O FATOR HUMANO COMO DESAFIO IMINENTE S POLTICAS DE SEGURANA DA INFORMAO DENTRO DAS ORGANIZAES

PEIXOTO - Mrio Csar Pintaudi mariocesar@nanet.com.br

1. RESUMO Inmeros so os relatos provenientes s tentativas bem ou mal sucedidas de ataques a servidores, ou computadores pessoais. Dotados dos chamados sistemas dificultantes de entrada indevida, mais conhecidos como firewall, antivirus, anti-spam, anti-worms; enfim todo o tipo de arquivo malicioso que venha a prejudicar a sade do computador. Embora toda a ateno, ou pelo menos grande parte dela, esteja focada aos cuidados tcnicos propriamente ditos, no adiantar se no estiver agregada orientao de como manipular tais informaes, tambm a conscientizao do porque e de quanto cada funcionrio em particular importante no cumprimento responsvel de seu papel dentro da Organizao. Em especial quanto s informaes que ali circulam dentro da empresa, mas sobretudo as informaes especficas a funo que se cumpre e responsvel.Em sntese os fatores relacionados a gesto da segurana da informao conjuntamente a algumas tcnicas da engenharia social, sero abordadas.Utopias a parte, este artigo busca singelamente demonstrar que conseguir bons resultados at mesmo a curto prazo possvel.

Palavras chave: segurana, informao, conscientizao.

ABSTRACT

Innumerable they are the stories proceeding to the attempts succeeded from attacks the personal servers, or computers well or badly. Endowed with the calls "dificulty systems of improper entrance", more known as firewall, anti-virus, anti-Spam, anti-worms; at last all the type of malicious archive that comes to harm the "health" of the computer. Although all the attention, or at least great part of it,

is to the cares technician properly said, it will not advance if it will not be added to the orientation of as to manipulate such information, also the awareness of because and of how much each employee in confidence it is important in the responsible fulfilment of its paper inside of the Organization. In special how much to the information that circulate there inside of the company, but over all the specific information the function who if fulfills and is responsibility. And synthesis jointly the related factors the management of the security of the information to some techniques of social engineering, will be abordadas.Utopias the part, this article simply search to demonstrate that to obtain good results even though short-term it is possible. Words key: security, information, awareness

2. INTRODUO

Visto que a maior complexidade em resolver os problemas de segurana inerentes s informaes, no esta na tecnologia empregada pela empresa e sim naqueles funcionrios que nela trabalham, parte-se do princpio de que todos so responsveis por todos. Ou seja, no porque um determinado funcionrio que trabalha no setor de limpeza, por exemplo, sabendo das condutas e prticas de segurana das informaes, poder deixar de chamar a ateno de outro funcionrio que trabalha no setor de contabilidade, percebendo alguma falha. Vale ressaltar que a conscientizao literalmente a alma do negcio Principalmente em se tratando de informaes sejam elas tcnicas, tticas ou estratgicas. A maneira com que entendida a informao perante os funcionrios tida como subjetiva. Essa mentalidade tem que ser mudada. Deve-se pensar como um todo. Independente de ser aquele ou outro funcionrio de diferentes setores. Como ao certo ento moldar essa mentalidade a ponto de se chegar a uma conscientizao quase que homognea? Comeando por exemplo com planos de divulgao interna na empresa, educando, conduzindo e habituando o funcionrio a compreender a enorme importncia dele naquele contexto.

3. METODOLOGIA

FIGURA A Estrutura de Ataque

Legenda: OE Organizao Empresa ISE Informaes Sigilosas da Empresa (informaes internas e confidenciais da empresa) IGD Informaes Gerais Disponveis (informaes disponveis na internet, livros, revistas, jornais, ou at mesmo no lixo) Vtima Ativa (funcionrios da empresa) Vtima Superficial (parentes e/ou amigos da vtima ativa, exfuncionrios,servios terceirizados,concorrentes).

FIGURA B Dinmica da entrega de informaes

4. RESULTADOS Analisando a FIGURA A Estrutura de Ataque, pode-se perceber que o engenheiro social estipula seus ataques para chegar ao foco principal, que as informaes confidenciais da empresa, passando sempre pelo elo mais fraco que o fator humano; ou seja, a chamada vtima ativa (VA) ou vtima superficial (VS). Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais fora, ou conseguem atingir seus objetivos com mais eficincia, partindo-se do pressuposto de que a coleta primeiramente das informaes a partir do fator externo, IGD + VS, leva a deduzir que ser mais bem sucedida a chegada s informaes sigilosas da empresa (ISE) como tambm mais convincente a persuadir a vtima ativa (VA),fazendo IGC+VS+VA, para ento finalmente chegar a estas informaes confidenciais.

Porm o engenheiro social poder optar por direcionar seu ataque diretamente vtima ativa (VA), almejando logo em seguida as informaes sigilosas da empresa (ISE).Sendo este mtodo considerado mais vlido para aquele engenheiro social com maior experincia. Outro ponto a se destacar a importncia que a vtima superficial (VS) tem nesse papel das informaes fornecidas. Dependendo da origem desta vtima como sobretudo a qualidade destas informaes geradas ao engenheiro social, este contudo ter grandes possibilidades de j conseguir atingir seu objetivo. Assim como IGD + VS podem levar as informaes confidenciais da empresa tambm IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistncia que a prpria VA pode oferecer, levando-se em conta a falta de credibilidade e confiana transmitida que o engenheiro social deveria dispor. Isso devido a no passagem pela coleta de informaes com a vtima superficial (VS). Enfim, a frmula ideal para uma maior garantia do sucesso deste ataque ser sem dvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja: IGD + VS + VA ISE

Agora de acordo com o que demonstrado na FIGURA B Dinmica da entrega de informaes, no momento em que o engenheiro social faz o contato, interage ou comunica-se, surge ento a chamada *Distncia de resistncia que existe com qualquer suposta vtima que o engenheiro social determina como alvo de seu ataque. Essa distncia pode ser tanto maior ou menor (da vtima ao engenheiro social) dependendo do estudo que fora feito pelo prprio engenheiro social na busca de uma gama maior de informaes, a tal ponto de fazer com que o contato com o alvo seja de certa forma bem familiarizada. Dando a impresso realmente de que o atacante (engenheiro social) conhece muito bem aquele ambiente tendo a total segurana do que esta falando, com quem quer falar e at onde chegar. *Raio de conhecimento equivale ao conhecimento baseado nas polticas de segurana adotadas pela Empresa mais o conhecimento das tcnicas utilizadas pelo engenheiro social.

Ou seja, quanto maior for esse raio menor ser a probabilidade de se entregar informaes valiosas ao engenheiro social.

5. CONCLUSO

Imbudo dos poucos conceitos mencionados, mas de concretas anlises metdicas como visto, percebera-se o quo frgeis e despreparadas esto a maioria das Organizaes hoje. Sem dvida a muitas lacunas a serem fechadas pelas empresas. Uma anlise TopDow j identifica tais lacunas.Um diagnstico mais minucioso identificar no mais simples lacunas e sim extensos buracos . lamentvel como ainda muitas empresas de pequeno, mas

principalmente de mdio e grande porte, levam em conta que a implementao de determinadas aes e diretrizes sejam consideradas mais uma despesa, e no um investimento; diga-se de passagem, muito benfico e relevante a evitar futuros agravantes aos ativos da empresa, consequentemente perda de capital. Contudo fica a lio de que com toda a evoluo que se perpetue ainda ao longo de muitos e muitos anos, a tecnologia mais tecnolgica ser sempre submissa ao humano mais humanstico.

6. REFERNCIAS BIBLIOGRFICAS

01. MITNICK, KEVIN. O conhecimento que assusta. InformationWeek Brasil, [So Paulo], 2003. Entrevista. Disponvel em: <http://www.informationweek.com.br/iw70/mitnick/>. Acesso em: 27 fev. 2004. 02. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurana da informao. So Paulo: Pearson Education, 2003. 03. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Campus, 2003.