ENGENHARIA SOCIAL: O FATOR HUMANO NA SEGURANA DA INFORMAO.

Cel R1 Abner de Oliveira e Silva(*)

RESUMO

This paper aims at approaching the Social

Este trabalho tem por finalidade abordar o assunto

Engineering issue as one of the factors that

Engenharia Social como um dos fatores que mais

compromise both the security of information but

comprometem no s a segurana da informao

also the organizational security itself. This

como a prpria segurana organizacional. O tema

approach will not be exclusively directed to the

ser abordado de uma forma genrica, e no

Brazilian Army but treated in a generic way

unicamente

Exrcito

because we assume the kind of activity herein

Brasileiro, por se considerar que a atividade em

studied can be developed to cheat the safety of

pauta pode ser desenvolvida para burlar a

any Institution, no matter how complex it is,

segurana de qualquer tipo de instituio, da mais

provided that there is a worthwhile product, either

humilde mais complexa. necessrio apenas

concrete or intangible, such as a piece of

que haja um produto compensador, seja ele um

information, especially if the product has an

bem material ou mesmo algo intangvel, como

intrinsic strategic value. This work will be

uma informao, principalmente se ela tiver um

developed based on a bibliographic review in

valor estratgico. O trabalho ser desenvolvido

which some rudimentary concepts concerning the

com base em uma reviso bibliogrfica, da qual

importance

resultaro evidenciados alguns conceitos bsicos,

contemporary world, the contextualization of the

a saber: a importncia da informao no mundo

information security in relation to the information

moderno, a contextualizao da segurana da

management

informao em relao gerncia da informao e

behavioral Social Engineering elements will be

uma anlise com enfoque comportamental da

highlighted. In conclusion, we will show how

Engenharia Social. Na concluso, ser mostrado o

important it is to invest in convincing the

quo

na

members of the organization of the procedures to

conscientizao dos integrantes da organizao no

be taken when dealing with or sharing even the

que diz respeito aos cuidados a serem tomados no

least relevant organizational data.

manuseio e na disponibilizao das informaes

Key words: Information; Information Security;

organizacionais, por mais simples que elas

Social Engineering

direcionado

importante

para

investimento

of

and

the

an

information

analysis

in

focusing

the

on

possam ser.
Palavras-chave:

Informao.

Informao. Engenharia Social.

Segurana

da

1 INTRODUO
H muito tempo, o mundo precisava da
fora fsica do ser humano para se mover. Depois,

ABSTRACT

passou a ser movido a vapor, a querosene, e a

eletricidade. Na atualidade, ele se movimenta

destacado mais recentemente como uma das

impulsionado pelas informaes.

grandes fontes de obteno de informaes

Naquele tempo, as distncias eram enormes.

controladas e essenciais.

Apesar das distncias fsicas no se alterarem,

Assim, o presente artigo foi desenvolvido

medida em que se sucediam as inovaes

com o objetivo de evidenciar, mediante uma

tecnolgicas, surgia e crescia a sensao de que os

reviso bibliogrfica, a necessidade da adoo de

espaos iam sendo encurtados. Se um dia os

medidas preventivas de proteo e preservao do

Templrios levaram anos para se deslocarem entre

capital intelectual das organizaes, investindo na

as regies atualmente conhecidas como Frana e

capacitao e no treinamento dos recursos

Israel (Caparelli, 2003), hoje essas distncias

humanos, visando, principalmente, precaver-se

podem ser cobertas em horas pelos modernos

da ao dos invasores virtuais, hackers e

meios de transporte e instantaneamente pelas

engenheiros sociais.

informaes transmitidas pela Rede Mundial de

Computadores, a Internet.

Para atingir esse objetivo, foi estabelecida

uma estrutura de tpicos que, inicialmente, aborda

Ao estudarmos a histria da evoluo

a informao no contexto da evoluo mundial e

humana, podemos constatar que o ritmo dessa

na sociedade contempornea, ao que se segue uma

evoluo

conforme

exposio sobre o valor patrimonial atribudo

aumentava a disponibilizao da informao, ou

informao no mundo moderno. Em seguida,

seja, esta ltima sempre foi um vetor de progresso

passa-se a tecer comentrios sobre a importncia

e desenvolvimento.

da Gesto da Informao para que esta possa ser

foi

sendo

modificado

Na sociedade globalizada, informatizada e

utilizada

convenientemente

como

elemento

quase totalmente integrada por intermdio da

fundamental do processo decisrio. Nos tpicos

tecnologia de rede, a informao passou a se

seguintes, sero tratadas as questes da segurana

constituir

ativos

da informao e da Engenharia Social. O trabalho

diferencial

ser finalizado com algumas conjecturas sobre o

competitivo. Por esse motivo, a informao

poder da persuaso, capacidade intrnseca ao bom

passou a merecer uma gesto mais especfica que,

Engenheiro Social.

em

organizacionais

um
e

dos
em

principais

fator

de

entre outras coisas, contemplasse a garantia da

segurana do capital intelectual.

2 A SOCIEDADE DA INFORMAO

Entretanto, se a mente do homem pode criar

J h quase trinta anos, Alvin Toffler, no seu

criar

livro A Terceira Onda, mostrou o surgimento de

ferramentas que ameacem a integridade dos

uma nova sociedade, sucessora da sociedade

recursos

industrial,

coisas

maravilhosas,

tambm

informacionais,

pode

sejam

eles:

que

possua

caractersticas

equipamentos, programas, sistemas ou mesmo

comportamentais revolucionrias, decorrentes, em

pessoas. Dentre essas ferramentas, enfoca-se, no

parte, das novas tecnologias surgidas no mundo.

presente artigo, a interferncia humana que, com o

Ele tambm mostrou que as diversas etapas do

emprego da tcnica da Engenharia Social, tem se

processo

evolutivo

da

humanidade

tinham

tempos diferenciados, quando escreveu:

passassem a ser processadas de forma muito mais

A Primeira Onda de mudana a revoluo

agrcola levou milhares de anos para acabar. A
Segunda Onda o acesso civilizao industrial
durou apenas uns poucos 300 anos. Hoje a Histria
ainda mais acelerativa e provvel que a
Terceira Onda atravesse a Histria e se complete em
poucas dcadas. (Toffler 1985. Pg 24)

Muitos so os autores que adotam a

expresso

Sociedade

da

Informao

para

caracterizar o modus vivendi do mundo psindustrial, abstraindo, obviamente, os demais

fatores indicados por Toffler e priorizando o
aspecto informacional. De qualquer forma, para
esses autores, este novo mundo um mundo
acelerado, digitalizado, globalizado, no qual o
tempo cada vez mais escasso para todas as
atividades que temos que desenvolver, e teria

grandes

podemos

dificuldades,

uma

mapear,

sem

srie

de

acontecimentos que demonstram o conceito

temporal apresentado por Toffler, em que, a cada
passo, um novo ritmo, ainda mais acelerado,
aplicado ao processo evolutivo. Assim, podemos
listar a imprensa de Gutemberg, a mquina a

Em termos de evoluo dos meios de

armazenamento e manipulao das informaes,
os principais eventos esto ligados a nomes como
Pascal, Leibniz, Charles Babage, Hollerith. Alm
dois

fatos

de

maneira

exponencial, o seu valor, o segundo acabou com

as distncias que nos separavam e ampliou, ainda
mais, e de forma redundante, aquele potencial, por
meio da internacionalizao de dados locais e do
seu processamento compartilhado.
Como Marcelo Siqueira mostra em seu livro
Gesto

Estratgica

da

Informao:

...a

velocidade de movimentao da informao

tornou-se absurdamente alta. E estas mudanas
esto transformando o mundo corporativo em um
ambiente altamente voltil.
Graas a essas tecnologias, hoje, o mundo
est acessvel a um clique. Somos quase deuses,
onipresentes. Conseguimos estar em todo o globo,

chega a ns em fraes de segundo. Somos quase

deuses, oniscientes. Tudo sabemos! Ou podemos
ficar sabendo, uma vez que atualmente a
informao nos disponibilizada de forma
ostensiva e intensiva, por intermdio dos meios de
comunicao global, principalmente a Internet.
Na verdade, possvel inferir a existncia
de uma correlao entre o advento de novas

vapor, a eletricidade etc.

disso,

potencializando,

em qualquer e a todo momento. Qualquer notcia

surgido com o advento do computador.

Historicamente,

eficiente,

so

inquestionavelmente

delimitadores de etapas evolutivas do novo

mundo globalizado e informatizado: a criao dos
computadores e o nascimento da tecnologia de

tecnologias e as mudanas comportamentais da

sociedade, capaz de induzir a uma espiral quem
sabe infindvel de desenvolvimento social e
cientfico, em que um influencia e/ou condiciona
o outro.
Sabe-se, ainda que intuitivamente, que a
manipulao adequada de informaes gera
conhecimento. Se a informao pode ser definida
como um dado acrescido de contexto, relevncia e

rede.
Se o primeiro permitiu que as informaes
fossem

digitalizadas

e,

em

consequncia,

propsito (Siqueira 2005), a congruncia de

vrios

fatores,

como

vivncia

pessoal

interpretao, que permite a transformao da

informao

em

conhecimento.

foi

em

informaes, estes conhecimentos gerados ao

consequncia da aplicao do conhecimento que o

longo dos tempos, no se percam e possam ser

mundo evoluiu. Vrios so os

fatos que

reutilizados como base de novas pesquisas e fonte

comprovam a necessidade humana de registrar

de novos conhecimentos, criando, assim, um

informao, de transmitir conhecimentos para

crculo vicioso, infinito, do qual resulta o

geraes futuras, tentando garantir que estas

progresso da humanidade.

A figura e a legenda a seguir ilustram os conceitos explicitados acima.

Definir e organizar os relacionamentos entre os dados gera informao, ou seja, definir diver-sos relacionamentos
resulta em diferentes informaes. Aqui, a madeira pode ser organizada de vrias maneiras para criar dois tipos de estruturas
degraus para assento (A) e um caixote (B). Diferentes dados podem ser adicionados para redefinir os relacionamentos e agregar
valor.
Adicionando pregos (novos dados), a madeira transforma-se em uma escada (C) ou em uma caixa (D), informaes mais
valiosas. (adaptada de Stair & Reynolds 2002 pag 5)

A preocupao da humanidade com a

tarde, passou a representar as palavras por

gerao, o armazenamento e a transmisso de

intermdio de simbologia grfica pr-definida, e

informao e de conhecimento parece-nos ser

os 22 smbolos do alfabeto fencio deram origem

bastante evidenciada ao considerarmos que a

s 21 consoantes do alfabeto latino, s quais,

necessidade

posteriormente, as vogais foram acrescidas, pelos

de

transportar

conservar

informaes e conhecimentos fez com que o

gregos. (Jhon Man 2002)

homem passasse a fazer uso de traos (desenhos e

Poderamos tecer ainda muitas outras

rabiscos) para representar suas ideias, seus

consideraes sobre os processos de coleta,

pensamentos, em complementao ao uso dos

gerao,

mais

de

reutilizao de informaes e conhecimentos.

comunicao de que se tem notcia: o gesto e a

Embora as caracterizaes desses processos

fala.

pudessem nos ajudar na compreenso da evoluo

antigos

universais

processos

Na Pr-histria, o homem desenhava nas

seleo,

scio-cultural

reteno,

transmisso

poltico-econmica

da

paredes das cavernas, transmitindo seus feitos,

humanidade, vamos nos limitar, nesse momento, a

suas ideias, seus desejos e necessidades. Mais

concluir que conseguimos demonstrar, com

suficincia, no s a importncia da informao e

outros casos, ele tambm pode ser incrementado

do conhecimento para o nosso processo evolutivo,

pelo uso e disseminao. Da mesma forma, a

mas tambm que a transmisso de conhecimentos

utilizao da informao por vrios usurios

adquiridos uma tarefa intuitivamente to

normalmente agrega mais valor a ela ao invs de

importante que nos motiva a uma consequente

deterior-la.

preocupao com a proteo e a preservao

dessas informaes.

Marcos Smola destaca a importncia da

informao para o mundo dos negcios quando,
no

seu

livro

Gesto

da

Segurana

da

Informao, caracteriza o uso desse ativo

3 O VALOR DA INFORMAO
Segundo Edison Fontes, a informao

empresarial como ferramenta para a obteno de

sempre foi um bem muito importante para

melhora da produtividade, reduo de custos,

qualquer organizao. H alguns anos, os dados

aumento de competitividade e de apoio ao

mais

processo decisrio, escrevendo o seguinte:

importantes

da

empresa

podiam

ser

guardados a sete chaves no interior de algum

armrio ou gaveta. Modernamente, a quase
totalidade das informaes, principalmente as de
valor estratgico, est digitalizada e armazenada
em Estaes de Trabalho (computadores pessoais)
ou em Servidores (computadores de uso coletivo)
acessveis, todos eles, por intermdio da Rede
Mundial de Computadores. (Fontes 2008)
Alvin Toffler j ressaltava, em 1980, a
importncia da informao, dizendo que ela ...
to importante, talvez at mais, do que a terra, o
trabalho, o capital e a matria-prima. Em outras
palavras,

a informao

mercadoria mais

est se tornando a

importante da economia

contempornea. (Toffler, 1980)

Houve um tempo em que a humanidade
lutava pela posse da terra, depois passou a
disputar os meios de produo. Hoje o que
importa o acesso informao.
A informao diferente de outros produtos
de consumo ou bens durveis. Ela no destruda
ou perde seu valor s por ser utilizada por algum.
Seu valor estratgico pode at ser diminudo se
algum a usa ou com o passar do tempo, mas, em

H muito, as empresas tm sido influenciadas por

mudanas e novidades que, a todo momento,
surgem no mercado e provocam alteraes de
contexto. A todo momento surgem descobertas,
experimentos, conceitos, mtodos e modelos
nascidos pela movimentao de questionadores
estudiosos, pesquisadores, executivos que no se
conformam com a passividade da vida e buscam a
inovao e a quebra de paradigmas, revelando
quase que frequentemente, como se estivssemos
em um ciclo uma nova tendncia promissora.
Se resgatarmos a histria, veremos
diversas fases, desde as Revolues Eltrica e
Industrial...,
passando
pelos
momentos
relacionados reengenharia, terceirizao e,
mais recentemente, os efeitos da tecnologia da
informao aplicada ao negcio. (Smola 2003
pag 1)

Neste mundo globalizado e integrado da

Sociedade em Rede, como a chama Castells
(2003), a atividade empresarial desenvolvida em
uma sequncia de momentos de tomada de
deciso, em que todas as organizaes, sejam elas
de que tipo forem, tomam as suas decises
apoiadas em informaes, fator decisivo e
indispensvel, tanto no ambiente interno quanto
no relacionamento com o mundo externo
organizao.

Peter Drucker, citado por Braga, em seu

artigo A Gesto da Informao, defende a ideia
de que a informao a base de um novo tipo de
gesto, no qual o binmio capital/trabalho
substitudo

pelo

novo

informao/conhecimento

binmio

como

fator

Corroborando a posio acima exposta,

Siqueira assim se expressa:
Encontrar processos eficientes de disponibilizao e
manipulao de informaes e disseminao,
armazenamento e criao de conhecimento pode ser
um diferencial importante para todos aqueles que
procuram por vantagens competitivas sustentveis
no mundo globalizado. (Siqueira 2005).

determinante do sucesso empresarial e como

As empresas modernas tm seus processos

chave da produtividade e da competitividade.

Alguns autores defendem a ideia da criao
de condies que permitam e promovam a
identificao

compartilhamento

dos

conhecimentos produzidos e acumulados na

organizao, sejam de origem individual ou
corporativa, explcitos ou tcitos, de tal forma que
eles no se percam ou no fiquem disponveis
somente para uma minoria, pois, segundo Drucker
(citado por Siqueira 2005), o conhecimento o
bem capital mais importante das empresas que
pretendem sobreviver nesta nova realidade.

gerenciais apoiados em uma grande variedade de

sistemas de informaes, que permitiro que as
decises estratgicas sejam tomadas nas melhores
condies possveis, com base em informaes de
qualidade,

consistentes

confiveis,

disponibilizadas oportunamente.
Como nos mostra Laudon:
Nenhum sistema rege sozinho todas as atividades de
uma empresa inteira. As empresas tm diferentes
tipos de sistemas de informao para enfocar
diferentes nveis de problemas e diferentes funes
dentro da organizao. (Laudon, 1999, pag 26)

A figura a seguir ilustra a complexidade referida por Laudon no pargrafo anterior.

(Fonte: Laudon, Kenneth C.; Laudon, Jane Price. Sistemas de Informao com Internet. Rio de Janeiro: LTC, 1999).

Se so muitos os sistemas, maior ainda o

nmero

de

informaes

necessrias

ao

maneira como ela ajuda os homens a tomarem

suas decises, ou seja, ela valorizada, entre

funcionamento deles, do que se pode inferir que o

outras

coisas,

valor da informao definido em funo da

oportunidade,

em

funo

confiabilidade,

de:

preciso,

relevncia

complexidade.

Era preciso contratar funcionrios, pois ele

Em Stair e Reynolds (2002), encontramos

uma

tabela

bastante

interessante

sobre

as

caractersticas da Informao Valiosa, na qual

esto listadas, alm das j citadas, as saeguintes:
simplicidade,

pontualidade,

acessibilidade

sozinho j no conseguia mais administrar tanta

coisa ao mesmo tempo. Era preciso controlar,
gerenciar as informaes.
A transformao do mundo no se deu aps
os anos 60 e muito menos foi to simplria quanto
a modernizao do Seu Manel, mas a caricatura

segurana.

acima serve para ilustrar o processo de mudana a

que foram submetidas as empresas e o aumento da

4 A GESTO DA INFORMAO
O mundo cresceu, o mundo mudou, o Seu
Manel, dono do Armazm da Esquina, que,
nos anos 60, controlava suas informaes com um

importncia do gerenciamento da informao para

o mundo empresarial.
A informao um ativo que precisa ser

lpis atrs da orelha e um caderninho de

gerenciado,

anotaes em que registrava os nomes e saldos de

recursos, pessoas, mquinas e tempo. (Siqueira

todos os seus clientes pasmem! ele conhecia a

2005). Consequentemente, a Gerncia Estratgica

todos!!! , que controlava seu estoque com um

da Informao, como nos mostra Costa (2008),

olhar, que possua fornecedores aos quais se

abrange as gerncias de Tecnologia da Informao

mantinha fiel, viu a populao crescer, viu a vila

(TI), de Pessoas, do Conhecimento e da

se transformar em bairro, viu as casas virarem

Segurana da Informao, caracterizando-se como

prdios, viu surgirem novos fornecedores que

uma atividade multidisciplinar que permeia todos

agora, em muitos casos, ofereciam vantajosas

os setores da organizao considerada.

condies

para

que

ele

abandonasse

seus

fornecedores tradicionais.
O

mais

isso

envolve

investimentos,

Como j vimos, a informao tratada

como o ingrediente bsico, do qual dependem os

as

processos decisrios das organizaes (Grewood

mudanas testemunhadas por Seu Manel, foi

citado por Braga), e, por isso, merece um

ver as pessoas passarem a no ter mais tempo para

tratamento

esperar por um atendimento personalizado, mas

disponibilizao oportuna, de forma quantificada

demorado. E para no perder o seu comrcio, o

e apropriadamente qualificada, com o emprego de

dono do armazm, acompanhando as mudanas,

sistemas desenvolvidos em consonncia com as

virou dono do mercado Manoel & Cia., investiu

necessidades organizacionais, constituindo-se em

em

diferencial competitivo.

tecnologia,

importante,

comprou

dentre

um

todas

computador,

gerencial

que

garanta

sua

cadastrou os seus fregueses, organizou sua loja

O mundo moderno, globalizado, exige que

em departamentos limpeza, verdura, bebidas,

as empresas saibam no s usar as informaes

padaria etc. Suas despesas aumentaram e, com

obtidas, mas tambm desenvolver novas maneiras

isso, a necessidade de lucro passou a ser uma

de potencializarem este recurso, de modo que se

preocupao maior. Era preciso estar ligado s

tornem mais eficientes, mais competitivas.

informaes de novos produtos, preos e servios.

Esse o objetivo da Gesto da Informao.

Pode-se verificar que o engenheiro e mestre

em administrao Heitor Lins Peixoto, assessor da

qualidade e a disponibilidade da informao.

A

seleo

dos

dados

que

sero

presidncia da Usiminas, no prefcio do livro

transformados em informaes cruciais para um

Gesto da Informao nas Organizaes, de

processo decisrio exitoso s pode ser feita,

Wilson Martins de Assis, afirma que:

atualmente, de maneira eficiente, com o uso de

O desenvolvimento da competncia essencial

de uma empresa passa, necessariamente, pela
qualidade da informao que ela consome
considerando aqui a informao como importante
insumo do conhecimento e como um diferencial
competitivo , pois com base em informaes
confiveis e bem elaboradas que os dirigentes
organizacionais podem se preparar para
desenvolver estratgias capazes de criar valor para
seus pblicos relevantes. Portanto, um dos
principais componentes para a conquista da
competitividade em nvel global , sem dvidas, a
construo de um sistema que seja eficaz na busca
de informaes e na disseminao adequada destas
no mbito da organizao. (Assis 2008).

tecnologia apropriada. Entretanto, a simples

aquisio de equipamentos no atende plenamente
s necessidades da empresa. O computador
somente uma ferramenta de trabalho com a qual
se pode otimizar os dados coletados. Essa
ferramenta deve ser utilizada de forma integrada,
como um dos componentes essenciais dos
chamados Sistemas de Informaes Gerenciais
(SIG).
Os Sistemas de Informaes Gerenciais
possibilitaro ao administrador responder de

O mundo globalizado, ao qual nos referimos

anteriormente, tem exigido das empresas uma
reao gil e qualitativamente diferenciada frente
aos estmulos oriundos do ambiente externo. Para
tanto, as organizaes se veem obrigadas a tratar
todo o fluxo informacional, desde a busca at o
descarte, considerando a informao como um
recurso valioso e indispensvel, que precisa ser
gerido com o mximo de competncia e

forma plenamente satisfatria ao mercado atual

dinmico e globalizado , desde que tenham sido
desenvolvidos

trs perspectivas bsicas: a

organizao (estrutura, cultura e processos), os

recursos tecnolgicos disponveis e as pessoas
que, de acordo com Laudon (1999), devem
cooperar e ajudar-se mutuamente, ajustando-se e
modificando-se ao longo do tempo para otimizar o
desempenho do sistema.

eficincia, priorizando-se a oportunidade, a

(Fonte: Laudon, Kenneth C.; Laudon, Jane Price. Sistemas de Informao com Internet. Rio de Janeiro: LTC, 1999).

Alm de definir as polticas da empresa, a

De acordo com Batista (2004), possvel

principal funo de um administrador tomar

obter-se uma viso mais apropriada do universo

decises

no qual a organizao est inserida, quando a

que

proporcionem

melhorias

nos

processos produtivos da organizao e que tragam

manipulao

do

conjunto

de

informaes

reduo das despesas e maximizao de lucros.

disponveis no ambiente externo com atuao

Ainda no artigo de Braga, constatamos que

direta sobre a organizao feita com a ajuda de

o referido autor afirma que as Tecnologias da

meios eletrnicos (TI), agindo de forma integrada

Informao

progresso,

por intermdio de conectividade, processamento e

conduzem inovao, aumentam a riqueza e

transferncia de dados. Isso tambm pode ser

atraem novos investimentos.

traduzido como vantagem competitiva.

(TI)

impulsionam

Ento, podemos concordar com Wilson

considerada, dificilmente ela ter todas as suas

(citado por Braga) quando ele define Gesto da

atividades geridas por um nico sistema. Para

Informao como a gesto eficaz de todos os

gerenci-la convenientemente, sero necessrios

recursos

vrios subsistemas especialistas que contemplem

organizao, com uso massivo da Tecnologia da

cada uma das reas de gerenciamento da empresa

Informao (TI), tenham sido eles gerados em

e que traduzam os processos especficos nos

mbito interno ou externo empresa. Mais uma

nveis

vez concordamos com Braga ao dizer que a gesto

Sistematizar o uso da informao significa,

da informao tem como objetivo maior apoiar a

portanto, criar e garantir um fluxo constante e

poltica global da empresa.

confivel

de

informao

relevantes

para

preciso tambm ter em conta que,

qualquer que seja o porte da organizao

Estratgico,

dessa

organizacional.

Ttico

informao

Operacional.

pela

estrutura

negcios;

5 A SEGURANA DA INFORMAO
Ao atingirmos esse ponto da matria,

c) as organizaes possuem Sistemas de

imaginamos ter conseguido deixar bem claro

Gerenciamento e de Apoio Tomada de Decises

alguns pontos bsicos de raciocnio, essenciais

essencialmente

para a continuao do trabalho. So eles:

estratgicas;

a) as organizaes possuem informaes

que permitem gerar conhecimentos e, junto com

recursos tecnolgicos para concretizarem seus

em

informaes

d) as informaes e os conhecimentos
gerados so patrimnios relevantes da empresa; e

estes, constituem-se em diferencial competitivo;

b) as organizaes modernas dependem de

baseados

e) as organizaes modernas so organismos

vivos inseridos na rede mundial de computadores,
e, nesse ambiente, so participantes ativos.

Revista INFO de julho de 2009

A TECNOLOGIA DO MUNDO DO CRIME

Google Earth, VoIP e cmeras de vdeo
entram para o arsenal das quadrilhas.

Edison Fontes (2006), na abertura do

primeiro captulo do seu livro Segurana da

que garantam a integridade e a perenidade do bem

protegido.

Informao O usurio faz a diferena,

Dessa forma, questo que agora se apresenta

apresenta a seguinte citao: A informao,

independentemente de seu formato, um ativo

conhecimento

importante da organizao. Por isso, os ambientes

organizao?

os

equipamentos

processamento,

seu

utilizados

para

armazenamento

Como

proteger

gerado,

informao
a

partir

e/ou
dela,

o
na

seu

No passado, antes do advento da tecnologia

sua

de rede, quando a informao era armazenada em

transmisso devem ser protegidos.

papel ou em computadores que funcionavam

Segundo o dicionrio Aurlio, proteger

isoladamente ou, no mximo, nos mainframes

preservar do mal, ou seja, proporcionar meios

acessados pelos chamados terminais burros, o

uso de crachs, a manuteno de portas fechadas

podem

e, por vezes, a instalao de cmeras de vdeo, ao

acidentes, erros etc.

controlarem o acesso s instalaes sensveis,

eram

bastantes

para

prover

segurana

necessria. Apesar disso, no foram poucos os

casos de roubo ou de uso indevido de informaes
privilegiadas.

ser

causadas

por

desconhecimento,

Voluntrias as decorrentes de ao de
agentes humanos, como invasores, espies,
ladres, incendirios etc.
A segurana absoluta ou perfeita uma
utopia. Convm, portanto, que se evidencie que as

Hoje,

ameaas s se concretizam, ou seja, s produzem

entretanto, as

efeitos nocivos, quando exploram ou encontram

tecnologias

Fonte: Google/imagens

condies favorveis vulnerabilidades.

disponveis

Logo, as vulnerabilidades permitem a

permitem que

ocorrncia de incidentes que podem afetar

os criminosos

negativamente o negcio da empresa, causando,

penetrem nas

danos, prejuzos ou repercusses, no mnimo

organizaes

indesejveis, para os produtos, para a imagem da

de

forma

virtual, a distncia, por acesso remoto, via

Internet.

empresa ou mesmo para os clientes.

Essas vulnerabilidades podem ser fsicas
(instalaes),

tcnicas

(equipamentos

Alm disso, h que se considerar que a

aplicativos), processuais (normas, definies e

segurana da informao no deve ficar restrita

configuraes) ou humanas (comportamentais).

ao aspecto do furto. Se a informao um bem,

Para a manuteno da segurana, imprescindvel

um patrimnio relevante para a organizao, ela

que se consiga identific-las corretamente, a fim

deve ser preservada, tambm, das possibilidades

de que possam ser estabelecidas as medidas

de perda, dano ou alterao, decorrentes tanto

necessrias anulao ou minimizao dos seus

de causas naturais como de ao humana, seja

efeitos.

ela intencional ou no.

Ento,

Essas medidas tanto podero ser de carter

as

preventivo como corretivo. Enquanto as primeiras

conhecimentos

tm o objetivo de evitar que algum mal ocorra, as

organizacionais, assim como seus repositrios,

corretivas, normalmente, s sero adotadas aps o

esto sujeitos a uma srie de ameaas que

evento ter ocorrido e o dano j ter sido causado.

podem ser, como descrito por Smola (2003),

Porm, ainda assim, no devem ser desprezadas,

classificadas quanto a sua intencionalidade e

pois sua adoo evitar que o problema se repita.

informaes

podemos
e

deduzir
os

que

divididas em grupos da seguinte maneira:

Naturais
fenmenos

da

aquelas decorrentes de

natureza,

como

enchentes,

terremotos, tempestades etc.

Involuntrias as inconscientes, que

Aprender com os erros tambm demonstra

sabedoria.
Marcos
deficincia

Smola
de

(2003)

percepo

do

refere-se

problema

da

segurana da informao por vrios executivos e

organizaes como a Viso do Iceberg, quando

(Siqueira 2005, pag 41); e ... o foco de qualquer

compara a pequena frao do bloco de gelo

problema no deve ser a tecnologia, e sim a

exposto acima da linha de superfcie do mar ao

melhor utilizao das habilidades individuais nos

enfoque puramente tecnolgico dado por aqueles

processos do negcio... (Siqueira 2005, pag 43).

ao assunto. Nos dias de hoje, a informao no

A adoo de rgidas medidas de segurana

fica mais restrita a reas especficas ou a

tecnolgica no surte o efeito desejado se os

determinados processos, ela agora flui com

funcionrios deixam portas abertas, computadores

dinamismo por toda a estrutura organizacional de

com acesso liberado, pastas largadas sobre as

forma compartilhada, sendo alvo de interferncias

mesas ou trocam confidncias sobre decises

fsicas e humanas.

estratgicas de forma promscua.

Por esses motivos, imperativo, para que

Vrios so os autores que consideram a

possam ser alcanados resultados eficazes, tratar

conscientizao

comprometimento

dos

um Sistema de Gerenciamento de Segurana da

funcionrios como uma das melhores ferramentas

Informao de forma integrada e multidisciplinar,

de segurana da informao, principalmente

devendo, portanto, balancear, de forma adequada,

quando constatamos que so eles que fazem com

segurana fsica, tcnica, processual e pessoal, ou

que a organizao funcione.

seja, preciso encarar a Segurana da Informao

De acordo com a maioria dos autores que

como um processo de gerenciamento e no como

tratam do assunto, a segurana da informao tem

um processo puramente tecnolgico.

por objetivo garantir trs aspectos ou princpios,

Como nosso objetivo principal evidenciar

julgados bsicos, a saber:

DISPONIBILIDADE garantia de acesso

a participao e a interferncia humanas nos

processos que visam segurana das informaes

aos usurios, quando necessrio;

organizacionais, vamos, mais uma vez, buscar o

CONFIDENCIALIDADE grau de sigilo

apoio de Marcelo Siqueira (2005) e trazer quatro

atribudo ao contedo da informao e utilizado

assertivas por ele expostas:

para especificar quem pode acess-la; e

...a administrao da informao tem como

principal

aliada

anlise

originada

no

INTEGRIDADE manuteno da exatido

da forma e do contedo originais da informao.

conhecimento humano... (Siqueira 2005, pag 29);

O trabalho do gestor de informao no
baseado

em

relacionamentos

cincias
humanos

exatas,
e

mas

em

sistemticos

(Siqueira 2005, pag 30);

Os

dois

primeiros

aspectos

tm

caractersticas defensivas e esto relacionados

com

proteo

do

negcio,

enquanto

integridade fator imprescindvel para o processo

de tomada de deciso.

Negligenciar o potencial humano o

Como a Segurana da Informao deve ser

mesmo que negligenciar a prpria organizao,

responsabilidade de todos dentro da organizao,

pois esta nada mais do que o suporte humano,

desde o mais alto nvel ao colaborador mais

que garante o funcionamento de seus processos e

recentemente contratado, passando por todos os

o cumprimento de misses, objetivos e vises

patamares

hierrquicos

intermedirios,

importante que haja investimento na capacitao e

pelo CSI2, 71% dos incidentes de segurana so

conscientizao dos funcionrios no que tange s

causados pelo pessoal interno.

operaes de todo o ciclo de vida da informao,

Todos os leitores possivelmente j ouviram

ou seja, manuseio, armazenamento, transporte e

ou leram a afirmativa de que uma corrente to

descarte de informaes.

forte quanto o seu elo mais fraco, em especial

Por mais que se adote e implemente

recursos tecnolgicos para a proteo das
informaes, no se pode desprezar a capacidade
inventiva, a criatividade humana. A cada nova
tecnologia de segurana inventada, logo aparece
alguma outra para burl-la.

quando algum autor quer se referir participao

humana no processo de segurana.
E por que o fator humano considerado o
elo mais fraco da segurana?
Em muitos casos, a segurana apenas
ilusria, principalmente quando entram em jogo a

Edison Fontes (2006) define Segurana da

credulidade, a inocncia ou a ignorncia do

Informao como o conjunto de orientaes,

usurio. Atribui-se a Albert Einstein a seguinte

normas, procedimentos e demais aes que tem

citao: "Apenas duas coisas so infinitas: o

por objetivo proteger o recurso informao,

universo e a estupidez humana, e eu no tenho

possibilitando que o negcio da organizao seja

certeza se isso verdadeiro sobre o primeiro".

realizado e sua misso seja alcanada. Ele ainda

Seria interessante tratar a participao

alerta que para a eficcia da proteo da

humana como um fator externo corrente que

informao, os conceitos e regulamentos relativos

manipula os seus elos, correta ou incorretamente,

ao assunto devem ser compreendidos e seguidos

decorrendo desta manipulao a longevidade ou a

por todos os usurios. (Fontes 2006, Pag.11)

corroso total deles. Os elos da corrente de

Segundo pesquisa divulgada pela Mdulo

segurana

so:

senhas,

logins,

firewalls,

Security Solutions, em 2001, e citada por Siqueira

criptografia, normas, polticas, regulamentos,

(2005), so duas as principais ameaas s

antivirus, anti-spaywares, pendrives, disquetes,

informaes nas empresas: vrus e funcionrios

CD/DVD, crachs e mais toda a sorte de

insatisfeitos.

equipamentos, mdias, documentos, softwares e

No

de

procedimentos que tenham por finalidade prover a

sobrevivncia do negcio, Andr Correia1 nos

segurana deste importante ativo empresarial que

mostra que, de acordo com pesquisa realizada

a informao.

artigo

Segurana:

questo

Gerente de Planejamento e Consultoria da Open Communications Security. graduado pela PUC-RJ em Tecnologia em
Processamento de Dados e tem especializao em Redes de Computadores.
2
Computer Security Institute

Abner Junior - 2009

No se pode negar que, quando as pessoas

disso, preciso entender e no esquecer que

agem como foi indicado acima, de forma ingnua,

segurana no um problema. Problema a falta

estpida

de segurana e o prejuzo que ela pode trazer para

ou

indiferente

boas

prticas

recomendadas pelas normas de segurana, a

a organizao.

engenharia social encontra seu meio mais frtil de

atuao.

Ento, qual ser o grau de segurana a ser

adotado? Esta deciso complexa e dever ser

O grande problema para a implementao

tomada com muita parcimnia, pois uma poltica

de procedimentos de segurana a mudana

de segurana muito austera poder causar entraves

cultural incmoda que ela promove, uma vez que

nos processos produtivos, ao passo que se for

impe restries s comodidades, s quais os

muito permissiva poder expor, desnecessria e

usurios j estavam acostumados e, logicamente,

indesejavelmente, a organizao.

no querem perder. Em consequncia, essa

Lus Mirtilo3, citado por Estela Silva em seu

implementao deve ser feita de forma gradativa,

artigo Especial Sobre Segurana, aponta a

mas de maneira contnua e permanente, pois

engenharia social como um dos grandes viles da

resultados

segurana

da

tambm,

como

significativos

aparecem,

efetivamente, em mdio e/ou longo prazo.

Sem dvida, o grau de desconforto do

informao,
importantes

embora

aponte,

ferramentas

de

ataques: os vrus recebidos por e-mail,

usurio ser diretamente proporcional ao grau de

insatisfao

segurana que se deseja, ou seja, quanto maior o

operacionais, a invaso por hackers, os acidentes

grau de segurana desejado, maior ser o controle

e desastres e, por fim, a espionagem, remota ou

a ser exercido, maior ser a quantidade de

local,

restries, maior poder ser o desconforto do

participao

usurio, maior tambm ser a reao dos usurios

usurios.

adoo das medidas implementadas. Apesar

3

Diretor de operaes da Plaut Consultoria

fatos

de

funcionrios,

procedimentos,

ativa,

voluntria

os

que
ou

erros

tm

no,

a
dos

Acreditamos que seja fcil imaginar as

COBIT5.

nefastas consequncias que adviriam para uma

A ISO/IEC 17799, renumerada em julho de

fora de defesa Exrcito, Marinha, Aeronutica,

2007 para ISO/IEC 27002, uma norma de

Guarda Nacional, Gendarmaria etc. no caso de

Segurana da Informao revisada em 2005

uma

alterasse

pelas referidas organizaes ISO e IEC

significativamente a base de dados de uma

composta por um conjunto de recomendaes

unidade operacional durante uma operao real.

para prticas na gesto de Segurana da

invaso

que

destrusse

ou

Na atualidade, o exrcito norte-americano

realiza treinamento de seus oficiais no sentido de
os

Informao, ideal para aqueles que querem criar,

implementar e manter um sistema de segurana.

capacitar

O COBIT um guia de boas prticas, criado

fazer

e mantido pelo ISACA6, que possui uma srie de

recursos que podem servir como modelo de

para
frente
ataques

referncia

cibernticos.

Informao (TI).

Recentemente,

para

gesto

da

Tecnologia

da

A esses documentos, Ferreira e Araujo

foi

(2006) assim se referem:

Atualmente

disponibilizaFonte:

do na pgina

existem

algumas

metodologias

melhores prticas em segurana da informao e

http://www.youtube.com/watch?v=hDpqruR3vvk

governana para o ambiente de tecnologia, que so

eletrnica do

reconhecidas mundialmente e largamente utilizadas

youtube, conforme mostrado na imagem acima,

como, por exemplo, a NBR ISO/IEC 17799:2005 e o

um filmete que demonstra esse treinamento.

CobiT. (Ferreira e Araujo, 2006, pag 27)

Alguns dados estatsticos mais atualizados

sobre ataques virtuais Guerra Digital podem

verdade que segurana absoluta no

ser encontrados no stio Zone-H, unrestricted

existe, mas necessrio que nos preocupemos

information, cujo endereo de acesso pode ser

com a adoo de medidas que dificultem a ao

(http://www.zone-h.com.br/content/blogcategory

de

/9/11/)

minimamente a privacidade dos dados que

ou

(http://www.zone-h.com.br/content/

view/579/11/).

ou

de

da organizao que a pretende implantar, mas no

nos

furtar

de

mencionar

funcionais,

as normas ISO 17799 (ISO/IEC 27002) e o

principalmente

Fontes

(2008,

garantam

no

ambiente

6)

apresenta

pag.

consideraes sobre proteo da informao para

o

executivo

da

organizao.

informao:
International Organization for Standardization Organizao Internacional para Padronizao
Control Objectives for Information and Related Technology
6
Information Systems Audit and Control Association
5

organizacional.

dois

documentos de referncia quanto a esse assunto:

curiosos

julgamos confidenciais, sejam eles pessoais ou

A Poltica de Segurana uma atribuio

podemos

hacker

Proteger

a) no um assunto puramente tecnolgico;

abordava a questo da explorao, por parte

b) uma deciso empresarial;

desses criminosos, da ignorncia e da ingenuidade

c) no acontece por milagre;

das pessoas que se utilizam de forma equivocada

d) deve fazer parte dos requisitos do

ou imprudente dos meios tecnolgicos disponveis

negcio;

e ressaltava a participao de ex-funcionrios que

e) exige postura profissional das pessoas;

vendem informaes sensveis concorrncia,

f) liberar a informao apenas para quem

como ocorreu, em caso recente, no mundo da

precisa;

Frmula 1, entre a Ferrari e a McLaren.

g) implementar o conceito de Gestor da

Ao pesquisar na literatura pertinente ou

navegar em artigos disponibilizados na Internet,

Informao;
h) deve contemplar todos os colaboradores;

podemos

i) considerar as pessoas um elemento vital; e

Engenharia Social. Vejamos algumas delas:

j) exige alinhamento com o negcio.

termo

encontrar

vrias

utilizado

para

definies

de

obteno

de

informaes importantes de uma empresa,

6 A ENGENHARIA SOCIAL

por

intermdio

de

seus

usurios

colaboradores;
Botafogo, Rio de Janeiro. Uma aposentada de 79
anos passa sete horas sob tortura psicolgica,
pendurada ao celular. Criminosos que diziam ter

arte de fazer com que outras pessoas

concordem com voc e atendam aos seus

seqestrado

pedidos ou desejos, mesmo que voc no

sua sobrinha-

tenha autoridade para tal;

neta

aquisio de informaes preciosas ou

induzem

privilgios de acesso por algum de fora,

fazer

saque

em

caixas

baseado em uma relao de confiana

estabelecida,

eletrnicos.
Sabem

nome

Fonte: Google/imagem

hbitos da vtima (grifo nosso). O drama s termina

quando a aposentada recebe um contato da me da
suposta seqestrada, o que evita que ela entregue o

inapropriadamente,

com

algum de dentro;
tcnicas utilizadas para tirar proveito de
falhas que as pessoas cometem ou que
sejam levadas a cometer com relao s

dinheiro aos golpistas.

informaes da rea de tecnologia da

Santa Cruz do Rio Pardo, interior de So Paulo. Uma

informao;

quadrilha clona cartes bancrios de cerca de 100

tcnica de influenciar as pessoas pelo poder

pessoas.. (Revista Info Julho de 2009 pag. 62)

da persuaso com o objetivo de conseguir

que elas faam alguma coisa ou forneam

O Caderno Digital, distribudo pelo jornal O

Globo na segunda-feira, dia 20 de julho de 2009,
publicou, na sua pgina 12, um artigo intitulado
Cibercriminosos de olho na nuvem, que

determinada informao a pedido de algum

no autorizado;
mtodo de ataque virtual no qual
aproveitada a confiana ou a ingenuidade do

usurio

para

obter

informaes

que

permitem invadir um micro;

habilidade de um hacker manipular a
tendncia humana natural de confiana com o
objetivo de obter informaes por meio de um
acesso vlido em um sistema no autorizado;
arte e cincia de persuadir as pessoas a
atenderem aos seus desejos; e
garimpagem da informaes.
Qual a melhor? Qual a mais correta?
A escolha ficar a cargo de cada leitor, mas
o que no se pode negar o fato de a Engenharia

A engenharia social atua sobre a inclinao natural

das pessoas de confiar umas nas outras e de querer
ajudar. Nem sempre, a inteno precisa ser de ajuda
ou de confiana. Pelo contrrio, pode ser por senso
de curiosidade, desafio, vingana, insatisfao,
diverso, descuido, destruio, entre outros.
A engenharia social tambm deve agir sobre as
pessoas que no utilizam diretamente os recursos
computacionais de uma corporao. So indivduos
que tm acesso fsico a alguns departamentos da
empresa por prestarem servios temporrios, porque
fazem suporte e manuteno ou, simplesmente, por
serem visitantes. H ainda um grupo de pessoas ao
qual necessrio dispensar uma ateno especial,
porque no entra em contato fsico com a empresa,
mas por meio de telefone, fax ou correio eletrnico.
(Klein 2004, pag 9)

Social ser uma atividade conceitualmente ligada

J Evaldo Tatsch Junior (2009) mostra-se

atividade de busca de informao, seja a busca

surpreso em constatar que a engenharia social

desenvolvida por intermdio de equipamentos

ainda um dos meios de maior sucesso para

eletroeletrnicos

acesso a informaes. Ele ressalta que muitas

(telefone,

computador)

ou

pessoalmente (entrevista ou questionamento).

pessoas de elevado nvel sciocultural ainda se

Outro aspecto que nos parece ter ficado

tambm bastante evidenciado na leitura dos
conceitos expostos a inteno de obter acesso a

deixam enganar por esses viles cibernticos, a

quem chama de salafrrios virtuais.
A Engenharia Social tem sido tema e

locais ou produtos normalmente negados ao

preocupao

engenheiro social.

especializadas, que procuram chamar ateno os

Podemos ainda identificar, no conjunto de

definies

apresentadas,

utilizao

usurios

constantes

comuns

de

dos

publicaes

novos

recursos

e/ou

tecnolgicos, para que procurem ter mais cautela

explorao da ingenuidade, da confiana e/ou da

ao disponibilizarem dados pessoais, funcionais

boa-f das pessoas.

e/ou comerciais.

importante destacar que o sucesso no

A revista Info-exame, especializada em

ataque de engenharia social ocorre, geralmente,

assuntos relativos tecnologia, publicou, na sua

quando os alvos so pessoas ingnuas ou aquelas

edio de julho de 2009, o artigo A Tecnologia

que simplesmente desconhecem as melhores

do Crime, no qual se pode ler que Em muitos

prticas de segurana. (Ferreira & Araujo, 2006,

casos,

pag 92)

comerciais

Soeli Claudete Klein, no seu trabalho

intitulado

Engenharia

Social

na

rea

funcionrios
so

de

aliciados

estabelecimentos
e

permitem

que

criminosos instalem dentro do terminal de

da

pagamento um chupa-cabra. De acordo com o

Tecnologia da Informao, assim se refere

mesmo artigo, chupa-cabra so dispositivos que

Engenharia Social:

memorizam as informaes da tarja magntica do

carto para clon-los posteriormente. (Revista

e inconsequente,

Info Jul 2009 pag. 66)

que podero ser

Outro

grande

foco

de

obteno

de

utilizados

pelos

informaes pessoais, ou mesmo funcionais, so

chamados

as chamadas redes de relacionamento, s quais o

cibercriminosos

Caderno Digital, do jornal O GLOBO, refere-se

para coao ou

da seguinte forma:

mesmo
chantagem.

As redes sociais tm um aspecto sombrio no que

tange segurana da informao. Como a prpria
web e os dados de identidade dos internautas
passaram a ser o alvo dos criminosos digitais nos
ltimos tempos, Orkut e congneres no poderiam
ficar de fora de sua mira. (Caderno Digital O
Globo 6 de julho de 2009).

A imagem, acessada em 25/07/09, est

disponvel no artigo

Desculpe, Luciana, no

funcionou, mande de novo, acessvel na URL a

seguir:
http://www.contraditorium.com/2008/01/28/descu

Ainda tendo como referncia o caderno

lpe-luciana-nao-funcionou-mande-de-novo/.

Digital do O Globo, destacamos o artigo,

A imagem tambm pode ser encontrada na

publicado no dia 29 de junho de 2009,

8 pgina de imagens do Google sob o enfoque

denominado Cuidado com a e-perseguio, em

da engenharia social, ou seja:

que so apresentados casos de perseguio

1) digite google.com.br;

digital, do qual extramos os seguintes trechos:

2) escolha o menu imagens;

3) digite engenharia social na caixa de

H alguns anos ela teve a sua vida devassada por um

ex-namorado inconformado com o fim do
relacionamento. C. comeou a desconfiar quando o
ex mostrou saber quais eram seus compromissos,
os lugares aonde planejava ir e at quanto possua na
conta bancria. Assustada, resolveu procurar um
consultor de segurana.
- Ela me perguntou: possvel algum saber pela
internet o que estou fazendo? lembra o consultor.
- Eu, por minha vez, perguntei se ele tinha acesso ao
computador dela. E descobri que ele tinha dado o PC
de presente a ela!
claro que foi um presente de grego. A mquina
tinha vindo preparada com um programa de acesso
remoto e um keylogger (dispositivo que grava a
digitao).
Resumo da histria: atravs do keylogger e de outras
armas instaladas no PC, o ex de C. pde
reconstituir todos os seus movimentos e capturar seus
logins e senhas, inclusive os do banco na internet.
Assim, sabia de toda a sua vida.
Na internet, os protocolos de comunicao no so
protegidos e a conversa no trafega criptografada,
ento algum pode captur-la e se inteirar de
histrias confidenciais.

A imagem ao lado ilustra mais uma vez a

obteno,

por

meios

ilcitos,

de

dados

confidencias disponibilizados de maneira ingnua

pesquisa e clique em ok;

4) escolha a pgina 8;
5) voila a primeira imagem que
aparece; e
6) clique sobre a imagem e veja o artigo.

No livro de Peixoto (2006), encontramos o

Engenheiro Social definido como uma pessoa
gentil, agradvel, educada, simptica, carismtica,
criativa, flexvel, dinmica, persuasiva e dona de
uma conversa muito envolvente. Como se
proteger de algum assim?
Suas principais ferramentas de trabalho so:
telefone, internet, intranet, e-mail, chats, fax,
cartas/correspondncia, spyware, observao
pessoal, procura no lixo e interveno pessoal
direta.

Normalmente, possuidor de inteligncia

vaidade pessoal e/ou profissional;

privilegiada, o Engenheiro Social vai somando

todas

as

consegue

informaes

que,

obter

inmeras

nas

autoconfiana;

pacientemente,
incurses

(eletrnicas ou pessoais) aos arquivos da vtima,

a)

vontade de ser til; e

a)

busca por novas amizades.

at conseguir compor um mosaico de informaes

significativas que o permita construir o perfil

Falar de Engenharia Social sem falar em

social e funcional do alvo e, assim, ter condies

Kevin Mitnick o mesmo que falar de futebol

de realizar as fraudes que deseja.

sem falar em Pel.

uma

Kevin Mitnick o mais famoso hacker do

interessante definio de Engenharia Social,

mundo. Ele foi caado e preso pelo Federal

segundo ele obtida no stio da Konsultex

Bureau of Investigation (FBI) em 1993 e, depois

Informtica:

de passar cinco anos na priso, ainda cumpriu

conhecimento do comportamento humano pode

mais trs de liberdade condicional. Atualmente

ser utilizado para induzir uma pessoa a atuar o seu

Mitnick dono de uma consultoria, conferencista

desejo.

e escritor de livros, tendo publicado A Arte de

Peixoto

(2006)

cincia

ainda

que

apresenta

estuda

como

A enciclopdia eletrnica Wikipdia

Enganar e A Arte de Invadir. No primeiro

define Engenharia Social como sendo o conjunto

deles, Mitnick procura transmitir ensinamentos

de prticas utilizadas para obter acesso a

que sirvam de base para que usurios se previnam

informaes

em

contra os possveis e eventuais ataques desse

organizaes ou sistemas, por meio da enganao

gnero, contando suas aventuras e peripcias,

ou explorao da confiana das pessoas, ou,

enquanto no segundo, os ensinamentos so

ainda,

passados com base em experincias vividas por

como

importantes

uma

ou

forma

sigilosas,

de

entrar

em

organizaes, que no necessita da fora bruta ou

outros hackers.

de erros em mquinas e que possui a destacada

De acordo com Mitnick (2003), ao serem

propriedade de Explorar as falhas de segurana

combinadas a inclinao para enganar as pessoas

das prprias pessoas que, quando no treinadas

com os talentos da influncia e persuaso, chega-

para

se ao perfil de um engenheiro social do qual nem

esses

ataques,

podem

ser

facilmente

manipuladas.

um computador desligado est livre da ao, pois

A mesma enciclopdia esclarece que o

ele capaz de convencer um colaborador a entrar

Engenheiro Social pode se fazer passar por outra

no escritrio e lig-lo. O referido escritor tambm

pessoa, fingindo ser um profissional que na

destaca que, enquanto os colaboradores de uma

realidade no , para explorar as falhas de

empresa no estiverem devida e suficientemente

segurana.

educados, treinados

Ainda

relaciona

traos

para no fornecerem

comportamentais e psicolgicos que tornam o

informaes a estranhos, mais ou menos como

homem suscetvel a ataques de engenharia social.

nossos pais nos ensinavam nos idos anos 50 e 60,

Entre eles, pode-se destacar:

as organizaes continuaro sendo alvo do ataque

de vndalos e criminosos tecnolgicos.

preventiva. Trata-se de leitura obrigatria para

Ainda segundo Mitnick, alguns desses

todos aqueles que querem aprender alguma coisa

ataques so sofisticadssimos, verdadeiras obras

sobre exposio e proteo relativas Engenharia

de arte em termos de concepo e planejamento,

Social.

exigindo profundos conhecimentos tecnolgicos.

Ambos os livros, A Arte de Enganar e A

Mas, em outros casos, tudo o que o engenheiro

Arte de Invadir, esto disponveis na forma de

precisa fazer simplesmente pedir a informao

livros eletrnicos gratuitos e podem ser obtidos

desejada.

com a ajuda de pesquisa direta no Google.

O atacante pode ainda atuar oferecendo ou

Os Engenheiros Sociais, apesar de serem

pedindo ajuda, vasculhando o lixo ou enviando e-

normalmente

mails. No entanto, ele basicamente aplica,

eletrnicos,

podem,

intuitiva ou conscientemente, conhecimentos que

captadores

de

lhe permitam explorar sentimentos e/ou emoes,

conhecimento de informtica. O crime por eles

tais

cometido repassar as informaes colhidas

como:

medo, culpa, descontentamento,

vingana, simpatia etc.

classificados

como

entretanto,

informaes,

criminosos
ser

sem

simples
nenhum

queles criminosos.

Senhas podem ser facilmente quebradas

Esses hackers so categorizados em tipos

(descobertas) com a utilizao de programas que

que os classificam de acordo com a malignidade

so capazes de testar, por exemplo, todas as

de seus atos e suas competncias tcnicas. Desses

palavras contidas em um bom dicionrio e mais

tipos cabe destacar:

todas as combinaes possveis dos dados de

- Os Hackers ou White hat aqueles que

nascimento da vtima e de seus familiares. So

aps detectarem uma falha na segurana e

muitas as pessoas que, preocupadas em no se

invadirem uma organizao deixam um alerta

esquecerem de suas senhas, usam essas datas para

para

protegerem seus acessos aos mais diversos meios

Praticamente fazem a invaso pela satisfao de

de armazenamento de dados ou se utilizam de

vencer o desafio de superar as barreiras existentes.

que

incorreo

seja

eliminada.

- Os Crackers ou Black hat aqueles que

uma nica senha para todos os acessos.

Qualquer candidato a hacker que tenha um

possuem

praticamente

mesmo

nvel

de

mnimo de conhecimento da lgica utilizada pelos

conhecimento do tipo anterior, mas diferem dele

informticos comear a tentativa de quebra de

pelos objetivos realmente criminosos, causando

senhas

qualquer espcie de prejuzo ao invadido e, se

por

combinaes

como

123456..,

abcdef.., 111111..., 00000....

possvel, obtendo lucro pessoal.

Os livros de Mitnick nos apresentam uma

srie

de

casos

convenientemente,

para

explorados
mostrar

muito
o

quo

vulnerveis podemos ser, ou estar, a este tipo de

Os

essencialmente,

Phreakers
manipulam

aqueles

que,

equipamentos

sistemas de telecomunicaes para conseguirem

as informaes desejadas.

ao criminosa, assim como uma srie de

Nem mesmo as Foras Armadas esto livres

procedimentos a serem adotados como medida

da ao desses ataques. Afinal, se para alguns

hackers o importante vencer desafios, como

oportunidade (explorao das vulnerabilidades

seriam conceituados aqueles que conseguem em

existentes). Dos trs aspectos, o nico que no

uma ao de, aparentemente, extrema ousadia,

podemos controlar o primeiro deles, a

vencer as barreiras de segurana das organizaes

motivao, por ser estritamente pessoal. Nos

que, pelo menos teoricamente, so as mais fortes

demais, temos obrigao de atuar, dificultando ao

em termos de segurana? Invadir o pentgono, por

mximo a ao dos invasores.

exemplo, e simplesmente plantar um alerta de

invaso traria ao invasor um reconhecimento

Para isso, precisamos pensar em estabelecer

alguns nveis de barreiras:

internacional da sua capacitao tecnolgica.

Se por um lado, a internet pode se

barreiras

fsicas

(portas,

cadeados,

trancas);

configurar em grande ameaa corporativa, por

- controle de acesso (estabelecimento de

outro, ela disponibiliza uma srie de arquivos e

senhas, perfis de usurio e registro de acesso

fontes de consultas com toda sorte de informaes

realizado);

sobre

atuao

dos

cibercriminosos,

possibilitando a todos aprenderem sobre o assunto

- classificao das informaes (grau de

sigilo);

e se prepararem para fazer frente a esse tipo de

- uso de processos de codificao e

ao. So inmeros os arquivos armazenados nos

autenticao (criptografia, certificao digital) das

principais provedores de acesso internet como,

informaes que circulam na rede da organizao;

por exemplo, Google, Yahoo e Terra, assim como

de filmetes do stio youtube, com verdadeiras

das

realizao

peridica

de

cpias

de

segurana (backup).

senhas, spyware e outras dessas tecnologias.

Basta acess-los, aprender e se proteger.

distribudo

informaes organizacionais; e

aulas sobre invaso, engenharia social, worms,

trojans, vrus, cavalos de troia, captura de

armazenamento

De qualquer forma, julgamos tambm

imprescindvel no esquecer que o engenheiro

Diante desse cenrio, julgamos que o mais

social

normalmente

adota

como

principal

importante aspecto relativo segurana das

ferramenta de ataque a persuaso, que ser o foco

informaes

do nosso prximo tpico.

corporativas

que

merece

ser

destacado , inquestionavelmente, a necessidade

Encerramos este tpico com o mais antigo

de capacitao (cognitiva e comportamental) dos

relato que se pode ter da hoje chamada

usurios dos diversos sistemas da organizao,

Engenharia Social:

dos gestores e dos manipuladores do capital

intelectual da instituio.
Em todo o caso, preciso estar consciente
de que o Engenheiro Social atua baseado em trs
aspectos, a saber: motivao pessoal (desafio,
ganncia ou sentimento de aventura), falta de
controle da organizao (vulnerabilidades) e

Ora, Isaac envelheceu, e a vista escureceu-selhe, e no podia ver.

(...)
Vestiu Jac com os melhores vestidos de Esa
(...) e com as peles dos cabritos, envolveu-lhe as mos
e cobriu a parte nua do pescoo.
(...)
Jac, tendo levado tudo a Isaac, disse-lhe:
- Meu Pai!

Ele respondeu: Ouo.

- Quem s tu, meu filho?
Jac disse:
- Eu sou teu filho primognito, Esa.
(...)
Isaac disse:
- Chegue aqui, meu filho, para que eu o apalpe e
reconhea se s o meu filho Esa ou no.
Jac aproximou-se do pai, e, tendo-o apalpado,
Isaac disse:
- A voz verdadeiramente a voz de Jac, mas as
mos so as de Esa.
Issac no o reconheceu porque as mos peludas
eram semelhantes s do mais velho. Portanto,
abenoando-o disse:
- Tu s o meu filho Esa?
Jac respondeu:
- Eu o sou.
E Isaac o abenoou (...) (A Bblia Sagrada
Gnesis 27)

vezes natural, inata, de falar aquilo que deve ser

7 O PODER DA PERSUASO

obviamente no o so.

Com to pouco
tempo
precioso
para
processar
tanta informao,
nosso
sistema
cognitivo
especializa-se em
atalhos
mentais.
Com extraordinria
facilidade,
formamos
Fonte: Google/imagem
impresses,
fazemos
julgamentos e inventamos explicaes. (...) A
finalidade biolgica principal do pensamento
nos manter vivos, e no garantir a certeza de
nossos julgamentos. Em algumas situaes,
porm, a pressa nos conduz ao erro. (Myers
2000, pg. 58)

dito, da maneira mais agradvel, no momento

oportuno e para a pessoa certa. Essa capacidade
conquista pessoas, constri relacionamentos e
permite que o comunicador influencie o ouvinte,
que passa a respeit-lo, admir-lo e at apoi-lo na
consecuo dos seus objetivos.
Essa capacidade denominada persuaso e,
como j dissemos anteriormente, constitui-se na
principal ferramenta de ataque dos engenheiros
sociais na maioria das situaes. atravs dela
que eles nos induzem a um erro de julgamento
que nos faz v-los como pessoas confiveis, o que

Consultando

sobre pessoas que se destacam por conseguirem,

surpreendentemente, tudo o que desejam. So
aquelas pessoas para as quais tudo parece sempre
dar certo. E o mais estranho que, em muitos
casos, elas nem parecem ser to competentes,
inteligentes ou trabalhadoras, mas esto sempre
alcanando seus propsitos.
Se observarmos um pouco mais atentamente
a conduta de vida dessas pessoas, talvez possamos
identificar nelas uma incrvel capacidade, muitas

enciclopdia

eletrnica

Wikipdia, verificamos que a Persuaso definida

como uma estratgia de comunicao que
consiste em utilizar recursos lgico-racionais ou
simblicos para induzir algum a aceitar uma
ideia, uma atitude, ou realizar uma ao, ou
ainda, o emprego de argumentos, legtimos ou
no, com o propsito de conseguir que outro(s)
indivduo(s) adote(m) certa(s) linha(s) de conduta,
teoria(s) ou crena(s).
Ento podemos entender que o engenheiro
social

Todos conhecemos ou j ouvimos relatos

far

uso

de

todo

seu

poder

de

argumentao, consciente ou intuitivamente, para

nos convencer a lhe franquear o acesso s
informaes que ele deseja.
Se houver competncia tcnica por parte do
invasor, ele far, provavelmente, uma anlise da
personalidade do seu alvo, estudando o seu
comportamento e verificando se se trata de uma
pessoa que pensa nos argumentos apresentados ou
age impulsivamente. Isso lhe permitir adotar a
atitude mais convincente.

so

Mcguire (citado por Olssons), so trs os

destacados quatro dos elementos constitutivos da

determinantes que definem o tipo de plateia

persuaso, a saber: o comunicador, a mensagem, a

a qual nos dirigimos: a idade, o sexo e a

forma de comunicao e a audincia. Vejamos

inteligncia. E cada um deles condiciona, de

algumas consideraes bsicas sobre cada um

forma especfica, a receptividade e a reao

desses elementos:

da plateia.

Na

documentao

da

referncia,

o comunicador ao bom comunicador

Do que j foi exposto, parece-nos ser

(comunicador persuasivo) so atribudas as

possvel inferir que a persuaso resultado

qualidades da credibilidade, decorrente da

dinmico de uma atividade de comunicao

sua especializao e fidedignidade, e da

interpessoal e que a capacidade de persuadir pode

atratividade ou simpatia, fruto de atrao

ser desenvolvida mediante a observncia e a

fsica ou de similaridade (semelhana como

adoo de certas tcnicas, algumas delas bem

destinatrio da mensagem transmitida).

definidas pela psicologia social, como as acima

Falar

enumeradas.

rapidamente,

encarando

com

alvo

convico

pode

ajudar

e
na

Entretanto, cabe ressaltar que existem

muitas outras obras publicadas sobre o assunto,

persuaso.
a mensagem ao contedo da mensagem,

algumas delas de autores de outras reas do

atribudo maior ou menor poder de

conhecimento, tais como o livro A Mgica da

influncia quando se associa os aspectos

Persuaso, de Laurie Phun, advogada, mediadora

racionalidade

da

e palestrante, no qual a autora descreve 35 regras

mensagem ao tipo de assistncia a que ela

para melhorar o processo de comunicao entre

dirigida. Myers, citando outros autores,

pessoas.

e/ou

emotividade

mostra- nos que pessoas instrudas reagem

mais aos apelos racionais do que pessoas

Dessas regras destacamos as seguintes:

enriquea os elogios:

menos instrudas. Da mesma forma, ainda

Todos temos a mesma necessidade humana

demonstra que mensagens associadas a bons

bsica de sermos apreciados. (...) Quando

sentimentos so mais persuasivas. (Myers,

suas palavras fazem com que algum se

2000)

sinta admirado e valorizado, voc consegue

a forma de comunicao com relao a

esse tem, acreditamos que seja importante
destacar

que

combinao

da

que essa pessoa imediatamente o admire e

valorize. (Puhn, 2005. pg 81)
transforme as pessoas em parceiros:

complexidade da mensagem com o meio de

... o importante saber que possvel

disseminao que vai estabelecer o grau de

conseguir o que se pretende das pessoas sem

persuaso.

dar ordens. Como? Usando o poder da

a audincia preciso que se tenha em

persuaso.(...) A persuaso uma maneira

considerao que, de acordo com William

eficaz de conseguir que algum queira fazer

algo por voc. (Puhn, 2205. pg 101)

prepare seus argumentos:

E so justamente os aspectos culturais e

As pessoas precisam ouvir suas razes e

comportamentais

provas para compreender as suas pretenses

procurar manipular para atingir seu intento de

e se convencerem de que voc est certo.

conduzir as aes do seu alvo, a fim de obter

(Puhn, 2005. pg 129)

livre acesso s informaes desejadas.

que

Engenheiro

Social

quem no chora no mama:

Quando voc quiser algo, pea. As pessoas

8 CONCLUSO

s vezes no sabem o que voc quer, s

O estudo do assunto proposto no se

voc. (Puhn, 2005. pag 184)

esgotou neste artigo, at porque esse nunca foi o

Ao pesquisar a literatura a respeito de

nosso objetivo. Nem mesmo chegamos a fazer um

comunicao
podemos

interpessoal,

entender

verificamos

comunicao

como

que

estudo aprofundado sobre o tema central, pois, na

um

verdade, cada um dos tpicos desenvolvidos no

processo transacional, contnuo e colaborador de

trabalho

troca, transmisso ou transferncia de dados,

especficas.

informaes e/ou conhecimentos, que se constitui

em necessidade bsica da humanidade.

poderia

ensejar

vrias

pesquisas

No entanto, mesmo com essa abordagem

superficial, baseada em uma reviso bibliogrfica

O ser humano, por se tratar de um ser social,

reduzida, conclumos o trabalho com a esperana

precisa estabelecer relacionamentos e, para isso,

de

utiliza-se desse processo.

tratamento da informao exige uma gesto

Ora, se a comunicao uma necessidade

termos

apropriada,

conseguido

demonstrar

especificamente

que

elaborada

do ser humano e a persuaso decorre da

convenientemente dimensionada. Tal cuidado

capacidade do locutor de usar a comunicao para

deve-se necessidade de preservao desse

influenciar ou convencer seus ouvintes, ento

importantssimo patrimnio organizacional em

julgamos oportuno relatar que Adler e Towne

face das diversas ameaas existentes no mundo

(2002) apresentam, como caracterstica de uma

moderno, mais do que digitalizado, virtualizado e

comunicao

globalizado por meio da rede mundial de

competente,

adaptabilidade

(flexibilidade), em outras palavras, o jogo de

cintura

do

comunicador,

computadores, a Internet.

circunstancionalidade e a relacionalidade.

No cenrio mundial, os crimes tambm

foram modernizados, so executados, muitas das

Esses mesmos autores ressaltam que no

vezes, de forma virtual, e so tecnologicamente

processo de comunicao nem sempre o que se

bastante sofisticados. Mundo onde hackers,

transmite o percebido pelo receptor, e que isso

crackers e phreakers se misturam de forma

acontece em funo do esquema perceptivo desse

quase

ltimo. O processo perceptivo sofre influncia

ingenuidade, incompetncia e despreparo para

direta de aspectos fisiolgicos, culturais e

comporem uma das formas mais eficiente de

comportamentais,

apropriao indbita, a Engenharia Social.

que

frequentemente

conduzem a erros de percepo.

nos

equitativa

com

vaidade,

inocncia,

Esperamos, principalmente, ter conseguido

 este sim era o nosso principal objetivo

quase impossvel resistir aos seus ataques. A nica

demonstrar que, embora em muitas ocasies os

providncia

Engenheiros Sociais atuem de forma intuitiva,

convenientemente os profissionais para identificar

quando eles agem conscientemente, ou seja,

e reagir apropriadamente investida desses

fazendo uso da persuaso e respeitando os

meliantes, assim como s outras diversas ameaas

princpios bsicos da psicologia social aplicados

eletrnicas

s tcnicas de comunicao interpessoal, torna-se

denominados cibercriminosos.

REFERNCIAS
A Bblia Sagrada. 44. Ed. So Paulo: Edies
Paulinas. 1997
Adler, Ronald B; Towne, Neil. Comunicao
Interpessoal. Rio de janeiro: LTC editora,
2002.
Arima, Ktia. A Tecnologia do Crime. Revista
Info-Exame, n. 281, p.61-67, jul. 2009.
Assis, Wilson Martins de. Gesto da Informao
nas
Organizaes.
Belo
Horizonte:
Autntica Editora, 2008.
Batista, Emerson de O. Sistemas de Informao: o
uso consciente da tecnologia para o
gerenciamento. So Paulo: Saraiva, 2004.
Braga, Asceno. A Gesto da Informao
Disponvel
em:
<http://www.ipv.pt/millenium/19_arq1.htm>
. Acesso em 22 jun. 2009.
Caparelli, David; Campadello, Pier. Templrios:
sua origem mstica. So Paulo: Madras,
2003.
Castells, Manuel. A Sociedade em Rede. So
Paulo: Paz e Terra, 2003.
Correia, Andr.
Segurana: questo de
sobrevivncia dos negcios. Dispovel em:
<http://www.infoguerra.com.br/infonews/tal
k/1012557620,12815,.shtml>. Acesso em 23
jun. 2009.
Costa, Jose Carlos Villela da. A segurana da
Informao no Sistema de Comando e
Controle do Exrcito: situao atual,

cabvel

virtuais

treinar

capacitar

desenvolvidas

pelos

vulnerabilidades, deficincias e proposta de

implementao de novas tecnologias. 2008.
67p. Monografia (trabalho de concluso de
curso de especializao) CPEAEx/ ECEME,
Rio de Janeiro.
Machado, Andr. Cuidado com a e-perseguio.
Jornal O Globo, Rio de Janeiro. 29 jun.
2009. Caderno Digital, p. 15-17
_____________. Tudo pelo Social. Jornal O
Globo, Rio de Janeiro. 06 jul. 2009.
Caderno Digital, p. 12-15
_____________. Cibercriminosos de Olho na
Nuvem. Jornal O Globo, Rio de Janeiro. 20
jul. 2009. Caderno Digital, p. 12-13
Drucker, Peter. Administrando para o Futuro: os
Anos 90 e a virada do sculo. So Paulo:
Thomson Pioneira, 1998.
Ferreira, Aurlio Buarque de Holanda. Dicionrio
da Lngua Portuguesa. Rio de Janeiro.
Nova Fronteira, 1999.
Ferreira, Fernando Nicolau Freitas; Arajo,
Mrcio Tadeu de. Poltica de Segurana da
Informao: guia prtico e implementao.
Rio de Janeiro: Cincia Moderna, 2006.
Fontes, Edison. Praticando a Segurana da
Informao. Rio de Janeiro: Brasport, 2008.
_____. Segurana da Informao: o usurio faz a
diferena. So Paulo: Editora Saraiva, 2006.
Junior, Evaldo Tatsch. Artigo A importncia da
prtica da Engenharia Social. Disponvel
em:
<http://www.istf.com.br/vb/etica-ecomportamento/13692-importancia-da-

pratica-da-engenharia-social.html>. Acesso
em 25 jun. 2009.
Klein, Soeli Claudete. Engenharia Social na rea
da Tecnologia da Informao. 2004. 63
pg.. Monografia (trabalho de concluso de
curso). Instituto de Cincias Exatas e
Tecnolgicas, Centro Universitrio Feevale.
Novo Hamburgo, RS.
Laudon, Kenneth C.; Laudon, Jane Price.
Sistemas de Informao com Internet. Rio
de Janeiro: LTC, 1999.
Laureano, Marcos Aurelio Pchek. Gesto de
Segurana da Informao. Disponvel em:
<www.mlaureano.org/aulas_material/gst/ap
ostila_versao_20.pdf>. Acesso em 03 jun.
2009.
Man, John. A histria do Alfabeto: como 26 letras
transformaram o mundo ocidental. Rio de
Janeiro: Ediouro, 2002.
Olssons, Johan. Persuasion in Practise.
Disponvel
em:
<http://www.geocities.com/TimesSquare/18
48/pers.html>. Acesso em 04 ago. 2009.
Myers, David G. Psicologia Social. Rio de
Janeiro: LTC Editora, 2000.

Mitnick, Kevin D.; Simon, William L. A Arte de

Enganar. So Paulo: Pearson Education do
Brasil, 2003.
Mitnick , Kevin D.; Simon, William L. A Arte de
Invadir. So Paulo: Pearson Education do
Brasil, 2006.
Peixoto, Mrio Csar Pintaudi. Engenharia Social
e Segurana da Informao. Rio de Janeiro:
Brasport, 2006.
Phun, Laurie. A Mgica da Persuaso. Rio de
Janeiro: Elsevier Editora, 2005.
Smola, Marcos. Gesto da Segurana da
Informao. Rio de Janeiro: Editora
Campus, 2003.
Siqueira, Marcelo Costa. Gesto Estratgica da
Informao. Rio de Janeiro: Brasport, 2005.
Silva, Estela. Artigo Especial sobre Segurana.
Disponvel
em:
<http://www.sit.com.br/SeparataGTI089.ht
m>. Acesso em 25 jun. 2009.
Stair, Ralph M.; Reynolds, Geroge W. Princpios
de Sistemas de Informao. Rio de janeiro:
LTC, 2002.
Toffler, Alvin. A Terceira Onda. Rio de Janeiro:
Record, 1980.

(*)O autor Coronel da Reserva do Exrcito Brasileiro, Doutor em Cincias Militares pela Escola de Comando e EstadoMaior do Exrcito (ECEME). Possui especializao em Anlise de Sistemas Centro de Estudos de Pessoal do Exrcito
(CEP), em 1989; MBA de Gesto Empresarial com nfase em RH UFRJ/ 2003/2004; e MBA executivo da FGV, em
andamento. (Email: abnersilva@uol.com.br)