Escolar Documentos
Profissional Documentos
Cultura Documentos
Definir e organizar os relacionamentos entre os dados gera informação, ou seja, definir diver-sos relacionamentos
resulta em diferentes informações. Aqui, a madeira pode ser organizada de várias maneiras para criar dois tipos de estruturas –
degraus para assento (A) e um caixote (B). Diferentes dados podem ser adicionados para redefinir os relacionamentos e agregar
valor.
Adicionando pregos (novos dados), a madeira transforma-se em uma escada (C) ou em uma caixa (D), informações mais
valiosas. (adaptada de Stair & Reynolds – 2002 – pag 5)
(Fonte: Laudon, Kenneth C.; Laudon, Jane Price. Sistemas de Informação com Internet. Rio de Janeiro: LTC, 1999).
Se são muitos os sistemas, maior ainda é o maneira como ela ajuda os homens a tomarem
número de informações necessárias ao suas decisões, ou seja, ela é valorizada, entre
funcionamento deles, do que se pode inferir que o outras coisas, em função de: precisão,
valor da informação é definido em função da oportunidade, confiabilidade, relevância e
complexidade. Era preciso contratar funcionários, pois ele
Em Stair e Reynolds (2002), encontramos sozinho já não conseguia mais administrar tanta
uma tabela bastante interessante sobre as coisa ao mesmo tempo. Era preciso controlar,
características da Informação Valiosa, na qual gerenciar as informações.
estão listadas, além das já citadas, as saeguintes: A transformação do mundo não se deu após
simplicidade, pontualidade, acessibilidade e os anos 60 e muito menos foi tão simplória quanto
segurança. a modernização do ―Seu Manel‖, mas a caricatura
acima serve para ilustrar o processo de mudança a
4 A GESTÃO DA INFORMAÇÃO que foram submetidas as empresas e o aumento da
O mundo cresceu, o mundo mudou, o ―Seu importância do gerenciamento da informação para
Manel‖, dono do ―Armazém da Esquina‖, que, o mundo empresarial.
nos anos 60, controlava suas informações com um A informação é um ativo que precisa ser
lápis atrás da orelha e um caderninho de gerenciado, e isso envolve investimentos,
anotações em que registrava os nomes e saldos de recursos, pessoas, máquinas e tempo. (Siqueira –
todos os seus clientes – pasmem! ele conhecia a 2005). Consequentemente, a Gerência Estratégica
todos!!! –, que controlava seu estoque com um da Informação, como nos mostra Costa (2008),
olhar, que possuía fornecedores aos quais se abrange as gerências de Tecnologia da Informação
mantinha fiel, viu a população crescer, viu a vila (TI), de Pessoas, do Conhecimento e da
se transformar em bairro, viu as casas virarem Segurança da Informação, caracterizando-se como
prédios, viu surgirem novos fornecedores que uma atividade multidisciplinar que permeia todos
agora, em muitos casos, ofereciam vantajosas os setores da organização considerada.
condições para que ele abandonasse seus Como já vimos, a informação é tratada
fornecedores tradicionais. como o ingrediente básico, do qual dependem os
O mais importante, dentre todas as processos decisórios das organizações (Grewood
mudanças testemunhadas por ―Seu Manel‖, foi citado por Braga), e, por isso, merece um
ver as pessoas passarem a não ter mais tempo para tratamento gerencial que garanta a sua
esperar por um atendimento ―personalizado‖, mas disponibilização oportuna, de forma quantificada
demorado. E para não perder o seu ―comércio‖, o e apropriadamente qualificada, com o emprego de
dono do armazém, acompanhando as mudanças, sistemas desenvolvidos em consonância com as
virou dono do mercado ‖Manoel & Cia.‖, investiu necessidades organizacionais, constituindo-se em
em tecnologia, comprou um computador, diferencial competitivo.
cadastrou os seus fregueses, organizou sua loja O mundo moderno, globalizado, exige que
em departamentos – limpeza, verdura, bebidas, as empresas saibam não só usar as informações
padaria etc. Suas despesas aumentaram e, com obtidas, mas também desenvolver novas maneiras
isso, a necessidade de lucro passou a ser uma de potencializarem este recurso, de modo que se
preocupação maior. Era preciso estar ―ligado‖ às tornem mais eficientes, mais competitivas.
informações de novos produtos, preços e serviços. Esse é o objetivo da Gestão da Informação.
Pode-se verificar que o engenheiro e mestre qualidade e a disponibilidade da informação.
em administração Heitor Lins Peixoto, assessor da A seleção dos dados que serão
presidência da Usiminas, no prefácio do livro transformados em informações cruciais para um
―Gestão da Informação nas Organizações‖, de processo decisório exitoso só pode ser feita,
Wilson Martins de Assis, afirma que: atualmente, de maneira eficiente, com o uso de
O desenvolvimento da competência essencial tecnologia apropriada. Entretanto, a simples
de uma empresa passa, necessariamente, pela
qualidade da informação que ela consome – aquisição de equipamentos não atende plenamente
considerando aqui a informação como importante às necessidades da empresa. O computador é
insumo do conhecimento e como um diferencial
competitivo –, pois é com base em informações somente uma ferramenta de trabalho com a qual
confiáveis e bem elaboradas que os dirigentes
se pode otimizar os dados coletados. Essa
organizacionais podem se preparar para
desenvolver estratégias capazes de criar valor para ferramenta deve ser utilizada de forma integrada,
seus públicos relevantes. Portanto, um dos
como um dos componentes essenciais dos
principais componentes para a conquista da
competitividade em nível global é, sem dúvidas, a chamados Sistemas de Informações Gerenciais
construção de um sistema que seja eficaz na busca
de informações e na disseminação adequada destas (SIG).
no âmbito da organização. (Assis – 2008). Os Sistemas de Informações Gerenciais
possibilitarão ao administrador responder de
O mundo globalizado, ao qual nos referimos
forma plenamente satisfatória ao mercado atual –
anteriormente, tem exigido das empresas uma
dinâmico e globalizado –, desde que tenham sido
reação ágil e qualitativamente diferenciada frente
desenvolvidos três perspectivas básicas: a
aos estímulos oriundos do ambiente externo. Para
organização (estrutura, cultura e processos), os
tanto, as organizações se veem obrigadas a tratar
recursos tecnológicos disponíveis e as pessoas
todo o fluxo informacional, desde a busca até o
que, de acordo com Laudon (1999), devem
descarte, considerando a informação como um
cooperar e ajudar-se mutuamente, ajustando-se e
recurso valioso e indispensável, que precisa ser
modificando-se ao longo do tempo para otimizar o
gerido com o máximo de competência e
desempenho do sistema.
eficiência, priorizando-se a oportunidade, a
(Fonte: Laudon, Kenneth C.; Laudon, Jane Price. Sistemas de Informação com Internet. Rio de Janeiro: LTC, 1999).
Além de definir as políticas da empresa, a De acordo com Batista (2004), é possível
principal função de um administrador é tomar obter-se uma visão mais apropriada do universo
decisões que proporcionem melhorias nos no qual a organização está inserida, quando a
processos produtivos da organização e que tragam manipulação do conjunto de informações
redução das despesas e maximização de lucros. disponíveis no ambiente externo com atuação
Ainda no artigo de Braga, constatamos que direta sobre a organização é feita com a ajuda de
o referido autor afirma que as Tecnologias da meios eletrônicos (TI), agindo de forma integrada
Informação (TI) impulsionam o progresso, por intermédio de conectividade, processamento e
conduzem à inovação, aumentam a riqueza e transferência de dados. Isso também pode ser
atraem novos investimentos. traduzido como vantagem competitiva.
Então, podemos concordar com Wilson considerada, dificilmente ela terá todas as suas
(citado por Braga) quando ele define Gestão da atividades geridas por um único sistema. Para
Informação como a gestão eficaz de todos os gerenciá-la convenientemente, serão necessários
recursos de informação relevantes para a vários subsistemas especialistas que contemplem
organização, com uso massivo da Tecnologia da cada uma das áreas de gerenciamento da empresa
Informação (TI), tenham sido eles gerados em e que traduzam os processos específicos nos
âmbito interno ou externo à empresa. Mais uma níveis Estratégico, Tático e Operacional.
vez concordamos com Braga ao dizer que a gestão Sistematizar o uso da informação significa,
da informação tem como objetivo maior apoiar a portanto, criar e garantir um fluxo constante e
política global da empresa. confiável dessa informação pela estrutura
É preciso também ter em conta que, organizacional.
qualquer que seja o porte da organização
5 A SEGURANÇA DA INFORMAÇÃO negócios;
Ao atingirmos esse ponto da matéria, c) as organizações possuem Sistemas de
imaginamos ter conseguido deixar bem claro Gerenciamento e de Apoio à Tomada de Decisões
alguns pontos básicos de raciocínio, essenciais essencialmente baseados em informações
para a continuação do trabalho. São eles: estratégicas;
a) as organizações possuem informações d) as informações e os conhecimentos
que permitem gerar conhecimentos e, junto com gerados são patrimônios relevantes da empresa; e
estes, constituem-se em diferencial competitivo; e) as organizações modernas são organismos
b) as organizações modernas dependem de vivos inseridos na rede mundial de computadores,
recursos tecnológicos para concretizarem seus e, nesse ambiente, são participantes ativos.
1
Gerente de Planejamento e Consultoria da Open Communications Security. É graduado pela PUC-RJ em Tecnologia em
Processamento de Dados e tem especialização em Redes de Computadores.
2
Computer Security Institute
Abner Junior - 2009
Não se pode negar que, quando as pessoas disso, é preciso entender e não esquecer que
agem como foi indicado acima, de forma ingênua, segurança não é um problema. Problema é a falta
estúpida ou indiferente às boas práticas de segurança e o prejuízo que ela pode trazer para
recomendadas pelas normas de segurança, a a organização.
engenharia social encontra seu meio mais fértil de Então, qual será o grau de segurança a ser
atuação. adotado? Esta decisão é complexa e deverá ser
O grande problema para a implementação tomada com muita parcimônia, pois uma política
de procedimentos de segurança é a mudança de segurança muito austera poderá causar entraves
cultural incômoda que ela promove, uma vez que nos processos produtivos, ao passo que se for
impõe restrições às ―comodidades‖, às quais os muito permissiva poderá expor, desnecessária e
usuários já estavam acostumados e, logicamente, indesejavelmente, a organização.
não querem perder. Em consequência, essa Luís Mirtilo3, citado por Estela Silva em seu
implementação deve ser feita de forma gradativa, artigo ―Especial Sobre Segurança‖, aponta a
mas de maneira contínua e permanente, pois engenharia social como um dos grandes vilões da
resultados significativos só aparecem, segurança da informação, embora aponte,
efetivamente, em médio e/ou longo prazo. também, como importantes ferramentas de
Sem dúvida, o grau de ―desconforto‖ do ataques: os vírus recebidos por e-mail, a
usuário será diretamente proporcional ao grau de insatisfação de funcionários, os erros
segurança que se deseja, ou seja, quanto maior o operacionais, a invasão por hackers, os acidentes
grau de segurança desejado, maior será o controle e desastres e, por fim, a espionagem, remota ou
a ser exercido, maior será a quantidade de local, fatos e procedimentos, que têm a
restrições, maior poderá ser o desconforto do participação ativa, voluntária ou não, dos
usuário, maior também será a reação dos usuários usuários.
à adoção das medidas implementadas. Apesar
3
Diretor de operações da Plaut Consultoria
Acreditamos que seja fácil imaginar as COBIT5.
nefastas consequências que adviriam para uma A ISO/IEC 17799, renumerada em julho de
força de defesa –Exército, Marinha, Aeronáutica, 2007 para ISO/IEC 27002, é uma norma de
Guarda Nacional, Gendarmaria etc. – no caso de Segurança da Informação – revisada em 2005
uma invasão que destruísse ou alterasse pelas referidas organizações ISO e IEC –
significativamente a base de dados de uma composta por um conjunto de recomendações
unidade operacional durante uma operação real. para práticas na gestão de Segurança da
Na atualidade, o exército norte-americano Informação, ideal para aqueles que querem criar,
realiza treinamento de seus oficiais no sentido de implementar e manter um sistema de segurança.
os capacitar O COBIT é um guia de boas práticas, criado
para fazer e mantido pelo ISACA6, que possui uma série de
frente a recursos que podem servir como modelo de
ataques referência para gestão da Tecnologia da
cibernéticos. Informação (TI).
Recentemen- A esses documentos, Ferreira e Araujo
te, foi (2006) assim se referem:
disponibiliza- Atualmente existem algumas metodologias e
Fonte:
melhores práticas em segurança da informação e
do na página http://www.youtube.com/watch?v=hDpqruR3vvk
governança para o ambiente de tecnologia, que são
eletrônica do
reconhecidas mundialmente e largamente utilizadas
youtube, conforme mostrado na imagem acima, como, por exemplo, a NBR ISO/IEC 17799:2005 e o
um filmete que demonstra esse treinamento. CobiT. (Ferreira e Araujo, 2006, pag 27)
Alguns dados estatísticos mais atualizados
sobre ataques virtuais – Guerra Digital – podem É verdade que segurança absoluta não
ser encontrados no sítio Zone-H, unrestricted existe, mas é necessário que nos preocupemos
information, cujo endereço de acesso pode ser com a adoção de medidas que dificultem a ação
(http://www.zone-h.com.br/content/blogcategory de hacker ou de curiosos e garantam
/9/11/) ou (http://www.zone-h.com.br/content/ minimamente a privacidade dos dados que
view/579/11/). julgamos confidenciais, sejam eles pessoais ou
A Política de Segurança é uma atribuição funcionais, principalmente no ambiente
da organização que a pretende implantar, mas não organizacional.
podemos nos furtar de mencionar dois Fontes (2008, pag. 6) apresenta
documentos de referência quanto a esse assunto: considerações sobre proteção da informação para
4
as normas ISO 17799 (ISO/IEC 27002) e o o executivo da organização. Proteger a
informação:
4
International Organization for Standardization – Organização Internacional para Padronização
5
Control Objectives for Information and Related Technology
6
Information Systems Audit and Control Association
a) não é um assunto puramente tecnológico; abordava a questão da exploração, por parte
b) é uma decisão empresarial; desses criminosos, da ignorância e da ingenuidade
c) não acontece por milagre; das pessoas que se utilizam de forma equivocada
d) deve fazer parte dos requisitos do ou imprudente dos meios tecnológicos disponíveis
negócio; e ressaltava a participação de ex-funcionários que
e) exige postura profissional das pessoas; vendem informações sensíveis à concorrência,
f) é liberar a informação apenas para quem como ocorreu, em caso recente, no mundo da
precisa; Fórmula 1, entre a Ferrari e a McLaren.
g) é implementar o conceito de Gestor da Ao pesquisar na literatura pertinente ou
Informação; ―navegar‖ em artigos disponibilizados na Internet,
h) deve contemplar todos os colaboradores; podemos encontrar várias definições de
i) considerar as pessoas um elemento vital; e Engenharia Social. Vejamos algumas delas:
j) exige alinhamento com o negócio. termo utilizado para a obtenção de
informações importantes de uma empresa,
6 A ENGENHARIA SOCIAL por intermédio de seus usuários e
colaboradores;
―Botafogo, Rio de Janeiro. Uma aposentada de 79
arte de fazer com que outras pessoas
anos passa sete horas sob tortura psicológica,
concordem com você e atendam aos seus
pendurada ao celular. Criminosos que diziam ter
seqüestrado
pedidos ou desejos, mesmo que você não
sua sobrinha- tenha autoridade para tal;
neta a aquisição de informações preciosas ou
induzem a
privilégios de acesso por ―alguém de fora‖,
fazer saque
baseado em uma relação de confiança
em caixas
eletrônicos. estabelecida, inapropriadamente, com
Sabem o Fonte: Google/imagem ―alguém de dentro‖;
nome e técnicas utilizadas para tirar proveito de
hábitos da vítima (grifo nosso). O drama só termina
falhas que as pessoas cometem ou que
quando a aposentada recebe um contato da mãe da
sejam levadas a cometer com relação às
suposta seqüestrada, o que evita que ela entregue o
dinheiro aos golpistas.
informações da área de tecnologia da
Santa Cruz do Rio Pardo, interior de São Paulo. Uma informação;
quadrilha clona cartões bancários de cerca de 100 técnica de influenciar as pessoas pelo poder
pessoas..‖ (Revista Info – Julho de 2009 – pag. 62)
da persuasão com o objetivo de conseguir
que elas façam alguma coisa ou forneçam
O Caderno Digital, distribuído pelo jornal O
determinada informação a pedido de alguém
Globo na segunda-feira, dia 20 de julho de 2009,
não autorizado;
publicou, na sua página 12, um artigo intitulado
método de ataque virtual no qual é
―Cibercriminosos de olho na nuvem‖, que
aproveitada a confiança ou a ingenuidade do
usuário para obter informações que A engenharia social atua sobre a inclinação natural
das pessoas de confiar umas nas outras e de querer
permitem invadir um micro; ajudar. Nem sempre, a intenção precisa ser de ajuda
habilidade de um hacker manipular a ou de confiança. Pelo contrário, pode ser por senso
de curiosidade, desafio, vingança, insatisfação,
tendência humana natural de confiança com o diversão, descuido, destruição, entre outros.
objetivo de obter informações por meio de um
A engenharia social também deve agir sobre as
acesso válido em um sistema não autorizado; pessoas que não utilizam diretamente os recursos
computacionais de uma corporação. São indivíduos
arte e ciência de persuadir as pessoas a que têm acesso físico a alguns departamentos da
atenderem aos seus desejos; e empresa por prestarem serviços temporários, porque
fazem suporte e manutenção ou, simplesmente, por
―garimpagem da informações‖. serem visitantes. Há ainda um grupo de pessoas ao
Qual a melhor? Qual a mais correta? qual é necessário dispensar uma atenção especial,
porque não entra em contato físico com a empresa,
A escolha ficará a cargo de cada leitor, mas mas por meio de telefone, fax ou correio eletrônico.
(Klein – 2004, pag 9)
o que não se pode negar é o fato de a Engenharia
Social ser uma atividade conceitualmente ligada à Já Evaldo Tatsch Junior (2009) mostra-se
atividade de busca de informação, seja a busca surpreso em constatar que a engenharia social
desenvolvida por intermédio de equipamentos ainda é um dos meios de maior sucesso para
eletroeletrônicos (telefone, computador) ou acesso a informações. Ele ressalta que muitas
pessoalmente (entrevista ou questionamento). pessoas de elevado nível sóciocultural ainda se
Outro aspecto que nos parece ter ficado deixam enganar por esses vilões cibernéticos, a
também bastante evidenciado na leitura dos quem chama de ―salafrários virtuais‖.
conceitos expostos é a intenção de obter acesso a A Engenharia Social tem sido tema e
locais ou produtos normalmente negados ao preocupação constantes de publicações
engenheiro social. especializadas, que procuram chamar à atenção os
Podemos ainda identificar, no conjunto de usuários ―comuns‖ dos novos recursos
definições apresentadas, a utilização e/ou tecnológicos, para que procurem ter mais cautela
exploração da ingenuidade, da confiança e/ou da ao disponibilizarem dados pessoais, funcionais
boa-fé das pessoas. e/ou comerciais.
É importante destacar que o sucesso no A revista Info-exame, especializada em
ataque de engenharia social ocorre, geralmente, assuntos relativos à tecnologia, publicou, na sua
quando os alvos são pessoas ingênuas ou aquelas edição de julho de 2009, o artigo ―A Tecnologia
que simplesmente desconhecem as melhores do Crime‖, no qual se pode ler que ―Em muitos
práticas de segurança. (Ferreira & Araujo, 2006, casos, funcionários de estabelecimentos
pag 92) comerciais são aliciados e permitem que
Soeli Claudete Klein, no seu trabalho criminosos instalem dentro do terminal de
intitulado ―Engenharia Social na Área da pagamento um chupa-cabra‖. De acordo com o
Tecnologia da Informação‖, assim se refere à mesmo artigo, ―chupa-cabra‖ são dispositivos que
Engenharia Social: memorizam as informações da tarja magnética do
cartão para cloná-los posteriormente. (Revista e inconsequente,
Info – Jul 2009 – pag. 66) que poderão ser
Outro grande foco de obtenção de utilizados pelos
informações pessoais, ou mesmo funcionais, são chamados
as chamadas redes de relacionamento, às quais o ―cibercriminosos
Caderno Digital, do jornal O GLOBO, refere-se ‖ para coação ou
da seguinte forma: mesmo
chantagem.
As redes sociais têm um aspecto sombrio no que
tange à segurança da informação. Como a própria A imagem, acessada em 25/07/09, está
web e os dados de identidade dos internautas disponível no artigo ―Desculpe, Luciana, não
passaram a ser o alvo dos criminosos digitais nos
últimos tempos, Orkut e congêneres não poderiam funcionou, mande de novo‖, acessível na URL a
ficar de fora de sua mira. (Caderno Digital – O
seguir:
Globo – 6 de julho de 2009).
http://www.contraditorium.com/2008/01/28/descu
Ainda tendo como referência o caderno lpe-luciana-nao-funcionou-mande-de-novo/.
Digital do O Globo, destacamos o artigo, A imagem também pode ser encontrada na
publicado no dia 29 de junho de 2009, 8ª página de imagens do Google sob o enfoque
denominado ―Cuidado com a e-perseguição‖, em da engenharia social, ou seja:
que são apresentados casos de ―perseguição 1) digite ―google.com.br‖;
digital‖, do qual extraímos os seguintes trechos: 2) escolha o menu ―imagens‖;
3) digite ―engenharia social‖ na caixa de
Há alguns anos ela teve a sua vida devassada por um
ex-namorado inconformado com o fim do pesquisa e clique em ―ok‖;
relacionamento. C. começou a desconfiar quando o
―ex‖ mostrou saber quais eram seus compromissos, 4) escolha a página 8;
os lugares aonde planejava ir e até quanto possuía na
conta bancária. Assustada, resolveu procurar um
5) ―voila‖ – é a primeira imagem que
consultor de segurança. aparece; e
- Ela me perguntou: ―é possível alguém saber pela
internet o que estou fazendo?‖ – lembra o consultor. 6) clique sobre a imagem e veja o artigo.
- Eu, por minha vez, perguntei se ele tinha acesso ao
computador dela. E descobri que ele tinha dado o PC
de presente a ela!
É claro que foi um presente de grego. A máquina No livro de Peixoto (2006), encontramos o
tinha vindo preparada com um programa de acesso
remoto e um keylogger (dispositivo que grava a
Engenheiro Social definido como uma pessoa
digitação). gentil, agradável, educada, simpática, carismática,
Resumo da história: através do keylogger e de outras
―armas‖ instaladas no PC, o ―ex‖ de C. pôde criativa, flexível, dinâmica, persuasiva e dona de
reconstituir todos os seus movimentos e capturar seus
logins e senhas, inclusive os do banco na internet. uma conversa muito envolvente. Como se
Assim, sabia de toda a sua vida.
Na internet, os protocolos de comunicação não são proteger de alguém assim?
protegidos e a conversa não trafega criptografada,
então alguém pode capturá-la e se inteirar de
Suas principais ferramentas de trabalho são:
histórias confidenciais. telefone, internet, intranet, e-mail, chats, fax,
A imagem ao lado ilustra mais uma vez a
cartas/correspondência, ―spyware‖, observação
obtenção, por meios ilícitos, de dados
pessoal, procura no lixo e intervenção pessoal
confidencias disponibilizados de maneira ingênua
direta.
Normalmente, possuidor de inteligência vaidade pessoal e/ou profissional;
privilegiada, o Engenheiro Social vai ―somando‖
autoconfiança;
todas as informações que, pacientemente,
a) vontade de ser útil; e
consegue obter nas inúmeras incursões
(eletrônicas ou pessoais) aos arquivos da vítima, a) busca por novas amizades.
até conseguir compor um mosaico de informações
significativas que o permita construir o perfil Falar de Engenharia Social sem falar em
social e funcional do alvo e, assim, ter condições Kevin Mitnick é o mesmo que falar de futebol
de realizar as fraudes que deseja. sem falar em Pelé.
Peixoto (2006) ainda apresenta uma Kevin Mitnick é o mais famoso hacker do
interessante definição de Engenharia Social, mundo. Ele foi caçado e preso pelo ―Federal
segundo ele obtida no sítio da Konsultex Bureau of Investigation‖ (FBI) em 1993 e, depois
Informática: ―ciência que estuda como o de passar cinco anos na prisão, ainda cumpriu
conhecimento do comportamento humano pode mais três de liberdade condicional. Atualmente
ser utilizado para induzir uma pessoa a atuar o seu Mitnick é dono de uma consultoria, conferencista
desejo‖. e escritor de livros, tendo publicado ―A Arte de
A enciclopédia eletrônica – Wikipédia – Enganar‖ e ―A Arte de Invadir‖. No primeiro
define Engenharia Social como sendo ―o conjunto deles, Mitnick procura transmitir ensinamentos
de práticas utilizadas para obter acesso a que sirvam de base para que usuários se previnam
informações importantes ou sigilosas, em contra os possíveis e eventuais ataques desse
organizações ou sistemas, por meio da enganação gênero, contando suas aventuras e peripécias,
ou exploração da confiança das pessoas‖, ou, enquanto no segundo, os ensinamentos são
ainda, como ―uma forma de entrar em passados com base em experiências vividas por
organizações, que não necessita da força bruta ou outros hackers.
de erros em máquinas‖ e que possui a destacada De acordo com Mitnick (2003), ao serem
propriedade de ―Explorar as falhas de segurança combinadas a inclinação para enganar as pessoas
das próprias pessoas que, quando não treinadas com os talentos da influência e persuasão, chega-
para esses ataques, podem ser facilmente se ao perfil de um engenheiro social do qual nem
manipuladas‖. um computador desligado está livre da ação, pois
A mesma enciclopédia esclarece que o ele é capaz de convencer um colaborador a entrar
Engenheiro Social pode se fazer passar por outra no escritório e ligá-lo. O referido escritor também
pessoa, fingindo ser um profissional que na destaca que, enquanto os colaboradores de uma
realidade não é, para explorar as falhas de empresa não estiverem devida e suficientemente
segurança. Ainda relaciona traços ―educados‖, treinados para não fornecerem
comportamentais e psicológicos que tornam o informações a estranhos, mais ou menos como
homem suscetível a ataques de engenharia social. nossos pais nos ensinavam nos idos anos 50 e 60,
Entre eles, pode-se destacar: as organizações continuarão sendo alvo do ataque
de vândalos e criminosos tecnológicos. preventiva. Trata-se de leitura obrigatória para
Ainda segundo Mitnick, alguns desses todos aqueles que querem aprender alguma coisa
ataques são sofisticadíssimos, verdadeiras obras sobre exposição e proteção relativas à Engenharia
de arte em termos de concepção e planejamento, Social.
exigindo profundos conhecimentos tecnológicos. Ambos os livros, ―A Arte de Enganar‖ e ―A
Mas, em outros casos, tudo o que o engenheiro Arte de Invadir‖, estão disponíveis na forma de
precisa fazer é simplesmente pedir a informação livros eletrônicos gratuitos e podem ser obtidos
desejada. com a ajuda de pesquisa direta no Google.
O atacante pode ainda atuar oferecendo ou Os Engenheiros Sociais, apesar de serem
pedindo ajuda, vasculhando o lixo ou enviando e- normalmente classificados como criminosos
mails. No entanto, ele basicamente aplica, eletrônicos, podem, entretanto, ser simples
intuitiva ou conscientemente, conhecimentos que captadores de informações, sem nenhum
lhe permitam explorar sentimentos e/ou emoções, conhecimento de informática. O crime por eles
tais como: medo, culpa, descontentamento, cometido é repassar as informações colhidas
vingança, simpatia etc. àqueles criminosos.
Senhas podem ser facilmente ―quebradas‖ Esses hackers são categorizados em tipos
(descobertas) com a utilização de programas que que os classificam de acordo com a malignidade
são capazes de testar, por exemplo, todas as de seus atos e suas competências técnicas. Desses
palavras contidas em um bom dicionário e mais tipos cabe destacar:
todas as combinações possíveis dos dados de - Os Hackers ou ―White hat‖ – aqueles que
nascimento da vítima e de seus familiares. São após detectarem uma falha na segurança e
muitas as pessoas que, preocupadas em não se invadirem uma organização deixam um alerta
esquecerem de suas senhas, usam essas datas para para que a incorreção seja eliminada.
protegerem seus acessos aos mais diversos meios Praticamente fazem a invasão pela satisfação de
de armazenamento de dados ou se utilizam de vencer o desafio de superar as barreiras existentes.
uma única senha para todos os acessos. - Os Crackers ou ―Black hat‖ – aqueles que
Qualquer candidato a hacker que tenha um possuem praticamente o mesmo nível de
mínimo de conhecimento da lógica utilizada pelos conhecimento do tipo anterior, mas diferem dele
informáticos começará a tentativa de quebra de pelos objetivos realmente criminosos, causando
senhas por combinações como ―123456..‖, qualquer espécie de prejuízo ao invadido e, se
―abcdef..‖, ―111111...‖, ―00000...‖. possível, obtendo lucro pessoal.
Os livros de Mitnick nos apresentam uma - Os Phreakers – aqueles que,
série de casos explorados muito essencialmente, manipulam equipamentos e
convenientemente, para mostrar o quão sistemas de telecomunicações para conseguirem
vulneráveis podemos ser, ou estar, a este tipo de as informações desejadas.
ação criminosa, assim como uma série de Nem mesmo as Forças Armadas estão livres
procedimentos a serem adotados como medida da ação desses ataques. Afinal, se para alguns
hackers o importante é vencer desafios, como oportunidade (exploração das vulnerabilidades
seriam conceituados aqueles que conseguem em existentes). Dos três aspectos, o único que não
uma ação de, aparentemente, extrema ousadia, podemos controlar é o primeiro deles, a
vencer as barreiras de segurança das organizações motivação, por ser estritamente pessoal. Nos
que, pelo menos teoricamente, são as mais fortes demais, temos obrigação de atuar, dificultando ao
em termos de segurança? Invadir o pentágono, por máximo a ação dos invasores.
exemplo, e simplesmente ―plantar‖ um alerta de Para isso, precisamos pensar em estabelecer
invasão traria ao invasor um reconhecimento alguns níveis de barreiras:
internacional da sua capacitação tecnológica. - barreiras físicas (portas, cadeados,
Se por um lado, a internet pode se trancas);
configurar em grande ameaça corporativa, por - controle de acesso (estabelecimento de
outro, ela disponibiliza uma série de arquivos e senhas, perfis de usuário e registro de acesso
fontes de consultas com toda sorte de informações realizado);
sobre a atuação dos ―cibercriminosos‖, - classificação das informações (grau de
possibilitando a todos aprenderem sobre o assunto sigilo);
e se prepararem para fazer frente a esse tipo de - uso de processos de codificação e
ação. São inúmeros os arquivos armazenados nos autenticação (criptografia, certificação digital) das
principais provedores de acesso à internet como, informações que circulam na rede da organização;
por exemplo, Google, Yahoo e Terra, assim como - armazenamento distribuído das
de filmetes do sítio ―youtube‖, com verdadeiras informações organizacionais; e
aulas sobre invasão, engenharia social, ―worms‖, - realização periódica de cópias de
―trojans‖, vírus, cavalos de troia, captura de segurança (backup).
senhas, ―spyware‖ e outras dessas tecnologias. De qualquer forma, julgamos também
Basta acessá-los, aprender e se proteger. imprescindível não esquecer que o engenheiro
Diante desse cenário, julgamos que o mais social normalmente adota como principal
importante aspecto relativo à segurança das ferramenta de ataque a persuasão, que será o foco
informações corporativas que merece ser do nosso próximo tópico.
destacado é, inquestionavelmente, a necessidade Encerramos este tópico com o mais antigo
de capacitação (cognitiva e comportamental) dos relato que se pode ter da hoje chamada
usuários dos diversos sistemas da organização, Engenharia Social:
dos gestores e dos manipuladores do capital
intelectual da instituição. Ora, Isaac envelheceu, e a vista escureceu-se-
lhe, e não podia ver.
Em todo o caso, é preciso estar consciente (...)
Vestiu Jacó com os melhores vestidos de Esaú
de que o Engenheiro Social atua baseado em três (...) e com as peles dos cabritos, envolveu-lhe as mãos
aspectos, a saber: motivação pessoal (desafio, e cobriu a parte nua do pescoço.
(...)
ganância ou sentimento de aventura), falta de Jacó, tendo levado tudo a Isaac, disse-lhe:
- Meu Pai!
controle da organização (vulnerabilidades) e
Ele respondeu: Ouço. vezes natural, inata, de falar aquilo que deve ser
- Quem és tu, meu filho?
Jacó disse: dito, da maneira mais agradável, no momento
- Eu sou teu filho primogênito, Esaú. oportuno e para a pessoa certa. Essa capacidade
(...)
Isaac disse: conquista pessoas, constrói relacionamentos e
- Chegue aqui, meu filho, para que eu o apalpe e
reconheça se és o meu filho Esaú ou não. permite que o comunicador influencie o ouvinte,
Jacó aproximou-se do pai, e, tendo-o apalpado, que passa a respeitá-lo, admirá-lo e até apoiá-lo na
Isaac disse:
- A voz verdadeiramente é a voz de Jacó, mas as consecução dos seus objetivos.
mãos são as de Esaú.
Issac não o reconheceu porque as mãos peludas
Essa capacidade é denominada persuasão e,
eram semelhantes às do mais velho. Portanto, como já dissemos anteriormente, constitui-se na
abençoando-o disse:
- Tu és o meu filho Esaú? principal ferramenta de ataque dos engenheiros
Jacó respondeu:
sociais na maioria das situações. É através dela
- Eu o sou.
E Isaac o abençoou (...) (A Bíblia Sagrada – que eles nos induzem a um erro de julgamento
Gênesis 27)
que nos faz vê-los como pessoas confiáveis, o que
7 O PODER DA PERSUASÃO obviamente não o são.
Consultando a enciclopédia eletrônica
Com tão pouco
tempo precioso Wikipédia, verificamos que a Persuasão é definida
para processar
tanta informação, como ―uma estratégia de comunicação que
nosso sistema
cognitivo consiste em utilizar recursos lógico-racionais ou
especializa-se em
atalhos mentais.
simbólicos para induzir alguém a aceitar uma
Com extraordinária ideia, uma atitude, ou realizar uma ação‖, ou
facilidade,
Fonte: Google/imagem
formamos ainda, ―o emprego de argumentos, legítimos ou
impressões,
fazemos não, com o propósito de conseguir que outro(s)
julgamentos e inventamos explicações. (...) A
finalidade biológica principal do pensamento é indivíduo(s) adote(m) certa(s) linha(s) de conduta,
nos manter vivos, e não garantir a certeza de
nossos julgamentos. Em algumas situações, teoria(s) ou crença(s)‖.
porém, a pressa nos conduz ao erro. (Myers –
2000, pág. 58) Então podemos entender que o engenheiro
social fará uso de todo seu poder de
Todos conhecemos ou já ouvimos relatos
argumentação, consciente ou intuitivamente, para
sobre pessoas que se destacam por conseguirem,
nos convencer a lhe franquear o acesso às
surpreendentemente, tudo o que desejam. São
informações que ele deseja.
aquelas pessoas para as quais tudo parece sempre
Se houver competência técnica por parte do
―dar certo‖. E o mais estranho é que, em muitos
invasor, ele fará, provavelmente, uma análise da
casos, elas nem parecem ser tão competentes,
personalidade do seu alvo, estudando o seu
inteligentes ou trabalhadoras, mas estão sempre
comportamento e verificando se se trata de uma
alcançando seus propósitos.
pessoa que pensa nos argumentos apresentados ou
Se observarmos um pouco mais atentamente
age impulsivamente. Isso lhe permitirá adotar a
a conduta de vida dessas pessoas, talvez possamos
atitude mais ―convincente‖.
identificar nelas uma incrível capacidade, muitas
Na documentação da referência, são Mcguire (citado por Olsson’s), são três os
destacados quatro dos elementos constitutivos da determinantes que definem o tipo de plateia
persuasão, a saber: o comunicador, a mensagem, a a qual nos dirigimos: a idade, o sexo e a
forma de comunicação e a audiência. Vejamos inteligência. E cada um deles condiciona, de
algumas considerações básicas sobre cada um forma específica, a receptividade e a reação
desses elementos: da plateia.
o comunicador – ao bom comunicador Do que já foi exposto, parece-nos ser
(comunicador persuasivo) são atribuídas as possível inferir que a persuasão é resultado
qualidades da credibilidade, decorrente da dinâmico de uma atividade de comunicação
sua especialização e fidedignidade, e da interpessoal e que a capacidade de persuadir pode
atratividade ou simpatia, fruto de atração ser desenvolvida mediante a observância e a
física ou de similaridade (semelhança como adoção de certas técnicas, algumas delas bem
destinatário da mensagem transmitida). definidas pela psicologia social, como as acima
Falar rapidamente, com convicção e enumeradas.
encarando o ―alvo‖ pode ajudar na Entretanto, cabe ressaltar que existem
persuasão. muitas outras obras publicadas sobre o assunto,
a mensagem – ao conteúdo da mensagem, algumas delas de autores de outras áreas do
é atribuído maior ou menor poder de conhecimento, tais como o livro ―A Mágica da
influência quando se associa os aspectos Persuasão‖, de Laurie Phun, advogada, mediadora
racionalidade e/ou emotividade da e palestrante, no qual a autora descreve 35 regras
mensagem ao tipo de assistência a que ela é para melhorar o processo de comunicação entre
dirigida. Myers, citando outros autores, pessoas.
mostra- nos que pessoas instruídas reagem Dessas regras destacamos as seguintes:
mais aos apelos racionais do que pessoas enriqueça os elogios:
menos instruídas. Da mesma forma, ainda ―Todos temos a mesma necessidade humana
demonstra que mensagens associadas a bons básica de sermos apreciados. (...) Quando
sentimentos são mais persuasivas. (Myers, suas palavras fazem com que alguém se
2000) sinta admirado e valorizado, você consegue
a forma de comunicação – com relação a que essa pessoa imediatamente o admire e
esse ítem, acreditamos que seja importante valorize‖. (Puhn, 2005. pág 81)
destacar que é a combinação da transforme as pessoas em parceiros:
complexidade da mensagem com o meio de ―... o importante é saber que é possível
disseminação que vai estabelecer o grau de conseguir o que se pretende das pessoas sem
persuasão. dar ordens. Como? Usando o poder da
consideração que, de acordo com William eficaz de conseguir que alguém queira fazer
algo por você‖. (Puhn, 2205. pág 101)
prepare seus argumentos: E são justamente os aspectos culturais e
―As pessoas precisam ouvir suas razões e comportamentais que o Engenheiro Social
provas para compreender as suas pretensões procurará manipular para atingir seu intento de
e se convencerem de que você está certo‖. ―conduzir‖ as ações do seu ―alvo‖, a fim de obter
(Puhn, 2005. pág 129) livre acesso às informações desejadas.
―quem não chora não mama‖:
―Quando você quiser algo, peça. As pessoas 8 CONCLUSÃO
às vezes não sabem o que você quer, só O estudo do assunto proposto não se
você‖. (Puhn, 2005. pag 184) esgotou neste artigo, até porque esse nunca foi o
Ao pesquisar a literatura a respeito de nosso objetivo. Nem mesmo chegamos a fazer um
comunicação interpessoal, verificamos que estudo aprofundado sobre o tema central, pois, na
podemos entender comunicação como um verdade, cada um dos tópicos desenvolvidos no
processo transacional, contínuo e colaborador de trabalho poderia ensejar várias pesquisas
troca, transmissão ou transferência de dados, específicas.
informações e/ou conhecimentos, que se constitui No entanto, mesmo com essa abordagem
em necessidade básica da humanidade. superficial, baseada em uma revisão bibliográfica
O ser humano, por se tratar de um ser social, reduzida, concluímos o trabalho com a esperança
precisa estabelecer relacionamentos e, para isso, de termos conseguido demonstrar que o
utiliza-se desse processo. tratamento da informação exige uma gestão
Ora, se a comunicação é uma necessidade apropriada, especificamente elaborada e
do ser humano e a persuasão decorre da convenientemente dimensionada. Tal cuidado
capacidade do locutor de usar a comunicação para deve-se à necessidade de preservação desse
influenciar ou convencer seus ouvintes, então importantíssimo patrimônio organizacional em
julgamos oportuno relatar que Adler e Towne face das diversas ameaças existentes no mundo
(2002) apresentam, como característica de uma moderno, mais do que digitalizado, virtualizado e
comunicação competente, a adaptabilidade globalizado por meio da rede mundial de
(flexibilidade), em outras palavras, o ―jogo de computadores, a Internet.
cintura‖ do comunicador, a No cenário mundial, os crimes também
―circunstancionalidade‖ e a ―relacionalidade‖. foram modernizados, são executados, muitas das
Esses mesmos autores ressaltam que no vezes, de forma virtual, e são tecnologicamente
processo de comunicação nem sempre o que se bastante sofisticados. Mundo onde ―hackers‖,
transmite é o percebido pelo receptor, e que isso ―crackers‖ e ―phreakers‖ se misturam de forma
acontece em função do esquema perceptivo desse quase equitativa com vaidade, inocência,
último. O processo perceptivo sofre influência ingenuidade, incompetência e despreparo para
direta de aspectos fisiológicos, culturais e comporem uma das formas mais eficiente de
comportamentais, que frequentemente nos apropriação indébita, a Engenharia Social.
conduzem a erros de percepção. Esperamos, principalmente, ter conseguido
– este sim era o nosso principal objetivo – quase impossível resistir aos seus ataques. A única
demonstrar que, embora em muitas ocasiões os providência cabível é treinar e capacitar
Engenheiros Sociais atuem de forma intuitiva, convenientemente os profissionais para identificar
quando eles agem conscientemente, ou seja, e reagir apropriadamente à investida desses
fazendo uso da persuasão e respeitando os meliantes, assim como às outras diversas ameaças
princípios básicos da psicologia social aplicados eletrônicas e virtuais desenvolvidas pelos
às técnicas de comunicação interpessoal, torna-se denominados ―cibercriminosos‖.
(*)O autor é Coronel da Reserva do Exército Brasileiro, Doutor em Ciências Militares pela Escola de Comando e Estado-
Maior do Exército (ECEME). Possui especialização em Análise de Sistemas – Centro de Estudos de Pessoal do Exército
(CEP), em 1989; MBA de Gestão Empresarial com ênfase em RH – UFRJ/ 2003/2004; e MBA executivo da FGV, em
andamento. (Email: abnersilva@uol.com.br)