Segurança da Informação

O usuário faz a diferença

Resumo do Livro

Sumário
1 Um bem chamado informação........................................................................1
2 A Segurança da Informação na Organização...................................................2
3 Termo de Compromisso...................................................................................3
4 Autenticação de usuário..................................................................................3
5 Evitar o carona................................................................................................5
6 Gestor da Informação......................................................................................5
7 Cópias de Segurança.......................................................................................5
8 Ações para problemas.....................................................................................6
9 Continuidade do negócio.................................................................................7
10 10 – Produtos homologados...........................................................................7
11 Uso de antivírus.............................................................................................7
12 Uso da internet..............................................................................................8
13 Uso do correio eletrônico...............................................................................9
14 Mensagens encadeadas e anexos no correio eletrônico................................9
15 Notícias e orientações via correio eletrônico.................................................9
16 Fraude que utiliza a tecnologia....................................................................10
17 Legislação....................................................................................................10
18 Privacidade..................................................................................................11
19 Informações Pessoais..................................................................................11
20 Engenharia Social........................................................................................12
21 Ambiente Convencional...............................................................................12
22 Dez direitos do usuário................................................................................13

1 Um bem chamado informação

A informação, independente de seu formato, é um ativo importante da organização. Por
isso, os ambientes e os equipamentos utilizados para seu processamento, seu
armazenamento e sua transmissão devem ser protegidos.
A informação tem valor para a organização. Sem informação, a organização não realiza
seu negócio.
Para as organizações, a informação é um bem, possui valor e deve ser protegida.
A informação é um ativo de valor devendo ser cuidada por políticas e regras.
É um recurso crítico para a realização do negócio e a execução da missão da
organização.
Cada empresa, através de uma área responsável pela Segurança da Informação (SI),

1/13
 Segurança da Informação - O usuário faz a diferença

deve definir suas regras e normas para que funcionários em geral devem seguir.
As políticas, normas e regras devem ocorrer de forma estruturada em alinhamento aos
negócios da organização, para que o mau uso da informação não prejudique a empresa.
A política de segurança da empresa deve deixar explícito que os usuários que acessem
suas informações da mesma, devem assegurar sua proteção contra possíveis perdas,
danos, destruição e mau uso.
“Proteger a informação é responsabilidade da cada pessoa na organização,
independentemente de seu nível hierárquico”.
Informações devem ser registradas para não serem perdidas.
A elaboração de um programa de SI devem contemplar o ambiente de computação atual,
evitando o vazamento de informações. ex.: envio de e-mail a destinatários de forma
equivocada, assim como documentações anexas (editadas utilizando editores de textos),
podem ser piores que spam.
A classificação em uma política rígida de utilização são medidas preventivas que podem
ajudar a minimizar o risco de vazamento de informações.
Toda informação deve ser protegida para que não seja indevidamente alterada, acessada
ou destruída.

2 A Segurança da Informação na Organização

Para que a proteção da informação seja eficaz no dia a dia da organização, os conceitos
e os regulamentos de segurança devem ser compreendidos e seguidos por todos os
usuários.
Em uma organização o usuário deve ser orientado em relação à proteção da informação,
através de ações e normas a serem cumpridas. Logo, o usuário deve ter conhecimento
sobre o assunto.
A SI é o conjunto de orientações, normas, procedimentos. Políticas e demais ações que
tem por objetivo proteger o recurso informação, possibilitando que o negócio da
organização seja realizado e a sua missão seja alcançada.
A SI existe para minimizar os riscos do negócio em relação à independência do uso dos
recursos de informação para o funcionamento da organização.
A ausência da informação ou sua utilização de forma incorreta pode gerar perdas que
comprometem o funcionamento da empresa e o retorno do investimento da empresa.
Proteger a informação significa:
Confidencialidade
• A informação deve ser acessada e utilizada exclusivamente pelos que necessitam
dela para a realização de suas atividades profissionais na organização. Para tanto
deve existir uma autorização prévia.
Integridade
• A informação deve estar correta, ser verdadeira e não estar corrompida.
Disponibilidade
• A informação deve estar acessível para o funcionamento da organização e para o
alcance dos seus objetivos e missão.
Legalidade

2/13
 Segurança da Informação - O usuário faz a diferença

• O uso da informação deve estar de acordo com as leis aplicáveis, regulamentos

licenças e contratos, bem como os princípios éticos seguidos pela organização e
desejados pela sociedade.
Auditabilidade
• O aceso e o uso da informação devem ser registrados, possibilitando a
identificação de quem fez o acesso e o que foi feito com a informação.
Não repúdio de auditoria
• O usuário que gerou ou alterou a informação não pode negar o fato, pois existem
mecanismos que garantem a sua autoria.
Assunto em destaque nesta sessão foi o vazamento de informações de forma intencional
ou não, por funcionários das empresas.
Toda informação tem um valor para a organização, para a concorrência e para o mercado
em que atua. A informação precisa ser protegida e gerenciada.

3 Termo de Compromisso
Organizações devem adotar o termo de compromisso assinado por funcionários,
objetivando divulgar e deixar explícito suas principais responsabilidades perante a
organização.
O termo de compromisso registra responsabilidade em relação a:
• manter sigilo das informações a qual o funcionário terá acesso;
• seguir as normas de segurança da informação;
• seguir o padrão ético da organização.
Um termo de responsabilidade também deve contemplar as penalidades, caso as normas
e os regulamentos não sejam cumpridos.
O funcionário deve entender o termo de compromisso como uma abordagem profissional
da em relação à segurança da informação. Esta é uma ação não pessoal contra o
funcionário, sendo apenas um meio para prevenção e proteção da informação.
“Para cada sistema desenvolvido é necessário que os requisitos de segurança sejam
definidos, validados e auditados”.
Para saber o que destruir numa situação de emergência, é necessário que a informação
esteja classificada em relação ao seu nível de confidencialidade: pública, interna,
confidencial ou secreta.

4 Autenticação de usuário
Normalmente a identificação é uma informação pública e de fácil conhecimento.
Já a autenticação deve ser sigilosa.
No ambiente computacional, o usuário é autenticado por alguma informação que sabe ou
possui
• Sabe – senha
• Possui – cartão, token ou biometria (característica física).
Ambas as informações podem ser utilizadas simultaneamente, para aumentar o nível de

3/13
 Segurança da Informação - O usuário faz a diferença

segurança.
Cada uma dessas formas de autenticação possuem um custo.
O custo do uso do cartão é maior que o de senha e a biometria é maior que o cartão.
• Logo o custo: biometria > cartão > senha
Porém em segurança o custo não é o mais importante.
A solução adequada é aquela coerente com o risco e o possível impacto que a
organização pode sofre caso o controle de proteção contra a ameaça seja quebrado.
O recurso mais utilizado é a senha, devido ao baixo curso e nível de segurança aceitável.
Dicas para escolha de senha
• Não utilizar:
◦ data de nascimento,
◦ nome de pessoas,
◦ nome de time,
◦ nomes ligados ao usuário ou organização.
• Não utilizar sequência obvia de caracteres.
• Utilizar no mínimo 6 caracteres.
• Utilizar letras, números e caracteres especiais.
• Utilizar a primeira letra de cada palavra que forma uma frase.
• Definir uma frase com sentido.
Uma senha deve ser fácil de ser lembrada pelo usuário e difícil de ser imaginada por outra
pessoa.
Certificado Digital
• Possibilita uma maior segurança na identificação e na autenticação de usuários.
• Equivale à autenticação de assinaturas no mundo real, realizada em cartórios
convencionais.
• No mundo virtual a validação da autenticação do usuário é feita utilizando um
terceiro elemento confiável, o cartório digital.
• O cartório virtual assegura sua identificação, através da apresentação de
certificado em um cartão inteligente ou outro dispositivo de armazenamento.
• O uso de certificado pode estar restrito à uma organização ou ao ICP Brasil –
Infraestrutura de Chaves Públicas Brasil.
Com a opção pelo ICP Brasil o usuário assinará um documento com a mesma validade
jurídica de um documento em papel com reconhecimento de firma em cartório
convencional.
Independentemente da forma de identificação e autenticação, é recomendado que o
usuário seja informado do seu último acesso ao ambiente computacional.
Cada organização utilizará o sistema que for mais adequado ao seu porte e ao seu
negócio, mas a responsabilidade pelo uso da autenticação é do usuário.

4/13
 Segurança da Informação - O usuário faz a diferença

5 Evitar o carona
Garanta que ninguém pegue carona no seu acesso lógico.
Ao deixar de usar o computador, colocá-lo em estado de proteção, exigindo uma senha de
proteção para recuperação deste estado. Sugestão de tempo 10 min..
Suspenda sua sessão de trabalho sempre que se ausentar do local onde se encontra o
computador.

6 Gestor da Informação
Devido ao seu valor para a organização, a informação é um recurso que deve ser bem
gerenciada e utilizada.
É necessário garantir que ela esteja sendo disponibilizada apenas para as pessoas que
precisam dela para o desempenho de suas atividades profissionais na organização.
A organização operacionalizada e a liberação correta da informação para o usuário é de
responsabilidade do gestor da informação.
O gestor da informação tem autoridade para liberar ou negar o acesso de qualquer
usuário a uma determinada informação.
Deve ser considerado qual o nível de acesso (leitura, escrita, remoção ou criação) que o
usuário deve receber e durante quanto tempo esse acesso deve ficar disponível.
O gestor da informação é indicado e formalizado pela alta direção da organização.
O gestor pode e deve indicar uma segunda pessoa (ou mais pessoas) para também
exercer esta função.
Toda informação pertence à organização, más é o gestor quem operacionaliza sua
liberação.
O gestor deve estar atento e garantir que cada usuário tenha apenas o tipo de acesso
necessário para o desempenho de sua função profissional dentro da organização.
O acesso à informação deve ser feito somente se o usuário estiver previamente
autorizado.
Qualquer tentativa de acesso a ambientes não autorizados será considerada pela
organização uma violação dos regulamentos de segurança.
A liberação da informação será autorizada pelo gestor da informação que considerará sua
confidencialidade e a necessidade de acesso do usuário.

7 Cópias de Segurança
A informação possui uma forte característica: Se for destruída e não tiver uma cópia,
nunca mais será recuperada.
Informações podem ser perdidas por erro ou de forma intencional, através de ações
criminosas (como incêndios).
Independente do que motivou a perda da informação, a organização precisa ter condições
de recuperar uma informação caso ela tenha sido destruída.
O mais importante é que sempre exista pelo menos uma cópia de segurança.
Toda informação deve ser avaliada em relação à sua criticidade e, consequentemente, em
relação à necessidade da existência de cópias de segurança.

5/13
 Segurança da Informação - O usuário faz a diferença

Uma recomendação importante e fundamental é guardar essas cópias em local seguro e

distante o suficiente para que, caso aconteça uma situação de destruição dessa
informação (desastre, roubo, ação de má-fe), a cópia de segurança esteja protegida
adequadamente.
É necessário a implantação de um plano de continuidade para minimizar consequências
de um desastre que possa destruir recursos de informação.
Esse plano deve ter definido seu escopo e pode ser restrito aos recursos de tecnologia,
ou se mais abrangente e contemplar a recuperação do negócio da organização.
Cópias de segurança ou soluções de redundância em tempo real (espelhamento) são
soluções que têm o mesmo objetivo, porém, com custos diferentes.
Toda informação crítica para o funcionamento da organização deve possuir, pelo menos,
uma cópia de segurança atualizada em local seguro.
Os procedimentos que possibilitam a guarda, a recuperação e o uso da informação
devem ser documentados para que a organização continue sua operacionalização mesmo
na ausência do usuário responsável pela atividade.

8 Ações para problemas

Toda informação deve ser protegida contra desastres físicos (dogo, calor, inundação entre
outros) e lógicos (vírus, acesso indevido, erro de programas, alteração incorreta entre
outros).
São classificadas didaticamente ações que deverm ser realizadas na organização
objetivando o combate de desastres e problemas:
Ações preventivas
• São as mais conhecidas e de melhor custo (mais baratas de implementar).
• Pode evitar que um desastre aconteça.
• Podem ser desde medidas simples até as mais sofisticada, respectivamente, desde
se alimentar próximo ao computador até a utilização de antivírus e a detecção de
intrusos quando a organização está conectada à Internet.
Ações detectivas ou para detecção
• Objetiva a identificação de uma situação problema que ocorre por não ter sido
impedida pelas ações preventivas.
• O quanto antes uma situação problema ou de risco for identificada, maiores serão
as chances de executar ações corretivas para se chegar a uma situação de
normalidade.
• Um exemplo é a medida de bloqueio de senha, após cinco tentativas sem sucesso.
É uma ação que pode detectar uma situação de tentativa de fraude ou
simplesmente o esquecimento de senha de um usuário.
Ações corretivas
• objetivam minimizar o problema existente.
• Normalmente, são ações alternativas que corrigem a situação problema, fazendo
com que a organização retorne a funcionar mesmo com menos recursos.
• O retorno de uma informação por meio de cópias de segurança ou a utilização do

6/13
 Segurança da Informação - O usuário faz a diferença

processamento em um ambiente alternativo são exemplos de ações corretivas.

A instalação de patches em sistemas para correção de bugs, pode constituir em ações
para problemas.
A existência de controles é fundamental para a segurança da informação.
Mecanismos para identificar situações que fogem do normal e que podem indicar uma
situação de erro ou má fé devem sempre existir.

9 Continuidade do negócio
A expectativa de uma organização é permanecer desenvolvendo suas atividades durante
anos ou até mesmo indefinidamente.
Há o invertimento de recursos com o objetivo de obter o retorno deste investimento, ou
seja, alcançar seus objetivos e cumprir sua missão.
Para que uma organização se recupere de uma situação de contingência e continue
funcionando de forma adequada, também são necessários outros recursos, como
humanos, de tecnologia de conhecimento de processos, de ambiente físico e de
infraestrutura.
Sendo assim, a organização possui um plano de continuidade do negócio em que o
usuário é envolvido no planejamento ou em sua execução, conforme suas atribuições
profissionais ou responsabilidade no acionamento do plano.
O usuário precisa estar ciente que o objetivo da organização é se manter em
funcionamento de forma adequada, mesmo enfrentando situação de
contingência/desastre.
Para evitar situações que tragam problemas para a organização, é necessário identificar
as ameaças possíveis e monitorar sempre o risco dessa dessa ameaça se concretizar.

10 10 – Produtos homologados
Os produtos homologados são aqueles que a organização define como um conjunto de
ferramentas de tecnologia que formam o padrão dos produtos que estão autorizados para
utilização por todos os usuários.
O usuário deve estar ciente que na homologação de um produto são considerados várias
questões:
• Manutenção de versões
• Treinamento de usuários
• Conhecimento coletivo
• Possibilidade de suporte ao usuário e
• Negociação comercial para licenciamento para o uso do produto em toda a
organização.
Para a homologação de novo produto, caso seja identificado características positivas no
mesmo, o usuário deve contatar a área de tecnologia da organização e apresentar a
sugestão.

11 Uso de antivírus
Motivos para criação de vírus:

7/13
 Segurança da Informação - O usuário faz a diferença

• Demonstração de conhecimento técnico: demonstra conhecimento do seu criador.

• Protesto: apenas espalham mensagens sem causar danos ao computador.
• Chantagem: são em menor número e especializados para atingirem grupos ou
empresas.
• Crime organizado: provêm ações ilegais, como roubar números de cartão, senhas
(quando digitada).
• Destruir por destruir: destroem informação sem motivo. Suspeita-se que os
próprios desenvolvedores de antivírus crie vírus para vender seus produtos.
Para proteção é necessário:
• A utilização de antivírus em servidores e estações.
• Manter o antivírus atualizado e certificar de que o antivírus esteja ativo.
• Escanear arquivos anexos antes de abri-los.
• Baixar arquivos somente de sites seguros.
• Manter cópia de segurança dos arquivos criados.
• Utilizar produtos homologados pela organização.
Proteções contra vírus somente serão efetivas se fizerem parte do processo de segurança
da organização e de uma arquitetura de segurança da informação.
Notícia sobre os vírus que mais contêm variantes e mais disseminados. O Netsky, Bagle e
MyDoom.

12 Uso da internet
Quando a organização defende uma política de segurança, seu objetivo é explicar aos
usuários que acessem e utilizem a informação qual é a filosofia e quais são as regras
sobre esse assunto.
A organização busca garantir que a informação esteja protegida contra possíveis perdas,
danos, destruição e/ou nau uso.
O usuário deve Identificar quais são as regras de sua organização, antes de:
• Utilizar a internet para questões pessoais, como sites de banco ou e-mail.
Verifique se não está infringindo a legislação quanto a direitos autorais, antes de copiar
arquivos da internet.
Os e-mails com fraude, também chamados de spam, formam a base dos ataques tipo
phishing.
• Esses ataques consistem no envio de mensagens falses, com a mesma aparência
de sites de bancos, instituições financeiras ou lojas virtuais.
Quantitativamente os worms ainda são a maior ameaça de segurança.
Em segundo lugar estão os scans, que são as atividades de reconhecimento de portas
direcionadas, geralmente, contra os serviços mais comuns de uma rede.
Só há uma forma de as organizações protegerem suas informações:
• estabelecer e manter um processo de segurança da informação,
independentemente do porte da organização e do negócio.

8/13
 Segurança da Informação - O usuário faz a diferença

No processo de segurança da informação, a conscientização dos usuários é fundamental,

pois a solução técnica é apenas parte da solução. Controles e ação do usuário completam
essa proteção.
Ao utilizar a internet da organização, apenas acesse sites que agreguem:
• conhecimento profissional para o usuário; ou
• produtividade para o negócio.

13 Uso do correio eletrônico

O correio eletrônico pode ajudar a organização a alcançar seus objetivos e a realizar sua
missão.
O uso do correio eletrônico na organização deve ter uma política de uso com regras
básicas que orientem o colaborador a utilizar esta ferramenta de comunicação.
Por exemplo, enviar e-mais com assuntos não pertinentes às atividades profissionais.
O correio eletrônico tem como objetivo principal facilitar a comunicação interna e externa
da organização.
As mensagens de correio eletrônico são instrumentos de comunicação interna e externa
para realização dos negócios da organização.

14 Mensagens encadeadas e anexos no correio eletrônico

O encadeamento de mensagem lembra uma regra de etiqueta na Internet:
• Ao responder uma mensagem, devemos deixar parte do texto original para que a
pessoa que enviou a primeira mensagem saiba do que estamos falando. Consiste
em um histórico.
No entanto, o aumento do número de mensagens encadeadas pode causar problemas:
• Circulação desnecessária de arquivos anexados: salvo em consideração de
que algumas ferramentas de correio não reenviam um anexo quando a opção de
resposta é utilizada. Geralmente o reenvio ocorre quano a opção para
encaminhar é escolhida.
• Confidencialidade da informação: ao repassar todas as mensagens, pode-se ter
informações confidenciais no histórico, restrita aos primeiros destinatários.
Logo:
• As questões acima devem ser avaliadas antes do reenvio de uma mensagem;
• Somente envie arquivos anexados somente quando for necessário;
• Exerça a proteção: descarte arquivos não esperados;
• Esqueça a sabedoria: não incentive o encadeamento de mensagens de correio
eletrônico.

15 Notícias e orientações via correio eletrônico

Uma mensagem de correio eletrônico nos informa quem a enviou e quando.
Tudo isso nos leva a assumir que a informação é verdadeira, ma tanto a mensagem como
a indicação de quem enviou podem ser falsas.

9/13
 Segurança da Informação - O usuário faz a diferença

16 Fraude que utiliza a tecnologia

A proteção do recurso computacional de uso individual é de responsabilidade do usuário.
O usuário deve verificar na sua organização os procedimentos em caso de perda ou
roubo.
Para evitar fraudes no ambiente corporativo, como roubo de senhas (visualmente ou
mecanicamente, utilizando conexões de teclados paralelos), algumas medidas de
segurança devem ser adotadas:
Segurança Física
• Garantir que o acesso aos equipamentos e seu manuseio sejam feitos apenas pelo
usuário e pelo pessoal técnico autorizado.
• Lacres devem ser colocados nas partes do equipamento que podem ser violados.
Eles não evitam, mas identificam a violação.
Segurança Lógica
• Ao entrar no ambiente computacional, o usuário deve ser informado quando e onde
foi seu último acesso.
• Sendo assim, caso alguém capture a informação de identificação/senha e a utilize
indevidamente, o usuário tem condições de identificar esse uso indevido.
A organização deve se preocupar com os dados que estão nas mídias de armazenamento
ao descartar equipamentos.
Devem ser utilizadas técnicas que são suficientes para apagar fisicamente a informação
gravada anteriormente.

17 Legislação
A divulgação não autorizada de informação confidencial pode causar impacto (financeiro,
de imagem ou operacional) ao negócio da organização.
Existe uma legislação que atende grande parte do mundo virtual. Acessos indevidos,
ações de destruição em ambientes de terceiros são atos considerados ilegais.
Exceto para algumas ações técnicas, a maior parte dos crimes utilizando o ambiente
computacional pode ser tipificado na legislação referente às atividades ilegais no mundo.
As organizações precisam proteger seu ambiente computacional para que ele não seja
utilizado como instrumentos para ações de má-fé. Caso contrário, mesmo sem querer, ela
pode se tornar parte da aplicação do golpe.
Deve haver a mesma proteção no nível das outras organizações de mesmo porte, e que
os padrões de proteção normalmente utilizados pelos profissionais de segurança da
informação estejam sendo seguidos.
De acordo com a legislação em vigor, os executivos e os gerentes devem executar sua
gestão de forma eficiente e com probidade.
A classificação da informação é importante para que as regras sobre o acesso e a
confidencialidade possam ser definidas e implementadas.
É importante que exista um gestor da informação, que pode ser uma pessoa ou uma
comissão, que tenha responsabilidade de avaliar e definir essa classificação.
As regras precisam estar explícitas para conhecimento de todos, para serem cumpridas e

10/13
 Segurança da Informação - O usuário faz a diferença

também questionadas.

18 Privacidade
Alguns países possuem uma legislação mais severa do que outros, porém os princípios
básicos são aceitos por todos: a privacidade de cada pessoa não deve ser violada.
Existe uma inversa proporcionalidade quando se trata de privacidade e segurança do
indivíduo: quanto maios a segurança menor é a privacidade.
Buscando garantir a legalidade do uso da informação, deve-se considerar o aspecto
de privacidade do usuário: os aspectos de segurança física e da segurança da
informação.
Segurança Física
• Controle e registro de acesso, por meio do uso de crachás, a filmagem de
ambientes, as barreiras com catracas, a vigilância com guardas e a existência de
áreas restritas.
Informação e o Ambiente de Tecnologia
• Identificação e autenticação de usuários, uso restrito de recursos (transações) e
registro dos acessos por cada usuário.
O nível de privacidade das informações dependem do tipo de negócio realizado pela
organização.
O uso de recursos da organização deve ser feito para suas atividades profissionais
considerando a função que você exerce na empresa.
Agir profissionalmente é garantir a privacidade dos colaboradores e dos clientes da
organização.
Ocorrência de erros podem ser minimizadas com:
• Treinamento para a correta utilização de recursos;
• Conscientização do usuário para a existência de riscos;
• Definição de processos para implementação de controles e aumento da
possibilidade de evitar a ocorrência de erro.
A existência de grande quantidade de informações sobrea as pessoas deve ser cercada
de proteção adequada e ser coletada de forma legal.

19 Informações Pessoais
Existem informações específicas de cada usuário: dados cadastrais, médicos,
desempenho profissional e da vida acadêmica.
É importante que as empresas prestadoras de serviços possuam o mesmo nível de
comprometimento e seriedade de sua organização no tratamento das informações
pessoais.
Não devem ser mantidas nas bases de dados da organização as informações pessoais
que não sejam relevante ou não sejam exigidas legalmente o para o funcionamento t do
negócio e da infraestrutura da organização.
A engenharia social acontece sempre e ataca o elo mais frágil do processo de segurança
da informação: o ser humano.

11/13
 Segurança da Informação - O usuário faz a diferença

Normalmente, as organizações usam adequadamente várias barreiras lógicas para

proteger as bases de dados que contêm informações que pode interessar aos
fraudadores. As vezes, barreiras físicas também são utilizadas, onde a base de dados não
fica em comunicação com os recursos internos que estão ligados na internet.

20 Engenharia Social
A pessoa é o elo mais frágil na corrente de proteção da informação.
Cada usuário tem a responsabilidade profissional de cuidar da informação que utiliza.
É necessário a identificação e autenticação em um ambiente computacional.
Devido aos diversos tipo de proteção aos recursos computacionais, quando alguém
deseja invadir ou acessar informações da organização, é mais fácil ir pelo caminho da
Engenharia Social.
Engenharia Social consiste no conjunto de procedimentos e ações que são utilizados
para adquirir informações de uma organização ou de uma pessoa por meio de contatos
falses sem o udo da força, do arrombamento físico ou de qualquer brutalidade.
Deve-se ter cuidado com o lixo das organizações. Informações que são desprezadas em
lixos, isoladamente, não têm muito valor, mas juntas e com a vontade e a inteligência de
um fraudador valem muito.
Como os engenheiros sociais agem nas organizações:
• Falam com conhecimento
◦ Fala com propriedade sobre determinado assunto.
◦ Utiliza linguagem apropriada para o local, para tirar proveito e alcançar seus
objetivos.
• Adquirem a confiança do interlocutor
◦ Passa a imagem de uma pessoa de confiança.
◦ Permite a criação de forte vínculo com a vítima.
• Prestam favores
◦ Passam confiança com a prestação de favores, como solução de problemas
que o próprio causou.
Ter regras e procedimentos rígidos que devem ser sempre seguidos são premissa para
evitar a ação de fraudadores utilizando a engenharia social.

21 Ambiente Convencional
Tenha cuidado ao falar e conversar com outras pessoas.
Todos os locais físicos em que se encontram recursos de informação devem possuir
proteção de controle de acesso.
Cuidados para tratar a informação da organização no ambiente computacional:
• Falar em ambiente não seguro
◦ Não discutir assuntos da organização em ambientes em que não se possa
garantir o sigilo da informação.
• Mostrar a informação

12/13
 Segurança da Informação - O usuário faz a diferença

◦ Cuidado para não ser observado, quando estiver utilizando computadores e

documentação da empresa, em locais públicos.
• Deixar a informação
◦ Cuidado ao deixar locais como salas de reuniões, para não deixar registrado
informações em quadros, flips ou outro tipo de material.
• Entregar a informação
◦ Cuidado com as informações colocadas no lixo.
◦ Cuidado ao enviar documentos para impressão pela rede e não buscá-lo.
• Acesso físico
◦ As áreas e os ambientes físicos da organização devem ter acesso restrito para
visitantes e outras pessoas que não trabalham no local no dia a dia.
◦ Os visitantes devem sempre estar acompanhados por alguém da organização.
◦ Todas as pessoas no ambiente da organização devem estar identificadas com
crachás, e qualquer colaborador deve poder questionar pessoas sem
identificação.
Analistas de uma organização fizeram questão de frisar aos executivos de TI que, em vez
de se ocuparem com questões relacionadas ao ciberterrorismo, deviam olhar com mais
atenção o acesso de seus funcionários ao bens da empresa.

22 Dez direitos do usuário

1. Ter acesso individual.
2. Acessar as informações necessárias para o desempenho de suas atividades
profissionais.
3. Saber quais informações existem a seu respeito e poder indicar correções.
4. Saber as situações em que seu acesso à informação será registrado em trilha (log) de
auditoria.
5. Ser informado de forma explícita, clara e contínua sobre a política e os demais
regulamentos de segurança da informação.
6. Ser avisado quando ocorrer tentativas de acesso inválido utilizando sua identificação.
7. Receber treinamento adequado sobre os mecanismos de segurança de informação,
que devem ser de fácil utilização.
8. Poder comunicar qualquer ocorrência ou suspeita de ocorrência que comprometa a
segurança da informação.
9. Ter garantida sua privacidade pessoal.
10. Ser considerado mais importante do que qualquer recurso tecnológico.

13/13