras elaboradas bastante complexas, porem, muitos ataques so
diretos, rpidos e muito simples, onde eles simplesmente pedem a
informao desejada.
Mitnick e Simon (2006) ainda reforam que as pessoas possuem uma
inclinao para ajudar seus pares e os Engenheiros Sociais possuem vrias
maneiras para tirar proveito disso.
Alto ndice de sucesso nos ataques: como resultado dessa facilidade de
conseguir informaes sigilosas, temos um elevado grau de xito nas empreitadas
que envolvem a Engenharia Social. Como no existem dados concretos e
confiveis sobre esse tipo de golpe, as concluses tomadas so baseadas em
documentos disponibilizados por empresas que realizaram testes de penetrao de
segurana. Essas instituies ressaltam, de acordo com Mitnick e Simon (2003), que
suas aes para invaso de sistemas computacionais de empresas clientes
utilizando tcnicas de Engenharia Social conseguem alcanar 100 % de sucesso.
A no necessidade de aparatos tecnolgicos para realizao de ataques:
algumas aes criminosas se vm dificultadas pelo obstculo imposto por aparatos
tecnolgicos e tambm pela prpria tecnologia em si. Em muitas ocasies o
atacante no possui o equipamento necessrio para empreender a ao ou no
possui o conhecimento sobre o equipamento que ter que manusear ou atacar,
principalmente por se tratar de TI, onde as tecnologias so, cada vez mais,
complexas e de difcil domnio, e em outras, os prprios mecanismos tecnolgicos
de segurana so as barreiras para impedir tais ataques.
Com o uso da Engenharia Social, os atacantes conseguem burlar toda essa
parte tecnolgica e atacar a suas vtimas sem intermdios de meios de defesa.
Mitnick e Simon (2003) reforam que:
28
o atacante hbil que usa a arte de enganar como uma das armas de seu kit
de ferramentas procura explorar as melhores qualidades da natureza
humana: a tendncia natural de ajudar, dar apoio, ser educado, participante
de uma equipe e o desejo de realizar um trabalho.
Apenas com uma simples conversa ou vasculhando uma lata de lixo um
Engenheiro Social consegue obter informaes sigilosas e us-las para fins no
lcitos.
As inmeras vulnerabilidades humanas: em geral, as pessoas possuem
uma forma comum de reagir a situaes diversas, entre elas a solicitao de ajuda e
informaes que, na grande maioria das vezes, so respondidas positivamente e
sem uma analise mais criteriosa por parte das vitimas. Compreendendo essas
nuances da personalidade humana, os Engenheiros Sociais as exploram a fim de
alcanar seus objetivos.
Os engenheiros sociais sabem como explorar o desejo natural das pessoas
de ajudar e fazer parte de uma equipe. Um atacante explora esse trao
humano positivo para enganar empregados desavisados para que executem
aes que o coloquem mais perto do seu objetivo. importante entender
esse conceito simples para que voc reconhea quando outra pessoa est
tentando manipul-lo. (MITNICK E SIMON, 2003).
Estrutura virtual sem fronteiras: as diferenas regionais, incluindo suas
culturas, tecnologias e legislaes, tornam o ambiente virtual, representado
principalmente pela internet, um estado independente e sem polticas unificadas.
Agravando esse cenrio temos o amplo alcance da rede mundial de computadores,
que torna possvel a comunicao e a interligao de computadores espalhados ao
redor do mundo.
Para Popper e Brignoli (2002) [...] a rede no respeita fronteiras entre pases,
o que dificulta administrar as diferenas culturais ou aplicar leis nacionais. Se
aproveitando dessa possibilidade de acesso irrestrito e sem fronteiras e das
diferenas regionais existentes, um atacante pode, atravs do uso de pginas de
internet e e-mails, cometer seus crimes em qualquer lugar do mundo, invadindo
computadores e roubando senha, tornando a tarefa de encontr-lo muito difcil.
Difcil punio dos criminosos: um fator muito atraente para quem busca
informaes atravs das tcnicas de Engenharia Social a sua difcil punio ou a
at mesmo a falta dela. Conforme Popper e Brignoli (2002) muito difcil punir esse
29
tipo de criminoso, pois alguns desses ataques nem podem ser considerados delitos,
e citam como exemplo a procura de informaes em sacos de lixo ou at mesmo
ouvir conversas em lugares pblicos.
A falta de treinamento dos funcionrios das empresas: a maioria das
empresas no investem ou investem muito pouco na segurana de suas
informaes e quando investem, na maioria das vezes, investem em dispositivos
tecnolgicos e se esquecem de se preocupar com o treinamento de seus
funcionrios. De acordo com Silva, V. (2012a):
tal problemtica [referindo-se a obteno de informaes sigilosas pelo
Engenheiro Social] est diretamente voltada fraca abordagem desta
questo nas organizaes, que na grande maioria das vezes no se
preocupam como deveriam com a necessidade de possurem uma Poltica
de Segurana robusta que trate do tema [...].
Os crimes que envolvem a Engenharia Social so um timo atrativo para os
criminosos, pois, independentemente de seu objetivo principal, que o lucro, existe
uma quantidade elevada de fatores que o tornam possvel. Junte-se a esse cenrio
a facilidade de se conseguir as informaes sigilosas que esse mtodo proporciona
e a quase inexistncia de punio para os criminosos e temos uma arte criminosa
das mais atraentes para os olhos de um criminoso inteligente e perspicaz.
3.3 Anlise dos Ataques e dos Fatores Motivadores
Ao analisar as tcnicas de Engenharia Social e os fatores que impelem os
seus ataques verificam-se trs aspectos fundamentais que esto intimamente
relacionados e juntos formam uma maneira muito eficaz de crime contra as
informaes: a facilidade de conseguir informaes, o alto ndice de eficincia nos
ataques e a difcil punio dos atacantes.
Os dois primeiros, a facilidade de conseguir informaes e o alto ndice de
eficincia nos ataques, esto sincronizados com as vulnerabilidades encontradas na
personalidade humana. Essas vulnerabilidades so as brechas por onde um
Engenheiro Social obtm sucesso com a aplicao de seus golpes, pois, conforme
j discutido e aqui reforado por Salvo (2011), O elemento mais vulnervel de
qualquer sistema de segurana o prprio indivduo, ao qual possui traos
30
comportamentais e psicolgicos que o torna suscetvel aos ataques de Engenharia
Social.
Mesmo conhecendo esses traos falhos presentes nos seres humanos, no
possvel conceber um sistema tecnolgico sem o fator humano estar presente.
Imamura (2007) lembra que a presena humana fundamental em pelo menos duas
fases distintas de um sistema computacional: a fase de criao e a fase de deciso
e ambas:
esto presentes em todos os momentos do emprego da tecnologia, pois a
seleo da tecnologia, a forma de emprego, os controles e a avaliao
esto diretamente associadas dinmica do avano tecnolgico e da
vontade humana. (IMAMURA, 2007).
Porm, de acordo com Filho (2004), h maneiras de se amenizar os
problemas relacionados com essas vulnerabilidades humanas, diminudo com isso o
alto ndice de sucesso dos Engenheiros Sociais. A principal delas seria a adoo de
medidas, entre as empresas, para atenuao da participao do componente
humano nos processos de segurana. Essas medidas, ainda com relao ao
referenciado por Filho (2004), compreendem quatro fatores: educao e treinamento
dos funcionrios, segurana fsica da instituio, poltica de segurana e controle de
acesso.
claro que o homem no pode ser excludo totalmente do processo
computacional, no entanto, quanto menor for sua participao nas atividades
relacionadas com o trato e segurana das informaes e, quando essa participao
for indispensvel, ela esteja respaldada por um ambiente fsico seguro e uma
poltica de segurana consistente, menores sero as chances de um criminoso obter
sucesso em um ataque contra as informaes da instituio em questo.
J a difcil punio dos criminosos configura-se como um grande desafio para
os responsveis pela criao e aplicao de leis. O sistema de leis, principalmente o
brasileiro, encontra-se defasado em relao s fraudes virtuais e muitas leis, que
foram criadas para emprego em outros crimes, diferentes dos digitais, tem que ser
enquadradas para trato dos crimes cibernticos. Conforme defendido por Eiras
(2004), o sistema jurdico brasileiro mostra-se sobremaneira obsoleto para enfrentar
criminosos virtuais. Isto porque muitos meios de prova que nos ajudariam a captur-
los, simplesmente no tm validade em nosso Direito.
31
A forma mais contundente para tratar essa questo seria uma reforma no
regime de leis, tanto nacionais quanto internacionais, que envolva especialistas em
tecnologia e promova um debate em toda a sociedade.
Atheniense (2012), advogado especialista em crimes de internet, ressalta que:
[...] as solues legais a serem buscadas devero objetivar a circulao de
dados pela internet, controlando a privacidade do indivduo sem cercear o
acesso informao. Neste sentido necessrio aprimorar nossas leis de
proteo de dados, inclusive com a regulamentao da atividade dos
provedores que controlam a identificao do infrator, bem como um maior
aparelhamento das delegacias especializadas.
Seguindo esse panorama, o governo brasileiro esta trabalhando para tipificar
os crimes cometidos contra as informaes. Conforme Aquino (2011):
o governo est elaborando o marco civil para disciplinar a rea de
informtica, cuja ideia, segundo o ministro [referindo-se ao ministro da
Justia, Jos Eduardo Cardozo], estudar os projetos que j tramitam no
Legislativo e que preveem a tipificao para ver se h a necessidade de
aperfeioar a parte criminal.
Enquanto novas formas de leis que visam proteger as informaes e inibir
crimes como os que envolvem a Engenharia Social no so aprovadas, essa tcnica
mostra-se como um dos meios ilegais mais seguros e vantajosos para os criminosos
obterem informaes secretas e, consequentemente, ganhos financeiros, pois seus
crimes so de difcil diagnstico, a punio aos responsveis muito difcil de
ocorrer e as vulnerabilidades humanas tornam os ndices de sucesso nos ataques
muito altos.
32
4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL
4.1 Crimes de Difcil Apurao
A Engenharia Social uma prtica de roubo de informaes difcil de ser
descoberta e mais difcil ainda de ser enquadrada como um crime. Essa difcil
apurao dos delitos faz com a maioria das empresas nem desconfiem que sofreram
ataques dessa natureza contra suas informaes ou, na melhor das hipteses,
sabem que sofreram um prejuzo, mesmo que no o consigam quantificar, mas no
sabem como esse prejuzo ocorreu. Mitnick e Simon (2003) sustentam que:
Parece que no h estatsticas sobre os ataques da engenharia social e, se
houvesse, os nmeros seriam muito pouco confiveis. Na maior parte dos
casos uma empresa nunca sabe quando um engenheiro social "roubou" as
informaes, de modo que muitos ataques no so notados nem relatados.
Reforando esse contexto, Diniz (2008) relata que:
os possveis prejuzos causados por ataques de Engenharia Social so
incalculveis devido s ameaas (pessoas) estarem presentes em quase
todos os processos de uma empresa: Financeiros, Operacionais,
Administrativos, etc...
Quando as empresas descobrem que tiveram suas informaes sigilosas
expostas por ataques criminosos, na maioria das vezes, j bastante tarde para
alguma ao de defesa, elas ento optam por ocultar o corrido e no divulgam essas
informaes para as partes competentes. Paschoal (2002) comenta que no se
pode confiar muito nos nmeros referentes a invases de sistemas informticos, isso
porque as notificaes so feitas pelos prprios invasores e as empresas atingidas,
com temor de ter as prprias falhas de segurana expostas, evitam divulgar essas
invases sofridas.
O conjunto desses fatores faz com que as estatsticas a respeito dos impactos
causados pela ao da Engenharia Social sejam distantes da realidade e os valores
dos prejuzos provocados estejam muito abaixo do que realmente so.
Peixoto (2006) refora esse difcil levantamento dos impactos provocados por
ataques contra as informaes empresariais:
33
31% [referindo-se as empresas brasileiras] no sabem dizer se sofreram
ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22%
dos casos de ataque, as organizaes no conseguiram detectar as causas
e em 85% dos casos no souberam quantificar o prejuzo.
Apesar dessa dificuldade e dos dados no serem muito completos, existem
inmeros levantamentos dos prejuzos causados por crimes contra sistemas
informticos realizados por empresas srias do ramo da segurana da informao e
dentre esses levantamentos encontra-se informaes sobre o Phishing, que, de
conformidade com o explanado no item 3.1 Principais Tcnicas de Ataque da
Engenharia Social considerado uma tcnica moderna de Engenharia Social.
nesses dados que os levantamentos a seguir sero apoiados.
4.2 Nmeros do Phishing
Como uma tentativa de mensurar os impactos causados por essa prtica,
mesmo que ainda distante da realidade, sero abordados os crimes relacionados
com a prtica do Phishing, pois, como so difundidos atravs da rede mundial de
computadores, esses crimes so uns dos poucos entre o portflio dos Engenheiros
Sociais capazes de serem identificados e quantificados pelas empresas de
segurana da informao.
Segundo Ikeda (2011), o Phishing ocupa a terceira posio nos incidentes
relacionados segurana da informao no Brasil, com 11% dos casos. As Invases
a perfis em redes sociais, com 19%, ficam em segundo lugar e os vrus de
Computadores, com 68%, aparecem no topo da lista.
Ikeda (2011) informa ainda as perdas financeiras causadas por esses crimes
no perodo de um ano. O montante chega a US$ 388 bilhes, e no Brasil, alcana a
casa dos US$ 60 bilhes (o equivalente a R$ 104 bilhes). Sendo o Phishing
responsvel por 11% das ocorrncias, pode-se estimar um prejuzo calculado
aproximado de R$ 11,44 Bilhes (11% de 104 Bilhes de Reais).
Outra pesquisa, mas agora focada no Reino Unido e realizada pela Apacs
(2006)
10
, entidade que pertence a Associao de Bancos daquela regio, aponta um
aumento dos prejuzos causados pelo Phishing entre os anos de 2005 e 2006.
Segundo o rgo, este tipo de fraude tornou-se mais sofisticado e eficaz, fazendo
10 Fonte: Phishing impulsiona prejuzos de fraudes bancrias na Web no Reino Unido. Disponvel em
<http://www.htmlstaff.org/ver.php?id=3064>.
34
com que os prejuzos saltassem dos 14,5 milhes de libras para 22,5 milhes, ou
seja, um aumento de 55%.
J o instituto Gartner (2005)
11
, respeitada instituio do ramo de pesquisa e
aconselhamento sobre tecnologia da informao, divulgou um relatrio sobre os
prejuzos estimados ocorridos devido ao Phishing nos Estados Unidos com cartes
de crdito e dbito. Conforme o relatrio, os ataques de Phishing j causaram
prejuzos estimados em US$ 2,75 bilhes nos ltimos 12 meses (se referindo ao
perodo de 2004 a 2005). O relatrio fruto de um estudo envolvendo 500 clientes
de bancos americanos. O instituto Gartner estima que cerca de trs milhes de
americanos perderam, cada um em mdia, mais de US$ 900 durante o ltimo ano.
Para termos uma ideia da expressividade dos nmeros relatados acima basta
compar-los com os gastos com a segurana pblica do estado de So Paulo, o
estado mais rico do pas. Segundo dados do SIGEO, levantados e divulgados por
Junqueira (2012), temos:
[...] entre 2001 e 2005 os investimentos realizados na Polcia Militar
somaram R$ 285,7 milhes, contra R$ 8,5 milhes para a Polcia Civil e R$
1,9 milho para a Superintendncia Tcnico-Cientfica. Considerando-se a
dotao oramentria total neste perodo, v-se que, dos cerca de R$ 29
bilhes que a pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhes
(58%) foram para a PM e R$ 5,3 bilhes (18,5%) para a Polcia Civil. A
polcia tcnica ficou com R$ 608 milhes
Ao se analisar os nmeros do Phishing, verifica-se que apenas em um ano os
prejuzos com esse golpe ultrapassaram os 11 bilhes de reais, isso somente no
Brasil. Esse montante muito superior ao que o estado de So Paulo gasta com sua
rede de polcias (civil, militar e cientfica). Isso nos mostra a real ameaa que so os
crimes de Engenharia Social e os grandes prejuzos financeiros que eles provocam.
Uma nica modalidade dessa arte criminosa e, ainda por cima, longe de ter
seus nmeros levantados de forma exata e precisa e sempre abaixo do que
realmente so, demonstra o incrvel potencial dessa tcnica como um todo,
alertando para as empresas a importncia que elas devem dispor aos seus sistemas
contra fraudes e mostrando tambm que suas polticas de segurana devem ser
revistas e adaptadas aos ataques dessa natureza.
11 Fonte: Phishers causam prejuzos de bilhes de dlares. Disponvel em
<http://www.baboo.com.br/conteudo/modelos/Phishers-causam-prejuizos-de-bilhoes-de-
dolares_a17310_z0.aspx>.
35
5 COMO GARANTIR A SEGURANA DAS INFORMAES
5.1 Polticas de Segurana da Informao e Sua Importncia
Face s inmeras ameaas existentes contras as informaes, torna-se
indispensvel para as empresas implantao de um modelo eficiente de Poltica
de Segurana da Informao. Silva, V. (2012b) ressalta que essas polticas so de
extrema importncia para evitar que os ataques contra as informaes, de qualquer
natureza e no somente os oriundos de Engenharia Social, consigam xito em sua
empreitada contra as empresas.
Esse importantssimo aspecto do escopo de segurana das organizaes
definido por LAUREANO (2005, apud DIAS, 2000) como:
um mecanismo preventivo de proteo dos dados e processos importantes
de uma organizao que define um padro de segurana a ser seguido pelo
corpo tcnico e gerencial e pelos usurios, internos ou externos. Pode ser
usada para definir as interfaces entre usurios, fornecedores e parceiros e
para medir a qualidade e a segurana dos sistemas atuais.
As Polticas de Segurana so um escopo de como as informaes devem
ser protegidas dentro do mbito da organizao, ou seja, um manual sobre os
procedimentos em vigor para aquela organizao especfica. Por esse motivo, so
documentos que variam muito de instituio para instituio e sua aplicao e
mtodos so muito distintos.
DAndrea (2004) ainda refora que:
o valor e a efetividade da segurana da informao sero alcanados
medida que as organizaes faam o planejamento, o desenho e a gesto
da segurana considerando seus objetivos corporativos e de negcios.
Para as empresas conseguirem essa efetividade para com a segurana de
suas informaes elas necessitam tratar essa questo com um maior
profissionalismo, implantando uma Poltica de Segurana bem definida, que estipule
normas e procedimentos a serem seguidos por todos dentro da organizao. Essas
normas precisam ainda estar em acordo com os objetivos empresarias da empresa.
Um problema comum encontrado nas Polticas de Segurana em vigor que
elas privilegiam por demais os aspectos tcnicos dos sistemas computacionais e
esquecem o fator humano. Popper e Brignoli (2002) enfatizam que a maior parte das
36
empresas no aloca seus recursos financeiros de uma forma equilibrada, elas
preferem investir na manuteno de sistemas e em novas tecnologias e se
esquecem de direcionar esses investimentos para combater a Engenharia Social.
Essa brecha nas Polticas de Segurana pode ser explorada pelos Engenheiros
Sociais, tornando todo o esquema de segurana das empresas falho, pois, conforme
salienta Peixoto (2006): [...] a segurana das informaes deve ser comparada a
uma corrente, em que o elo mais fraco representa exatamente o nvel de resistncia
e proteo.
Para que essas polticas sejam realmente seguras, bem balanceadas e
consigam lidar com as diferentes ameaas contra as informaes, recomendvel
que elas sejam elaboradas, com relao ao Brasil, seguindo os princpios da norma
NBR ISO/IEC 27002/2005, norma brasileira referncia para gesto da segurana da
informao. Smola (2003), alm de reforar a necessidade da adoo dessa norma
como referncia, ainda lembra que as organizaes que possuem uma poltica j
definida devero rev-las em conformidade tambm com a ISO17799
12
. Em geral
essas normas esto embasadas nas leis vigentes no pas, garantindo, com isso, que
as empresas no tenham problemas com a legislao a que so subordinadas.
Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela ABNT e
passou a ser referenciada como NBR ISO/IEC 27002, sendo, a partir desse
momento, essa normal a principal referncia em boas prticas para a gesto da
segurana da informao no Brasil (NBR ISO/IEC 27002, 2005).
Em vista do que foi exposto, fica evidenciado que para tratar as suas
informaes de forma segura, as empresas necessitam, primeiro, implantar uma
Poltica de Segurana da Informao respaldada por uma norma que trate do
assunto e esteja em acordo com a legislao vigente do pas onde resida, segundo,
essa poltica deve estar focada nos interesses da empresa e, terceiro, ela deve se
preocupar tanto com os aparatos tecnolgicos como com os ativos humanos.
Um ltimo ponto a ser abordado sobre as Polticas de Segurana da
Informao que esta deve ser amplamente divulgada dentro do ambiente
empresarial e serem de fcil entendimento para as partes envolvidas, conforme
comentado por Silva, V. (2012b):
12 Por ser desenvolvido antes da atualizao da norma NBR ISO/IEC 17799, que passou a ser chamada de NBR
ISO/IEC 27002 em 2005, o trabalho de Smola faz referencia apenas a norma NBR ISO/IEC 17799.
37
o grande problema enfrentado que muitas polticas no so divulgadas,
no so confeccionadas utilizando termos de fcil entendimento, algumas
possuem palavras muito tcnicas e, em meio a todas essas adversidades, a
empresa no realiza aes para conscientizar e educar seus colaboradores
quanto importncia de preservar a informao da empresa.
Essa boa divulgao das informaes sobre as Polticas de Segurana
vigentes garantem um maior comprometimento por parte dos funcionrios com as
questes de segurana, assegurando com isso uma maior eficincia dessas
polticas.
5.2 Sucesso da Poltica de Segurana da Informao
Um sistema de segurana da Informao precisa atender um grande nmero
de variveis para que venha a ser executado com sucesso. Esse sistema no pode
se ater apenas a forma como as informaes sero tratadas ou armazenadas, se
elas estaro disponveis e integras ou quem ter acesso a elas. De acordo com NBR
ISO/IEC 27002 (2005), para que um sistema de Segurana da Informao possa ser
implantado com sucesso, os seguintes aspectos precisam ser colocados em prtica:
Poltica de Segurana que reflita os interesses do negcio;
Uma abordagem consistente com a cultura organizacional;
Comprometimento e apoio de todos os nveis gerenciais;
Um bom entendimento dos requisitos da segurana da informao;
Divulgao das normas de segurana para todos que fazem parte do
escopo organizacional da empresa (funcionrios, colaboradores, parceiros, entre
outros);
Proviso de recursos financeiros para as atividades de segurana;
Estabelecimento de um processo eficiente de gesto de incidentes da
segurana da informao;
Implementao de um sistema de avaliao e melhoria do sistema de
segurana da informao.
Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002 (2005) so
bastante sucintos e genricos, deixando a cargo da empresa escolher os
procedimentos que melhor se adequaro a sua estrutura organizacional. Estes itens
esto mais relacionados com a maneira como o sistema ser implantado, seu
38
alinhamento com os negcios da empresa, proviso de recursos financeiros para
que o mesmo se realize e posterior avaliao desses sistemas.
Os primeiros pontos, referentes ao alinhamento do sistema de segurana aos
interesses de negcio da organizao e sua cultura, apoio dos nveis gerencias e
proviso de recursos, so essenciais para que o plano traado consiga sair do
papel, ser colocado em prtica, ter seu desenvolvimento garantido financeiramente e
seja apoiado posteriormente pela administrao da empresa. Conforme explicado
por Silva P., Carvalho e Torres (2003):
A Administrao da empresa quem define a estratgia do negcio e que
escolhe as iniciativas a realizar para a sua implementao. Desta forma, a
este corpo administrativo que compete decidir ao mais alto nvel as
atividades que se iro realizar na empresa, sendo a funo do responsvel
pela segurana dotar a Administrao da informao necessria para que
esta possa optar.
Esses aspectos so conseguidos atravs da sinergia de todos os setores
administrativos que compe a organizao, que devem ter suas expectativas
expostas, discutidas e possam ser alinhadas com o interesse geral dos negcios da
corporao. Tambm se faz necessrio que a instituio, atravs de seu responsvel
pela segurana da informao, tenha um bom conhecimento sobre as questes de
segurana e como aplic-las em uma Poltica de Segurana da Informao.
Outro trao importante da Poltica a sua divulgao para todos os
funcionrios e colaboradores da organizao. Mitnick e Simon (2003) defendem que
o principal objetivo da divulgao de um modelo de segurana da informao o de
influenciar as pessoas para que mudem seu comportamento e suas atitudes
motivando cada empregado a querer entrar no programa e fazer a sua parte para
proteger os ativos de informaes da organizao. Com os funcionrios
empenhados em seguir os procedimentos de segurana corretamente as chances
de sucesso so aumentadas consideravelmente.
Alm da divulgao da Poltica de Segurana, se faz necessrio um
treinamento bem elaborado acompanhado de constantes programas de reciclagem
em segurana para que os funcionrios estejam aptos a lidar com diferentes tipos de
ameaas, principalmente as relacionadas com a Engenharia Social.
Finalizando os fatores que proporcionam sucesso ao Sistema de Segurana
est um esquema de avaliao do mesmo, que gere informaes para que
melhorias possam ser implantadas no decorrer do tempo.
39
evidente que as questes tcnicas de como proteger as informaes so o
objeto central de um Sistema de Segurana da Informao e seu maior fator de
sucesso. Porem, sem a devida ateno aos interesses da empresa, sua diretoria e
funcionrios, dificilmente esse plano consiga ser consolidado, mesmo ele tendo seus
aspectos tcnicos muito bem estruturados.
Por esse motivo se justifica a ateno aos quesitos apresentados, como
forma de garantir que o Programa de Segurana seja realmente eficiente para a
organizao e consiga ser implantado com sucesso.
5.3 O Responsvel pela Poltica de Segurana da Informao
Para iniciar o desenvolvimento de uma Poltica de Segurana da Informao
faz-se necessrio definir o responsvel ou os responsveis pela sua confeco,
implantao, monitoramento e possveis ajustes que se faam necessrios. Os
materiais que so referencias para as questes de segurana da informao e para
elaborao das suas polticas no especificam quem exatamente esse
responsvel/responsveis, deixando essa deciso a cargo da prpria empresa, mas
do algumas dicas das caractersticas que esse profissional deve possuir.
Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Poltica de
Segurana da Informao deve prover uma orientao e apoio da direo para a
segurana da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes pertinentes. Percebe-se ai que esse profissional necessita ento
conhecer a estrutura da empresa em questo, para poder alinhar as Polticas de
Segurana com as necessidades de negcio da corporao, e necessita conhecer
tambm a regulamentao e leis vigentes, a fim de ter respaldo jurdico para as
determinaes da poltica que ser implantada.
Silva, P., Tavares e Torres (2003) tambm trazem a tona algumas informaes
pertinentes. Segundo eles, a administrao da empresa em conjunto com os
agentes por ela nomeados, so os responsveis pela informao usada na
instituio, na sua relao com os clientes e na produo e comercializao dos
seus bens, portanto essa administrao que decide o que ir ser feito com a
informao. Silva, P., Tavares e Torres (2003) ainda reforam que essa postura da
administrao tem, invariavelmente, repercusses na segurana e esta se encontra
40
dependente tanto das suas decises nesta matria, como do comportamento, mais
ou menos seguro, dos utilizadores.
Apresentado esses pontos e antes que se possa definir o responsvel pelas
polticas de segurana da empresa que se encaixe nas informaes
disponibilizadas, faz-se necessrio explanar quais os cargos existentes atualmente
ligados Segurana das Informaes que podem assumir tal tarefa. Dentre estes,
encontram-se dois que merecem especial ateno: o Analista de Segurana da
Informao e o CSO ou CISO. Henrique (2011) define assim ambas as funes:
o CSO um cargo exclusivamente executivo, voltado para a aplicao da
segurana da informao, suas normas, melhores prticas e experincia de
negcio. E quanto ao Analista de Segurana, alm de estar envolvido em
todos os processos referentes S.I., ele municia o CSO justamente com
resultados e informaes diretamente das aplicaes de prticas visando a
segurana.
Ainda essencial informar que, segundo Brenner (2009), a maioria das
empresas que possuem profissionais voltados para a gerncia da rea de TI ainda
repassam todas as tarefas dessa rea, incluindo a segurana da informao, ao
CIO, que, a princpio, o responsvel pela rea de TI da empresa como um todo e
pode no possuir uma formao especfica para a segurana da informao.
Com base nas informaes coletadas pode-se concluir ento que a empresa
deve possuir um profissional especfico para ser responsvel pela sua Poltica de
Segurana da Informao e recomendvel que esse profissional faa parte de seu
quadro de funcionrios, a fim de estar integrado com as necessidades de negcio da
organizao. Esse profissional deve possuir um bom relacionamento com a alta
gerncia e com todos os outros funcionrios e ser conhecedor das normas e leis
vigentes.
Portanto o indicado que esse profissional seja um CSO ou CISO e tenha a
assessoria de um CIO, para que este possa ajudar na sincronizao das normas de
segurana com os interesses empresariais e ser o elo com as demais reas
gerenciais, e, se possvel for e a empresa conseguir arcar com os custos, o apoio
ainda de um Analista de Segurana da Informao.
41
5.4 Desenvolvendo uma Poltica de Segurana da Informao
No desenrolar desse captulo, algumas colocaes se apresentaro um tanto
redundantes, fato esse que se faz necessrio, visto que todo o contedo exposto at
o momento culmina com o desenvolvimento de uma Poltica de Segurana slida e
que abranja todas as necessidades de segurana que as informaes possuem.
Por no se preocupar com todos os aspectos relacionados com a segurana
de uma instituio, como a segurana do permetro do estabelecimento, segurana
de valores monetrios, uso de cmeras de monitoramento, uso de vigilantes, etc., a
poltica de segurana da informao pode ser parte de um documento de poltica
geral (NBR ISO/IEC 27002, 2005). Esse documento, mais geral e abrangente,
torna-se necessrio a fim de que possa ser contemplada a segurana da empresa
como um todo e nele devera ento ter contido uma Poltica de Segurana volta
especificamente para a proteo das Informaes.
Ainda com base na NBR ISO/IEC 27002 (2005), verifica-se que se a poltica
de segurana da informao for distribuda fora da organizao, convm que sejam
tomados cuidados para no revelar informaes sensveis. Esses cuidados
garantem uma ateno com informaes que sero repassados a terceiros, como
prestadores de servios, parceiros e clientes da instituio.
Tomados esses cuidados, a organizao que deseja implantar a Poltica de
Segurana da Informao dever indicar um responsvel pela tarefa, que, conforme
j apresentado, dever ser um CSO ou CISO. Esse responsvel dever elaborar a
poltica em questo de uma forma que esta esteja totalmente documentada e se
atentar para que, de acordo com a NBR ISO/IEC 27002 (2005), esse documento
reflita o comprometimento da direo da empresa e estabelea o enfoque da
organizao para gerenciar a informao. Outro aspecto a ser ressaltado, e que
reforado pela NBR ISO/IEC 27002 (2005), que a Poltica de Segurana da
Informao dever ser comunicada atravs de toda a organizao para os usurios
de forma que seja relevante, acessvel e compreensvel para o leitor em foco. (NBR
ISO/IEC 27002, 2005).
Com relao forma com que a Poltica deve ser conduzida, Silva, P.,
Tavares e Torres (2003), salientam que as regras contidas neste documento devem
ser suficientemente genricas para no necessitarem de reviso. Isso garante que
42
a poltica no fique defasada demasiado cedo e no necessite ser alterada com
frequncia, como, por exemplo, por motivos de inovaes tecnolgicas.
Passando para um mbito mais concreto da Poltica de Segurana da
Informao, Laureano (2005) defende que elas devem abranger os seguintes
contedos:
O que estamos protegendo: aqui se define as informaes sensveis para a
empresa e quais os nveis de segurana elas devero possuir. Isso significa agrupar
as informaes em grupo de prioridades;
Mtodos de proteo: onde se decide como essas informaes sero
protegidas;
Responsabilidades: onde so estipulados os privilgios de acesso s
informaes para os usurios;
Uso adequado: escopo de como os usurios devero usar os recursos de
redes;
Consequncias: esclarecimento sobre as consequncias que uma quebra
de segurana trar pra a empresa;
Penalidades - as penas a que estaro sujeitos os infratores dos
procedimentos descritos na Poltica de Segurana da Informao.
Essas questes auxiliam a direcionar a Poltica de Segurana e segregar
melhor os recursos disponveis, pois ao se limitar as informaes que deveram ser
mantidas em sigilo pode-se definir melhor uma estratgia para sua proteo e dar-
lhe um foco mais direcionado. Isso vai de encontro ao definido na classificao das
informaes, que objetivam justamente definir quais informaes necessitam
proteo e qual o grau dessa proteo, resultando numa definio de mtodos de
proteo mais eficazes. Ao se definir responsabilidades, mostrar as consequncias e
informar as penalidades, consegue-se um maior controle sobre os usurios e
embasamento para punies, caso seja necessrio.
Agora, para a definio eficiente do que deve ser protegido e mtodos de
proteo a serem adotados, faz-se necessrio uma Analise de Risco sobre as
Informaes da organizao. Conforme Silva, P., Tavares e Torres (2003), a Anlise
de Risco se faz necessrio para que a Administrao consiga formalizar um conjunto
equilibrado e completo de objetivos para a Segurana da Informao. Esse
procedimento deixa claro para a organizao a quais riscos suas informaes esto
expostas, a forma como mitig-los e qual o tempo para recuperao de cada grupo
43
de informao j previamente classificado. Por esse motivo, refora-se mais uma
vez a importncia de uma clara classificao das Informaes em poder da
empresa.
Com essas definies claras e os riscos calculados, a Poltica de Segurana
ganha j uma forma prxima da realidade e seus procedimentos j possuem uma
base para serem definidos.
A norma brasileira NBR ISO/IEC 27002 (2005) tambm especifica pontos a
serem contidos nas Polticas de Segurana que vo de encontro com o ressaltado
por Laureano (2005). Segundo ela, os documentos das polticas devem conter
declaraes relativas aos seguintes aspectos:
Uma definio da Segurana da Informao, suas metas globais, escopo
e importncia da segurana da informao para o compartilhamento da informao;
Uma declarao da direo apoiando essa Poltica e se submetendo a
ela;
Uma estrutura para estabelecer os objetivos de controle e controles;
Explanao das polticas, princpios, normas e requisitos de conformidade
da segurana da informao especficos para a organizao;
Definio das responsabilidades gerais e especificas pela segurana da
informao e registro de incidentes de segurana da informao;
Referncia a documentao que possa apoiar as polticas, como, por
exemplo: regras de segurana que os usurios devam seguir;
Esses pontos abrangem, de uma forma ampla e genrica, os principais
aspectos que devem ser considerados para que as Informaes empresariais
possam ser tratadas de uma forma segura. Mas para garantir que a Poltica esteja
consistente e possveis novas falhas possam ser descobertas, a NBR ISO/IEC
27002 (2005) recomenda ainda que a Poltica de Segurana da Informao seja
criteriosamente analisada em perodos de tempo regulares, planejados ou quando
ocorrerem mudanas significativas. Isso assegura a sua contnua pertinncia,
adequao e eficcia (NBR ISO/IEC 27002, 2005).
Para finalizar, a NBR ISO/IEC 27002 (2005) estabelece o uso de controles,
que so as formas pelas quais os objetivos estipulados pelos procedimentos da
Poltica sero alcanados, ou seja, a forma como os riscos sero tratados, qual o
nvel de proteo ser aplicado a determinado grupo de informaes e qual a
indisponibilidade aceitvel para cada grupo.
44
Sendo a Poltica de Segurana da Informao um documento bastante
genrico e universal, que especifica quais os pontos a serem verificados quanto
segurana das informaes e como esta deve ser tratada dentro da organizao,
mas no esclarecendo como isso deve ser feito, cada empresa devera implantar
procedimentos de acordo com sua realidade e estabelecer os controles que melhor
lhe convm com base nas informaes fornecidas principalmente pela NBR ISO/IEC
27002 (2005) sobre boas prticas de segurana da informao.
Uma poltica mais especifica e direcionada principalmente para a questo da
Engenharia Social ser dada a seguir.
45
6. SEGURANA DA INFORMAO VERSUS ENGENHARIA SOCIAL
6.1 Segurana da Informao Focada na Engenharia Social
Como o norte do presente trabalho a Engenharia Social, suas implicaes e
formas de combat-la, torna-se necessrio a apresentao de um Programa de
Segurana da Informao que se preocupe com essa tcnica criminosa e consiga
eliminar, ou pelo menos reduzir, os impactos por ela causados nas organizaes.
O termo Programa de Segurana da Informao ser adotado a partir daqui,
pois ele define algo que excede os limites das Polticas de Segurana da
Informao, carregando consigo um contexto mais abrangente e levantando outros
aspectos primordiais para a segurana das organizaes, como um conjunto de
treinamentos e conscientizao dos funcionrios, tornando o combate aos ataques
de Engenharia Social mais eficaz, visto que, de acordo com o mencionado por
Mitnick e Simon (2003):
o nico meio verdadeiramente efetivo de amenizar a ameaa da Engenharia
Social usar a conscientizao para a segurana combinada a polticas de
segurana que definem as principais regras para o comportamento do
empregado, junto com sua educao e treinamento.
Portanto, a constante conscientizao dos funcionrios se apresenta para os
autores como a principal arma na luta contra a Engenharia Social e deve ser includa
obrigatoriamente nos Programas de Segurana da Informao.
S existe uma maneira de manter seguros os seus planos de produto: ter
uma fora de trabalho treinada e consciente. Isso envolve o treinamento nas
polticas e procedimentos, mas tambm e provavelmente mais importante
um programa constante de conscientizao. Algumas autoridades
recomendam que 40% do oramento geral para segurana da empresa seja
aplicado no treinamento da conscientizao. (MITNICK E SIMON, 2003).
Sendo essas ferramentas, a constante conscientizao e treinamento dos
funcionrios, as mais eficazes no combate Engenharia Social, devem, pois,
estarem sob o respaldo da Poltica de Segurana de Informao da Instituio e
necessitam contemplar os pontos referentes s vulnerabilidades dos funcionrios,
quem so explorados pelos Engenheiros Sociais, e as tcnicas de ataque desses
criminosos.
46
Um escopo desses pontos vulnerveis da personalidade humana e das
formas de ataques utilizadas pelos Engenheiros Sociais j foram apresentados
anteriormente
13
, mas, para reforar a sua importncia em um Programa de
Segurana da Informao voltado contra as tcnicas de Engenharia Social, sero
revistos em formas de tpicos, pois, como j dito, suas peculiaridades j foram
discutidos em oportunidade anterior.
Conforme explicado por Mitnick e Simon (2003), os principais pontos
vulnerveis da personalidade humana e explorados pelos Engenheiros Sociais so:
O respeito autoridade;
A afabilidade;
A reciprocidade;
A consistncia;
Validao social;
Escassez;
Peixoto (2006) ainda destaca outros dois pontos importantes: a falta de
interesse ou desateno para com as informaes que so disponibilizadas a
terceiros por parte dos funcionrios das empresas e a falta de treinamento adequado
em prticas de segurana da informao por parte desses funcionrios.
Com relao s tcnicas de ataques, Peixoto (2006) lista os seguintes itens:
Telefonemas;
Fakemail;
Chats de internet;
Fax;
Mergulho no lixo;
Surfar sobre os ombros e
Pessoalmente.
Outra forma de Engenharia Social que deve ser incorporada a essa lista o
Phishing, uma moderna forma de Engenharia Social que causa enormes prejuzos
para as organizaes segundo a empresa Symantec
14
.
13 Ver item 2.2.2 As Vulnerabilidades Humanas e 3.1 Principais Tcnicas de Ataque da Engenharia Social.
14 Symantec Relata Aumento De Roubo De Dados, Vazamento De Dados E Ataques Direcionados De Hackers
Com Objetivo De Ganho Financeiro. Disponvel em:
<http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20070322_01>.
47
Deste modo, um Programa de Segurana da Informao que seja eficaz
contra os golpes de Engenharia social deve abordar necessariamente os pontos
ressaltados acima e incluir esses aspectos pertinentes aos ataques as
vulnerabilidades humanas e as formas de ataques nos assuntos que tangem tanto
aos mtodos de proteo quanto ao treinamento dos funcionrios.
O escopo de itens importantes a serem ressaltados nos treinamentos de
conscientizao dos funcionrios ainda deve compreender formas de se checar a
informao passada por terceiros no momento de disponibilizar dados importantes.
Para Peixoto (2006), a checagem da informao no mnimo necessria para
qualquer corporao que priva a segurana de seus clientes como de si prpria.
Essa checagem deve tornar-se um padro e ocorrer sempre que uma solicitao de
informao ou pedido para que uma ao seja tomada fora dos padres estipulados
seja requerida.
Em Mitnick e Simon (2006) temos ainda que as empresas devem criar seu
prprio procedimento de verificao de identidades e de autorizaes de indivduos
que peam informaes ou aes e esse processo dependera da confidencialidade
das informaes/aes solicitadas.
O trato adequado do lixo dispensado pela empresa mias um ponto que
merece ateno. Peixoto (2006) refora esses cuidados e lembra que o zelo serve
para o lixo digital tambm. Para ele, essas sobras empresariais contem informaes
muito valiosas para um Engenheiro Social e seu descarte deve ser cercado por
cuidados, como, por exemplo, separar o lixo que possa conter essas informaes e
picot-lo ou quebr-lo antes de despach-lo. (PEIXOTO, 2006).
Um ltimo ponto de ateno a ser relatado com relao aos funcionrios
demitidos. Verssimo (2002) comenta que uma ateno especial deve ser
disponibilizada a eles, principalmente os que saram descontentes com a empresa e
salienta que as informaes sobre a organizao que esses funcionrios possuem
no podem ser simplesmente anuladas de uma hora para outra. Por esse motivo
essa questo deve ser bem pensada no Programa de Segurana da Informao.
Se o Programa de Segurana da Informao conseguir incorporar os
aspectos mencionados, ele ser uma barreira valiosa na luta da corporao contra
as investidas dos Engenheiros Sociais. Entretanto, Mitnick e Simon (2003) vo ainda
um pouco mais adiante na questo das tticas de treinamento e conscientizao dos
funcionrios e enfatizam que estes precisam estar comprometidos com a segurana
48
da informao enquanto funcionrios de uma instituio e recomendam que um
mtodo ativo e bem divulgado de recompensa aos funcionrios que se empenharem
no cumprimento do Programa de Segurana seja criado.
Esses treinamentos devem contemplar tambm processos de reciclagem,
onde novos exerccios para reforar a questo da segurana devem ser efetuados
de tempos em tempos, Mitnick e Simon (2003) estipulam que esses cursos de
reciclagem sejam realizados no mximo a cada 12 meses.
Aps toda essa ateno na confeco e implantao dos Programas de
Segurana importante que mecanismos de controle e melhorias sejam realizados
no seu decorrer, garantindo que o programa esteja sempre evoluindo e melhorando
com seus erros.
Esses controles, segundo Fonseca (2009), so compostos por testes de
penetrao e avaliao de vulnerabilidade realizados com tticas de Engenharia
Social e tem o intuito de mostrar os pontos falhos do treinamento ou a falta de
cumprimento das polticas de segurana da organizao. Fonseca (2009) ainda
lembra que antes de usar qualquer ttica de teste de penetrao simulado, os
empregados devem ser avisados de que tais testes podem ocorrer de tempos em
tempos.
Agregando esses aspectos mencionados dentro de um Programa de
Segurana da Informao tm-se a certeza que este ser uma ferramenta de grande
valia para a organizao garantir a segurana de suas informaes contra os
ataques de Engenharia Social.
Completando os processos para assegurar a segurana das informaes e,
consequentemente, a continuidade dos negcios da empresa, aps o
desenvolvimento, implantao e acompanhamento do Programa de Segurana da
Informao dentro da organizao, faz-se necessria a criao de um Plano de
Continuidade do Negcio.
49
7 MANTENDO A EMPRESA EM ATIVIDADE APS UM DESASTRE
7.1 PCN - Plano de Continuidade do Negcio
Todos os esforos desempenhados at o momento para garantir a
preservao das informaes empresariais demonstram a importncia destas para a
vida das corporaes e demonstram tambm que elas no podem de maneira
alguma tornar-se inacessveis, pois, conforme defendido por Laureano (2005),
vivemos num mundo disputado de negcios e as empresas no podem ficar
indisponveis para seus clientes.
Essas possveis indisponibilidades so ocasionadas por ameaas que
exploram as vulnerabilidades existentes no ambiente da corporao e podem afetar
tanto a sua estrutura fsica, com seus prdios e construes, seu parque de
equipamentos, que podem ser relacionados com a TI ou no, e as informaes.
Como o acesso as informaes dependem de toda uma infraestrutura, como
disponibilidade de energia eltrica, links de acesso, cabeamento e computadores,
entre outros, o restabelecimento desses meios essencial para o acesso
informao e, consequentemente, para o retorno das atividades da corporao.
As Polticas de Segurana da Informao
15
tem o objetivo de erradicar essas
ameaas ou ao menos ameniz-las a um nvel aceitvel, impedindo que elas se
tornem um desastre. Acontece, porm, que certas ameaas/desastres so
impossveis de serem tratados ou amenizados, como, por exemplo, a queda de um
avio ou uma enchente na rea da empresa, e mesmo as que podem ser
amenizadas, s vezes fogem ao controle e causam grandes prejuzos ao quadro
tecnolgico. Laureano (2005) lembra tambm que esse conceito de desastre, que
era ligado s ocorrncias geradas por fatores naturais, evoluiu bastante e vem
sendo substitudo pelo conceito de evento, que a concretizao de uma ameaa
previamente identificada, podendo ser seguido ou no de um desastre.
(LAUREANO, 2005).
O PCN (Plano de Continuidade do Negcio) trata ento do combate a essas
indisponibilidades e se constitui de um documento bem amplo, contendo prticas
que objetivam no permitir a interrupo das atividades do negcio e proteger os
15 Ver captulos 5 Como Garantir a Segurana das Informaes, e 6 Segurana da Informao Versus
Engenharia Social.
50
processos crticos contra efeitos de falhas ou desastres significativos e assegurar
sua retomada em tempo hbil, se for o caso. (NBR ISO/IEC 27002, 2005).
De acordo com o BicBanco (2008)
16
e Laureano (2005) o PCN deve ser
subdividido em trs mdulos complementares:
Plano de Administrao de Crise Este plano tem como meta definir como
ser o trabalho das equipes responsveis pelo acionamento da contingncia em
qualquer momento do incidente, ou seja, antes, durante ou depois deste e os
mtodos que devem ser cumpridos por essa equipe no retorno a normalidade;
Plano de Continuidade Operacional Objetiva definir os procedimentos
para controle dos mecanismos que suportam cada etapa de negcio, visando
diminuir a indisponibilidade e os prejuzos potenciais ao negcio;
Plano de Recuperao de Desastres Define um plano de recuperao
para a restaurao das funcionalidades dos mecanismos afetados que suportam os
sistemas do negcio, a fim de restabelecer o ambiente e as condies originais de
operao.
Essa diviso objetiva segmentar o PCN, enquadrando cada momento em um
estgio diferente, facilitando a diviso de responsabilidades e as medidas a serem
tomadas em cada caso e so a base para o entendimento dos processos envolvidos
na continuidade do negcio e para o planejamento e implantao de um PCN bem
estruturado e efetivo.
7.2 Elaborao Do PCN
Para incio do planejamento do PCN faz-se necessrio definir o responsvel
por sua elaborao. Fagundes (2004) ressalta que a responsabilidade desta tarefa
deve ser distribuda entre toda a organizao e no ser responsabilidade apenas da
rea de processamento de dados e salienta ainda que para se atingir um
planejamento eficaz necessrio que o pessoal snior de sistemas de informao e
das reas de negcios esteja envolvido durante todo o projeto para o beneficio da
organizao. (FAGUNDES, 2004).
Portanto a tarefa de se pensar o PCN deve ser realizada pelos responsveis
pela rea tecnolgica da empresa, geralmente representada pelo CIO, em conjunto
16 Fonte: Estrutura de Risco Operacional do BICBANCO 10/04/2008. Disponvel em
<http://www5.bicbanco.com.br/port/governanca/Estrutura_de_Risco_Operacional.pdf>.
51
com o restante do seu corpo gerencial, pois, ao se construir essa empreitada em
conjunto, tem-se o comprometimento de toda a organizao com o que ficou
estipulado e consegue-se tambm garantir que nem uma rea de atividade fique
descoberta em caso de desastre.
A parte responsvel pela elaborao do PCN seleciona ento, entre os
funcionrios da empresa, os agentes que atuaro efetivamente no Plano, definindo
suas funes e responsabilidades. Essa nomeao pode ser postergada para uma
fase posterior, visto que as aes a serem tomadas face ao desastre podem ainda
no terem sido estipuladas.
Com relao escolha dos funcionrios que faro parte da equipe de
continuidade do negcio, a NBR ISO/IEC 27002(2005) recomenda que o PCN
contenha uma designao das responsabilidades individuais, descrevendo quem
responsvel pela execuo de que item do plano e refora a necessidade de
suplentes serem definidos quando necessrio. (NBR ISO/IEC 27002, 2005).
Tendo as partes envolvidas no PCN j identificadas, a Norma NBR ISO/IEC
27002 (2005) aconselha identificar os eventos que podem causar interrupo aos
processos do negcio, junto probabilidade e impacto de tais interrupes e as
consequncias para a segurana da informao. Esses eventos precisam ento ser
mapeados e documentados para poderem ser includos no escopo do Plano, a fim
de se conseguir uma cobertura dos prejuzos por eles causados, sob o risco de: se
no houver Planejamento para Segurana e Contingncia adequados, alguns ou at
todos requisitos estaro ameaados e, consequentemente, a empresa ameaada.
(LAUREANO, 2005).
A tarefa de avaliao e classificao dos eventos que podem afetar as
operaes da organizao deve ser analisada com cautela e ser pensada mediante
os riscos que podem acometer a organizao de uma maneira geral e suas
informaes em particular e qual a real necessidade de recuperao dessa
informao. Lembrando que quanto mais crtica a informao, maior deve ser o nvel
de agilidade em sua recuperao e maior ser o investimento para tal faanha. O
tratamento e mitigao desses riscos e a forma como realizar esse combate ao
desastre algo peculiar a cada organizao, cabendo a seus responsveis
decidirem as melhores prticas a serem tomadas, com vistas s necessidades da
empresa.
52
O importante ter o conhecimento dos riscos a que a empresa esta sujeita e
como elaborar uma estratgia de restaurao das atividades caso esses riscos se
concretizem.
7.2.1 Estratgias de Contingncia
Aps a avaliao dos eventos, Silva, P., Carvalho e Torres (2003) orientam
que preciso pensar nas tarefas a serem executadas para recuperao das
atividades da corporao, os meios necessrios e o modo de realizao dessas
atividades. Para a definio das tarefas essencial que se defina as estratgias de
contingencia que a empresa necessita. Essas estratgias objetivam definir o grau de
criticidade que a empresa deseja, onde cada grau representa um menor tempo de
resposta e um custo mais elevado, e podem ser dividas por reas dentro da prpria
empresa, onde cada uma delas pode possuir uma estratgia diferente, conforme
suas necessidades.
De acordo com Laureano (2005), essas estratgias podem ser assim
classificadas:
Estratgia de Contingncia Host-site: a contingncia de nvel mais crtico,
onde as aplicaes necessitam de alta prioridade e seu tempo de resposta
imediato; como acesso ao banco de dados, por exemplo;
Estratgia de Contingncia Warm-site: aplicada em processos onde sua
paralisao possui uma maior tolerncia, podendo ficar indisponvel por algum
perodo de tempo, at o retorno operacional da atividade, como o correio eletrnico,
que apesar de ser importante, no se caracteriza como uma aplicao vital para o
funcionamento da organizao;
Estratgia de Contingncia Cold-site: esta prope uma alternativa de
contingncia a partir de um ambiente com os recursos mnimos de infraestrutura e
telecomunicaes, desprovido de recursos de processamento de dados. Portanto,
aplicvel situao com tolerncia de indisponibilidade ainda maior que a Warm-
site;
Estratgia de Contingncia de Realocao de Operao; esta estratgia
objetiva desviar a atividade atingida para outro ambiente fsico, equipamento ou link,
pertencentes mesma empresa. Para tal faanha a empresa deve possuir recursos
suficientes que possam ser alocados em situaes de crise;
53
Estratgia de Contingncia Bureau de Servios: Considera a possibilidade
de transferir a operacionalizao da atividade atingida para um ambiente
terceirizado; portanto, fora dos domnios da empresa;
Estratgia de Contingncia Acordo de Reciprocidade: recomendada em
atividades que demandariam um grau de investimento para contingncia invivel ou
incompatvel com a importncia da mesma. Ela prope um acordo mutuo de
reciprocidade com empresas com caractersticas fsicas, tecnolgicas ou humanas
semelhantes e igualmente dispostas a possuir uma alternativa de continuidade
operacional, onde as empresas definem os procedimentos de compartilhamento de
recursos para alocar a atividade atingida no ambiente da outra em caso de
desastres;
Estratgia de Contingncia Autossuficincia: quando a empresa decide
que seus sistemas so autossuficientes e no dependentes de fatores externos. Isso
pode ocorrer quando a organizao no possui recursos para implementar uma das
estratgias anteriores ou a sua implantao no se justifica pelo nvel operacional
que a empresa possui;
A empresa deve definir o grau de prioridade que seus sistemas necessitam e
se o custo para manter essa prioridade justificvel. Feito essa analisa ela decide
ento qual estratgia ira adotar, lembrando que essa estratgia pode ser
segmentada por setores dentro da corporao.
Laureano (2005) refora ainda que os PCNs devem ser desenvolvidos para
cada ameaa considerada em cada um dos processos do negcio pertencentes ao
escopo, definindo em detalhes os procedimentos a serem executados em estado de
contingncia. Esse ponto destaca a importncia de se customizar o PCN, definindo
uma forma de recuperao coerente para cada ameaa e para cada nvel de
processo do negcio, garantindo uma alocao mais eficaz dos recursos disponveis
e um melhor aproveitamento das potencialidades que o PCN oferece.
Essas estratgias de contingncia definem o PCN em si e so a maneira
como a empresa enfrentar o desastre. Dentro de cada estratgia a empresa define
ento como realizara os processos de recuperao de acordo com seus interesses.
54
7.3 Avaliando o PCN
Finalizando as etapas de elaborao do PCN temos a faze de Avaliao ou
Teste. Para a NBR ISO/IEC 27002 (2005) conveniente incluso desta etapa para
que o plano seja testado e atualizado regularmente, a fim de se garantir sua
constante atualizao e efetividade. Essa atualizao se faz necessrio vista as
mudanas que podem ocorrer na estrutura da organizao, tanto fsica como lgica,
exigindo que o programa se adeque as novas exigncias dos processos. Outro
ponto bem reforado pela NBR ISO/IEC 27002 (2005) a preocupao com a
efetividade do PCN, pois muitos problemas podem ocorrer no momento de empreg-
lo se esses cuidados no forem tomados, colocando todo o trabalho a ele dedicado
em risco e, consequentemente, toda a empresa tambm.
A fase de Avaliao e Testes serve ainda para garantir que os envolvidos no
processo de continuidade do negcio estejam cientes de suas obrigaes e saibam
o que fazer no momento que forem acionados. A NBR ISO/IEC 27002 (2005) ratifica
essa importncia, tratando assim o assunto:
Convm que os testes do plano de continuidade do negcio assegurem que
todos os membros da equipe de recuperao e outras pessoas relevantes
estejam conscientes dos planos e de suas responsabilidades para a
continuidade do negcio e a segurana da informao, e conheam suas
atividades quando um plano for acionado.
E ainda continuando com o que estabelece a NBR ISO/IEC 27002 (2005)
relevante que o planejamento e a programao dos testes do PCN indiquem como
e quando cada elemento do plano seja testado e os componentes isolados do(s)
plano(s) sejam frequentemente testados. Tendo um controle sobre a aplicao dos
testes e aplicando-os separadamente, em cada componente, consegue-se um maior
detalhamento dos resultados, conseguindo, com isso, uma melhor mensurao da
eficincia do Plano e caso seja necessrio ajustes, estes podero ser feitos apenas
nas zonas deficitrias do projeto, no sendo necessrio a sua total reformulao.
Essa etapa do PCN pode ser realizada pela prpria organizao, pois esta
sabe os pontos mais sensveis de sua estrutura e os que merecem maior ateno.
Ao realizar uma boa bateria de testes a organizao assegura-se ento que seu
modelo de recuperao est condizente com suas necessidades e ter a
55
tranquilidade de saber que, caso algum desastre de maiores propores acontea,
ela estar prevenida e pronta para continuar suas atividades.
7.4 Outra Abordagem para Elaborao do PCN
Outra forma de se planejar o PCN, mais detalhada que a explicada
anteriormente, seria dividindo esse planejamento em fases. Silva, P., Carvalho e
Torres (2003) explicam que nesse formato, o planejamento pode ser desmembrado
em cinco etapas: fase de arranque, fase de reduo de riscos e avaliao do
impacto, fase de desenvolvimento do plano, fase de implementao do plano e fase
de manuteno e atualizao.
Para os autores as fases so assim caracterizadas:
Arranque ou Incio do Projeto essa etapa inicial caracterizada pelo
enquadramento do negcio da organizao, definio dos objetivos do plano,
identificao dos pressupostos e terminologias bases. Nesta fase tambm se define
um modelo de gesto para todo o projeto.
Esta constitui a fase inicial do projeto, onde os alicerces para sua elaborao
e implantao so definidos: como os responsveis pela implantao do plano, os
ativos mais importantes e o perodo que esses ativos podem ficar indisponveis,
entre outros;
Reduo de riscos e avaliao do impacto para se conseguir a efetiva
recuperao de um desastre necessria implantao de medidas que evitam a
sua ocorrncia e tentem amenizar os prejuzos causados por este desastre.
O combate s ocorrncias consiste na preveno do incidente, tentado evitar
o desastre. Aqui se avalia as vulnerabilidades que a empresa possui e melhor forma
de combat-las ou ameniz-las. J a represso aos prejuzos ocorre tanto antes
como depois do desastre, requerendo o posicionamento antecipado de mecanismos
e procedimentos que permitam limitar o seu impacto. Estas medidas podem ser
tomadas em qualquer fase do plano, dependendo da gravidade do incidente
ocorrido;
Desenvolvimento do Plano consiste no desenvolvimento do plano
propriamente dito, que deve ser constitudo de um documento nico, composto por
um conjunto de outros documentos, dependendo dos objetivos da empresa e do
56
escopo do plano, bem como da estrutura da organizao e da distribuio das
funes crticas no seu seio.
Uma caracterstica importante do plano dever ser a sua flexibilidade e
independncia, uma vez que um plano difcil de alterar, ou seja, com um mtodo
muito particular, pode comprometer mais a situao. Por esse motivo necessrio
tambm criao de um plano alternativo;
Implementao do Plano Nessa etapa d-se integrao dos elementos
necessrios ao funcionamento dos procedimentos na Empresa e se realiza o
conjunto de medidas necessrias divulgao do plano, ao seu teste e nomeao
das equipes responsveis pela sua execuo. Vale lembrar que esses responsveis
no so necessariamente os mesmos ocupados do planejamento do plano, visto
que esses foram definidos na fase de arranque do projeto;
Manuteno e Atualizao - A manuteno e atualizao do PCN requer o
estabelecimento de um programa que suporte a sua comunicao peridica a todas
as pessoas envolvidas, tanto para sensibilizao como para o reforo da informao
j anteriormente veiculada. Este programa deve, tambm, contemplar a realizao
do conjunto de atividades necessrias introduo de alteraes no plano, de modo
a garantir permanentemente a capacidade de recuperao de um desastre.
Essas etapas vo de encontro com o que j foi estipulado, porm contando
com um grau maior de detalhamento das atividades, colaborando para que a tarefa
de planejamento do PCN seja mais fcil e didtica para as partes envolvidas. O
importante para a organizao ter claramente definidas suas necessidades sobre
qual a prioridade de restabelecimento de cada atividade do seu escopo,
conseguindo com isso um PCN mais eficaz e que abranja de maneira correta suas
expectativas.
57
8 CONSIDERAES FINAIS
As informaes so, indiscutivelmente, o bem mais valioso de qualquer
corporao nos dias atuais. Um correto trato dessas informaes e um sistema
competente de proteo para com elas constituem um diferencial precioso e a
instituio que o possuir tornar-se- mais eficiente nos seus negcios, garantindo
uma enorme vantagem competitiva que no pode ser desprezada ou negligenciada.
Porm, a maioria das empresas no investe na segurana de suas
informaes e as que investem, investem muitas das vezes de forma errnea e
pouco confivel, preocupando-se por demais com os fatores tecnolgicos envolvidos
nos processos informatizados e esquecendo-se dos aspectos humanos, que so os
principais responsveis pelas falhas de segurana e vazamento de informaes
dentro das organizaes.
O trabalho em questo apontou essa poltica errnea adotada pelas
corporaes e trouxe a tona um fator de risco a segurana das informaes muito
desprezado ou pouco conhecido: a Engenharia Social. Dando a conhecer o que
essa tcnica criminosa, suas formas de atuao e as vulnerabilidades humanas
exploradas pelos seus atacantes, os Engenheiros Sociais.
Ao caracterizar essa arte de roubo de informaes e suas formas de ataque,
mostrou-se o quanto as informaes esto expostas e como essa exposio
empregada pelos criminosos. Explorando esse descuido com o trato da segurana
das informaes, o presente artigo conseguiu demonstrar tambm como esses
crimes so atrativos para seus praticantes e o tamanho extraordinrio dos prejuzos
causados por eles.
A partir do entendimento de todos esses fatores ligados Engenharia Social,
foi proposto um Programa de Segurana da Informao voltado para o ambiente
empresarial que garanta um maior grau de segurana para as informaes e que
aborde meios para enfrentar as tcnicas dessa arte. Esse programa reforou a
importncia de se treinar os funcionrios em assuntos relacionados com a
Engenharia Social, demonstrando que essa a melhor maneira de combat-la ou
pelo menos ameniz-la.
Com base em trabalhos de renomados especialistas, entre eles antigos
Engenheiros Sociais, com destaque para o trabalho de Kevin Mitnick, e pesquisas
em normas de reconhecimento nacional e internacional, que tratam exclusivamente
58
da segurana da informao, desenvolveu-se uma Poltica de Segurana da
Informao slida e coerente, podendo ser implantada em empresas de setores
diversos, contribuindo com formas seguras de tratar as informaes e em especial,
formas de se combater a Engenharia Social e os prejuzos por ela causados.
Para finalizar, e nem por isso menos importante, foi demonstrado a
importncia de se desenvolver um Plano de Continuidade do Negcio e como
implant-lo dentro da organizao. Esses planos so alternativas confiveis de se
garantir a continuidade do negcio da empresa caso algum desastre de grandes
propores acontece e vena a barreiras imposta pelas Polticas de Segurana.
Todo esse conhecimento trazido vem demonstrar que a Engenharia Social
deve ser tratada com especial ateno dentro dos programas de segurana
empresarias e demonstra tambm como as empresas podem planejar e implantar
esses programas, tornando a segurana das suas informaes algo mais
profissional e que tenha respaldo de regras internacionais, garantindo, com isso,
confidencialidade nos seus processos e a certeza de que suas informaes no
sero expostas para uso de possveis concorrentes ou criminosos.
Esses conceitos vm a se somar com outras prticas j existentes para
garantir que as empresas possam se preocupar com seus negcios, podendo
explorar as suas potencialidades e progredirem continuamente, pois, com a
aplicao de tais conhecimentos, suas informaes estaro dentro de um grau
satisfatrio de proteo. O trabalho ainda mostrou como a tecnologia pode ser uma
aliada nos negcios empresarias e no apenas um empecilho no compartilhamento
das informaes.
Para dar prosseguimento no que foi demonstrado neste relato, fica a sugesto
do desenvolvimento e implantao de um Programa de Segurana da Informao
baseado nas ideias aqui propostas, que, alm dos aspectos triviais da Segurana,
seja preparado para lidar com os ataques de Engenharia Social e tenha como meta
ser um modelo de gesto da Segurana da Informao no combate a essa prtica.
O intuito acompanhar todo o programa de perto, desde sua fase de
concepo, passando pela implantao, pelos monitoramentos e testes de
segurana e possveis melhorias futuras. Esse acompanhamento se encarregar de
averiguar se a poltica proposta esta sendo implantada de forma correta, se existem
falhas no seu escopo e se os resultados obtidos com ela so realmente satisfatrios
e dignos de serem transformados em prticas de segurana. Ainda dentro do escopo
59
do acompanhamento da poltica, podem-se averiguar meios de registrar as
tentativas de golpes ocorridos no mbito da organizao e criar um banco de dados
para possveis pesquisas estatsticas sobre o tema.
Com essa proposta busca-se avanar na obteno de conhecimentos
inerentes a Engenharia Social, contribuindo ainda mais com a difuso de maneiras
seguras de encarar esses ataques e fortalecendo meios de se desenvolver Polticas
de Segurana da Informao cada vez mais eficazes no trato aos criminosos
adeptos dessa arte to antiga, simples e muito eficiente.
60
REFERNCIAS BIBLIOGRFICAS
AQUINO, Y. Governo quer tipificar logo crimes na internet, diz ministro, 2011.
Disponvel em <http://exame.abril.com.br/tecnologia/noticias/governo-quer-tipificar-
logo-crimes-na-internet-diz-ministro>. Acesso em Out. de 2011.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002:2005.
Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da Informao. Rio de Janeiro: ABNT, 2005.
ATHENIENSE, A. R. Crimes Virtuais, Solues e Projetos de Lei. Universo
Jurdico, Juiz de Fora, ano XI, 2008. Disponvel em
<http://uj.novaprolink.com.br/doutrina/5317/Crimes_Virtuais_Solucoes_e_Projetos_d
e_Lei 05/01/12>. Acesso em: 12 jan. 2012.
BICBANCO. Gesto de Risco Operacional, 2008. Disponvel em
<http://www5.bicbanco.com.br/port/governanca/Estrutura_de_Risco_Operacional.pdf
>. Acesso em: 24 fev. 2012.
BRENNER, B. Papel dos gestores de segurana da informao comea a se
definir, 2009. Disponvel em <http://idgnow.uol.com.br/carreira/2009/09/09/papel-
dos-gestores-de-seguranca-da-informacao-comeca-a-se-definir/>. Acesso em: 16
nov. 2011.
CERT.br. Cartilha de Segurana para Internet. Verso 3.1. So Paulo: Comit
Gestor da Internet no Brasil, 2006.
DANDREA, E. Pesquisa. Os desafios da Segurana da Informao no Brasil.
Revista CEO Brasil. Ano 1, No 2, out/dez 2004. Disponvel em
<http://www.pwc.com.br/pt/publicacoes/assets/ceo-brasil-02.pdf>. Acesso em: 02 fev.
2012.
DICIONRIO do Aurlio, 2011. Disponvel em <http://www.dicionariodoaurelio.com/>.
Acesso em: 27 dez. 2011.
DINIZ, B. G. Engenharia Social O que ? Como se proteger?, 2008. Disponvel
em <http://www.datasec.com.br/portal/index.php?
option=com_content&view=article&id=65:engenharia-social-o-que-e-como-se-
proteger&catid=38:bruno-diniz&Itemid=86>. Acesso em: 14 jan. 2011.
EIRAS, M. C. Engenharia Social e Estelionato Eletrnico. Monografia (Graduao
Lato Sensu Segurana de Informaes na Internet) IBPI. [S.I], 2004.
FAGUNDES, E. M. Disaster Recovery Plan (DRP), 2004. Disponvel em
<http://www.efagundes.com/artigos/Disaster_Recovery_Plan.htm>. Acesso em: 25
jan. 2012.
FILHO, A. M. da S. Segurana da Informao: Sobre a Necessidade de Proteo
de Sistemas de Informaes. Revista Espao Acadmico, n. 42. nov. 2004.
Disponvel em <http://www.espacoacademico.com.br/042/42amsf.htm>. Acesso em:
06 dez. 2011.
61
------. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e
Informaes. Revista Espao Acadmico, n. 43. dez. 2004. Disponvel em
<http://www.espacoacademico.com.br/043/43amsf.htm>. Acesso em: 19 nov. 2011.
FONSECA, P. F. Gesto de Segurana da Informao: O Fator Humano. (Curso
de Ps Graduao em Redes e Segurana de Computadores da Pontifcia
Universidade Catlica do Paran) - Universidade Catlica do Paran. Curitiba, 2009.
GOODCHILD, J. Novos funcionrios esto mais propensos a ataques de
engenharia social, 2011. Disponvel em
<http://cio.uol.com.br/noticias/2011/09/21/novos-funcionarios-estao-mais-propensos-
a-ataques-de-engenharia-social/>. Acesso em 20 nov. 2011.
HENRIQUE, F. [Profisso: TI] Analista de Segurana da Informao, 2011.
Disponvel em <http://dominioti.wordpress.com/2011/03/19/profissao-ti-analista-de-
seguranca-da-informacao/>. Acesso em: 03 nov. 2011.
IKEDA, A. Crimes cibernticos atingem diariamente 77 mil brasileiros; prejuzo
anual de R$ 104 bi, 2011. Disponvel em <http://tecnologia.uol.com.br/ultimas-
noticias/redacao/2011/09/20/crimes-ciberneticos-atingem-77-mil-brasileiros-
diariamente-prejuizo-e-de-r-104-bilhoes.jhtm#album>. Acesso em: 06 set. 2011.
IMAMURA, O. C. Tecnologia da informao e da comunicao: A busca de uma
viso ampla e estruturada. In. OLIVEIRA, F. B. (org). So Paulo: Pearson Prentice
Hall. 2007.
JUNQUEIRA, C. Gastos com Segurana Pblica crescem 70%, 2012. Disponvel
em <http://www.observatoriodeseguranca.org/dados/custos/seguranca+publica>.
Acesso em: 19 jan. 2012.
LAUREANO, M. A. P. Apostila: Gesto de Segurana da Informao, 2005.
Disponvel <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>.
Acesso em: 11 dez. 2011.
______; Moraes, P. E. S. Segurana Como Estratgia De Gesto Da Informao.
Revista Economia & Tecnologia. Vol. 8. Fascculo 3, P. 38 - 44, 2005. Disponvel em
<http://www.mlaureano.org/projects/seguranca/economia_tecnologia_seguranca.pdf
>. Acesso em: 09 Jan. 2012.
MITNICK, K. D.; SIMON, W. L. A arte de Engana: Ataques de Hackers:
Controlando o fator humano na segurana da Informao. So Paulo: Pearson
Education, 2003.
______. A arte de invadir: Histrias por trs das Aes de Hackers, Intrusos e
Criminosos. So Paulo: Pearson Prentice Hall, 2006.
Mdulo Security News. Phishing impulsiona prejuzos de fraudes bancrias na
Web no Reino Unido, 2006. Disponvel em<http://www.htmlstaff.org/ver.php?
id=3064>. Acesso em: 23 nov. 2011.
PASCHOAL, G. Hackers: entre a ideologia libertria e o crime, 2002. Disponvel
em <http://www.comciencia.br/reportagens/internet/net10.htm> Acesso em: 01 jan.
2012.
62
PEIXOTO, M. C. P. Engenharia Social e Segurana da Informao na Gesto
Corporativa. Rio de Janeiro: Brasport, 2006.
PHISHERS causam prejuzos de bilhes de dlares, 2005. Disponvel em <
http://www.baboo.com.br/conteudo/modelos/Phishers-causam-prejuizos-de-bilhoes-
de-dolares_a17310_z0.aspx>. Acesso em: 01 dez. 2011.
POPPER, A. M.; BRIGNOLI, J. T. ENGENHARIA SOCIAL - Um Perigo Eminente -
Instituto Catarinense de Ps-Graduao ICPG Gesto Empresarial e Estratgias
de Informtica. Santa Catarina, 2002. Disponvel em
<http://fabricio.unis.edu.br/SI/Eng_Social.pdf>. Acesso em: 28 set. 2011.
SANTOS, L. A. L. O impacto da Engenharia Social na Segurana da Informao.
Monografia (Ps Graduao em Redes de Computadores) - Universidade
Tiradentes, Aracaju, 2004.
SALVO, R. Engenharia Social, 2011. Disponvel em <http://www.ti-
redes.com/engenharia-social/>. Acesso em: 05 Jan. 2012.
SMOLA, M. Gesto de Riscos, 2011. Disponvel em:
<http://www.semola.com.br/conceitos.html>. Acesso em: 10 out. 2011.
______. Perspectiva 2003 para o mercado de segurana da informao. Coluna
Firewall, 2003. Disponvel em
<http://www.semola.com.br/disco/Coluna_IDGNow_45.pdf>. Acesso em: 03 nov.
2011.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurana Dos Sistemas De
Informao - Gesto Estratgica da Segurana Empresarial. Portugal: Centro
Atlntico, 2003.
SILVA, V. L. da. Engenharia Social: uma breve introduo, 2012a. Disponvel em
<http://www.brasiladmin.com/index.php?
option=com_content&view=article&id=129:engenharia-social-voce-sabe-o-que-
e&catid=111:seguranca-da-informacao&Itemid=81#ixzz1hrRZ1Nym>. Acesso em: 03
out. 2011.
______. O Papel da Poltica de Segurana e dos Programas de Conscientizao
e Treinamento, 2012b. Disponvel em <http://www.brasiladmin.com/index.php?
option=com_content&view=article&id=130:o-papel-da-politica-de-seguranca-e-dos-
programas-de-conscientizacao-e-treinamento&catid=111:seguranca-da-
informacao&Itemid=81>. Acesso em: 30 out. 2011.
SYMANTEC Relata Aumento De Roubo De Dados, Vazamento De Dados E
Ataques Direcionados De Hackers Com Objetivo De Ganho Financeiro, 2007.
Disponvel em: <http://www.symantec.com/pt/br/about/news/release/article.jsp?
prid=20070322_01> Acesso em: 18 dez. 2011.
VERSSIMO, F. Segurana em redes sem fio. Monografia (Curso de Tpicos
Especiais em Redes Integradas Faixa Larga). Instituto Alberto Luiz Coimbra de Ps
Graduao e Pesquisa de Engenharia. Programa de Engenharia de Sistema e
Computao. Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2002.