Engenharia Social e Seguranca PDF

Outros trabalhos em:
www.ProjetodeRedes.com.br
UNIVERSIDADE TIRADENTES
LUCIANO ALVES LUNGUINHO SANTOS
O IMPACTO DA ENGENHARIA SOCIAL NA

SEGURANA DA INFORMAO
Aracaju
2004
m.br/pdfFactory
O IMPACTO DA ENGENHARIA SOCIAL NA

SEGURANA DA INFORMAO
Monografia apresentada
UniversidadeTiradentes,
como pr-requisito de
concluso do curso de Ps-
Graduao em redes de
computadores.
MARIO VASCONCELOS
Aracaju
2004
O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANA DA

INFORMAO
Monografia apresentada
Universidade Tiradentes, como pr-
requisito de concluso do curso de
Ps-Graduao em redes de
computadores.
APROVADA EM :___/___/____
BANCA EXAMINADORA
______________________________
Orientador(a)
UNIT
______________________________
Examinador(a)
UNIT
______________________________
Examinador(a)
UNIT
minha esposa, por seu auxlio
e pacincia e aos meus filhos,
simplesmente por existirem e,
atravs de seus sorrisos,
contriburem para meu
crescimento.
AGRADECIMENTOS
Para a concluso deste trabalho foi fundamental a colaborao de:
Minha filha Jssica cuidando de seu irmo Gustavo para que eu pudesse
estudar, da minha esposa Ivnia que me motivou em meus momentos de fraqueza,
dos gerentes de informtica e de recursos humanos das empresas que formam o
ambiente de pesquisa que, apesar de no poder citar seus nomes aqui por questes
de segurana, agradeo sua ateno e presteza, alm dos usurios que
forneceram as informaes que formam a base deste trabalho.
Professor Ronaldo Linhares, que me orientou na fase inicial de construo
deste projeto, ao professor Domingos que, na matria de segurana em redes,
abordou com competncia a norma NBR ISSO 17799 e os demais assuntos que
esto contidos neste trabalho, dos professores Exson, Hugo, Marco Simes e Othon
que contriburam excelentemente com o meu aprendizado e, conseqentemente,
com o meu desenvolvimento profissional e do professor Mrio Vasconcelos que
ampliou a minha viso deste trabalho ao mesmo tempo em que me motivou durante
todo o processo de desenvolvimento do mesmo, sempre com ateno e simpatia.
Agradeo a todos que contriburam direta ou indiretamente durante todo o
projeto, desde as aulas iniciais do curso at as ltimas linhas desta monografia.

"Mentes grandes discutem idias; mentes medianas
discutem eventos; mentes pequenas discutem
pessoas".
Blaise Pascal
fsico, matemtico e filsofo
FRA, 1623-1662....
RESUMO
O principal objetivo deste trabalho criar uma metodologia para diagnosticar
a conscincia dos usurios quanto ao risco de ataques de engenharia social no
ambiente corporativo e saber qual o nvel de conscientizao de seus colaboradores
quanto a confidencialidade, integridade e disponibilidade da informao. Para isso
dividimos o trabalho em basicamente trs etapas: A pesquisa, a tabulao e anlise
dos dados e a proposta de solues. Antes de abordarmos a metodologia,
iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e
engenharia social, como ela funciona e qual o papel do usurio na segurana da
informao. Visando uma abordagem sistmica, a pesquisa foi feita com os
usurios, com o setor de recursos humanos e com a rea responsvel pela
tecnologia da informao, com questionrios criados para abordar os principais
pontos da engenharia social como por exemplo a confidencialidade de senhas.
Aplicamos os questionrios em empresas com modelos administrativos distintos,
sendo uma da administrao pblica e a outra, uma empresa privada. Aps a
tabulao dos dados, analisamos os principais pontos, cruzando respostas dos trs
questionrios, analisando de acordo com o tipo da empresa, se o usurio da rea
gerencial, operacional ou um usurio temporrio, como por exemplo um
terceirizado ou um estagirio. Finalmente, utilizando como base os questionamentos
elencados na metodologia e o resultado da anlise, elaboramos uma proposta com
sugestes de implementao de controles e aes para minimizar os riscos de
ataques de engenharia social. Para isso utilizamos controles que achamos mais
relevantes no tratamento dos riscos de ataques de engenharia social existentes na

norma ISO/IEC 17799 - Cdigo de Prtica para Gesto da segurana da Informao
nas Empresas.
LISTAS
LISTAS DE FIGURAS
Fig. 1. A empresa possui poltica de segurana da informao? .......................... 50
Fig. 2. Os usurios conhecem as informaes vitais para a empresa?................. 52
Fig. 3. Tabela Informaes confidenciais / vitais x comunicao interna .............. 53
Fig. 4. Freqncia de alterao de senhas dos usurios com acesso informaes
confidenciais...................................................................................................... 55
Fig. 5. Quantos usurios divulgam as senhas ....................................................... 55
Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de
fcil acesso........................................................................................................ 56
LISTAS DE TABELAS
Tab 1. Quantidade de questionrios por empresa................................................. 33
Tab 2. Distribuio dos usurios por funo Pblica .......................................... 34
Tab 3. Distribuio dos usurios por funo - Privada .......................................... 35
Tab 4. Usurios e Computadores .......................................................................... 36
Tab 5. Faixa Etria ................................................................................................ 36
Tab 6. Sexo ........................................................................................................... 36
Tab 7. Funo........................................................................................................ 37
Tab 8. Tempo de empresa..................................................................................... 37

Tab 9. Possui outro emprego................................................................................. 37
Tab 10. Senha aberta .......................................................................................... 37
Tab 11. Senha de terceiros.................................................................................. 38
Tab 12. Anota Senha ........................................................................................... 38
Tab 13. Cede em caso de trabalhos rpidos ....................................................... 38
Tab 14. Freqncia de alterao de senhas........................................................ 38
Tab 15. Informaes por telefone ........................................................................ 39
Tab 16. Outras respostas - Informaes por telefone.......................................... 39
Tab 17. Poltica de comunicao interna ............................................................. 39
Tab 18. Classificao de informaes ................................................................. 40
Tab 19. Comunicao Externa............................................................................. 40
Tab 20. Divulgao de informaes..................................................................... 40
Tab 21. Informaes vitais................................................................................... 40
Tab 22. Poltica de segurana da informao...................................................... 40
Tab 23. Papel na mesa ........................................................................................ 41
Tab 24. Poltica de mesa limpa............................................................................ 41
Tab 25. Bloqueio de estaes de trabalho........................................................... 41
Tab 26. informaes confidenciais....................................................................... 41
Tab 27. Conscincia da importncia da informao ............................................ 41
Tab 28. Acesso informao por pessoas externas ........................................... 42
Tab 29. Acesso por tipo de informao................................................................ 42
Tab 30. Sistemas utilizados ................................................................................. 42
Tab 31. Novos contratados - RH.......................................................................... 43
Tab 32. Termo de confidencialidade - RH............................................................ 43
Tab 33. Orienta utilizao de e-mail, Internet ou telefone - RH ................................. 43
www.divertire.com.br/pdfFactory
Tab 34. Orienta utilizao de e-mail, Internet ou telefone /outros - RH ..................... 43
Tab 35. Checa currculos- RH.............................................................................. 43
Tab 36. Checa currculos/outros - RH.................................................................. 44
Tab 37. Recm contratados - RH ........................................................................ 44
Tab 38. Recm contratados/Outros RH ............................................................ 44
Tab 39. Funcionrios Transferidos - RH .............................................................. 44
Tab 40. Recm contratados - RH ........................................................................ 44
Tab 41. Demitidos - RH........................................................................................ 44
Tab 42. Demitidos/Outros - RH............................................................................ 45
Tab 43. Acesso fsico dos Demitidos - RH........................................................... 45
Tab 44. Acesso fsico dos Demitidos/Outros - RH ............................................... 45
Tab 45. Poltica de segurana aos terceiros - RH................................................ 45
Tab 46. Termos de responsabilidade aos terceiros - RH .................................... 45
Tab 47. Terceiros recm contratados- RH ........................................................... 46
Tab 48. Observaes - RH .................................................................................. 46
Tab 49. Funcionrios novos TI.......................................................................... 46
Tab 50. Funcionrios Transferidos TI ............................................................... 46
Tab 51. Demisso de Funcionrios TI .............................................................. 46
Tab 52. Poltica de senhas TI ........................................................................... 47
Tab 53. Expirao de senhas da rede TI ........................................................... 47
Tab 54. Poltica de senhas dos demais sistemas TI ......................................... 47
Tab 55. Senhas compartilhadas TI ................................................................... 47
Tab 56. Identificao de terceiros TI................................................................. 47
Tab 57. Controle de Atendimento de terceiros TI ............................................. 48
Tab 58. Poltica de Segurana TI...................................................................... 48

Tab 59. Restries de Acesso TI ...................................................................... 48
Tab 60. Quais restries de acesso TI.............................................................. 48
Tab 61. Proteo de Equipamentos TI.............................................................. 48
Tab 62. Descarte d Mdias removveis TI.......................................................... 48
Tab 63. Criptografia TI ...................................................................................... 49
Tab 64. Antivrus corporativo TI ........................................................................ 49
Tab 65. Senha para computao mvel TI ....................................................... 49
Tab 66. Orientaes aos usurios de computao mvel TI ............................ 49
Tab 67. Acesso remoto TI................................................................................. 49
Tab 68. Controles para acesso remoto TI......................................................... 49

SUMRIO
RESUMO .......................................................................................................... 7
1. INTRODUO .......................................................................................... 16
1.1. JUSTIFICATIVA ................................................................................... 19
1.2. OBJETIVOS ......................................................................................... 20
1.2.1. OBJETIVO GERAL ....................................................................... 20
1.2.2. OBJETIVOS ESPECFICOS......................................................... 20
2. ENGENHARIA SOCIAL ............................................................................ 21
2.1. CONCEITO DE INFORMAO ........................................................... 21
2.2. DEFINIO DE ENGENHARIA SOCIAL ............................................. 22
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL .................................... 24
2.4. A SEGURANA E O USURIO........................................................... 26
2.5. EXEMPLOS DE ATAQUES ................................................................. 26
3. METODOLOGIA ....................................................................................... 28
4. ESTUDO DE CASO .................................................................................. 33
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS ................... 33
4.1.1. APLICAO DOS QUESTIONRIOS .......................................... 33
4.1.2. EMPRESA PBLICA .................................................................... 34
4.1.3. EMPRESA PRIVADA.................................................................... 35
4.2. PESQUISA APLICADA ........................................................................ 36
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS ................. 36
4.2.2. SOBRE O FUNCIONRIO............................................................ 36
4.2.3. SOBRE SENHAS.......................................................................... 37
4.2.4. SOBRE DIVULGAO DE INFORMAES ............................... 39
4.2.5. SOBRE A EMPRESA ................................................................... 39

4.2.6. SOBRE ACESSO INFORMAO ............................................. 41
4.2.7. SOBRE OS SISTEMAS UTILIZADOS .......................................... 42
4.3. TABULAO DO QUESTIONRIO DO RH ........................................ 43
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS ....................... 43
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS................................ 44
4.3.3. SOBRE A CONTRATAO DE TERCEIROS.............................. 45
4.4. TABULAO DO QUESTIONRIO DA TI .......................................... 46
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS ... 46
4.4.2. SOBRE SENHAS.......................................................................... 47
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO ................ 47
4.4.4. SOBRE SEGURANA DA INFORMAO................................... 48
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO ......... 49
4.5. ANLISE DA PESQUISA..................................................................... 50
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO ........... 50
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS .................... 51
4.5.3. SOBRE TERMO DE RESPONSABILIDADE ................................ 53
4.5.4. SOBRE SENHAS......................................................................... 54
4.5.5. SOBRE ACESSO S INFORMAES ....................................... 57
4.5.6. COMPUTAO MVEL E ACESSO REMOTO........................... 58
4.5.7. PROCESSOS DO RH................................................................... 58
4.5.8. PROCESSOS DA TI ..................................................................... 59
4.6. SOLUES PROPOSTAS .................................................................. 61
4.6.1. CONTROLES SUGERIDOS ......................................................... 61
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA............... 62
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS ................... 62

4.6.4. POLTICA DE SENHAS FORTES ................................................ 63
4.6.5. TREINAMENTO DOS USURIOS ............................................... 64
4.6.6. CONTROLE NO ACESSO DE TERCEIROS ................................ 65
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET .................. 65
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS ................ 66
4.6.9. DESCARTE DE MDIAS REMOVVEIS ........................................ 66
4.6.10. CRIPTOGRAFIA ....................................................................... 67
4.6.11. COMPUTAO MVEL E ACESSO REMOTO ....................... 67
4.6.12. CONTROLES GERAIS ............................................................. 68
4.6.13. FRUM DE SEGURANA ....................................................... 69
5. CONCLUSO ........................................................................................... 70
6. ANEXOS ................................................................................................... 72
6.1. ANEXO I QUESTIONRIO APLICADO AOS USURIOS ................ 72
6.2. ANEXO-II QUESTIONRIO APLICADO AO RH.................................. 74
6.3. ANEXO-III QUESTIONRIO APLICADO INFORMTICA ................ 76
6.4. ANEXO III CRONOGRAMA .............................................................. 79
7. GLOSSRIO ............................................................................................. 80
8. REFERENCIAS BIBLIOGRFICAS ......................................................... 82

16
1. INTRODUO
Homo homini lupus: O homem o lobo do homem. Das palavras do
dramaturgo Plauto, resgatadas pelos filsofos Francis Bacon e Thomas
Hobbes, temos o mote para uma das maiores preocupaes em termos de
segurana: como prevenir as pessoas contra as prprias pessoas. [7]
Os fatores humanos sempre ficam, naturalmente, em segundo plano,
quando existem diversos aparatos tecnolgicos de ltima gerao para garantir a
segurana. Porm, deixar as pessoas desinformadas sobre as questes de
segurana pode expor uma organizao a riscos desnecessrios, uma vez que os
invasores utilizam a habilidade de enganar os usurios, alinhada inclinao
natural das pessoas de confiar uma nas outras e de querer ajudar, para persuadi-las
a abrir-lhes a porta de entrada, quebrando a segurana da informao atravs da
explorao de falhas ou, pior ainda, do prprio nome e senha do usurio.
Por sermos humanos, seres imperfeitos, modificamos nosso
comportamento natural em situaes de riscos, fazendo com que,
inconscientemente, tomemos decises baseados em confiana e no grau de
criticidade da situao, permitindo assim que o engenheiro social possa explorar de
maneira eficaz nossas falhas para burlar a segurana da informao.[7]
Um dos principais problemas que a segurana da informao deve tratar
a segurana em pessoas. A cooperao dos usurios essencial para a eficcia
da segurana. Eles exercem um forte impacto sobre a confidencialidade, a

17
integridade e a disponibilidade da informao, pois, por exemplo, o usurio que no
mantiver a confidencialidade da senha, no evitar o registro da mesma em papis
que no esto guardados em locais seguros, no utilizar senhas de qualidade ou
ainda que compartilha senhas individuais, compromete a segurana da informao.
Chamamos de Engenharia social a habilidade de enganar um ou mais
usurios para quebrar a segurana da informao. Ela um perigo real e sutil e
fundamental que as organizaes assegurem-se que seus usurios sejam atuantes
defensores da sua informao e que no sejam facilmente ludibriados por pessoas
mal intencionadas e no autorizadas, abrindo assim o caminho para o acesso a
informao. Por esses e outros motivos, antes de qualquer coisa, todos os usurios
devem saber o que a informao para sua empresa, qual a sua importncia e por
que a segurana da informao fundamental.
A segurana da informao pode ser caracterizada pela preservao de
trs fatores [14]:
Confidencialidade: Garantia de que a informao acessvel
somente por pessoas autorizadas a terem acesso;
Integridade: Exatido, completeza da informao e dos mtodos de
processamento;
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que
necessrio.
18
A informao de uma empresa o seu principal patrimnio. O cdigo de
prtica para a gesto da segurana da informao diz que:
A informao um ativo que, como qualquer outro, importante para os
negcios, tem um valor para a organizao. A segurana da informao
protege a informao de diversos tipos de ameaas para garantir a
continuidade dos negcios, minimizar os danos ao negcio e maximizar o
retorno dos investimentos e as oportunidades de negcios.
(NBR ISO/IEC 17799:2001, pg. 2).
Este trabalho visa avaliar a conscincia que os usurios possuem sobre a
segurana da informao, sugerindo aes para evitar problemas com a engenharia
social e orientar a implementao de controles de segurana em pessoas no
ambiente estudado.
19
1.1. JUSTIFICATIVA
A informao de uma empresa o seu principal patrimnio, fundamental
para o seu funcionamento, garantindo a competitividade no mercado. Por conta
disso, concorrentes, utilizando-se da engenharia social, podem vir a obter
informaes confidenciais sobre a estratgia, metas e planejamento.
Com base nisso propomos s empresas que tenham o interesse de
avaliar a segurana da informao, no que diz respeito engenharia social, seguir a
metodologia utilizada aqui como base para implementao de controles que
minimizem as falhas no acesso informao, aumentando a segurana nas pessoas
e conscientizando seus usurios da importncia da informao da empresa,
tornando-os um agente da segurana da informao, cumprindo o seu papel e
suas obrigaes de, por exemplo, manter a sua senha segura.
A sociedade que possuir pessoas que tenham o devido cuidado com a
informao ser uma sociedade mais segura, pois ser muito mais difcil utilizar a
engenharia social para conseguir burlar a segurana da informao, seja ela de uma
empresa, da conta bancria de um usurio ou de um projeto comunitrio importante,
evitando assim golpes que venham a lesar algum desta comunidade.
Este projeto tem o intuito de, baseando-se em um estudo de caso real,
criar uma orientao dos passos para tratar o problema da engenharia social,
prevenindo que pessoas no autorizadas utilizem os usurios desinformados e
desatentos para conseguir acesso a informaes importantes.

20
1.2. OBJETIVOS
1.2.1. OBJETIVO GERAL
Desenvolver um procedimento que nos permita, atravs da aplicao
de questionrios, conhecer as falhas que podem ser utilizadas pela
engenharia social para quebrar a segurana da informao em instituies
com caractersticas diferentes, propondo solues para estas falhas.
1.2.2. OBJETIVOS ESPECFICOS
Avaliar a conscincia dos usurios sobre a importncia da informao
que eles tm acesso e sobre o problema da engenharia social, atravs de
pesquisa aplicada ;
Propor melhorias nos processos que envolvem o RH e a engenharia
social;
Sugerir a implementao de controles e aes para minimizar os riscos
de ataque de engenharia social;
Servir como modelo na preveno do problema de engenharia social,
desenvolvendo um procedimento para avaliao da conscincia dos usurios
sobre o referido problema.

21
2. ENGENHARIA SOCIAL
Antes de entendermos como a engenharia social funciona, fundamental que
conheamos seu conceito, bem como o conceito de informao.
2.1. CONCEITO DE INFORMAO
Podemos dizer que Informao um processo que visa o conhecimento, ou,
mais simplesmente, Informao tudo o que reduz a incerteza. Um instrumento de
compreenso do mundo e da ao sobre ele" [10].
Toda informao est associada a um dado ou valor representando o suporte
lgico para a mesma. o uso que ser feito deste dado e dos conceitos a ele
relacionados, que o torna til ou no.
A informao desempenha um papel estratgico dentro das organizaes,
tornando-se uma necessidade crescente e indispensvel para qualquer setor da
atividade humana. Justamente por isso, surge a preocupao em garantir a sua
segurana e proteg-la de acessos indevidos. Sendo assim, seja qual for a forma
que a informao apresentada (impressa, escrita, falada, entre outras) faz-se
necessrio que ela seja sempre protegida adequadamente.

22
Independente do meio em que a informao circula, ela sempre destinada
a pessoas, que a priori podem e devem acessa-las. exatamente este o alvo da
engenharia social.
2.2. DEFINIO DE ENGENHARIA SOCIAL
A arte de trapacear, construir mtodos e estratgias de enganar em cima de
informaes cedidas por pessoas ou ganhar a confiana para obter informaes,
so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo:
Engenharia Social.
Engenharia por que constri, em cima de informaes, tticas de acesso a
sistemas e informaes sigilosas, de forma indevida. Social por que se utiliza de
pessoas que trabalham e vivem em grupos organizados.
Podemos dizer que a engenharia social um tipo de ataque utilizado por
hackers, onde a principal arma utilizada a habilidade de lhe dar com pessoas,
induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer
senhas de acesso.
A segurana compreende trs componentes pessoas, processos e

tecnologia , e o resultado final deve ser a preservao da confiana.
MCCARTTHY e CAMPBELL (2003, p. 44), citando MacLean, a vice-
presidente snior e diretora de proteo da informao do Bank of Amrica.
A engenharia social visa explorar as pessoas no intuito de ocasionar a
perda, a indisponibilidade ou a violao da informao. Ela vai diretamente para o
elo mais fraco de qualquer sistema de segurana: pessoas. O chamado engenheiro

23
social utiliza a sua criatividade, poder de persuaso e habilidade, para envolver a
vtima em uma situao onde, muitas vezes, ela nem percebe que abriu as portas
para um invasor.
O ataque do engenheiro social pode ocorrer atravs de um bom papo,
numa mesa de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo.
O sucesso deste ataque esta no fato de o usurio abordado nem seque se dar
conta do que acabou de acontecer. Ou seja, o engenheiro social, alm de obter a
informao que deseja ainda mantm as portas abertas com o seu informante.
Os alvos principais so os usurios detentores de privilgios equivalentes
aos dos chefes como, por exemplo, auxiliares e secretrios, que muitas vezes tm
acesso ao correio eletrnico, aos sistemas gerenciais e sabem at a senha utilizada
pelo seu superior.
Geralmente as pessoas so o ponto mais suscetvel em um esquema de

segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525)
A falta de conscincia das tcnicas de engenharia social utilizadas e o
excesso de autoconfiana das pessoas (por no se considerarem ingnuas e
acharem que no podem ser manipuladas) so os principais fatores que favorecem
ao sucesso da Engenharia Social.

24
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL
Muitos so os meios e tcnicas para se obter acesso indevido
informao, esteja ela em formato eletrnico, em papel ou em outros formatos. A
engenharia social muito utilizada para o levantamento de informaes preliminares
que possam tornar a tentativa de invaso mais eficiente.
Um ataque de engenharia social pode ser feito atravs email, telefone,
fax, Chat e at, em ltimo caso, pessoalmente. A ingenuidade ou a confiana de um
usurio utilizada pelos engenheiros sociais para se conseguir informaes, que
muitas vezes parecem sem importncia, mas que nas mos erradas podem causar
bastante estrago.
Uma das tticas fundamentais de engenharia social obter acesso a
informaes que os funcionrios da empresa tratam como inofensivas e utiliz-las
para ganhar a confiana de outros usurios e conseguir as informaes que ele
realmente deseja.[8]
Muitos acreditam que os engenheiros sociais utilizam ataques com
mentiras elaboradas bastante complexas, porm, muitos ataques so diretos,
rpidos e muito simples, onde eles simplesmente pedem a informao desejada.
Os grupos de atacantes no se restringem a pessoas externas
empresa, pois, visto que a motivao, a habilidade e a oportunidade so essenciais
a um atacante que deseja ter acesso informao de uma empresa, (ex)
funcionrios e (ex) contratados so os mais perigosos grupos de atacantes, pois
eles so capacitados pelas empresas para dominarem as habilidades e, muitas

25
vezes eles se sentem frustrados, o que pode ser um motivo para idealizarem um
ataque. Sendo eles conhecidos e se transmitem confiana a outros funcionrios, ou
pior, se ainda fazem parte do quadro funcional da empresa, eles possuem a
oportunidade necessria para um ataque [3].
Geralmente as pessoas so o ponto mais suscetvel em um esquema de

segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525).
As tcnicas mais costumeiras, que podem ser usadas de maneira individual
ou combinadas, so: [7]
Contatos telefnicos, simulando atendimento de suporte ou uma ao
de emergncia;
Contato atravs de e-mail, atuando como estudante com interesse em
pesquisa sobre determinado assunto ou como pessoa com interesse
especfico em assunto de conhecimento da vtima;
Contato atravs de ferramentas de Instant Messaging (Yahoo
Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com
afinidades com a vtima;
Obteno de informaes vazadas por parte da administrao de rede
e funcionrios em geral em listas de discusso ou comunidades
virtuais na Internet, o que motivaria tambm um contato posterior mais
estruturado;
Uso de telefone pblico, para dificultar deteco;
Varredura do lixo informtico, para obteno de informaes adicionais
para tentativas posteriores de contato;
Disfarce de equipe de manuteno;

26
Visita em pessoa, como estudante, estagirio ou pessoa com disfarce
de ingenuidade.
2.4. A SEGURANA E O USURIO
indiscutvel que todos os usurios desejam segurana, porm quando
eles tm que interagir com ela e tomar decises baseando-se em procedimentos de
segurana, a maioria acha que ela atrapalha. comum que usurios nem pensem
duas vezes para contornar os procedimentos de segurana em determinadas
situaes, como por exemplo quando se aproxima um prazo para entrega de um
trabalho importante. Eles podem desativar um firewall ou at mesmo fornecer uma
senha, pois o trabalho precisa ser feito.[12]
Os engenheiros sociais sabem que esta maneira de agir dos usurios e
exploram este comportamento criando este tipo de situao para que a segurana
seja quebrada.
2.5. EXEMPLOS DE ATAQUES
A engenharia social tambm pode ser utilizada como ttica no terrorismo
fsico. O mundo presenciou os ataques Nova York (World Trade Center) e
Washington D.C. em setembro de 2001 que imputaram tristeza e medo em nossos
coraes, aumentando temporariamente os nveis de nossa conscincia de
segurana, e nos colocando em alerta quanto ao do terrorismo no mundo.
Porm, a conscincia deste perigo deve permanecer conosco, visto, por exemplo,
PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory
27
que os terroristas utilizam identidades falsas, assumem os papeis de alunos e
vizinhos, misturando-se multido enquanto conspiram contra as pessoas e
escondem suas verdadeiras crenas e intenes.
Esto cada vez mais comuns notcias de tentativas de fraude utilizando
diversos meios de comunicao, onde a Internet o mais popular, sendo registrado
pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de
segurana, 1.358 incidentes envolvendo fraudes pela Internet somente nos ltimos 6
meses [15]. Um dos principais alvos dos fraudadores o internet banking. Eles
utilizam, alm de outras tcnicas, a engenharia social para, por exemplo, tentar se
passar por funcionrios de confiana do banco, como um gerente ou o administrador
do site, ou ainda, enviam um link por e-mail que aponta para o site clonado de um
banco, na tentativa de fazer o usurio digitar seus dados, inclusive a sua senha.
Alm das fraudes, os vrus, spywares e outros malwares, utilizam a
engenharia social tentando diversos truques para persuadir as pessoas a abri-los.
Os Cavalos de Tria, por exemplo, necessitam da interveno de um usurio para
que possam atingir seus objetivos.
Alm dos ataques que utilizam tecnologias como Internet, e-mails e
programas de Chats, muitas informaes so conseguidas em documentos
impressos, at mesmo no lixo, e em entrevistas para emprego, onde os engenheiros
sociais, por exemplo, fingem interesse em uma vaga e participam da seleo
somente para levantar informaes para um concorrente.
28
3. METODOLOGIA
Para entender como as empresas tratam do assunto engenharia social,
desenvolvemos um procedimento para aplicao de uma pesquisa descritiva com
questes relativas Segurana da Informao. A idia central desta pesquisa
consiste em identificar como o ambiente estudado trata suas informaes e qual o
nvel de conscientizao de seus colaboradores quanto a confidencialidade,
integridade e disponibilidade da informao.
Para tal, foram elaborados 03 (trs) instrumentais de pesquisas (vide anexos
I,II e III), sendo o Questionrio I direcionado a todos os colaboradores do escopo,
com acesso a computadores, abrangendo todos os cargos, o Questionrio II
destinado ao setor de Recursos Humanos e o Questionrio III, destinado ao setor de
Informtica.
Em todos os questionrios foram abordadas questes direcionadas a senhas,
tipos de informaes que circulam pela empresa, existncia de uma poltica de
comunicao interna e externa, poltica de segurana, dentre outras questes
relevantes para identificao dos pontos mais crticos que refletem o nvel de
conscientizao dos usurios, quanto Segurana da Informao.
O primeiro passo a pesquisa aplicada, que visa conhecer como est a
conscincia dos funcionrios. Esta pesquisa tem o intuito de levantar se os usurios
tm conscincia do valor da informao, se eles sabem quais podem ser
disseminadas e quais no podem ser discutidas fora do ambiente seguro, que o
29
seu grupo de trabalho, se existe uma cultura de divulgao de aes de segurana
como poltica de utilizao de senhas, de e-mails, termos de confidencialidade e
responsabilidade, entre outros.
O Questionrio do ANEXO I foi elaborado visando permitir identificar se
os usurios tm conscincia da engenharia social e de seus riscos, se suas senhas
so realmente individuais, se confiam em todas as informaes que chegam por e-
mail, se existe uma poltica de segurana conhecida na empresa, quais os sistemas
utilizados, se trabalham em outras empresas atuantes na mesma rea da empresa
pesquisada, entre outros.
Em paralelo com a pesquisa dos usurios, os processos que envolvem o
setor de recursos humanos e de tecnologia da informao com a engenharia social,
tais como de admisso e demisso, devem ser re-avaliados visando identificar
oportunidades de melhorias e a integrao dos processos de ambos os setores,
como por exemplo no caso da demisso de um funcionrio, onde o setor de TI deve
ser informado imediatamente para cancelamento de todos os acessos rede e aos
sistemas. Foi com esse intuito que os questionrios dos ANEXO II e III foram
elaborados: Padronizar o levantamento das informaes no setor de recursos
humanos e de informtica.
Aps a tabulao dos dados, deve-se analisar a pesquisa, levantando os
pontos fortes e fracos em relao conscincia da importncia da segurana da
informao. Visando facilitar esta anlise, sugerimos caracterizar em trs grupos
identificados aqui como:
30
1. Gerencial: Composto pelos principais lderes da organizao. Estes
usurios detm acesso s principais informaes da empresa. So
conhecedores das estratgias utilizadas para alcanar as metas da
instituio, dos e projetos existentes e dos indicadores de desempenho
estratgicos.
2. Operacional: So os tcnicos que possuem conhecimentos especficos
dos processos de cada rea e tm acesso aos sistemas que fornecem a
informao para tomadas de deciso. Esto includos os agentes
administrativos, os oficiais administrativo, os auxiliares de Gabinete entre
outros.
3. Temporrio: So usurios prestadores de servios e estagirios que, em
sua maioria, acabam saindo da empresa com informaes importantes.
A Anlise da pesquisa deve cruzar as informaes colhidas nos trs
questionrios, buscando responder os questionamentos abaixo:
1. A empresa possui uma poltica de segurana da informao
amplamente divulgada aos seus usurios?
2. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa possui poltica de comunicao interna?
3. Quantos usurios sabem quais as informaes vitais para a empresa,
por grupo?
31
4. Se os funcionrios assinam algum termo de responsabilidade e/ou de
confidencialidade sobre as informaes da empresa?
se a empresa possui responsvel pela comunicao externa e interna?
se a empresa orienta quanto a divulgao de informaes?
7. Qual a freqncia de alterao de senhas das pessoas que acessam
informaes confidenciais?
8. Quantos usurios divulgam suas senhas?
9. Quantos usurios permitem que outros utilizem suas senhas?
10. Quantos usurios anotam suas senhas em locais que podem no ser
seguros?
11. Quais sistemas tm usurios que divulgam ou anotam suas senhas?
12.Os usurios bloqueiam seus computadores ao sair e fazem a poltica
de mesa limpa?
13. O setor de RH contribui para a segurana da informao?
14. Existe restrio quanto a utilizao de e-mail, Internet e telefone?
15. Quais os principais controles utilizados pelo setor de informtica para
minimizar os riscos de acessos indevidos informao?
16. Os setores de RH e informtica trabalham integrados para garantir a
segurana da informao?
17. Existe controle de acesso aos prestadores de servio/Terceirizados?
Esses questionamentos formam a base para o dimensionamento do
impacto da engenharia social na segurana da informao, avaliando a conscincia
32
dos usurios sobre a importncia da informao que eles tm acesso e sobre o
problema da engenharia social.
Finalmente, elabora-se uma proposta contendo melhorias nos processos
que envolvem o RH, a Tecnologia da Informao e a engenharia social, com
sugestes de implementao de controles e aes para minimizar os riscos de
ataque de engenharia social;
33
4. ESTUDO DE CASO
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS
Por questes de segurana e privacidade, os nomes das empresas, bem
como outras informaes sigilosas sero preservadas, evitando assim que estas
sejam utilizadas indevidamente em possveis ataques. As empresas sero
identificadas aqui como Pblica e Privada.
4.1.1. APLICAO DOS QUESTIONRIOS
Ao todo foram respondidos 91 questionrios, sendo 47 da empresa
Pblica e 44 da empresa Privada, conforme quadro abaixo:
EMPRESA EMPRESA % EMPRESA % EMPRESA

TOTAL
PBLICA PRIVADA PBLICA* PRIVADA*
QUESTIONRIO I
45 42 87 51,72 % 48,27 %
(Funcionrios)
QUESTIONRIO II
01 01 2 50 % 50%
(Recursos humanos)
QUESTIONRIO III
01 01 2 50% 50%
(Informtica)
TOTAL 47 44 91 48,36% 51,64 %
* Percentual em relao ao total de questionrios
Tab 1. Quantidade de questionrios por empresa
34
4.1.2. EMPRESA PBLICA
Trata-se de um rgo integrante da Administrao Estadual Direta, tendo
como propsito fomentar a poltica governamental para o desenvolvimento
econmico do estado de Sergipe.
Atualmente possui 67 funcionrios, incluindo estagirios e terceirizados,
dos quais foram entrevistados todos os usurios que fazem parte do escopo, num
total de 45 (quarenta e cinco), sendo que:
- 53,33% possuem mais de 40 anos;
- 31,11% no possui mais do que 1 (um) ano de trabalho na empresa;
- 28,89% trabalha nela h mais de 10 anos;
- 22,22% possui outro emprego, dos quais 8,89% na mesma rea em
que trabalha na empresa;
- 62,22% do sexo feminino;
Os usurios do escopo esto distribudos por funo, de acordo com a
figura abaixo:
Funo Quantidade. %
Gerencial 12 26,67%
Operacional 22 48,89%
Terceirizado 7 15,56%
Sem resposta 4 8,89%
TOTAL. 45 100%
Tab 2. Distribuio dos usurios por funo Pblica
35
4.1.3. EMPRESA PRIVADA
Trata-se de uma instituio que tem o propsito de atuar na rea de
sade em todo estado de Sergipe, destacando-se tambm em aes para o
desenvolvimento de programas sociais.
Atualmente possui 142 funcionrios, incluindo estagirios e terceirizados,
dos quais foram entrevistados 42 (Quarenta e dois) usurios, sendo que somente
2,38% tem menos de 21 anos e 47,62% do sexo feminino, distribudos por funo,
de acordo com a tabela abaixo:
Funo Quantidade. %
Gerencial 6 14,29%
Operacional 24 57,14%
Terceirizado 5 11,90%
Sem resposta 7 16,67%
TOTAL. 42 100%
Tab 3. Distribuio dos usurios por funo - Privada
O escopo do projeto compreende todos os usurios de informtica da
empresa Pblica, e uma amostra de usurios da empresa Privada de maneira que
todas as reas foram abrangidas. Qualquer funcionrio deste universo que tiver
acesso rede e s informaes contidas em seus principais sistemas foi
entrevistado e faz parte deste projeto.
36
Atualmente as empresas estudadas possuem a seguinte estrutura:
Empresa N de N de Funcionrios por

Computadores Funcionrios Mquina
Pblica 24 67 2,79
Privada 104 142 1,36
TOTAL 128 209 1,6
Tab 4. Usurios e Computadores
4.2. PESQUISA APLICADA
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS
A seguir demonstramos a tabulao do questionrio aplicado a todos os
usurios de informtica do ambiente estudado, estratificado por tipo de empresa,
4.2.2. SOBRE O FUNCIONRIO
1.Faixa etria
Faixa etria Publica Privada TOTAL

At 20 Anos 2,22% 2,38% 2,30%
De 21 a 30 anos 22,22% 45,24% 33,33%
De 31 a 40 anos 22,22% 45,24% 33,33%
Acima de 40 anos 53,33% 7,14% 31,03%
No Respondeu 0,00% 0,00% 0,00%
TOTAL 100% 100% 100%
Tab 5. Faixa Etria
2.Sexo
Sexo Publica Privada TOTAL

Masculino 28,89% 35,71% 32,18%
Feminino 62,22% 47,62% 55,17%
No respondeu 8,89% 16,67% 12,64%
TOTAL 100% 100% 100%
Tab 6. Sexo
37
3.Funo
Funo na Empresa Publica Privada TOTAL

Gerencial 26,67% 14,29% 20,69%
Operacional 49% 57,14% 52,87%
Terceirizado 16% 11,90% 13,79%
No Respondeu 8,89% 16,67% 12,64%
TOTAL 100% 100% 100%
Tab 7. Funo
4.Trabalha na empresa a
Anos de Trabalho na empresa Publica Privada TOTAL

Menos de 1 ano 31,11% 28,57% 29,89%
De 1 a 5 anos 22,22% 50,00% 35,63%
De 6 a 10 anos 6,67% 4,76% 5,75%
Acima de 10 Anos 28,89% 11,90% 20,69%
No respondeu 11,11% 4,76% 8,05%
TOTAL 100% 100% 100%
Tab 8. Tempo de empresa
5.Possui outro emprego?
Possui outro Emprego Publica Privada TOTAL

Sim, na mesma rea em que trabalho na
8,89% 0,00% 4,60%
EMPRESA
Sim, em outra rea 13,33% 9,52% 11,49%
No 51,11% 69,05% 59,77%
No respondeu 26,67% 21,43% 24,14%
TOTAL 100% 100% 100%
Tab 9. Possui outro emprego
4.2.3. SOBRE SENHAS
6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
empresa?
Algum mais sabe sua senha Publica Privada TOTAL

Sim 11,11% 4,76% 8,05%
No 84,44% 90,48% 87,36%
No respondeu 4,44% 4,76% 4,60%
TOTAL 100% 100% 100%
Tab 10. Senha aberta
38
7.Voc utiliza a senha de algum outro funcionrio para acesso a informaes da empresa?
Sabe a senha de outro usurio Publica Privada TOTAL

Sim 15,56% 11,90% 13,79%
No 73,33% 85,71% 79,31%
No respondeu 11,11% 2,38% 6,90%
TOTAL 100% 100% 100%
Tab 11. Senha de terceiros
8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local
similar?
Anota Senha Publica Privada TOTAL

Sim 6,67% 7,14% 6,90%
No 82,22% 92,86% 87,36%
No respondeu 11,11% 0,00% 5,75%
TOTAL 100% 100% 100%
Tab 12. Anota Senha
9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido?
Trabalho Rpido Publica Privada TOTAL

Sim 33,33% 30,95% 32,18%
No 57,78% 66,67% 62,07%
No respondeu 8,89% 2,38% 5,75%
TOTAL 100% 100% 100%
Tab 13. Cede em caso de trabalhos rpidos
10.Com que freqncia voc altera (s) sua(s) senha(s):
Freqncia que Altera Senhas Publica Privada TOTAL

Mensalmente 2,22% 0,00% 1,15%
Trimestralmente 6,67% 2,38% 4,60%
Semestralmente 4,44% 2,38% 3,45%
Somente quando o sistema solicita alterao 64,44% 35,71% 50,57%
Sempre utilizo a mesma senha 20,00% 59,52% 39,08%
no respondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 14. Freqncia de alterao de senhas
39
4.2.4. SOBRE DIVULGAO DE INFORMAES
11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por
telefone ou e-mail?
Fornece informaes por telefone Publica Privada TOTAL

No respondeu 2,22% 2,38% 2,30%
Forneo a informao, pois no h nada
4,44% 4,76% 4,60%
confidencial em minha rea
Forneo a informao, aps identificar o
33,33% 47,62% 40,23%
solicitante
Solicito autorizao ao meu superior para
57,78% 33,33% 45,98%
liberar a informao
Outros 6,67% 14,29% 10,34%
TOTAL 100% 100% 100%
Tab 15. Informaes por telefone
Fornece Informaes por telefone - outros Empresa

Depende do tipo de informao solicitada
No forneo Pblica
NO ESPECIFICOU
Minha prtica fornecer informaes por escrito
e no por telefone, autorizado pelo Gestor
S dou informaes aos gestores da empresa
Depende de quem seja o solicitante, qual
informao solicitada e se foi liberado pelo
coordenador Privada
Forneo somente quando a informao no for
confidencial
S forneo a partir de quando ele pede somente
para confirmar os dados
Depende da informao
Tab 16. Outras respostas - Informaes por telefone
4.2.5. SOBRE A EMPRESA
12.A Empresa possui poltica de comunicao interna?
Poltica de Comunicao Interna Publica Privada TOTAL

Sim 64,44% 73,81% 68,97%
No 24,44% 9,52% 17,24%
No respondeu 11,11% 16,67% 13,79%
TOTAL 100% 100% 100%
Tab 17. Poltica de comunicao interna
40
13.As informaes so classificadas na Empresa (confidencial, secreta, pblica etc....)
As informaes so classificadas Publica Privada TOTAL

Sim 37,78% 40,48% 39,08%
No 42,22% 40,48% 41,38%
No respondeu 20,00% 19,05% 19,54%
TOTAL 100% 100% 100%
Tab 18. Classificao de informaes
14.A Empresa possui um responsvel pela comunicao externa?
H um responsvel pela
Publica Privada TOTAL
comunicao Externa
Sim 55,56% 66,67% 60,92%
No 24,44% 21,43% 22,99%
No respondeu 20,00% 11,90% 16,09%
TOTAL 100% 100% 100%
Tab 19. Comunicao Externa
15.A Empresa possui alguma orientao quanto divulgao de informao?
Orientado quanto divulgao de informaes Publica Privada TOTAL

Sim 42,22% 71,43% 56,32%
No 37,78% 19,05% 28,74%
No respondeu 20,00% 9,52% 14,94%
TOTAL 100% 100% 100%
Tab 20. Divulgao de informaes
16.Voc sabe quais as informaes so vitais para o negcio da empresa?
Sabe quais so as informaes Vitais

para a empresa
Sim 40,00% 59,52% 49,43%
No 44,44% 28,57% 36,78%
No respondeu 15,56% 11,90% 13,79%
TOTAL 100% 100% 100%
Tab 21. Informaes vitais
17.A empresa possui poltica de segurana da informao?
Existe uma poltica

segurana
Sim 42,22% 40,48% 41,38%
No 42,22% 35,71% 39,08%
No respondeu 15,56% 23,81% 19,54%
TOTAL 100% 100% 100%
Tab 22. Poltica de segurana da informao
41
4.2.6. SOBRE ACESSO INFORMAO
18.Neste momento existe algum papel sobre sua mesa com informaes sobre a empresa?
H papel na mesa com

informaes da empresa
Sim 46,67% 40,48% 43,68%
No 44,44% 50,00% 47,13%
No respondeu 8,89% 9,52% 9,20%
TOTAL 100% 100% 100%
Tab 23. Papel na mesa
19.Ao sair voc costuma deixar suas mesa limpa, sem papis?
Mesa_Limpa/Empresa Publica Privada TOTAL

Sim 77,78% 69,05% 73,56%
No 20,00% 30,95% 25,29%
No respondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 24. Poltica de mesa limpa
20.Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
Bloqueia Equipamento Publica Privada TOTAL

Sim 86,67% 71,43% 79,31%
No 8,89% 23,81% 16,09%
No respondeu 4,44% 4,76% 4,60%
TOTAL 100% 100% 100%
Tab 25. Bloqueio de estaes de trabalho
21.O seu setor possui informaes consideradas confidenciais?
Setor com Informaes

Confidenciais
Sim 75,56% 71,43% 73,56%
No 22,22% 23,81% 22,99%
No respondeu 2,22% 4,76% 3,45%
TOTAL 100% 100% 100%
Tab 26. informaes confidenciais
22.Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
empresa?
Sabem a Importncia das Informaes Publica Privada TOTAL

Sim 62,22% 78,57% 70,11%
No 31,11% 16,67% 24,14%
No respondeu 6,67% 4,76% 5,75%
TOTAL 100% 100% 100%
Tab 27. Conscincia da importncia da informao
42
23.Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
empresa?
difcil pessoas Externas conseguirem

informaes
Sim 53,33% 45,24% 49,43%
No 33,33% 47,62% 40,23%
No respondeu 13,33% 7,14% 10,34%
TOTAL 100% 100% 100%
Tab 28. Acesso informao por pessoas externas
24.Quais os tipos de informaes que voc tem acesso?
Tipo de informaes que tem acesso Publica Privada TOTAL

Informaes operacionais 66,67% 92,86% 79,31%
Informaes Gerenciais 31,11% 47,62% 39,08%
Informaes Confidenciais da Empresa 28,89% 30,95% 29,89%
Informaes imprescindveis continuidade
22,22% 23,81% 22,99%
do negcio da Empresa
No tenho acesso a nenhuma informao
22,22% 4,76% 13,79%
importante
No respondeu 2,22% 0,00% 1,15%
TOTAL 100% 100% 100%
Tab 29. Acesso por tipo de informao
4.2.7. SOBRE OS SISTEMAS UTILIZADOS
25.Dos sistemas abaixo, quais voc utiliza?
Sistemas que utiliza Publica Privada TOTAL

No respondeu 22,22% 16,67% 19,54%
Sistema de ponto 22,22% 50,00% 35,63%
Sistema Financeiro/Contbil 22,22% 19,05% 20,69%
Sistema de patrimnio 2,22% 4,76% 3,45%
Folha de pagamento 17,78% 14,29% 16,09%
Sistema oramentrio 17,78% 4,76% 11,49%
Sistema com informaes gerenciais 8,89% 28,57% 18,39%
Outros 35,56% 11,90% 24,14%
TOTAL 100% 100% 100%
Tab 30. Sistemas utilizados
43
4.3. TABULAO DO QUESTIONRIO DO RH
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS
1. A poltica de segurana da informao divulgada aos novos contratados?
Empresa Resposta
Publica No
Privada Sim
Tab 31. Novos contratados - RH
2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade

sobre as informaes da empresa?
Empresa Resposta
Publica No
Privada No
Tab 32. Termo de confidencialidade - RH
3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou

telefone?
Empresa Resposta
Sim, atravs do servidor da redes e da central
Publica
telefnica;
Privada Outros
Tab 33. Orienta utilizao de e-mail, Internet ou telefone - RH
4. Em caso de outros, qual?
Empresa Resposta
Publica
Divulgao da melhor forma de utilizar as
Privada ferramentas Intranet, e-mail e Internet por
parte da assessoria de informtica.
Tab 34. Orienta utilizao de e-mail, Internet ou telefone /outros - RH
5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no

processo de seleo, so checadas antes da contratao?
Empresa Resposta
Publica Outros
Privada Sim
Tab 35. Checa currculos- RH
44
Empresa Resposta
Contrato ou decreto so feitos pela secretaria
Publica
de estado da administrao.
Privada
Tab 36. Checa currculos/outros - RH
7. Os funcionrios recm contratados ...
Empresa Resposta
So encaminhados diretamente TI para
Publica
cadastro na rede e demais sistemas.
Aguardam o processo de criao de e-mail
aps um documento ser enviado do RH para o
Privada
setor de TI informando quais sistemas o
mesmo ter acesso.
Tab 37. Recm contratados - RH
Empresa Resposta
Publica So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
Privada
demais sistemas;
Tab 38. Recm contratados/Outros RH
9. Os funcionrios que so transferidos de funo...
Empresa Resposta
Publica So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
Privada
demais sistemas
Tab 39. Funcionrios Transferidos - RH
Empresa Resposta
Publica
Privada
Tab 40. Recm contratados - RH
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS
11. O acesso aos sistemas e rede dos funcionrios demitidos ...
Empresa Resposta
Publica Outros
Privada So bloqueados antes da demisso
Tab 41. Demitidos - RH
45
Empresa Resposta
Publica So bloqueados aps a demisso
Privada
Tab 42. Demitidos/Outros - RH
13. O acesso dos funcionrios demitidos s instalaes da empresa...
Empresa Resposta
Publica No mais permitido
Privada restrito recepo
Tab 43. Acesso fsico dos Demitidos - RH
Empresa Resposta
Publica
Privada
Tab 44. Acesso fsico dos Demitidos/Outros - RH
4.3.3. SOBRE A CONTRATAO DE TERCEIROS
15. A poltica de segurana da informao divulgada sempre na contratao de

terceirizados?
Empresa Resposta
No existe poltica de segurana da
Publica
informao na empresa
Privada Sim
Tab 45. Poltica de segurana aos terceiros - RH
16. Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade

sobre as informaes da empresa?
Empresa Resposta
Publica No
Privada No
Tab 46. Termos de responsabilidade aos terceiros - RH
46
17. Os terceirizados recm contratados ...
Empresa Resposta
So encaminhados diretamente ao setor de TI
Publica
para cadastro na rede e nos demais sistemas
Aguardam o processo de criao de e-mail e
senhas aps um documento interno ser
Privada
enviado do RH para o setor de TI informando
quais sistemas o mesmo ter acesso
Tab 47. Terceiros recm contratados- RH
18. Observaes:
Empresa Resposta
Publica -
Privada -
Tab 48. Observaes - RH
4.4. TABULAO DO QUESTIONRIO DA TI
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. O cadastro de senha de funcionrios novos...
Empresa Resposta
Publica Basta o usurio comparecer TI e solicitar
Privada Com solicitao por e-mail do Gerente da rea
Tab 49. Funcionrios novos TI
Empresa Resposta
Publica Solicitam a transferncia diretamente informtica
Privada So transferidos mediante solicitao por e-mail do Gerente da rea
Tab 50. Funcionrios Transferidos TI
3. No processo de Demisso de funcionrios, a informtica...
Empresa Resposta
Publica no houve demisso ainda
A informtica faz backup da informao da mquina do usurio antes da
Privada
demisso.
Tab 51. Demisso de Funcionrios TI
47
4.4.2. SOBRE SENHAS
4. Existe uma poltica para utilizao de senhas fortes?
Empresa Resposta
Publica No
Privada No
Tab 52. Poltica de senhas TI
5. As senhas de acesso rede expiram automaticamente em um determinado

perodo de tempo?
Empresa Resposta
Publica Sim
Privada Sim
Tab 53. Expirao de senhas da rede TI
6. As senhas dos sistemas corporativos so mudadas com que freqncia?
Empresa Resposta
Publica Nunca
Privada Esporadicamente em manutenes do sistema
Tab 54. Poltica de senhas dos demais sistemas TI
7. permitida a utilizao de senhas compartilhadas (uma senha nica para

usurios de um setor por exemplo)?
Empresa Resposta
Publica No
Privada No
Tab 55. Senhas compartilhadas TI
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO
8. Existe algum mecanismo para identificao dos terceiros, prestadores de

servio e funcionrios, (Crach com foto, Uniforme, etc)?
Empresa Resposta
Publica Sim
Privada Sim
Tab 56. Identificao de terceiros TI
48
9. O atendimento de prestadores de servio e terceiros controlado por algum

tipo de ordem de servio com a logomarca da empresa em que ele trabalha?
Empresa Resposta
Publica No
Privada No
Tab 57. Controle de Atendimento de terceiros TI
4.4.4. SOBRE SEGURANA DA INFORMAO
10. Existe uma poltica de segurana da informao na empresa?
Empresa Resposta
Publica Em fase de desenvolvimento
Privada Em fase de desenvolvimento
Tab 58. Poltica de Segurana TI
11. Existem restries de acesso Internet e e-mail?
Empresa Resposta
Publica Sim
Privada Sim
Tab 59. Restries de Acesso TI
12. Em caso de sim, quais?
Empresa Resposta
Publica Sites pornogrficos
Nem todas as mquinas acessam a internet. Existe uma black list
Privada
com os sites proibidos;
Tab 60. Quais restries de acesso TI
13. Os Principais equipamentos de informtica (Switches,Servidorer,

Roteadores,...) esto realmente protegidos de acesso no autorizado?
Empresa Resposta
Publica Parcialmente
Privada Parcialmente
Tab 61. Proteo de Equipamentos TI
14. Existe cuidado com o descarte de mdia removvel (Documentos impressos,

fitas magnticas, CDR, CDRW entre outros)?
Empresa Resposta
Publica No
Privada Sim
Tab 62. Descarte d Mdias removveis TI
49
15. Utilizam criptografia na comunicao que envolva informaes da empresa?
Empresa Resposta
Publica No
Privada No
Tab 63. Criptografia TI
16. Existe antivrus corporativo com atualizao automtica das estaes?
Empresa Resposta
Publica Sim
Privada Sim
Tab 64. Antivrus corporativo TI
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO
17. Os computadores mveis possuem validao de senha antes do acesso ao

sistema operacional?
Empresa Resposta
Publica No
Privada Sim
Tab 65. Senha para computao mvel TI
18. Os usurios da computao mvel so orientados quanto aos cuidados

especiais que devem ter com, por exemplo, atualizao de antivrus, acesso no
autorizado e divulgao de informaes ali armazenadas?
Empresa Resposta
Publica No
Privada No
Tab 66. Orientaes aos usurios de computao mvel TI
19. Existe acesso remoto aos sistemas da empresa?
Empresa Resposta
Publica No
Privada Sim, aos funcionrios da empresa
Tab 67. Acesso remoto TI
20. Se sim, quais os controles utilizados para estes acessos?
Empresa Resposta
Publica
Privada Orientao aos usurios e anlise de logs de acesso
Tab 68. Controles para acesso remoto TI
50
4.5. ANLISE DA PESQUISA
A anlise da pesquisa foi feita com o intuito de responder a todos os
questionamentos levantados na descrio da metodologia, caracterizada de acordo
com as informaes dos questionrios, destacando os pontos fortes e fracos,
quando existirem, e ainda comparando por tipo de empresa (Pblica e privada).
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO
Em ambas as empresas existem polticas de segurana da informao
sendo desenvolvida, porm ainda no est muito claro para os usurios o que esta
poltica, pois, em mdia, somente 41,38% dos usurios afirmam a existncia da
mesma.
No respondeu
100% 15,56% No
23,81%
Sim
80%
42,22%
60% 35,71%
40%
42,22% 40,48%
20%
0%
Publica Privada
Fig. 1.A empresa possui poltica de segurana da informao?

A questo de existir uma poltica de segurana em desenvolvimento
demonstra conscincia da sua necessidade, porm, a falta desta poltica atualmente
uma das principais falhas no combate aos ataques que utilizam a engenharia
social.
51
Desta forma, as duas empresas devem Priorizar a finalizao da poltica
de segurana da informao e garantir a sua divulgao para todos os usurios,
atravs de aes como uma campanha de lanamento, distribuio de folders,
informativos, palestras, auditorias internas e outros meios de divulgao e
conscientizao.
O comprometimento da alta direo fundamental para a implantao da
poltica de segurana da informao. Ela deve estar envolvida em todo o processo e
motivar os funcionrios.
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS
Para a segurana da informao fundamental que os usurios
conheam, entre as informaes que ele tem acesso, quais so confidenciais e
vitais para a continuidade do seu negcio, evitando assim que elas sejam divulgadas
ou violadas inadvertidamente.
Na empresa privada 59,52% dos usurios afirmam conhecer as
informaes consideradas vitais para a empresa, enquanto que na empresa pblica,
o percentual cai para 40%. Esta conscincia deve ser trabalhada, de maneira que
cada usurio saiba quais informaes, dentre as que ele tem acesso, so
fundamentais para a empresa.
52
1 1
100% 11,90%
15,56%
90%
1
80%
28,57%
70% 4
60% 44,44% No respondeu
50% No
40% 1 Sim
30% 4 59,52%
40,00%
20%
10%
0%
Publica Privada
Fig. 2. Os usurios conhecem as informaes vitais para a empresa?
Tanto na empresa Privada quanto na empresa pblica h um
responsvel pela comunicao interna e externa. Ele deve ter uma viso sistmica
do impacto causado ao se divulgar uma informao, principalmente uma informao
considerada vital e, alm disso, deve orientar a forma como as informaes so
repassadas, de maneira padronizada, tornando este padro conhecido por todos da
empresa.
Dos 87 (oitenta e sete) entrevistados, 86,21% afirmam acessar
informaes vitais ou informaes confidenciais. Desse universo, 18,67% no
possuem conhecimento quanto existncia de um responsvel pela comunicao
interna, sendo que na empresa publica so 26,32% do seu escopo, enquanto que na
empresa privada este percentual cai para 10,81%, conforme demonstrado no quadro
abaixo.
53
H um responsvel pela comunicao

interna?
Sim 63,16% 72,97% 68,00%
No 26,32% 10,81% 18,67%
No respondeu 10,53% 16,22% 13,33%
TOTAL 100% 100% 100%
Fig. 3.Tabela Informaes confidenciais / vitais x comunicao interna
Dos usurios que acessam informaes confidenciais, menos da metade
(47,06%) na empresa pblica afirma que a empresa orienta quanto divulgao de
informaes e na empresa Privada este percentual sobre para 73,33%.
4.5.3. SOBRE TERMO DE RESPONSABILIDADE
Quando um usurio assina um termo responsabilizando-se pela
informao, ele ser um defensor da segurana desta informao e pensar duas
vezes antes de quebrar qualquer procedimento de segurana que ele saiba que
existe.
Em ambas as empresas, nem funcionrios nem terceiros assinam
nenhum termo ou acordo de responsabilidade / confidencialidade.
Em mdia, nas duas empresas, 73,56% dos usurios tm acesso a
informaes consideradas confidenciais, dos quais menos da metade (45,31%)
afirma saber que as informaes so classificadas dentro da empresa e pouco mais
da metade deles (aproximadamente 60%) sabem da existncia de um responsvel
pela comunicao externa/Interna e das orientaes sobre divulgao da
informao.
54
Dos usurios que acessam informaes confidencias, em ambas as
empresas, metade s altera a senha quando o sistema solicita e, praticamente, a
outra metade (40,63%) sempre utiliza a mesma senha.
4.5.4. SOBRE SENHAS
As senhas so comumente utilizadas para validar a identificao dos
usurios e conceder acesso aos sistemas de informao. Para os engenheiros
sociais conseguir uma senha de acesso com um usurio o prmio que ele mais
deseja, pois, desta forma ter acesso s mesmas informaes que o usurio e o
dono da senha ser responsabilizado por quaisquer problemas que venham a
ocorrer.
Os usurios que tm acesso informaes confidenciais e vitais para a
empresa devem ter um cuidado especial, pois so os principais alvos dos ataques
contra a segurana da informao. O grfico da Fig. 4 mostra que, dos usurios que
acessam informaes confidencias, em ambas as empresas, metade s altera a
senha quando o sistema solicita e, praticamente, a outra metade (40,63%) sempre
utiliza a mesma senha.
55
Sempre utilizo a Mensalmente

Trimestralmente
mesma senha 1,56%
6,25%
40,63% Semestralmente
1,56%
Somente quando o
sistema solicita
alterao
50,00%
Fig. 4.Freqncia de alterao de senhas dos usurios com acesso
informaes confidenciais
Em ambas as empresas, a grande maioria dos usurios afirma no
divulgar as suas senhas, conforme Fig. 5.
4,44% 4,76%
100%
80%
60% 84,44% No respondeu

90,48%
No Divulga senha
40% Divulga senha
20%
11,11%
4,76%
0%
Publica Privada
Fig. 5.Quantos usurios divulgam as senhas
Em mdia, 87,36% dos usurios entrevistados tm suas senhas
individuais, no permitindo que outros usurios a conheam. Na divulgao de
56
senhas, chama a ateno o fato de que 20% dos gerentes da empresa Pblica tm
sua senha conhecida por outros funcionrios e que 32,18% dos usurios deixa que
outros utilizem a sua senha para realizar algum trabalho rpido.
Somente 6,90% afirmam anotar suas senhas em algum local prximo ao
computador, na agenda ou similar.
Na empresa Pblica, 15,56% afirma que sabe a senha de outros usurios,
contra 11,90% da empresa Privada.
Dentre usurios que afirmam divulgar e/ou anotar senhas em locais que
podem no ser seguros, levantamos quais sistemas de ambas as empresas tem ao
menos um funcionrio que realiza esta prtica, conforme Fig. 6:
Sistemas que tm usurios que Sistemas que tm usurios que anotam

Empresa
divulgam senhas suas senhas
- Sistema Financeiro/Contbil - Sistema Financeiro/Contbil
PBLICA - Sistema Oramentrio - Sistema Oramentrio
- Outros sistemas corporativos - Outros sistemas corporativos
- Sistema de ponto
- Sistema de ponto - Folha de Pagamento

PRIVADA
- Folha de Pagamento - Sistema com informaes gerenciais
- Outros sistemas corporativos
Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de fcil acesso
57
Vemos que os principais sistemas como por exemplo, folha de
pagamento , Financeiro/Contbil e alguns sistemas coorporativos, possuem ao
menos uma senha compartilhada com mais de um usurio.
4.5.5. SOBRE ACESSO S INFORMAES
Por mais que uma empresa invista em tecnologia para garantir a
segurana da informao, fundamental que os seus usurios participem
ativamente com aes, muitas vezes simples, como manter a mesa sem
documentos expostos e no deixar um sistema conectado com a sua senha ao sair.
O bloqueio dos computadores feito pela grande maioria dos usurios,
86,67% na empresa Pblica e 71,31% na Privada. O mesmo ocorre com a poltica
de mesa limpa, onde 77,78% dos usurios da empresa Pblica e 69,05% da
Privada, afirmam ter o costume de deixar a mesa limpa, sem papeis, evitando assim
que informaes, muitas vezes sigilosas, fiquem expostas.
Praticamente metade dos usurios da empresa Privada (47,62%) acha que
no seria difcil que pessoas externas consigam informaes importantes da
empresa. Na empresa pblica, este percentual cai para 33,33%.
58
4.5.6. COMPUTAO MVEL E ACESSO REMOTO
Somente a empresa privada afirma utilizar validao de senha antes do
acesso ao sistema operacional e nenhuma das duas empresas orienta os usurios
da computao mvel quanto aos cuidados como, por exemplo, a atualizao de
antivrus e acesso de pessoas no autorizadas, incluindo parentes e amigos.
Somente a empresa privada faz acesso remoto aos seus sistemas e j realiza
a orientao aos usurios e analisa os logs de acesso.
4.5.7. PROCESSOS DO RH
necessrio, em ambas as empresas, uma ao de procedimentar os
principais processos que envolvem riscos segurana da informao, como por
exemplo todos os processos onde h uma interao com o setor responsvel pela
tecnologia da informao, como no caso de contratao, demisso e transferncia
de funcionrios e terceiros onde, temos falhas como:
1. Na empresa Pblica, basta que o usurio comparea rea de TI
informando que um novo funcionrio para que seja criada uma senha de acesso
rede e aos sistemas;
2. Na empresa Privada, a TI libera o acesso com uma requisio do
gerente da rea, enquanto que o RH informa que necessrio um documento do
59
RH para a TI, informando quais sistemas o funcionrio novo, transferido ou
Terceirizado ir acessar.
Alm do termo de responsabilidade, o RH deve solicitar a assinatura de
termos como o de utilizao de e-mail e Internet, de confidencialidade de senhas e,
principalmente realizar treinamentos da poltica de segurana, assim que o
funcionrio admitido.
Aes como estas permitiro uma maior contribuio do setor de RH em
ambas as empresas, minimizando os riscos de falhas na segurana da informao.
4.5.8. PROCESSOS DA TI
A rea de TI deve ter uma atuao decisiva no processo de segurana da
informao. Vrios controles podem ser implementados para minimizar os riscos
sobre a segurana da informao e abaixo citamos os controles existentes no
ambiente estudado:
Controle de senhas: A expirao automtica de senhas de aceso rede,
em um perodo pr-definido, que j utilizado em ambas as empresas. Porm,
deve-se atentar para situaes como as dos sistemas corporativos, que, na empresa
Pblica, nunca mudam as senhas e, na empresa privada, mudam somente
esporadicamente nas manutenes dos sistemas.
Controle sobre prestadores de servios e terceiros: Apesar dos
prestadores de servios e terceiros possurem mecanismos de identificao como
60
crachs com fotos, senhas, ou uniformes, no existe um controle sobre os servios
executados, atravs de uma ordem de servio, por exemplo.
Controle no acesso Internet: Existe algum controle de acesso Internet,
como por exemplo uma lista de usurios com acesso negado (Black list) ou o
bloqueio a sites pornogrficos.
Controle de segurana dos equipamentos: Em ambas as empresas existe
um controle parcial sobre o acesso no autorizado. necessrio realizar um
levantamento mais detalhado de quais so os equipamentos que no esto
protegidos .
Antivrus: Em ambas as empresas existe um antivrus coorporativo
implementado.
61
4.6. SOLUES PROPOSTAS
Como vimos, existem diversas tcnicas que podem ser utilizadas em
ataques de engenharia social e todas elas usam a boa f e a ingenuidade das
pessoas, conquistando sua confiana para conseguir quebrar a segurana.
Ainda nos dias de hoje, a viso de segurana da informao est
atrelada apenas a tecnologia, esquecendo que por trs de cada mquina h pelo
menos uma pessoa. Implantar controles de segurana exige uma estrutura complexa
de pessoas, meios e processos, interagindo de maneira a preservar a
confidencialidade, integridade e disponibilidade das informaes.
Mitnick (2003, p. 4) diz que A segurana no um produto, ela um
processo. Para ele, a grande maioria das empresas investe em ferramentas que
ajudam somente na proteo dos intrusos amadores, que em sua maioria so
crianas (script kiddies) que s causam aborrecimento. Elas no esto realmente
protegidas contra os atacantes sofisticados, com alvos bem definidos e motivados
pelo ganho financeiro.
4.6.1. CONTROLES SUGERIDOS
Para minimizar os riscos da segurana da informao, baseados na
anlise da pesquisa aplicada, sugerimos alguns controles que podem ser
implementados tanto na empresa Pblica quanto na Privada, so eles:
62
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA
A finalizao da poltica de segurana fundamental e prioritrio para as
duas empresas estudadas. Ela deve ser elaborada com a participao do RH e da
TI, baseando-se nas melhores prticas da norma NBR ISO 17799, divulgando para
todos os funcionrios na contratao (atravs do RH) e em meio eletrnico com por
e-mail e na intranet (gerenciado pela TI). Ela deve abordar questes como a
privacidade, direitos de acesso, responsabilidades e deve refletir os objetivos do
negcio alm de estar de acordo com a cultura organizacional de cada empresa.
importante frisar que deve ser avaliado o custo da implantao de tal
poltica, para que no seja superior ao valor da informao que se est protegendo,
levando-se em conta fatores, como por exemplo a imagem da empresa em caso de
uma falha na segurana da informao.
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS
Em nenhuma das empresas existe um procedimento padro e seguro
para contratar, demitir ou transferir usurios. Convm que os usurios assinem
termos de responsabilidade e/ou acordos de confidencialidade ou no divulgao no
incio da sua contratao ou antes do acesso s instalaes de processamento da
informao [13]. As responsabilidades e direitos legais dos usurios devem ser
claros e formais, sendo recomendado que sejam inseridos dentro dos termos e
condies de trabalho;
63
O RH deve checar as informaes contidas nos currculos e os
certificados dos cursos apresentados pelos candidatos pr-selecionados para uma
contratao, para confirmar a veracidade das informaes. No caso da empresa
Pblica, deve-se avaliar se o funcionrio est apto a exercer a funo que lhe
assiste e tomar as providencias cabveis como transferncia de funo ou
treinamento.
A rea de TI deve criar, transferir ou bloquear um usurio, somente com
uma autorizao do responsvel pela contratao, em geral do RH, por escrito, com
todas as informaes necessrias, como nome completo, setor de destino, funo,
entre outros. At que o novo acesso seja liberado, o futuro usurio no deve utilizar
senha de nenhum outro funcionrio.
No caso da demisso, o responsvel pelo bloqueio de senhas no setor de
TI deve ser comunicado antes do usurio que ser demitido, para que as devidas
providncias de segurana sejam tomadas, de acordo com a prtica da empresa,
seja ela bloquear o usurio, fazer backup dos dados, alterar o acesso para somente
leitura, etc.
4.6.4. POLTICA DE SENHAS FORTES
Nenhuma das empresas utiliza uma poltica de senhas fortes e nem
orienta seus usurios neste sentido. Esta poltica deve estar inserida na poltica de
segurana da informao e conter pelo menos as condies a seguir:
64
- As senhas devem ser nicas e individuais, permitindo a identificao de
cada usurio e responsabilizandoo por suas aes, .
- Os usurios devem estar cientes, formalmente, que devem manter a
confidencialidade de sua(a) senha(s), atravs de um documento escrito sobre seus
direitos de acesso;
- As senhas devem expirar automaticamente em um perodo pr-definido,
solicitando que o usurio altere-a de maneira que ele no possa repetir senhas
antigas e seja obrigado a misturar, no mnimo, letras e nmeros;
- As senhas dos sistemas coorporativos devem ser alteradas com uma
determinada freqncia.
4.6.5. TREINAMENTO DOS USURIOS
Visando assegurar que os usurios esto cientes das ameaas e
transform-los em defensores da segurana da informao, eles devem ser
treinados nos procedimentos de segurana e no uso correto das instalaes da
empresa. Isso inclui os prestadores de servio e terceiros.
Como j foi dito neste trabalho, no importa o valor que uma empresa
invista em tecnologia para a segurana da informao, pois a cooperao dos
usurios autorizados fundamental para eficcia da segurana
65
4.6.6. CONTROLE NO ACESSO DE TERCEIROS
Para o controle de acesso de terceiros e/ou prestadores de servio, deve-
se verificar o tipo de acesso (Lgico ou fsico), as razes para acesso, questes
relativas a confidencialidade das informaes (conforme controle sugerido na
contratao, demisso e transferncia de funcionrios e terceiros).
Para o acesso fsico interno, deve-se verificar a utilizao de uma
identificao que permita rpida confirmao de identidade como um crach com
foto e se possvel o uso de um uniforme e a execuo de um servio deve ser
acompanhada por um documento com a logomarca da empresa (Ordem de servio),
contendo no mnimo o motivo da interveno, a data, a hora e o nome do tcnico;
Deve estar claro, e em contrato, a questo sobre definio de
responsabilidade (Em caso de acidentes) e, antes de qualquer acesso s
instalaes, os tcnicos devem ser treinados nos procedimentos de segurana;
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET
Existem pequenas medidas de restries de acesso Internet, em ambas
empresas, que utilizam a tecnologia, mas no existe nenhum termo de uso de e-mail
e Internet para orientao e conscientizao dos usurios.
A criao de um termo que regulamenta o uso do e-mail e Internet
fundamental e deve ser includa na poltica de segurana da informao. Ele deve
66
incluir proteo de anexos, orientao de quando no se deve utiliz-los,
responsabilidade sobre o uso indevido, uso de criptografia em mesagens com
informaes da empresa, entre outros. Alm disso, a TI deve monitorar os acessos
Internet e bloquear os acessos a sites que no agregam valor ao negcio.
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS
Em ambas as empresas os principais equipamentos que podem por em
risco a segurana da informao (Servidores, switchs, entre outros) s esto
parcialmente protegidos do acesso a pessoas no autorizadas.
Deve-se realizar um levantamento de todos os equipamentos crticos e
definir a melhor maneira para proteg-los, verificando inclusive a necessidade de
Implementao de mecanismos de segurana fsica como por exemplo circuitos
fechados de TV e fechaduras eletrnicas.
4.6.9. DESCARTE DE MDIAS REMOVVEIS
Informaes importantes podem ser divulgadas atravs da eliminao de
mdias de maneira descuidada. A empresa privada afirma ter um cuidado com o
descarte de mdias removveis, mas no informa quais. Sugerimos a utilizao de
um triturador de papel em reas com informaes consideradas confidenciais como
a T.I. e o RH, alm de um controle sobre as mdias removveis, desabilitando este
recurso nas mquinas que no devem utiliz-lo, alm da orientao aos usurios na
utilizao das mesmas.
67
Pode-se criar uma coleta de descarte seguro, de maneira que todas as
mdias removveis a serem inutilizadas sejam encaminhadas para um responsvel
pelo descarte seguro das mesmas.
4.6.10. CRIPTOGRAFIA
No existe cultura de utilizao da criptografia em nenhuma das empresas.
Sugerimos que esta cultura seja inserida em ambas as empresas de forma
gradativa, iniciando com um grupo de usurios, sugerimos a T.I., e em seguida seja
expandido para outros usurios, como os que utilizam notebook, os do RH e os
demais usurios que trocam informaes confidenciais das empresas.
4.6.11. COMPUTAO MVEL E ACESSO REMOTO
Cuidados especiais so necessrios para a utilizao de computao
mvel. Convm que os usurios sejam formalmente alertados dos riscos para a
segurana da informao com a computao mvel.
Alguns controles podem ser implementados como precauo para
diminuir estes riscos, como a orientao de que o usurio sempre mantenha o
equipamento longe de acesso de pessoas no autorizadas como parentes e
visinhos, atualize seu antivrus freqentemente, utilizao de senha na inicializao
68
do equipamento, cuidados contra roubo dos equipamentos e o uso freqente da
criptografia em arquivos com informaes da empresa;
Para a empresa privada que utiliza acesso remoto, o acesso remoto deve
ser autorizado e controlado o desenvolvimento de polticas, procedimentos e normas
especficas, que abordem questes como por exemplo, qual trabalho permitido, as
horas de trabalho e o acesso de pessoas no autorizadas ao equipamento de onde
se faz o acesso remoto.
4.6.12. CONTROLES GERAIS
Para minimizar os riscos de roubo e exposio de informaes, ambas
instituies, devem adotar a poltica de mesa limpa em toda a instituio,
principalmente na empresa pblica, onde o percentual de usurios que tem esse
costume menor. Sugerimos que seja feito uma sensibilizao para que os
usurios mantenham vista somente os papeis que esto sendo utilizados no
momento, bloqueiem os terminais quando no estiverem em uso, informaes
impressas devem ser retiradas imediatamente da impressora e, ao sarem da
empresa, mantenham os micros desligados e os papeis com informaes
confidenciais em gavetas adequadas, preferencialmente com fechadura.
Todos os usurios devem estar cientes, formalmente, que equipamentos,
informaes ou softwares so de propriedade da empresa e no devem ser retirados
da mesma sem autorizao.
69
4.6.13. FRUM DE SEGURANA
O processo de segurana da informao responsabilidade de todos os
usurios da direo da empresa, porm, natural que, ao menos nas empresas
estudadas, os setores de RH e TI liderem a implantao dos controles citados.
Desta forma, com base na norma NBR ISO 17788, sugerimos que seja
criado um frum de gesto da segurana da informao, multifuncional onde os
setores mais relevantes na empresa estejam representados. Seu principal objetivo
de garantir uma implantao adequada, realizando anlises crticas e monitorao
necessrias para que a segurana seja parte de todo e qualquer processo na
empresa.
70
5. CONCLUSO
O procedimento proposto neste trabalho nos permitiu realizar um
levantamento da atual conscincia dos usurios, quanto importncia da
informao acessada pelos mesmos, de maneira que o impacto da engenharia
social na segurana da informao pde ser avaliado com base na anlise dos
questionrios aplicados.
Alinhado anlise da conscincia dos usurios, foram analisados os
processos das reas de recursos humanos e de tecnologia da informao, no que
diz respeito engenharia social. Toda a anlise foi realizada em duas empresas
com caractersticas diferentes, permitindo assim que o procedimento criado possa
ser utilizado em vrios tipos de empresas, independente de suas caractersticas.
Aps a anlise da pesquisa, utilizamos a norma NBR ISO 17799, Cdigo
de Prtica para Gesto da segurana da Informao, como base para propor um
leque de controles que visam minimizar as falhas de segurana da informao e os
riscos de ataques bem sucedidos de engenharia social, aumentando a segurana
nas pessoas e conscientizando seus usurios da importncia da informao da
empresa para que eles cumpram seu papel de agentes da segurana da informao.
Porm este trabalho limita-se apenas ao diagnstico do problema. As
aes necessrias implantao dos controles so de responsabilidade de cada
empresa que, aps este trabalho, j esto com os seus pontos crticos na segurana
71
da informao identificados e, para cada um deles, existe aqui um ou mais controles
que visam eliminar as falhas existentes.
Muitas empresas investem nas melhores tecnologias de segurana e,
muitas vezes esquecem de tratar o elo mais fraco na segurana da informao: o
fator humano. Desta forma, a metodologia utilizada neste trabalho permite que
empresas implementem controles que minimizem o risco de ataques de engenharia
social com um baixo custo.
72
6. ANEXOS
6.1.ANEXO I QUESTIONRIO APLICADO AOS

USURIOS
PESQUISA SOBRE A SEGURANA DA INFORMAO
ARACAJU, ____ / ____ DE 2004
SOBRE O FUNCIONRIO
1.Faixa etria 2.Sexo 3.Funo
a) [ ]At 20 anos a) [ ]Masculino a) [ ]Gerencial (Chefe de diviso, Chefe de Gabinete, Diretoria, etc...)
b) [ ]De 21 a 30 anos b) [ ]Feminino b) [ ]Operacional (Agente administrativo, Oficial administrativo,
c) [ ]De 31 a 40 anos Auxiliar de Gabinete, etc...)
c) [ ]Terceirizados (Prestadores de Servios, estagirios, etc...)
d) [ ]Acima de 40
4.Trabalha na EMPRESA a 5.Possui outro emprego?
a) [ ]Menos de 1 ano a) [ ]Sim, na mesma rea em que trabalho na EMPRESA
b) [ ]De 1 a 5 anos b) [ ]Sim, em outra rea
c) [ ]De 6 a 10 anos c) [ ]No
d) [ ]Acima de 10 anos
SOBRE SENHAS
6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
EMPRESA? [ ] Sim [ ] No
7.Voc utiliza a senha de algum outro funcionrio para acesso informaes da EMPRESA?
[ ] Sim [ ] No
8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local similar?
[ ] Sim [ ] No
9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido? [ ] Sim [ ] No
10.Com que freqncia voc altera (s) sua(s) senha(s):
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Somente quando o sistema solicita alterao
e) [ ]Sempre utilizo mesma senha
SOBRE DIVULGAO DE INFORMAES
11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por telefone ou e-
mail?
a) [ ]Forneo a informao, pois no h nada confidencial em minha rea.
b) [ ]Forneo a informao aps identificar o solicitante
c) [ ]Solicito autorizao a meu superior para liberar a informao;
d) [ ]Outros:
_________________________________________________________________________________
SOBRE A EMPRESA
12. A EMPRESA possui poltica de comunicao interna?[ ] Sim [ ] No
13. As informaes so classificadas na EMPRESA (confidencial, secreta, pblica etc.) [ ] Sim [ ] No
14. A EMPRESA possui um responsvel pela comunicao externa?[ ] Sim [ ] No
15. A EMPRESA possui alguma orientao quanto divulgao de informao?[ ] Sim [ ] No
16. Voc sabe quais as informaes so vitais para o negcio da EMPRESA?[ ] Sim [ ] No
17. A EMPRESA possui poltica de segurana da informao?[ ] Sim [ ] No
SOBRE ACESSO INFORMAO

18. Neste momento existe algum papel sobre sua mesa com informaes sobre a EMPRESA?
[ ] Sim [ ] No
73
19. Ao sair voc costuma deixar suas mesa limpa, sem papis?
[ ] Sim [ ] No
20. Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
[ ] Sim [ ] No
21. O seu setor possui informaes consideradas confidenciais?
[ ] Sim [ ] No
22. Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
EMPRESA?
[ ] Sim [ ] No
23. Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
EMPRESA?
[ ] Sim [ ] No
24.Quais os tipos de informaes que voc tem acesso?
a) [ ]Informaes operacionais
b) [ ]Informaes gerenciais
c) [ ]Informaes confidenciais
d) [ ]Informaes imprescindveis continuidade do negcio
e) [ ]No tenho acesso a nenhuma informao importante
SOBRE OS SISTEMAS UTILIZADOS
25.Dos sistemas abaixo, quais voc utiliza?
a) [ ]Sistema de Ponto e) [ ]Sistema oramentrio
b) [ ]Sistema Financeiro e/ou Contbil f) [ ]Sistemas com informaes gerenciais
c) [ ]Sistema de Patrimnio g) [ ]Outros__________________________________
d) [ ]Folha de Pagamento _____________________________________________
OBSERVAES
26. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:
74
6.2.ANEXO-II QUESTIONRIO APLICADO AO RH

PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA AO RH
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO DE FUNCIONRIOS
1. A poltica de segurana da informao divulgada aos novos contratados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou telefone?
a) [ ]Sim, por escrito e assinada;
b) [ ]Sim, atravs do Servidor da rede e da central telefnica
c) [ ]No existe
d) [ ]Outros
5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no processo de

seleo, so checadas antes da contratao?
a) [ ]Sim
b) [ ]No
c) [ ]Outros
7. Os funcionrios recm contratados ...

a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros

a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que seu novo acesso
seja liberado;
b) [ ]So encaminhados diretamente ao setor de TI para alterao do cadastro na rede e nos demais
sistemas;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o
setor de TI solicitando a transferncia;
d) [ ]Tm seus nomes e funes (novas e antigas) informados ao setor de TI, via e-mail ou fax, para
providencias de bloqueio e liberao de acesso.
e) [ ]Outros
10.Em caso de outros, qual?
75
SOBRE A DEMISSO DE FUNCIONRIOS
11.O acesso aos sistemas e rede dos funcionrios demitidos ...

a) [ ]So bloqueados antes da demisso;
b) [ ]So bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
c) [ ]Nunca so bloqueados;
d) [ ]Outros
13. O acesso dos funcionrios demitidos s instalaes da empresa...

a) [ ]Continua o mesmo sem restries;
b) [ ] restrito recepo;
c) [ ]No mais permitido
d) [ ]Outros
SOBRE A CONTRATAO DE TERCEIROS

15.A poltica de segurana da informao divulgada sempre na contratao de terceirizados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
16.Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
17.Os terceirizados recm contratados ...
a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros
OBSERVAES
18. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:
76
6.3.ANEXO-III QUESTIONRIO APLICADO INFORMTICA

PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA TI
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. O cadastro de senha de funcionrios novos...

a) [ ]Basta que o usurio comparea sala da informtica solicitando a criao da senha;
b) [ ] realizado mediante solicitao por e-mail do Gerente da rea;
c) [ ]Somente aps um documento interno ser enviado do RH para o setor de TI informando quais sistemas o
mesmo ter acesso;
d) [ ]Outros

a) [ ]Solicitam a transferncia diretamente informtica;
b) [ ]So transferidos mediante solicitao por e-mail do Gerente da rea;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o setor de
TI solicitando a transferncia;
d) [ ]Outros
5. No processo de Demisso de funcionrios, a informtica...

a) [ ]Bloqueia os acessos rede e dos sistemas corporativos antes da demisso;
b) [ ]Os acessos so bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
c) [ ]Os acessos nunca so bloqueados;
d) [ ]Outros
SOBRE SENHAS
7. Existe uma poltica para utilizao de senhas fortes?
[ ] Sim, ainda no divulgada;
[ ] Sim, em pleno funcionamento
[ ] No
8. As senhas de acesso rede expiram automaticamente em um determinado perodo de tempo?
[ ] Sim [ ] No
9. As senhas dos sistemas corporativos so mudadas com que freqncia?
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Esporadicamente em manutenes do sistema
e) [ ]Nunca
77
10. permitida a utilizao de senhas compartilhadas (uma senha nica para usurios de um
setor por exemplo)?
[ ] Sim [ ] No
SOBRE TERCEIROS/PRESTADORES DE SERVIO

11. Existe algum mecanismo para identificao dos terceiros, prestadores de servio e
funcionrios, (Crach com foto, Uniforme, etc)?
a) [ ] Sim;
b) [ ] No;
12. O atendimento de prestadores de servio e terceiros controlado por algum tipo de ordem de
servio com a logomarca da empresa em que ele trabalha??
a) [ ] Sim;
b) [ ] No;
SOBRE SEGURANA DA INFORMAO
13. Existe uma poltica de segurana da informao na empresa?
a) [ ]Sim
b) [ ]No
c) [ ]Em fase de desenvolvimento
14. Existem restries de acesso Internet e e-mail?

a) [ ]Sim
b) [ ]No
15. Em caso de sim, quais?
16. Os Principais equipamentos de informtIca (Switches,Servidorer, Roteadores,...) esto

realmente protegidos de acesso no autorizado?
a) [ ]Sim;
b) [ ]Parcialmente;
c) [ ]No;
17. Existe cuidado com o descarte de mdia removvel (Documentos impressos, fitas magnticas,
CDR, CDRW entre outros)?
a) [ ]Sim;
b) [ ]No;
18. Utilizam criptografia na comunicao que envolva informaes da empresa?
a) [ ]Sim;
b) [ ]No;
19. Existe antivrus corporativo com atualizao automtica das estaes?
a) [ ]Sim;
b) [ ]No;
78
SOBRE COMPUTAO MVEL E TRABALHO REMOTO

20. Os computadores mveis possuem validao de senha antes do acesso ao sistema
operacional?
a) [ ]Sim;
b) [ ]No;
c) [ ]No h computadores mveis
21. Os usurios da computao mvel so orientados quanto aos cuidados especiais que devem
ter com, por exemplo, atualizao de antivrus, acesso no autorizado e divulgao de
informaes ali armazenadas?
a) [ ]Sim;
b) [ ]No;
c) [ ]No h usurios de computao mvel
22. Existe acesso remoto aos sistemas da empresa?

a) [ ]Sim, aos funcionrios;
b) [ ]Sim, para terceiros;
c) [ ]No;
23. Se sim, quais os controles utilizados para estes acessos?
a) [ ]Alteraes de senhas com maior freqncia;
b) [ ]Orientao aos usurios;
c) [ ]Definio de horrios para acesso;
d) [ ]Anlise de logs de acesso;
e) [ ]Nenhum
OBSERVAES
6.4.ANEXO III CRONOGRAMA
Atividade Nov Dez Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Jan Fev Mar Abr Mai Jun Jul
Levantamento bibliogrfico
Elaborao do Projeto
Elaborao dos Questionrios
Aplicao dos questionrios
Estudo dos Processos do RH
Avaliao da Pesquisa
Criao dos Controles e Aes
Elaborao do Relatrio Final
Apresentao
* Incio do projeto: Nov de 2003.
7. GLOSSRIO
Biometria
Sistema de identificao de usurios que utiliza caractersticas fsicas, como por exemplo
a impresso digital, a ris, a voz entre outros.
Cavalos de Tria
Programas que so aparentemente inofensivos, mas que, ao serem executados, iniciam

de forma escondida, ataques ao sistema.[16]
Engenheiro social
Geralmente Hackers que tentam ganhar a confiana dos usurios no intuito de conseguir
informaes teis em seus ataques. Tentam se passar por um usurio autorizado e
ganhar o acesso ilcito aos sistemas. [16]
Hackers
Pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. [16]
internet banking
a Home Page de um banco. O site onde so oferecidos basicamente os mesmos

servios de uma agencia bancria. Atravs do site de um banco um cliente pode realizar
transferncias bancrias, pagamentos, etc.
Malware
Os vrus, trojans, worms , entre outros, so batizados a genericamente de Malwares;
Poltica de Segurana
O conjunto das leis, diretrizes, regras, e das prticas que regulam como uma organizao
controla, protege, e distribui a sua informao.[16]
Procedimentar:
Padronizar uma ao ou um processo em documento oficial.
Script kiddies
So, em geral, adolescentes que utilizam ferramentas e receitas prontas para ataques
virtuais. Atacam somente pela curiosidade e muitas vezes no esto interessados em
pegar informaes, mas sim por a prova seus conhecimentos.
Smart cards
Carto semelhantes aos cartes de crditos e que geralmente so utilizados na

identificao do usurio para controle de acesso, convnios mdicos e tambm como
dinheiro eletrnico.
Spywares
Spyware geralmente includo na instalao de algum outro software gratuito. Tem o
objetivo de coletar informaes sem o conhecimento do usurio, e envi-las para
anunciantes ou para o desenvolvedor do software. Ele pode coletar e transmitir
informaes sobre teclas pressionadas, hbitos de navegao na Web, senhas,
endereos de e-mail entre outros.
TI
Sigla que significa Tecnologia da informao. Aqui citado como sendo o setor
responsvel em manter a tecnologia utilizada na empresa de maneira a garantir que a
informao esteja disponvel e segura para todos que possuem acesso mesma.
Corresponde ao ento setor de informtica.
Usurio
Pessoa que opera um microcommputador, que tem acesso informaes da empresa

atravs e que faz parte do escopo deste projeto.
8. REFERENCIAS BIBLIOGRFICAS
[1] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da

Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de
dezembro de 2000.
[2] LIMA, MAYKA DE SOUZA. Metodologia para Desenvolvimento de Polticas de

Segurana. Aracaju,2001. 152p. Monografia de Graduao de curso de Cincia da
Computao. UNIT- Universidade Tiradentes, 2001.
[3] WADLOW, Thomas A. Segurana de Redes : Projeto e gerenciamento de redes

seguras. Traduo : Fbio Freitas da Silva. Rio de Janeiro : Campus, 2000. 269 p.
[4] COMER, Douglas E. Interligao em redes com TCP/IP: Princpios, protocolos e

arquitetura. Traduo : ARX Publicaes. Rio de Janeiro : Campus, 1998. 672 p.
[5] MCCARTTHY, Mary pat; CAMPBELL, Stuart. Transformao na Segurana

Eletrnica: Estratgia e gesto da Defesa Digital. Traduo: Celso Roberto Paschoa.
So Paulo: Pearson Education do brasil, 2003. 184 p.
[6]Agencia Folha Entrevista com Kevin Mitnick. Disponvel em: <

http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de
novembro de 2003.
[7] MODULO SECURITY SOLUTIONS. Ameaa alm do firewal: Por que as empresas
devem se preparar contra a Engenharia social. Disponvel em: <www.modulo.com.br>.
Acesso em: 08 de novembro de 2003.
[8] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurana da Informao. Traduo : Ktia Aparecida
Roque. So Paulo: Pearson Education do brasil, 2003. 278 p.
[9] CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de

informao. So Paulo: Administrao regional do SENAC , 1999. 367 p.
[10] ZORRINHO, C. (1995)-Gesto da Informao. Condio para Vencer. Iapmei
pg.15.
[11]. Computarword. O Brasil ainda investe pouco em segurana da informao.

Disponvel em: <http://idgnow.terra.com.br/idgnow/corporate/2002/04/0033>. Acesso em:
24 de abril de 2004.
[12] SCHNEIER, Bruce. Segurana .com: Segredos e mentiras sobre a proteo na vida
digital. Rio de janeiro: Campus, 2001. 403 p.
[13] NORMA NBR ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas: itens 6.1.3 e 6.1.4. ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.
[14] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da

Informao nas Empresas: itens 2.1 ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.
[15] MODULO SECURITY SOLUTIONS. Ferramenta gratuita ajuda usurios no

combate s fraudes de internet. Disponvel em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=3139&pagenumber=0&idi
om=0. Acesso em: 27 de julho de 2004.
[16] MODULO SECURITY SOLUTIONS. Glossrio. Disponvel em:

http://www.modulo.com.br/pt/page_i.jsp?page=50&tipoid=12&pagecounter=0. Acesso em:
27 de julho de 2004.

Engenharia Social e Seguranca PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Engenharia Social e Seguranca PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Outros trabalhos em:

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA

O IMPACTO DA ENGENHARIA SOCIAL NA

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANA DA

Para a concluso deste trabalho foi fundamental a colaborao de:

estudar, da minha esposa Ivnia que me motivou em meus momentos de fraqueza,

dos gerentes de informtica e de recursos humanos das empresas que formam o

de segurana, agradeo sua ateno e presteza, alm dos usurios que

forneceram as informaes que formam a base deste trabalho.

Professor Ronaldo Linhares, que me orientou na fase inicial de construo

deste projeto, ao professor Domingos que, na matria de segurana em redes,

que contriburam excelentemente com o meu aprendizado e, conseqentemente,

com o meu desenvolvimento profissional e do professor Mrio Vasconcelos que

todo o processo de desenvolvimento do mesmo, sempre com ateno e simpatia.

Agradeo a todos que contriburam direta ou indiretamente durante todo o

projeto, desde as aulas iniciais do curso at as ltimas linhas desta monografia.

O principal objetivo deste trabalho criar uma metodologia para diagnosticar

a conscincia dos usurios quanto ao risco de ataques de engenharia social no

ambiente corporativo e saber qual o nvel de conscientizao de seus colaboradores

quanto a confidencialidade, integridade e disponibilidade da informao. Para isso

dividimos o trabalho em basicamente trs etapas: A pesquisa, a tabulao e anlise

dos dados e a proposta de solues. Antes de abordarmos a metodologia,

iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e

engenharia social, como ela funciona e qual o papel do usurio na segurana da

informao. Visando uma abordagem sistmica, a pesquisa foi feita com os

usurios, com o setor de recursos humanos e com a rea responsvel pela

tecnologia da informao, com questionrios criados para abordar os principais

pontos da engenharia social como por exemplo a confidencialidade de senhas.

Aplicamos os questionrios em empresas com modelos administrativos distintos,

sendo uma da administrao pblica e a outra, uma empresa privada. Aps a

questionrios, analisando de acordo com o tipo da empresa, se o usurio da rea

gerencial, operacional ou um usurio temporrio, como por exemplo um

terceirizado ou um estagirio. Finalmente, utilizando como base os questionamentos

elencados na metodologia e o resultado da anlise, elaboramos uma proposta com

sugestes de implementao de controles e aes para minimizar os riscos de

relevantes no tratamento dos riscos de ataques de engenharia social existentes na

Fig. 1. A empresa possui poltica de segurana da informao? .......................... 50

Fig. 2. Os usurios conhecem as informaes vitais para a empresa?................. 52

Fig. 3. Tabela Informaes confidenciais / vitais x comunicao interna .............. 53

Fig. 4. Freqncia de alterao de senhas dos usurios com acesso informaes

Fig. 5. Quantos usurios divulgam as senhas ....................................................... 55

Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de

Tab 1. Quantidade de questionrios por empresa................................................. 33

Tab 2. Distribuio dos usurios por funo Pblica .......................................... 34

Tab 3. Distribuio dos usurios por funo - Privada .......................................... 35

Tab 4. Usurios e Computadores .......................................................................... 36

Tab 5. Faixa Etria ................................................................................................ 36

Tab 6. Sexo ........................................................................................................... 36

Tab 8. Tempo de empresa..................................................................................... 37

Tab 10. Senha aberta .......................................................................................... 37

Tab 11. Senha de terceiros.................................................................................. 38

Tab 12. Anota Senha ........................................................................................... 38

Tab 13. Cede em caso de trabalhos rpidos ....................................................... 38

Tab 14. Freqncia de alterao de senhas........................................................ 38

Tab 15. Informaes por telefone ........................................................................ 39

Tab 16. Outras respostas - Informaes por telefone.......................................... 39

Tab 17. Poltica de comunicao interna ............................................................. 39

Tab 18. Classificao de informaes ................................................................. 40

Tab 19. Comunicao Externa............................................................................. 40

Tab 20. Divulgao de informaes..................................................................... 40

Tab 21. Informaes vitais................................................................................... 40

Tab 22. Poltica de segurana da informao...................................................... 40