JOSUÉ COSTA JÚNIOR

SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social

JEQUIÉ-BA. 2012

JOSUÉ COSTA JÚNIOR

SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social
Artigo apresentado ao curso de pósgraduação como requisito obrigatório para obtenção do título de especialista em Gestão em Tecnologia da Informação, da Faculdade de Tecnologia e Ciência. Orientador: Prof. MsC. Saulo Correia Peixoto

JEQUIÉ-BA. 2012

2012 . Coordenador do Curso de Nome do Curso FACULDADE DE TECNOLOGIA E CIÊNCIAS DE UNIDADE (CIDADE) JEQUIÉ-BA.FOLHA DE APROVAÇÃO Nome do aluno: _____________________________________________________ Curso: _____________________________________________________________ Título do Artigo:_____________________________________________________ PARECER: 1) Trabalho aprovado sem alteração 3) Trabalho não aprovado – comentar Comentários: ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________ NOTA:___________ Data de aprovação / / • • 2) Trabalho aprovado com sugestão – comentar BANCA EXAMINADORA: Orientador Prof. Titulação. FACULDADE DE TECNOLOGIA E CIÊNCIAS DE UNIDADE (CIDADE) Prof.

1 Pos-graduando em Gestão em Tecnologia da Informação. ABSTRACT This study discusses different views of authors on information security and social engineering. Engenharia. a reformulação contínua de políticas de segurança. the best way to minimize human vulnerabilities facing social engineering attacks is continuous reformulation of security policies. Seu objetivo é identificar ferramentas. Concludes that. pela Faculdade de Tecnologia e Ciências – FTC. Revisa textos com base nos conceitos e fundamentos da segurança. Conscientização. mesmo não sendo definitiva. Humano.com . sobretudo. 357. E-mail: saulopeixoto@hotmail. Mestre em Administração Pública. e nas tendências de ataques contra o maior ativo de uma organização.FTC. and on tendencies in attacks against an organization's greatest asset. a melhor forma de minimizar as vulnerabilidades humanas diante de ataques de engenharia social é. Information. a informação. Social. Especialista em Redes de Computadores. Key Words: Security. medidas e principalmente atitudes comportamentais que poderiam minimizar ataques contra sistemas de informação das organizações. E-mail: josuecostajr@gmail. Human. awareness and on going training of staff and especially the commitment of top management professionals company on this issue. Jequié/Bahia. Rua Antônio Orrico.com 2 Professor Orientador da Faculdade de Tecnologia e Ciências . Informação. Your purpose is to identify tools. while not definitive. Social.204-010. Revises text based on the concepts and fundamentals of safety. tactics and especially behavioral attitudes that could minimize attacks against information systems of organizations. e Bacharel em Ciências da Computação. information. a conscientização e o treinamento contínuo de pessoal e.4 SEGURANÇA DA INFORMAÇÃO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social Josué Costa Júnior1 Saulo Correa Peixoto2 RESUMO Este estudo discute diversos pontos de vista de autores sobre segurança da informação e engenharia social. Engeneering. Palavras Chave: Segurança. Awareness. Auditoria Fiscal e Criminalística. CEP: 45. Metodologia do Ensino Superior. o comprometimento dos profissionais da alta gestão da empresa diante deste tema. Conclui que. São Judas Tadeu.

É real e suas consequências irão revolucionar o uso dos equipamentos pessoais. a sociedade moderna realiza atividades por meios eletrônicos. são minimas tarefas. manutenção e desenvolvimento das organizações de forma plena e organizada. (SIQUEIRA. nenhuma foi mais importante que o aumento da informação. se tornou tão incrivelmente iminente quanto o crescimento tecnológico das últimas décadas. E não é uma buzzword. A informação e o conhecimento tornaram-se os principais recursos econômicos para a competitividade das empresas. entre outros. fibra-ótica. na mesma proporção que o uso destas facilidades abriram novas fronteiras e tornaram a sociedade moderna na “sociedade da informação”. Para Siqueira (2005). assinatura digital. os mercados empresariais também se modificaram com essa nova realidade. ensino à distância. Nesta realidade empresarial moderna percebe-se o quanto as empresas tem se tornado cada vez mais dependentes da informação – muito mais digitalizada. No cenário corporativo. atualmente. Com este crescimento a tecnologia da informação se difundiu tão rapidamente que ninguém mais sobrevive a este contexto sem algum tipo de dispositivo eletrônico que possibilite o acesso à rede mundial (internet). necessária às empresas que buscavam maior velocidade nas ações.com. Fonte: http://computerworld. moeda eletrônica. Sejam em diferentes aspectos ou em épocas distintas a informação ganhou seu espaço tornando-se o bem mais valioso do século atual. A facilidade para roubar senhas e códigos de acesso e assim ganhar acesso indevido à informação. aplicações remotas. possíveis de serem realizadas por meios eletrônicos. comunicação por mensagens instantâneas ou voz. Sêmola (2003) diz que compartilhar informação passou a ser considerada uma prática moderna de gestão. certificados digitais. Compras online. da Apple. Cada vez mais no ambiente corporativo se ouve falar em: videoconferência. lixo eletrônico.5 1 INTRODUÇÃO De todas as mudanças que marcaram a sociedade chamada produtiva nas últimas décadas. compartilhada e distribuída – 3 O termo pós-PC começou a ser badalado em uma entrevista de Steve Jobs. conectividade. também se abriram outras possibilidades: ações que ameaçam a segurança. quando do anúncio do iPad2. 2005). biblioteca virtual. e-commerce. criando uma necessidade de valorização. No entanto.uol. Vivendo na era pós-PC 3. pagamentos e transferências bancárias.br/blog/tecnologia/2011/12/12/a-era-pos-pc/ . telefonia digital. correio eletrônico. que antes exigiam ações presenciais e manuais de seus realizadores.

Diante do exposto surge então o problema motivador desta pesquisa: Quais são as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurança da informação diante de ataques de Engenharia Social? O tema deste estudo tem como base a vulnerabilidade da Segurança da Informação diante da Engenharia Social. demonstram que a segurança da informação nos ambientes corporativos merece uma maior atenção. sobretudo às pessoas que por elas são responsáveis. . são pontos fortes exploráveis dentro desta temática. se torna um dos fatores predominantes na “quebra” da confidencialidade de informações vitais ao negócio. controla e a gerencia. 1.Abordar a importância da gestão da segurança das informações para os executivos . mostrando assim que a maior das falhas constatada ainda é a ingenuidade humana.1 Problema O surgimento de vários especialistas na prática de crimes baseados na exploração de falhas de arquiteturas e sistemas. . Entretanto. os profissionais ligados às áreas administrativas e gerenciais.2 Objetivos O objetivo final deste trabalho é identificar as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurança da informação diante de ataques de Engenharia Social. referente. de todo o material humano e infra-estrutura envolvidos. no âmbito físico. Para tanto foi necessário perpassar os seguintes objetivos intermediários: .Entender elementos de segurança da informação. que da mesma maneira que cada pessoa deve ter cuidado com seus documentos pessoais. Desde os objetos de proteção até os fatores ambientais. as organizações devem ter cuidado com todo o tipo de informação que circula dentro dela. tecnológico e humano. o que o torna extremamente abrangente. como rede de relacionamentos do indivíduo e o conhecimento externo que as pessoas tem a seu respeito. que a mantém. para lidar e reconhecer situações de riscos. o despreparo de colaboradores envolvidos nas áreas de gestão.Abordar quesitos relevantes de ameças e vulnerabilidades à segurança da informação nas organizações.6 além. como por exemplo. 1. E é justamente neste panorama.

figuras. 3 REVISÃO DE LITERATURA 3. implica seleção. Quanto aos fins. pretende discutir os diversos pontos de vista de autores sobre segurança da informação e engenharia social através da revisão de suas obras. através de sua metodologia.Verificar questões de ética quanto à segurança da informação para os profissionais envolvidos nas diversas áreas de gestão de uma organização. Portanto. eventos. De acordo com Turban et al (2004). Os dados podem ser numéricos. som ou imagens. atividades e transações que são gravados. . Engenharia Social e Gestão da Informação. através de levantamento bibliográfico e estudos de dados e informações que visem compreender o problema proposto. trata-se de uma abordagem de caráter explicativo. classificados e armazenados.7 envolvidos na administração de uma Organização. . seguida de um relato por escrito”. dados são itens referentes a uma descrição primária de objetivos. 2 METODOLOGIA O presente estudo. a pesquisa tem caráter bibliográfico. alfanuméricos. .Analisar a difusão do conceito de Engenharia Social entre os profissionais da área administrativa e operacional (Treinamento e Conscientização). na prática. obras de vários autores envolvidos nos temas explorados neste trabalho. leitura e análise de textos relevantes ao tema do projeto. já que estão sendo utilizados como fonte de informação. o conteúdo do referencial teórico deste estudo é composto por informações extraídas de livros e artigos na Internet referentes à Segurança da Informação.1 Informação Para chegar ao ponto conceitual da informação é preciso primeiramente entender o conceito que serve de base para a informação: os dados. “a revisão da literatura. De acordo com Roesch (1999) apud Castro (2006). mas não chegam a ser organizados de forma a transmitir algum significado específico. Quanto aos meios.

. al. Laudon e Laudon (2004) diz que dados representam eventos que estão ocorrendo nas organizações ou no ambiente físico. conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais. usuários de informações desconhecem seu valor e podem colocar a si ou uma instituição numa condição vulnerável. . al. Sêmola (2003) define como informação: “. software. os recursos físicos de sistemas de informações. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Distribuída por todos os processos de negócios e circulando por diversos ativos (tudo o que manipula direta ou indiretamente a informação inclusive ela própria). procedimentos e quaisquer outros recursos de informação ficam vulneráveis em muitos lugares e a todo instante. Laudon e Laudon (2004) conceituam a informação de forma mais simplificada: dados apresentados em uma forma significativa e útil para os seres humanos. SÊMOLA (2003:45) De acordo Sêmola (2003 apud Peixoto. principalmente. quando diante de um engenheiro social (FILHO. (2004) informação é todo conjunto de dados organizados de forma a terem sentido e valor para seu destinatário. Este interpreta o significado e tira conclusões do material desenvolvido pelos dados. 2004). Filho (2004) diz que informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo. os quais são alvos de proteção de segurança da informação”. antes de terem sido organizados e arranjados de uma forma que as pessoas possam entendê-los e usálos. Segundo Turban et.. Assim. chamados ativos. a informação cumpre um papel importante para fornecer instrumentos para gestão do negócio. dados. ambientes e tecnologias. Na grande maioria das situações. servindo a determinado propósito e sendo de utilidade ao ser humano. (…) A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo. A informação é transmitida de e para a empresa e entre seus integrantes.. Para Sêmola (2003) a informação é o sangue da empresa. 2004). 2006). (TURBAN et. a informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional da empresa.8 Em concordância com o conceito citado acima.

preservação dos princípios). É a característica que a informação adquire ao ser alvo de uma prática de segurança (segura é adjetivo. Segundo Sêmola (2003). a impossibilidade de que agentes participantes em transações ou na comunicação repudiem a autoria de suas mensagens. Resultado da prática adotada. e procedimentos para garantir a continuidade de negócios na ocorrência de acidentes. Por exemplo: Segurança como “meio”: A segurança da informação visa garantir a confidencialidade. roubo ou danos físicos a sistemas de informação. composta de um conjunto de metodologias e aplicações que visam estabelecer: controles de segurança dos elementos constituintes de uma rede de comunicação e/ou que manipulem a informação (por exemplo. a expressão “Segurança da Informação” é um termo ambíguo. SÊMOLA (2003:44) diz que devemos ter consciência desta ambiguidade. a fim de identificar o conceito mais apropriado. procedimentos e medidas técnicas usados para impedir acesso não autorizado. Peixoto (2006) diz que o termo Segurança da Informação pode ser designado como uma área do conhecimento que salvaguarda os chamados ativos da informação contra os acessos indevidos. a conformidade com a legislação vigente e a continuidade dos negócios. Ele pode se dar por um conjunto de técnicas e ferramentas. autorização e auditoria). ação. modificações não autorizadas ou até mesmo sua não disponibilidade. 2. integridade e disponibilidade da informação. podendo assumir dupla interpretação: 1. (LAUDON e LAUDON. de autenticação. objetivo a ser alcançado.2 Segurança da Informação nas Empresas O termo “segurança” abarca políticas. rede de comunicação e dados. objetivo é prática). ao se utilizar este termo. destinadas a salvaguardar hardwares. Segurança como “fim”: A segurança da informação é alcançada por meio de práticas e políticas voltadas a uma adequada padronização operacional e gerencial dos ativos. alteração. Portanto. de caráter interdisciplinar. softwares. Segurança como uma prática adotada para tornar um ambiente seguro (atividade.9 3. 2004). . e processos que manipulam e executem a informação.

espacoacademico. autenticidade e confidencialidade. intencionais ou acidentais. assegurando-lhes integridade. visando a limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Já na disponibilidade observamos um suporte a um acesso disponível e confiável a informações (o que implica dados e sistemas prontamente disponíveis e confiáveis). é observado que dentro desse contexto o suporte à prevenção de revelação não autorizada de informações tem como suporte. a Segurança da Informação é considerada como a prática de gestão de riscos e incidentes que comprometam os três principais conceitos de segurança: confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e. a confidencialidade.10 3. visando protegê-las contra alterações indevidas. Na integridade vemos a prevenção da modificação não autorizada de informações. disponibilidade. em um momento em que o conhecimento e a informação são elementos de extrema importância para uma organização. integridade e disponibilidade da informação. O não repúdio e a autenticidade poderiam ser compreendidos e denominados como responsabilidade 4 Disponível no endereço: http://www. Para Sêmola (2003).1 Princípios da Segurança da Informação A Segurança da Informação se tornou um pré-requisito para todo e qualquer sistema de informações. portanto. são descritos esses três princípios: Confidencialidade: Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo.br/042/42amsf. Integridade: Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário. Disponibilidade: Toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que eles necessitarem delas para qualquer finalidade Filho (2004) em seu artigo coloca a segurança da informação sob cinco pilares: “Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações.com. não repúdio.2. são essenciais para assegurar a integridade e confiabilidade em sistemas de informações” FILHO (20044) Com base no artigo escrito por Filho (2004). Em conformidade com Peixoto (2003).htm .

Hoje a biometria é usada na identificação criminal. 3. roletas de controle de acesso físico. máquinas ou processos. etc. um conjunto de mecanismos devem ser implementados no ambiente físico voltados a controlar o acesso e as condições destes ambientes. dessa maneira buscar-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem. sejam elas pessoas.1 Segurança Física da Informação De acordo com Sêmola (2003). entre outros. pois. impedindo e autorizando acessos e estados. Para Siqueira (2005). ininterrupto. quando da ocorrência de alguma ameaça surgida. constante e atemporal às informações.2. integridade e disponibilidade) tange como principais questionamentos.2.11 final e. sinalizando registrando. em três aspectos: Segurança Física.2 Segurança Tecnológica da Informação Sêmola (2003) diz que a lista de dispositivos aplicáveis aos ativos tecnológicos é extensa.2. a garantia que toda vez que uma informação for manipulada. A preservação da integridade é a garantia de exatidão da informação. ela esteja íntegra. ainda tem-se que considerar a 5 Biometria [bio (vida) + metria (medida)] é o estudo estatístico das características físicas ou comportamentais dos seres vivos. limitando o acesso às entidades autenticadas. controle de acesso.org/wiki/Biometria .2.2 Elementos da segurança da informação Segundo Peixoto (2006) deve-se ter em mente que o alicerce que assegura os princípios básicos da Segurança da Informação (confidencialidade. Recentemente este termo também foi associado à medida de características físicas ou comportamentais das pessoas como forma de identificá-las unicamente. Fonte: http://pt. como por exemplo. ou seja. além da diversidade e heterogeneidade de tecnologias. circuitos internos de televisão.2.wikipedia. dispositivos de biometria5. a preservação da confidencialidade é o que garante o acesso à informação somente por pessoas autorizadas. alarmes e sirenes. 3. 3. A preservação da disponibilidade garante que o acesso autorizado à informação esteja disponível para fins de negócio contínuo. Segurança Tecnológica e Segurança Humana. fragmentadores de papel. sem falhas. detectores de fumaça. acionadores de água para o combate a incêndios.

wikipedia. Combate a ataques e invasões: Destinados a suprir a infra-estrutura tecnológica com dispositivos de software e hardware de proteção. O mais conhecido é o sistema de firewall6. etc.wikipedia.org/wiki/Firewall 7 A criptoanálise representa o esforço de descodificar ou decifrar mensagens sem que se tenha o conhecimento prévio da chave secreta que as gerou. existem dispositivos destinados ao monitoramento. forma-se a criptologia. 2003). Nesta categoria. a criptografia é a principal maneira de combate em relação a este aspecto. Fonte: http://pt. bem como dispositivos voltados para a segmentação de perímetros. 2003:122). mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informatização. Para Sêmola (2003) sem identificar a origem de um acesso e seu agente. filtragem e registro de acessos lógicos. A criptoanálise é a arte de tentar descobrir o texto cifrado e/ou a lógica utilizada em sua encriptação (chave). Muito aplicada na comunicação de dados. meios e métodos para proteger a confidencialidade das informações através da codificação ou processo de cifração e que permite a restauração da informação original através do processo de decifração. Em se tratando de Tecnologia da Informação para a Segurança da Informação. proxy de aplicações. identificação e tratamento de tentativas de ataque. equipamentos. Os componentes criptográficos da segurança da informação tratam da confidencialidade. Fonte: http://pt. tornase praticamente inviável realizar autorizações condizentes com os direitos de acesso. controle de acesso e consequentemente combate a ataques e invasões. 6 Firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. esta ciência se utiliza de algoritmos matemáticos e da criptoanálise7 para conferir maior ou menor proteção de acordo com a complexidade e estrutura de desenvolvimento (SÊMOLA. automação e compartilhamento de informações.org/wiki/Criptoanálise . As pessoas que participam desse esforço são denominadas criptoanalistas. este grupo de mecanismos tem papel importante no modelo de gestão de segurança. os instrumentos aplicáveis aos ativos tecnológicos são divididos por Sêmola (2003) em três famílias: Autenticação e autorização: Destinados a suprir os processos de identificação de pessoas. a criptografia é uma ciência que estuda os princípios. Privacidade das comunicações: Nesta categoria. Os firewalls são geralmente associados a redes TCP/IP. O firewall pode ser do tipo filtros de pacotes. Da fusão da criptografia com a criptoanálise. à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente (SÊMOLA. Para Sêmola (2003). sistemas e agentes em geral. podendo levar a empresa a compartilhar informações valiosas sem controle.12 velocidade criativa do setor que apresenta uma nova ferramenta ou equipamento praticamente todo dia.

I.3 Segurança Humana Diversos autores defendem que o fator humano é extremamente crucial para a Segurança da Informação no âmbito pessoal e corporativo. isso deve ser comunicado imediatamente ao setor de T. . 8 T. o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações. softwares de auditoria de acessos. crachás de identificação. procedimentos específicos para tratamento de recursos terceirizados. Ao pensar em capital humano como um dos elos mais críticos e relevantes para a redução dos riscos. De acordo com Peixoto (2006). pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos (FILHO.13 integridade. Fonte: http://pt. não repúdio e autenticidade. termo de confidencialidade. ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. de forma a gerar informações para tomada de decisão. (Tecnologia da Informação) É a área de conhecimento responsável por criar.2. pode se tornar um dos principais elementos da quebra de segurança dentro de uma empresa. id9. campanhas de divulgação da política de segurança. entrega de informações que somente aquele setor deveria saber. Um funcionário insatisfeito.wikipedia. etc. Funcionários insatisfeitos ou revoltados por uma demissão devem ser sempre pontos de suspeita em casos às vezes inexplicáveis de perdas de documentos importantes. dentre inúmeros outros problemas quanto à seguridade de informações internas da empresa. 8 da empresa caso existam identificações em âmbito tecnológico com responsabilidade perante armazenamento da entrada/saída de funcionários no banco de dados. o nome de usuário ou e-mail que serve de identificação pessoal aos internautas. o exfuncionário representa um grande fator de risco em se tratando de informações confidenciais. assim como o funcionário que trabalha na empresa. senha. por exemplo.org/wiki/Tecnologia_da_Informação. no entanto. 2006). 3. enquanto acessam certos sites (sobretudo clientes de e-mail e/ou acesso à internet). e softwares de monitoramento e filtragem de conteúdo. 9 ID. 2004). dentre outros meios existentes que autentiquem este funcionário como integrante da empresa (PEIXOTO.2. termo de responsabilidade. cursos de capacitação.I. administrar e manter a gestão da informação através de dispositivos e equipamentos para acesso. Vale. Sêmola (2003) aponta os seguintes controles: seminários de sensibilização. Assim. conta de e-mail criada para este funcionário. Quando se demite um funcionário. procedimentos específicos para demissão e admissão de funcionários. operação e armazenamento dos dados.

provocando perdas de confidencialidade. as vulnerabilidades por si só não provocam incidentes. integridade e disponibilidade e. Ameaças voluntárias: Ameaças propositais que mais se relacionam com a Engenharia Social. tecnológicos e humanos são alvo de investidas de ameaças de toda ordem. seja adaptando as antigas. necessitando para tanto de um agente causador ou condição favorável. uma vulnerabilidade capaz de potencializar sua ação. Quando essa possibilidade aparece a quebra de segurança é consumada. como hackers10. podemos exemplificar como vulnerabilidades dentro de um ambiente corporativo: Físicas: Estrutura e infraestrutura ruins e mal planejadas. tempestades.wikipedia. . Para Sêmola (2003). que são as ameaças.14 3. invasores. são indivíduos que elaboram e modificam software e hardware de computadores. Podem ser causadas por acidentes. Peixoto (2006). que buscam identificar um ponto fraco compatível. Causadas por agentes humanos. Segundo Sêmola (2003) ameaças são: “.. aferando assim a segurança das informações. além de terem muito conhecimento em informática. escreve que ameaças são muitas vezes consequências das vulnerabilidades existentes.. enchentes. integridade e disponibilidade. seus processos e ativos físicos. tais como: incêndios naturais. (SÊMOLA.3 Ameaça versus Vulnerabilidade A todo instante os negócios. Fonte: http://pt. causando impactos aos negócios de uma organização” SÊMOLA (2003:47) Amparando Sêmola (2003). pois são elementos passivos. as vulnerabilidades são também frutos de ameaças generalizadas e exploradas.org/wiki/Hacker. 10 Hackers. Quanto à sua intencionalidade elas podem ser assim classificadas: Ameaças naturais: Fenômenos da natureza. seja desenvolvendo funcionalidades novas. etc. que ocorrem quase sempre devido ao desconhecimento. Com base nos conceitos dos dois autores. agentes ou condições que causam incidentes que comprometam as informações e seu ativos por meio da exploração de vulnerabilidades. etc. consequentemente. 2003). terremotos. provocando assim perdas de confidencialidade. Segundo Peixoto (2006). Ameaças involuntárias: Ameaças inconscientes.

com a finalidade de extrair destas pessoas informações relevantes e cruciais que proporcionarão o acesso a ambientes ou informações realmente de grande valor. vulnerabilidades do fator humano por falta de treinamento. em sua obra. dado a arte de trapacear ou construir métodos para enganar alguém.15 Naturais: Danos causados a equipamentos computacionais decorrente de causas naturais. tais como: um número grande de funcionários.pt/signal/sait/voicemail. vazamento de informações e até perda de dados. falta de sistema de classificação de dados e nenhum plano ou grupo de resposta aos incidentes de segurança. define que Engenharia Social […] […] é um termo moderno. em seu artigo. Costa Jr (2010). De acordo Mitnick e Simon (2003) existem alguns fatores que tornam uma empresa vulnerável ao ataque de Engenharia Social.3.1 Engenharia Social O termo “Engenharia Social” abarca todas as possibilidades da exploração do comportamento humano com a finalidade de um indivíduo ser capaz de induzir e manipular outro a agir de determinada maneira. diversas instalações. Peixoto (2006).uc. Software: Erros na instalação e configuração acarretando em acesso indevido.it. dispositivos e processos que se 11 Um sistema de Voice Mail permite não perder chamadas importantes: se se encontrar ausente as chamadas serão desviadas para o sistema que convidará as pessoas que o querem contactar (os emissores) a gravarem a sua mensagem. falta de treinamento em segurança. Hardware: Desgastes. etc. 3. ausência de políticas de seguranças. Fonte: http://www. leva em conta o significado das palavras supostamente separadas: “Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas habilitações específicas à criação de estruturas. obsolescência ou mal uso de equipamentos. Comunicação: Acessos não autorizados ou perda de comunicação Humanas: Ataques de Engenharia Social. A engenharia social é tratada aproximadamente na mesma linha de pensamento por vários autores. Mídias: Dispositivos de armazenamento que podem ser perdidos ou danificados. informações de ramal de telefone disponíveis.htm . informações sobre o paradeiro dos empregados deixadas nas mensagens de voice-mail11.

com frequência.16 utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. Segundo Mann (2011). a Engenharia Social “é um termo diferente para definir o uso de persuasão para influenciar as pessoas a concordar com um pedido”.. p.19) A Engenharia Social. há outras ocasiões em que a ação que um agressor busca pode não ser diretamente planejada com o objetivo de manipular alguém para revelar informações. “Essa definição capta os aspectos distintos de fazer as pessoas de alvos e manipulá-las. para que forneçam informações ou executem uma ação. enganando-as. Sociável. em conjunto com os dois principais desfechos – perda direta da informação e obtenção de alguma ação desejada pelo agressor. a manipulação de usuários legítimos pode desempenhar um papel importante em um ataque de engenharia social. a engenharia social pode ser usada para obter diretamente informações confidenciais. O objetivo do hacker é obter informações que irão permitir que ele obtenha acesso não autorizado a um sistema de valor e as informações que residem no sistema.” Para MANN (2011).a engenharia social é geralmente a hábil manipulação de um hacker da tendência humana natural de confiança. Enganar um guarda de segurança para que ele dê acesso ao prédio usando engenharia social não oferece informações confidenciais diretamente.” (MANN. 1995:687 apud PEIXOTO 2006:4) “Social: Da sociedade. No entanto. portanto. 1995:687 apud PEIXOTO 2006:4) Segundo GRANGER (2001): “. uma definição mais apropriada para Engenharia Social seria. 2011.” Segundo um dos maiores especialistas na arte da Engenharia Social. apesar de muitas vezes as informações não terem sido classificadas de nenhuma maneira. tem a intenção de furtar informações utilizando a habilidade de lidar com pessoas induzindo-as a fornecer informações ou executar ações desejadas pelo agressor. No entanto. como uma rota para o seu objetivo de ataque. você pode enganar um funcionário para que ele passe os direitos legítimos que tem como usuário.” (FERREIRA. “manipular pessoas. ou relativo a ela. Kevin Mitnick.” (FERREIRA. algumas vezes. De acordo com MANN (2011). o alvo do ataque pode não ter nem mesmo reconhecido a natureza confidencial da informação que está revelando. Que interessa à sociedade. . (MITINICK.. 2003).

Assim. pois com a falsa sensação de segurança as pessoas podem dirigir mais rápido. de novo.3. e têm muito pouca correlação com qualquer plano pré-elaborado. não consideramos a natureza aleatória dos eventos reais. ela pode nos levar a correr riscos desnecessariamente altos. dois componentes são essenciais para a compreensão do risco: 1) Impacto – precisa haver algum impacto (ou dano) sobre o sistema em questão. não estamos interessados. A consequência negativa disso é que. muitos executivos acreditam estar no controle dos seus sistemas de TI e acham que eventos de segurança acontecem somente com outras organizações. . Segundo MANN (2011). a existência de air bags (e outros itens de segurança nos carros) pode levar a mais acidentes. a “possibilidade de que alguma coisa desagradável ou indesejada acontecerá”. Mann (2011). como. por exemplo. Assim. uma definição mais apropriada de risco. Percepção tardia: Em muitos casos. então. pois não conseguimos ver nenhuma razão para sua ocorrência.2 Riscos da Engenharia Social Segundo MANN (2011). com frequência.17 3. Supercompensação: Quando desenvolvemos confiança em nossos sistemas de gerenciamento de risco. De acordo MANN (2011). as respostas a um ataque são puro apagamento de incêndio. ofereça um melhor ponto de partida na exploração do risco da engenharia social. relaciona os seguintes riscos que beneficiariam ataques de engenharia social: Excesso de confiança: Muitos executivos sêniores têm excesso de confiança na segurança das informações de sua organização e subestimam a possibilidade de violações graves (até que elas acontecem). a combinação de algum impacto (mesmo que pequeno) e uma probabilidade real (mesmo que remota) nos dá um risco (mesmo que pequeno). Busca de Padrão: A natureza humana tem uma tendência a colocar significado onde não existe nenhum. o impacto e a probabilidade devem ser utilizado para discernir quais riscos são realistas para uma organização. É preciso que haja alguma chance de um evento ocorrer para criar um risco real. Otimismo: Apesar de todas as evidências apontarem para o contrário. naturalmente tentamos adicionar padrões aos eventos. pois nós supercompensamos. A exemplo. Sem impacto não há risco. 2) Probabilidade – se é garantido que o risco nunca vai acontecer.

mesmo quando a evidência fortemente aponta para um ambiente que está mudando e ignorar o fato de que desenvolver uma nova estratégia seria inteligente. a despeito de todas as evidências que apontam para o fato de essa ser a estratégia de mais alto risco disponível. Complacência: Os riscos com os quais estamos familiarizados. procedimentos e mecanismos usados para proteção da informação e seus ativos.18 Miopia: Envolve o erro de considerar o passado recente e uma visão do futuro próximo como os únicos períodos indicados para avaliação de risco.4. 2003 apud PEIXOTO. 3. medidas de segurança são práticas.4.1 Medidas de segurança Conforme escrito por Sêmola (2003). Medidas Defensivas Contra Engenharia Social Kevin Mitnick. diz que: “A verdade é que não existe tecnologia no mundo que evite o ataque de um Engenheiro Social (MITINICK e SIMON. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança da instituição. Corretivas: ações voltadas à correção de uma estrutura tecnológica e humana para que as . Sêmola (2003) considera as medidas de segurança como controles que podem ter as seguintes características: Preventivas: Medidas de segurança que tem como objetivo evitar que incidentes venham a ocorrer. geralmente parecem ser reduzidos. Detectáveis: Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças. 3. Fanatismo: É a tendência a prender-se a uma visão do futuro (e ao risco associado a ele). a fim de evitar que as mesmas explorem vulnerabilidades. que podem impedir que as ameaças explorem vulnerabilidades. 2006:56).” Contudo a ideia é dificultar ao máximo a concretização dos planos que o Engenheiro Social tem em mente e deseja por em prática. Inércia: Não fazer nada é a escolha feita em muitas ocasiões. a redução das vulnerabilidades. um dos maiores especialistas no assunto. a limitação do impacto ou minimização do risco de qualquer forma.

colaboradores e os demais da hierarquia. As ações precisam estar intimamente alinhadas com as diretrizes estratégicas da empresa e. Exemplo: quando um operador da assistência se recusa a reconfigurar um login de acesso remoto sem telefonar (internamente) ao gerente superior para confirmação. para depois atingir os demais profissionais. Para MANN (2011). ou voltadas à redução dos impactos: equipes para emergências. para isso.4. que depreciam o plano corporativo de segurança da informação. Essas avaliações com frequência combinam escaneamento automatizado e ferramentas de auditoria com testes manuais.19 mesmas se adaptem às condições de segurança estabelecidas pela instituição. tecnológicos e humanos que sustentam a operação do negócio. Por se tratar de um problema generalizado e corporativo. os mesmos princípios de testes deveriam ser aplicado ao elemento humano da sua segurança da informação. que se inicie os trabalhos relacionados às medidas defensivas mobilizando primeiro os executivos da diretoria da empresa. global e ampla. torna-se necessário. plano de continuidade operacional. Sêmola (2003) diz que é importante conseguir a eliminação de ações redundantes e. é necessário ter uma visão corporativa. 3. Segundo MANN (2011). E é totalmente aceitável que estes testes sejam realizados por terceiros com a finalidade de revelar a vulnerabilidade sobre as quais não se estava anteriormente ciente. e as ações tem seu início no nível operacional. é útil compreender duas variáveis de proteção contra engenharia social: a Resistência do Pessoal – capacidade dos indivíduos de dentro do sistema de informação de detectar um ataque de engenharia social e resistir a ele.2 Mapeamento de Vulnerabilidade De acordo com MANN (2011). restauração de backup. e a Resistência Sistêmica – capacidade do sistema de informação de resistir a um ataque de engenharia social sem contar com a intervenção humana. é comum que as empresas atualmente adotem avaliações de vulnerabilidade técnica para seus sistemas de TI. para compreender as vulnerabilidades presentes em determinado sistema de informação. envolvendo os aspectos físicos. capaz de criar sinergia entre as atividades. plano de recuperação de desastres. Exemplo: quando um indivíduo que foi enganado para mandar uma informação para alguém externo por e-mail descobre que o e- . muitas vezes conflitantes.

pode-se utilizar a seguinte metodologia (a abordagem foi utilizada com clientes que tinham dificuldades em identificar suas vulnerabilidades à engenharia social): • • • • • • Compreender as ameças às suas informações – ponto de partida para a avaliação de risco. 3. 3. Avaliar a resistência do pessoal – ao medir a capacidade do pessoal de resistir a ataques.4. precisamos ser mais cuidadosos e planejar uma gama maior de . 2011). Identificar os níveis de proteção sistêmica – elementos da segurança que protegem as pessoas e ajudam a combater as vulnerabilidades humanas sempre presentes. Implementar melhorias – nesse estágio. para produzir mapeamentos úteis aos sistemas. Com um conjunto de personalidades fortemente agrupado. já haverá um plano de ação claro com uma gama de estratégias de melhoria que proporcionem um retorno real sobre qualquer investimento de segurança. Mapear seus sistemas – oferece uma indicação visual e comparação de diferentes sistemas dentro da sua proteção geral de segurança da informação.3 Mapeando Sistemas Segundo MANN (2011).4. diz que quando vemos uma amplitude maior de personalidades. Testar para confirmar suas avaliações – nesse estágio. testes podem ser muito mais direcionados e podem ajudar a tomar decisões importantes. podemos ter mais certeza da reação delas ao treinamento e como vão lidar com determinado ataque a engenharia social. Ajuda a direcionar a análise a áreas que trarão maior benefício. Essas variáveis proporcionam uma indicação de quão dependente você é das pessoas dentre da sua segurança da informação e se você possui sistemas que compensam as suas vulnerabilidades (MANN.5 Mapeando Personalidades De acordo com MANN (2011). Mann (2011). pode-se começar a compor o quadro dos níveis reais de segurança.20 mail é automaticamente bloqueado devido ao seu conteúdo de informação confidencial. o benefício de mapear personalidades é que é possível identificar essas variações e depois permiti-las ao desenvolver melhores mecanismos de proteção contra a engenharia social.

armazenamento. p. Portanto.5 Sistemas de Proteção Segundo MANN (2011). portanto. Uma política estabelece padrões. . a mesma deve ser personalizada. “Em nossa experiência. 176) Portanto. De acordo MANN (2011). […] consideramos a conscientização da equipe e a reação associada como a primeira e mais importante camada de defesa. confiar somente nesse mecanismo de proteção é uma estratégia de alto risco.21 reações a vetores de ataque específicos. o maior erro que as pessoas cometem quando pensam em proteção contra engenharia social é pensar somente em termos de conscientização da equipe. O sistema evita que o usuário enganado cause uma violação.6 Política de Segurança da Informação Com o propósito de fornecer orientação e apoio às ações de gestão de segurança. tem papel fundamental. Presumimos que nenhuma das duas camadas é impenetrável. responsabilidades e critérios para o manuseio. 3. 2011. potencialmente de maneira regular. para construir defesas eficazes. as melhorias sistêmicas é que são mais eficientes na proteção das informações. Para MANN (2011). 2011. 167) Muitas das melhorias sistêmicas oferecem forte proteção contra a engenharia social. é preciso combinar camadas de conscientização da equipe com camadas de proteção sistêmica. considerando-se que o estabelecimento de consciência tende a fortalecer somente os processos conscientes. segundo Sêmola (2003). melhorias sistêmicas leva ainda a conclusão de que elas tendem a oferecer uma camada mais forte e mais consistente de defesa do que simples atividades de conscientização da equipe.” (MANN. p. a obedecer. deixando suas informações e sistemas vulneráveis ao ataque. a política. Porém. 3. supomos que essa camada seja violada.” (MANN. em muitos casos. provavelmente. pelo agressor com sucesso. para a obtenção de informações valiosas. esses sistemas conterão o ataque em que vários indivíduos foram persuadidos. transporte e descarte das informações dentro do nível de segurança estabelecido sob medida pela e para a empresa.

uso da internet. principalmente. Muitas vezes é muito confortável para o cliente responder o CPF ou RG e a pergunta do que todos os dados do seu cadastro. acesso remoto. criação de manutenção de senhas. Critérios normatizados para admissão e demissão de funcionários. a informação poderá ser passada. e.22 É muito importante o envolvimento da alta direção. refletida pelo caráter oficial com que a política é comunicada e compartilhada junto aos funcionários. contratação de serviços terceirizados. portanto o quão complexo é desenvolver e. e classificação da informação são bons exemplos de normas de uma típica política de segurança para Sêmola (2003). além dos eventuais dados. durante o cadastro por telefone. 2003). 3. uso de notebook. 3. obviamente. mudanças previsíveis e imprevisíveis que o negócio poderá sofrer (SÊMOLA. 2003).7 Medidas de defesas quanto as senhas Peixoto (2006) escreve sobre uma técnica para burlar ataques de Engenheiros Sociais que querem obter senhas e usuários. manter atualizada a política de segurança da informação com todos os seus componentes. pedir que o cliente faça uma pergunta pessoal e. o lixo é um dos meios utilizados para ataques dos Engenheiros Sociais. Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais (SÊMOLA. Caso a resposta também seja correta. desenvolvimento e manutenção de sistemas.8 Medidas de defesas quanto ao lixo Como mostrado anteriormente. 2006:) enumeram “oito segredos” para tratar o lixo com mais sabedoria: . Primeiramente. uma resposta que ficará armazenada no cadastro. ainda. O autor frisa ser importante que tal pergunta seja de cunho pessoal e que não sobreponha nenhum dos dados. Mitnick e Simon (2003 apud PEIXOTO. Pode-se perceber. descarte de informação em mídia magnética. Esta percepção torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnológico de uma empresa.

discos ZIP. Estabelecer procedimentos em toda a empresa para descartar as informações confidenciais. as quais resultam em tiras de papal que podem ser montadas novamente por um atacante determinado e com paciência. eles ainda podem ser recuperados. Fazer com que os empregados pensem periodicamente na natureza do material que estão jogando no lixo. fitas removíveis ou unidades de disco rígido antigas e outras mídias de computador – antes de descartála.23 • • • Classificar todas as informações confidenciais com base no grau de confidencialidade. as políticas e os procedimentos para proteção de informações são tratados pelos executivos sêniores como um conjunto de regras válido para as outras pessoas.182) . eles não precisam ser tolhidos por essas regras inflexíveis.9 Suporte dos executivos e executivos seniores Dentro desta análise. Insistir para que todas as informações confidenciais descartadas passem primeiro pela máquina cortadora de papel e fornecer um modo seguro de se livrar das informações importantes em pedaços de papel que são pequenos demais e passam pela máquina. MANN (2011) diz que é preciso um forte suporte das pessoas que estão no topo das organizações para apoiar a segurança. Trancar os contêineres de lixo. se for apropriado. • Fornecer um modo de inutilizar ou apagar completamente a mídia de computador – os disquetes.” No entanto. Isso requer atividades consistentes para ajudar os executivos seniores a entender as ameaças e potenciais impactos de violações de segurança da informação.” (MANN. é exatamente essa fraqueza que será explorada pelo engenheiro social. 2011. “Sendo tão importantes e tão inteligentes. Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a saída em polpa inútil. p. Usar contêineres separados para material confidencial e fazer com que os materiais dispensados sejam manuseados por uma empresa especializada nesse trabalho. • • • • Manter um nível de controle apropriado sobre a seleção das pessoas da sua equipe de limpeza usando a verificação de antecedentes. “No pior caso. CD's e DVD's usados para armazenar arquivos. As máquinas não devem ser muito baratas. Importante lembrar que os arquivos apagados não são realmente removidos. 3.

Não podemos esquecer que o elemento mais importante de todos a considerar dentro de um plano de “defesa” é o ser humano. 2) pode-se estar abrindo vulnerabilidades de engenharia social d) Postagem de intranet – a intranet é um local eficaz para armazenar material de referência . mas também por uma questão ética. os objetivos com conscientização e treinamento em segurança contra engenharia social são dois: 4) Promover a conscientização sobre a ameaça do ataque de engenharia social. porém com duas desvantagens: 1) o número de pessoas que realmente leem pode ser muito baixo.10 Conscientização e Treinamento em Segurança Seria um engano afirmar que as estratégias para o desenvolvimento de um programa de conscientização parta quase exclusivamente do Setor de TI. 5) Treinar os usuários para cumprir e apoiar as medidas defensivas de segurança sistêmica que protegem as informações e sistemas de ataque. adequando-os ao seu novo ambiente de trabalho. analisa algumas atividades de conscientização praticadas em empresas: a) Treinamento de adequação – elementos de conscientização e treinamento para funcionários novos. se a sua autoridade permite que você drible regras. Para MANN (2011).24 Segundo MANN (2011). 3. de forma interativa. Segundo MANN (2011). O comprometimento e responsabilidade desses profissionais ligados a alta gestão. Isso faz transparecer seu profissionalismo que conquista maior prestígio e confiança das pessoas com que trabalha. Não somente no aspecto de ataques externos que pode prejudicar a empresa. ele deveria ser punido. para aumentar a probabilidade de um ataque ser detectado e impedido. c) Boletins por e-mail – mecanismo eficaz em termos de custo para passar mensagem de segurança da informação. envolvendo apenas tecnologias e estruturas físicas. se um executivo sênior forçasse alguém a enviar a ele um documento secreto contra as regras de segurança da informação. Mann (2011). b) Treinamentos presenciais – direcionados a um grupo de funcionários. um agressor precisa somente assumir o mesmo nível de autoridade e todas as pessoas permitem a ele o acesso necessário para roubar suas informações. com relação a gestão e segurança da informação deve ser total.

Porém. cada membro percebe suas responsabilidades dentro de cada modelo de segurança único. o comprometimento dos processos críticos se alguma ameaça se concretizar. Sêmola (2003) apresenta algumas formas de iniciar a construção da cultura de segurança: a) Seminários: O trabalho deve começar com seminários abertos voltados a compartilhar a percepção dos riscos associados às atividades da empresa. Por conta disso. c) Carta ao Presidente: Como instrumento de oficialização dos interesses da empresa em 12 Um display (ou mostrador. principalmente. eles podem proporcionar grandes ganhos. e outras atividades interativas estão entre os melhores mecanismos de conscientização e treinamento. em que as informações são compartilhadas somente quando for estritamente necessário. a mesma preocupação existe em deixar que as pessoas a acessem. No entanto. adquirida. g) Pôsteres – o potencial subliminar de mensagens de login na tela pode também ser duplicado com o uso de pôsteres ou outros displays12 na organização. armazenada ou transmitida sob várias formas. Em situações limitadas e direcionadas. procedimentos e instruções específicas devem ser apresentados a cada grupo com perfil de atividade semelhante. de modo visual ou táctil. desenvolver uma cultua eficaz.wikipedia. eles podem ser intensivos em termos de recursos. e rastrear as suas atividades pode ter suas limitações. e) Treinamento online interativo – pacotes de treinamento online interativos. critérios e instruções operacionais. em português) é um dispositivo para a apresentação de informação. ela pode ser útil. motivando-o a colaborar. De acordo Mann (2011). Desta forma. inclusive engenharia social.org/wiki/Display . h) Testes e atividades relacionadas – testes apropriados de segurança da informação. como acontece com o treinamento presencial. Quando existem grupos grandes de funcionários que precisam ter acesso às informações. voltados para a segurança da informação são úteis para o treinamento de um grande número de funcionários. Deve-se lembrar que os resultados efetivos de comprometimento ocorrem lentamente e. Fonte: http://pt. os impactos potenciais no negócio e. é um bom ponto de partida para manter os detalhes dos sistemas longe da atenção dos agressores. b) Campanha e divulgação: Suas diretrizes devem ser conhecidas por todos.25 de uma forma facilmente acessível. e suas normas. se elas forem desenvolvidas para captar a atenção e se forem modificadas com alguma frequência. a campanha deverá lançar mão de diversos artifícios para comunicar os padrões. muitas vezes requerem ações complementares. f) Mensagens de login na tela – apesar de não dar nenhuma garantia de quem vai lê-las. podem ser eficazes.

medir e avaliar os índices e indicadores de segurança para subsidiar seus planos de gestão das ações e. podendo inclusive. dando caráter forma ao movimento. garante a segurança dos seus sistemas. mas sim um fato comprovado de eficiência quando se trata . O uso de técnicas de Engenharia Social para enganar usuários não é mais algo iminente. incluindo as informações. este termo se encarrega de divulgar as punições cabíveis por desvios de conduta e. e) Cursos de Capacitação e Certificação: Dentro do quadro de funcionários. Não existe segurança total. variar sua área de interesse e profundidade. métodos e técnicas de segurança. a negligência e a indiferença seriam os termos mais adequados para rotular as deficiências encontradas no contexto da segurança da informação corporativa. existem perfis profissionais que necessitam de maior domínio dos conceitos. CEO o CIO manifeste esta vontade oficialmente. Em qualquer uma das situações. CONSIDERAÇÕES FINAIS Grande parte das empresas não dispõem de meios para detectar o que deve ser preservado. Para todos esses casos não bastam os seminários. mesmo dispondo de recursos para implementar estes meios. O Security Officer deve ter condições de definir. que fluem pelos processos de negócio e ora são temporariamente custodiadas pelas pessoas. unicamente técnica. Enquanto outras. campanhas de conscientização ou a carta ao presidente. ainda. não se atentam adequadamente à seriedade do assunto por consequência do descaso da alta gestão. d) Termo de Responsabilidade e Confidencialidade: Tem o propósito de formalizar o compromisso e o entendimento do funcionário diante de suas novas responsabilidades relacionadas à proteção das informações que manipula. esclarecer que a empresa é o legítimo proprietário dos ativos. que um bom número de empresas acredita que a solução. principalmente alcançar os objetivos. o que pode ser preservado e o que vale à pena ser preservado quando se trata de segurança da informação. também. A Carta ao Presidente tem esse papel e é disponibilizada ou encaminhada a cada funcionário.26 adequar o nível de segurança de suas informações a partir do envolvimento de todos os níveis hierárquicos é conveniente que o presidente. Eles precisam de capacitação formal através de cursos especializados. sob qualquer natureza de interpretação ou observação. Além disso. que propõem uma certificação como instrumento de reconhecimento da competência. Observou-se.

atenuando os efeitos nocivos da TI. obviamente. nada merece mais destaque neste assunto que o comportamento e a responsabilidade dos profissionais que compõem a alta Gestão de uma Organização. Os gestores da alta administração tem por obrigação entender o poder e o valor que as informações possuem e não podem supor que a tecnologia é a solução definitiva. e as vulnerabilidades existentes na estrutura tecnológica dos sistemas de informação. . a forma mais eficiente ainda é manter sob reformulação e reforço contínuo. este deveria dominar todo o fluxo de informações que movem o negócio e. É neste ponto que observamos a maior “falha de segurança”. a inteligência está nas pessoas. as políticas elaboradas para a segurança. eles também responderão. pois. E é diante desse posicionamento que surgem também os desafios éticos. ter a noção exata da gestão e a segurança destas informações. Lamentavelmente esta visão não contribui de forma nenhuma com a eficácia para a gestão do maior ativo organizacional: a informação. Mesmo não sendo definitiva. É importante destacar que a posição estratégica do alto posto da cadeia hierárquica. Infelizmente neste aspecto manifesta-se na maioria das vezes uma postura obstinada de descaso e descomprometimento. analisando os aspectos da segurança.27 de posse indevida de informações vitais à continuidade do negócio. pois. quando se trata de segurança da informação. a falta de engajamento é facilmente observada no posicionamento de muitos profissionais ligados à diretoria de uma empresa. E quando algo errado acontecer. Dentro desta miopia o pessoal da informática resolve tudo. colocando-os sob punição quando regras de segurança forem quebradas ou desobedecidas. requer postura e comprometimento para criar confiança nos demais subordinados. por se tratar de um profissional com papel estratégico dentro da empresa. Entretanto. As dimensões éticas devem ser consideradas pelas organizações na elaboração e implementação da metodologia da segurança. Muitos ignoram o valor de suas informações. A tecnologia é burra. assim como conscientizar e educar constantemente os colaboradores. a necessidade de manter a metodologia da segurança e até mesmo o investimento financeiro é facilmente descartado por considerarem que estas despesas não trarão retorno algum sobre o investimento.

M. Marcos. Disponível em: http://www. São Paulo: Blucher.espacoacademico. 2011 MITNICK.htm Acesso em: 21 dez. Porto Alegre: Bookman. 2011. Kenneth C. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. Renate Schinke. ed. A. Viçosa.28 REFERÊNCIAS COSTA JR. 2004. Ephraim. 2006. Engenharia Social. FILHO. Antônio Mendes da Silva. Rio de Janeiro: Brasport. Gestão Estratégica da Informação. Efaim. Faculdade de Tecnologia e Ciências. Universidade Federal de Viçosa. Tecnologia da Informação para Gestão: transformando os negócios na economia digital.. Marcelo Costa. ROESCH. Engenharia Social – A arte de trapacear. 3a ed. 2004. MCLEAN. trad. TURBAN. WETHERBE. 5a ed. São Paulo: Pearson Makron Books. S. William L. SÊMOLA. Mário César Pintaudi. 2003 SIQUEIRA. SIMON. Rio de Janeiro: Elsevier. Jane P. James. São Paulo: Person Pretice Hall. 2005. Processo de comunicação nas organizações virtuais: um estudo de caso na Escola Aberta Superior do Brasil. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações in Revista Espaço Acadêmico no 43 – dezembro 2004. 2011.. 2003 PEIXOTO. LAUDON. . 2. LAUDON. 2006.com. 1a ed. Monografia (Graduação). Mitnick: A Arte de Enganar. Projeto de estágio e de pesquisa em administração. IAN. Sistemas de Informação Gerenciais: administrando a empresa digital.1999 apud CASTRO. F. Kevin D. F. Artigo acadêmico. Engenharia Social & Segurança da Informação na Gestão Corporativa. Josué. 2006. Rio de Janeiro: Brasport.br/043/43amsf. São Paulo: Atlas. 9a reimpressão. MANN.

Sign up to vote on this title
UsefulNot useful