NATÁLIA PIMENTA BALDIM

ENGENHARIA SOCIAL E SEGURANÇA DA INFORMAÇÃO NO AMBIENTE CORPORATIVO: uma análise focada nos profissionais de Secretariado Executivo.

MONOGRAFIA

Universidade Federal de Viçosa Viçosa – MG

Brasil 2007

UNIVERSIDADE FEDERAL DE VIÇOSA CENTRO DE CIÊNCIAS HUMANAS, LETRAS E ARTES DEPARTAMENTO DE LETRAS SECRETARIADO EXECUTIVO TRILINGUE

ENGENHARIA SOCIAL E SEGURANÇA DA INFORMAÇÃO NO AMBIENTE CORPORATIVO: uma análise focada nos profissionais de Secretariado Executivo.

Monografia apresentada ao Departamento de Letras da Universidade Federal de Viçosa como exigência da Disciplina LET499 – Monografia e como requisito para obtenção do título de Bacharel em Secretariado Executivo Trilíngue, orientada pela professora Medianeira Aparecida Silva.

Natália Pimenta Baldim

Viçosa – MG

Brasil 2007

A monografia intitulada:

ENGENHARIA SOCIAL E SEGURANÇA DA INFORMAÇÃO NO AMBIENTE CORPORATIVO: uma análise focada nos profissionais de Secretariado Executivo.

Elaborada por:

Natália Pimenta Baldim

como exigência da Disciplina LET 499 - Monografia e como requisito para obtenção do título de bacharel em Secretariado Executivo Trilíngüe, foi aprovada por todos os membros da

Banca Examinadora. Viçosa, 04 de julho de 2007.

BANCA EXAMINADORA

__________________________________________________

Prof.ª Medianeira Aparecida Silva (FDV) Orientadora

__________________________________________________ Prof. Odemir Baêta (DLA/UFV)

__________________________________________________ Prof.ª Rosália Bebér (DLA/UFV)

Nota______

A meus Pais, Josenir e Nirce,

que tanto me apoiaram e me ensinaram e ainda continuam a fazê-lo,

A meu irmãozinho, Jéferson,

que sempre acreditou no melhor que eu podia fazer.

AGRADECIMENTOS

À Deus, por ter me concedido, através de sua bondade infinita, o potencial de

concretizar mais uma conquista em minha vida. Também pela inspiração, sabedoria e por

colocar em meu caminho pessoas que me auxiliaram e apoiaram nesta jornada;

Novamente à minha família (mãe – dona Nirce; pai – seu Josenir; e Jefin), que sempre

foram e sempre serão as pessoas mais importantes na minha vida, mesmo sem suas presenças

diárias. Exemplos de caráter, princípios, humanidade e perseverança;

À minha orientadora, Profª. Medianeira, que abraçou esse projeto com o mesmo

entusiasmo que o meu; e que apesar de todas as dificuldades minhas e dela fez seu papel de

motivadora e professora de uma maneira admirável;

Ao meu irmão por opção, Napô, que nunca deixou de estar do meu lado;

À Tati, que teve de aturar meus surtos para concluir esse trabalho, e contribuiu muito

para que eu realmente conseguisse finalizá-lo;

Ao José Ronaldo que, mesmo sem querer, foi a pessoa chave por ter me apresentado

esse assunto tão interessante e importante, e que me incentivou bastante no o

desenvolvimento do trabalho;

Aos meus amigos de BH, Raquel, Júnior, Danilo, Vinícius, Rafitcha, pelo

companheirismo, risadas e disposição para ajudar quando preciso;

Aos meus, mais que colegas de trabalho, amigos da FIAT, em especial: Diguin, Fabio,

Jimmy, Roberval, Heitor, Felipe, Guilherme, Prott, Weysller, Gepeto, Edinho, Reninho,

Diego, Thiago, Deivissom, Naka, Roger, Herman, Tati, Manuel, Maxwell, Renato, Cristiano,

Oscar, Silvio, Chiquinho, Giovani, pelo carinho, atenção, força, cuidado, amizade,

companheirismo, presença, preocupação, risadas, brincadeiras e que, assim, tanto me

ajudaram e contribuíram direta ou indiretamente para a conclusão deste trabalho;

Aos companheiros do DLA, professores – em especial a Profª Débora – e funcionários

– em especial Elaine e Nazaré, os quais estiveram presentes para ajudar e facilitar a conclusão

desse trabalho à distância;

E por fim, aos colegas profissionais e estudantes de Secretariado Executivo, que

ajudaram como dados para pesquisa, como “help desk” e como incentivadores; que este

trabalho seja bastante útil e diferencial para agregar mais conhecimento e competência a

todos.

"Não são as quedas ou as descidas que fazem fracassar nossa vida,

senão a coragem de levantar e seguir adiante.”

Samuel Aun Weor

“De tudo, ficaram três coisas: a certeza de que ele estava sempre

começando, a certeza de que era preciso continuar e a certeza de que

seria interrompido antes de terminar. Fazer da interrupção um

caminho novo. Fazer da queda um passo de dança, do medo uma

escada, do sono uma ponte, da procura um encontro.”

Fernando Sabino

RESUMO

Atualmente, na era da “Sociedade da Informação”, a empresa se tornou dependente do fluxo de informações que por ela são distribuídas e compartilhadas. Como por exemplo, os profissionais de Secretariado Executivo, que fazem uso freqüente da Tecnologia da Informação para gerenciar a transmissão e difusão da informação. A inovação tecnológica, além das facilidades incontestáveis, também abriu novas possibilidades de ações contra a segurança da informação. Contudo é um equívoco afirmar que as ameaças à segurança da informação são apenas nos aspectos tecnológicos; pois existem aspectos físicos e humanos. Inclusive o aspecto humano é um dos mais relevantes. Neste contexto que se encontra a Engenharia Social, técnica de intrusão que explora as fraquezas do ser humano, utilizando ou não de tecnologias. Algumas características exploradas são: vontade de ser útil, busca por novas amizades e propagação de responsabilidade. Os ataques são cíclicos, realizados na seguinte seqüência: coleta de informações, desenvolvimento da relação, exploração da relação e realização do ataque. Os principais métodos que os Engenheiros Sociais usam para ter sucesso em suas ações são fingir de autoridade, fingir ser alguém necessitado, utilizar softwares maliciosos e engenharia social reversa. Cada informação é coletada é preciosa para possibilitar um ataque. Além das defesas tecnológicas, a Engenharia Social deve ser combatida com treinamento e conscientização das pessoas. O estudo objetivou, de maneira geral, possibilitar uma orientação aos profissionais da área Administrativa nas principais questões ligadas à segurança da informação, para minimizar vulnerabilidades que possam comprometer a imagem e o negócio das empresas. Utilizou-se como metodologia a abordagem dedutiva, através de levantamento bibliográfico e estudos de dados. Foi feita uma pesquisa de campo com Secretárias Executivas de empresas de vários setores e porte, a cerca do tratamento que elas e suas empresas dão às informações da organização. Foram utilizadas 20 respostas de profissionais de Secretariado Executivo. Com relação às empresas, a maioria, mesmo que não absoluta, está no caminho certo para tratar a segurança da informação de maneira eficiente. Já as secretárias executivas apresentam um perfil que precisa de mais treinamento e conscientização para saber se comportar quanto a se precaver de intrusos e engenheiros sociais, visto que todas elas assessoram Diretores, o nível mais alto e estratégico de uma empresa. Portanto é possível concluir, pela literatura e pela pesquisa de campo, que não é suficiente tratar de segurança da informação somente com tecnologia. Mesmo que necessária, é fundamental que os recursos humanos sejam treinados a lidar com ataques fora dos aspectos de tecnológicos. A imagem e os negócios da empresa dependem dessa ação.

viii

LISTA DE QUADROS

PÁG Quadro 1 Evolução da informação e sua importância ...............................................

14 Quadro 2 Perfil do Engenheiro Social .......................................................................

45 Quadro 3 Elementos Motivadores para os Engenheiros Sociais ...............................

45 Quadro 4 Seis Comportamentos humanos para resposta positiva .............................

47 Quadro 5 Uma simples requisição pessoal ................................................................

52 Quadro 6 Um e-mail “bastante interessante ..............................................................

55

ix

LISTA DE GRÁFICOS

PÁG Gráfico 1 Elementos responsáveis pela quebra da Segurança da Informação em

empresas .................................................................................................... 38 Gráfico 2 Idade ..........................................................................................................

67 Gráfico 3 Nível de instrução ......................................................................................

68 Gráfico 4 Tempo de trabalho na empresa ..................................................................

68 Gráfico 5 Divulgação de sua(s) senha(s) utilizadas na empresa ...............................

69 Gráfico 6 Utilização de senhas de outro funcionário para acessar informações da

empresa ...................................................................................................... 69 Gráfico 7 Senhas anotadas em algum lugar próximo ao computador, na agenda ou

local de fácil acesso ................................................................................... 70 Gráfico 8 Permissão para utilizar sua(s) senha(s) para algum trabalho rápido .........

70 Gráfico 9 Freqüência de alteração de sua(s) senha(s) ...............................................

71 Gráfico 10 Procedimento para fornecer informações solicitadas por telefone ou e-

mail ............................................................................................................ 71 Gráfico 11 Ocorrência de uma solicitação em que alguém utilizou de má-fé para

obter ou tentar obter informações .............................................................. 72 Gráfico 12 Disponibilização da empresa de orientação sobre divulgação de

informações ............................................................................................... 72 Gráfico 13 Conhecimento das informações vitais para o negócio da empresa ...........

73 Gráfico 14 Existência de uma Política de Segurança da Informação ..........................

73 Gráfico 15 Existência de um Departamento de TI especializado ................................

74 Gráfico 16 Existência de requisitos de segurança nos contratos de terceirização .......

74 Gráfico 17 Existência de controle de acesso específico para os prestadores de

serviço ....................................................................................................... 74 Gráfico 18 Existência de uma estrutura para notificar e responder aos incidentes e

falhas de segurança .................................................................................... 75 Gráfico 19 Existência de gerenciamento de acessos do usuário .................................

75 Gráfico 20 Existência de controle de acesso à rede ....................................................

76 Gráfico 21 Existência de controle de acesso às aplicações ou diretórios ....................

76 Gráfico 22 Existência de monitoramento de uso e acesso ao sistema .........................

77 Gráfico 23 Existência de critérios para computação móvel e trabalho remoto .........

77 Gráfico 24 Existência de algum papel sobre a mesa com informações sobre a

empresa no momento ................................................................................ 77 Gráfico 25 Ao sair, tem-se a mesa limpa, sem papéis importantes .............................

78

x

Gráfico 26 Ao sair, tem-se o computador bloqueado .................................................. 78

Gráfico 27 Existência de informações confidenciais no setor de trabalho .................. 79

Gráfico 28 Conhecimento dos funcionários sobre a importância das informações da empresa ...................................................................................................... 79

Gráfico 29 Existência de dificuldade para pessoas externas conseguirem informações importantes na empresa ........................................................ 80

Gráfico 30 Tipos de informações que se tem acesso ................................................... 80

Gráfico 31 Divulgação da Política de Segurança da Informação para os novos contratados ................................................................................................ 81

Gráfico 32 Assinatura dos funcionários de algum Termo de Responsabilidade e/ou Confidencialidade sobre as informações da empresa ................................ 81

Gráfico 33 Existência de controle de mudanças operacionais .................................... 82

Gráfico 34 Existência de procedimentos para cópias de segurança ............................ 82

Gráfico 35 Existência de controles e gerenciamento de rede ...................................... 83

Gráfico 36 Existência de mecanismos de segurança e tratamento de mídias .............. 83

Gráfico 37 Existência de mecanismos de segurança de correio eletrônico ................. 83

Gráfico 38 Existência de algum procedimento para documentação dos sistemas ...... 84

xi

LISTA DE FIGURAS

PÁG Figura 1 Classificação das informações ..................................................................

24 Figura 2 Pilares da segurança da Informação segundo FILHO (2004) ...................

28 Figura 3 Ciclo de ataque do engenheiro social ........................................................

47

xii

SUMÁRIO

Pág. 1. INTRODUÇÃO ........................................................................................................ 14

2. OBJETIVOS ............................................................................................................. 18

3. METODOLOGIA .................................................................................................... 19

4. FUNDAMENTAÇÃO TEÓRICA .......................................................................... 22

4.1 Informação .............................................................................................................. 22

4.1.1 Classificação das Informações .......................................................................... 24

4.2 Segurança da Informação nas Empresas ................................................................. 26

4.2.1 Princípios da Segurança da Informação ............................................................ 27

4.2.2 Ciclo de vida da informação ............................................................................. 29

4.2.3 Ameaça X Vulnerabilidade ............................................................................... 30

4.2.4 Aspectos da Segurança da Informação ............................................................. 33

4.2.5 Segurança Física da Informação ....................................................................... 34

4.2.6 Segurança Tecnológica da Informação ............................................................. 34

4.2.6.1 Tecnologia da Informação para Segurança da Informação ......................... 34

4.2.6.1.1 Autentificação e Autorização ................................................................ 35

4.2.6.1.2 Combate a ataques e invasões ............................................................... 36

4.2.6.1.2.1 Firewalls ......................................................................................... 36

4.2.6.1.3 Privacidade das Comunicações ............................................................ 37

4.2.6.1.3.1 Criptografia .................................................................................... 37

4.2.7 Segurança Humana ........................................................................................... 38

4.2.8 Medidas de Segurança ...................................................................................... 39

4.2.9 Política de Segurança da Informação................................................................. 41

4.2.10 Plano de Continuidade de Negócios ............................................................... 42

4.4 Engenharia Social nas Empresas ............................................................................. 43

4.4.1 Perfil do Engenheiro Social .............................................................................. 44

4.4.2 Características da vulnerabilidade humana exploradas pelo Engenheiro

Social .......................................................................................................................... 45

4.4.3 Ciclo de Ataque do Engenheiro Social ............................................................. 47

4.4.4 Métodos de Ataque da Engenheira Social ........................................................ 49

4.4.4.1 Ferramentas utilizadas pelo Engenheiro Social .......................................... 53

xiii

4.4.5 Engenharia Social na Internet ........................................................................... 54

4.4.6 Medidas de Defesa contra a Engenharia Social ................................................ 54

4.4.6.1 Medidas de defesa quanto a senhas ............................................................ 57

4.4.6.2 Medidas de defesa quanto ao lixo ............................................................... 58

4.5 Treinamento e conscientização em segurança ........................................................ 59

4.6 Engenharia Social, Segurança da Informação e o Profissional de Secretariado

Executivo ...................................................................................................................... 63

5. OBJETO DE ESTUDO ........................................................................................ 66

6. ANÁLISE E DISCUSSÃO DE DADOS .............................................................. 67

7. CONCLUSÃO ....................................................................................................... 86

8. REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 88

9. APÊNDICE ............................................................................................................ 91

Questionário Aplicado ............................................................................................ 91

10. GLOSSÁRIO ......................................................................................................... 100

11. ANEXOS ............................................................................................................... 105

Anexo1: Código Penal sobre “Engenheiros Sociais” ............................................. 105

Anexo2: Lei de Regulamentação da Profissão de Secretariado Executivo ............. 108

Anexo3: O “Jogo da Segurança” ............................................................................ 111

Anexo4: Entrevista com Kevin D. Mitnick ............................................................ 115

Anexo5: Exemplo de uma história real de Engenharia Social ................................ 121

14

1. INTRODUÇÃO

As mudanças que marcaram a sociedade produtiva nas últimas décadas, como descrito

por Siqueira (2005), fizeram com que vários estudiosos chamassem essa nova sociedade pós-

revolução industrial de “Sociedade da Informação”. O quadro abaixo descreve como a

informação e sua importância que tiveram diferentes aspectos em épocas distintas.

Quadro 1: Evolução da informação e sua importância

PERÍODO CONCEITO DE INFORMAÇÃO IMPORTÂNCIA

Anos 50 Requisito burocrático necessário. Redução do custo de processamento de muitos papéis.

Anos 60 e 70 Suporte aos propósitos gerais. Auxiliar no gerenciamento de diversas tarefas da organização.

Anos 70 e 80 Controle do gerenciamento da organização

Auxiliar e acelerar os processos de tomada de decisão

Anos 90 Vantagem competitiva Garantir a sobrevivência e prosperidade da organização

Fonte: SIQUEIRA, 2005:60

A Tecnologia da Informação avançou rapidamente em pouco tempo e o computador

começava a fazer parte dos lares. As instituições utilizam destes avanços tecnológicos para

melhorar as operações empresariais e o potencial de mercado. Podem-se fazer compras em

shoppings on-line, fazer pagamentos e transferências em bancos também on-line e comunicar-

se por e-mail (TURBAN et al., 2004).

15

Para Siqueira (2005), os mercados também se modificam com essa nova realidade.

Cada vez mais no ambiente corporativo se ouve falar em: videoconferência, aplicações

remotas, conectividade, e-commerce1, fibra-ótica, correio eletrônico, biblioteca, virtual,

certificados digitais, ensino à distância, moeda eletrônica, assinatura digital, telefonia digital,

lixo eletrônico, entre outros.

À medida que o uso dessas facilidades abriu novas fronteiras para a tecnologia da

informação, também foram abertas novas possibilidades para ações contra a segurança.

Pessoas maliciosas usam estas possibilidades para roubar senhas e ganhar acesso à

informação e/ou causar diversos danos a uma organização.

No âmbito corporativo, Sêmola (2003) diz que compartilhar informação passou a ser

considerada uma prática moderna de gestão, necessária a empresas que buscavam maior

velocidade nas ações.

A informação e o conhecimento tornaram-se os principais recursos econômicos para a

competitividade das empresas, criando uma necessidade de valorização, manutenção e

desenvolvimento nas organizações de forma plena e organizada. (SIQUEIRA, 2005)

Esse panorama leva a perceber o alto grau de dependência que as empresas têm da

informação – muito mais digitalizada, compartilhada e distribuída – além, consequentemente,

de todos os elementos da infra-estrutura que a mantém.

O tema ”Segurança da Informação” é extremamente abrangente, cobrindo desde a

avaliação do conteúdo que deve ser objeto de proteção até os fatores ambientais, como a rede

de relacionamentos do indivíduo e o conhecimento externo que as pessoas têm a seu respeito

(LAUDON e LAUDON, 2004).

A formação e a descoberta de vários grupos especializados na prática de crimes

baseados na exploração de falhas de arquiteturas e sistemas, com uma grande atividade no

ambiente de correspondência eletrônica, demonstram a necessidade de atenção voltada para

segurança da informação. Entretanto a maior das falhas constatada ainda é a ingenuidade

humana. Enquanto firewalls (vide 4.2.6.1.2.1 Firewalls, págs. 36-37) vem sendo usados para

1 E-commerce: palavra oriunda da língua inglesa que significa comércio eletrônico, em português.

16

prevenir que os tradicionais hackers de computador adentrem nos computadores da empresa,

eles não fazem nada para impedir a mais significante fonte dos crimes: os colaboradores.

(GARTNER, 2002)

Segundo Daniel Aisenberg (1999),

“A espionagem industrial é muito mais eficaz quando realizada dentro de casa, por pessoas com acesso às informações certas e armadas de intenções erradas. O vazamento de dados promovido por funcionários merece a atenção de qualquer empresa que decida proteger seu maior capital: a informação”. (AISENBERG, 1999:68)

De acordo com Sêmola (2003), muitas empresas e seus executivos têm uma

deficiência de percepção do problema da segurança da informação, chamada por ele de

“Visão de Iceberg” (a porção de gelo fora da linha da água corresponde apenas à 1/5 de todo o

bloco de gelo que permanece submerso). Normalmente, eles possuem essa “miopia”,

percebendo apenas uma pequena fração do problema da segurança: os aspectos tecnológicos.

Normalmente associam os riscos apenas a redes, computadores, vírus, harckers e Internet,

enquanto ainda há outros, tão importantes e relevantes para a segurança do negócio.

O impacto de uma invasão, seja ela interna ou externa, causando roubo de

informações, não é fácil de ser calculado, como afirma Sêmola (2003). Muitas vezes não se

sabe que fim levou aquela informação e, muito menos, como ela será explorada. O impacto à

imagem é coisa séria e custosa para ser revertida. Gasta-se muito mais recurso tentando

reconstruir uma imagem sólida, segura, eficiente e compromissada com o cliente, do que o

que foi gasto para construí-la. Isso sem mencionar nos novos negócios que dependerão da

segurança para sua viabilidade.

Mediante o contexto em que se encontra todo tipo de organização ao se tratar de suas

informações, sejam elas confidenciais ou não, torna-se fundamental, tanto ao profissional da

área de Tecnologia da Informação quanto os demais responsáveis por algum tipo de

informação comprometedora, orientá-los, instruí-los e comprometê-los a melhorar o

tratamento e cuidado com as informações (PEIXOTO, 2006).

É fato que um dos principais alvos de Engenheiros Sociais (vide 4.4.1 Perfil do

Engenheiro Social, págs. 44-45) no ambiente corporativo são exatamente os profissionais da

área de Secretariado Executivo. Isso porque são profissionais que detêm informações e

17

detalhes da vida dos diretores que podem comprometer as estratégias empresarias da

organização.

Medeiros e Hernandes (1999), Guimarães (2001) e Natalense (1998), em suas

respectivas obras, dizem que os profissionais de Secretariado Executivo, dentre outras muitas

funções, fazem uso constante da Tecnologia da Informação elaborando planilhas eletrônicas,

banco de dados, processadores de texto, correio eletrônico, internet, vídeo conferência e fone

conferência, e gerenciam eficazmente a transmissão e difusão da informação.

“As tarefas de uma secretária compreendiam recepção e envio de documentos, atendimento telefônico, de visitas, manutenção de arquivo e agenda, marcação de reuniões, provisão de material de escritório. Hoje, as tarefas de uma secretária compreendem gerenciamento e operação de sistemas de informação; gerenciamento de serviços e de treinamento, atendimento a clientes, objetivando oferecer maior qualidade dos produtos ou serviços da empresa para qual trabalha; apoio logístico à reuniões”. MEDEIROS e HERNANDES (1999:18)

O presente estudo, através de sua metodologia, pretende deixar claro que, assim como

cada pessoa deve ter cuidado com seus documentos pessoais, as organizações devem ter

cuidado com todo o tipo de informação que circula dentro dela, referente, sobretudo às

pessoas que por elas são responsáveis, como por exemplo, os profissionais de Secretariado

Executivo.

18

2. OBJETIVOS

Segurança é um tópico muito extenso, principalmente se for levado em consideração a

grande variedade de problemas que poderão estar relacionados ao tema. Dentro desta ótica,

este trabalho tem por objetivo geral possibilitar uma orientação aos profissionais da área

Administrativa nas principais questões ligadas à segurança da informação, para minimizar

vulnerabilidades que possam comprometer a imagem e o negócio das empresas, já que a

literatura é unânime em afirmar que não existe um ambiente 100% seguro.

Para alcançá-lo, têm-se os seguintes objetivos específicos:

• Apresentar elementos de segurança da informação, no âmbito físico,

tecnológico e humano;

• Apresentar a importância da gestão da segurança das informações para os

profissionais de Secretariado Executivo;

• Expor questões de ética quanto à segurança da informação para os

profissionais da área de Secretariado Executivo;

• Difundir o conceito de Engenharia Social entre os profissionais da área de

Secretariado Executivo.

19

3. METODOLOGIA

O estudo proposto usou como método a abordagem dedutiva, através de levantamento

bibliográfico e estudos de dados e informações que visem compreender a problemática da

quebra da segurança da informação no ambiente corporativo.

De acordo com Roesch (1999) apud Castro (2006), “a revisão da literatura, na prática,

implica seleção, leitura e análise de textos relevantes ao tema do projeto, seguida de um relato

por escrito”. Portanto, o conteúdo do referencial teórico desta pesquisa foi composto por

dados e informações contidos em livros e artigos na Internet referentes à Gestão da

Informação, Segurança da Informação, Engenharia Social e Atividades do Profissional de

Secretariado Executivo.

Antes de tratar da Segurança da Informação foi feita a contextualização de

Informação. Em seguida foram apresentados os principais modos de Segurança da Informação

física, tecnológica e humana. Também foram apresentados os conceitos de Política de

Segurança da Informação e Plano de Continuidade de Negócios.

Após, tem-se a apresentação conceitual do termo “Engenharia Social” e seus

elementos mais relevantes ao ambiente corporativo. Ou seja, seus ataques, técnicas e medidas

de defesa.

20

Ao fim do referencial teórico, foi feita uma conexão entre as atividades dos

profissionais de Secretariado Executivo quanto às Informações e, principalmente, a Segurança

das Informações e Engenharia Social.

Foi feita uma pesquisa de campo com Secretárias Executivas de empresas de vários

setores (automobilístico, financeiro, mobiliário e terceiro setor) e porte, a cerca do tratamento

que elas e suas empresas dão às informações da organização. O objetivo foi apresentar uma

visão prática de erros reais e comuns, bem como alguns mecanismos de defesa contra a falha

na segurança da informação.

Não se pode apresentar um estudo de caso específico sobre o assunto de apenas uma

empresa por uma questão de ética; para não registrar falhas, portas abertas e pontos fortes

e/ou fracos das empresas quando se trata de controle e Segurança da Informação.

A coleta de dados foi feita através da aplicação de questionários (vide págs. 91-99)

que tiveram as questões divididas em sessões de acordo com o que se queria avaliar. Essas

sessões foram sobre o funcionário, quanto a senhas, quanto a divulgação das informações,

quanto a empresa, quanto ao acesso às informações, quanto a contratação de funcionários e

quanto ao gerenciamento das operações e comunicações. Dos 55 questionários enviados via e-

mail para profissionais de Secretariado Executivo, apenas 20 foram devolvidos. Considerando

o fato de que as informações foram oriundas de profissionais de Secretariado Executivo

ligados a diferentes segmentos de atuação empresarial, torna-se representativo a análise de

suas respostas.

O questionário aplicado nesta pesquisa de campo foi baseado no “Teste de

Conformidade”, apresentado na obra de Sêmola (2003) também citada apud em Peixoto

(2006). Com esse instrumento será possível perceber o grau de aderência de uma empresa –

generalizando para não comprometer nenhuma empresa – em relação às recomendações de

Segurança da Informação. O questionário é composto por perguntas objetivas e apenas dois

espaços para alguma explanação sobre o assunto e exposição de algum ataque. Pelo resultado

genérico, teve-se uma pontuação associada a este teste que revelou um índice geral de

conformidade encontrado nas empresas em geral.

Pode-se dizer que a análise de conteúdo compreendeu três etapas básicas: (a) pré-

análise; (b) exploração do material; (c) tratamento dos dados e interpretação (BARDIN, 1977

apud VERGARA, 2005: 18).

21

Assim, os dados coletados foram agrupados para possibilitar as análises. Utilizou-se

da planilha excel para padronizações dos gráficos relativos às respostas. Após todos os dados

coletados e analisados, foram apresentadas as conclusões com base no referencial teórico e

elaborado um texto final. A análise dos dados foi tratada em um capítulo a parte.

22

4. FUNDAMENTAÇÃO TEÓRICA

4.1 INFORMAÇÃO

Para chegar a um conceito de informação, precisa-se primeiramente entender um

conceito base para a informação: os dados.

De acordo com Turban et al (2004), dados são itens referentes a uma descrição

primária de objetivos, eventos, atividades e transações que são gravados, classificados e

armazenados, mas não chegam a ser organizados de forma a transmitir algum significado

específico. Os dados podem ser numéricos, alfanuméricos, figuras, sons ou imagens.

Concordando com o conceito acima, Laudon e Laudon (2004) diz que dados de

representam eventos que estão ocorrendo nas organizações ou no ambiente físico, antes de

terem sido organizados e arranjados de uma forma que as pessoas possam entendê-los e usá-

los.

Para Turban et al. (2004) informação é todo conjunto de dados organizados de forma a

terem sentido e valor para seu destinatário. Este interpreta o significado e tira conclusões do

material desenvolvido pelos dados.

Laudon e Laudon (2004) expõem de uma maneira simplificada o conceito de

informação: dados apresentados em uma forma significativa e útil para os seres humanos.

23

Filho (2004) diz que informação compreende qualquer conteúdo que possa ser

armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de

utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento.

Sêmola (2003) define como informação:

“(...) conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais. (...) A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação” SÊMOLA (2003:45).

Segundo Sêmola (2003 apud Peixoto, 2006), a informação representa a inteligência

competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional

da empresa.

Nesse sentido, Filho (2004) fala que a informação digital é um dos principais, senão o

mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas

maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes,

percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais diversos fins,

possibilitando ela ser lida, modificada ou até mesmo apagada.

Para Sêmola (2003) a informação é o sangue da empresa. Distribuída por todos os

processos de negócio e circulando por diversos ativos (tudo que manipula direta ou

indiretamente a informação, inclusive ela própria), ambientes e tecnologias, a informação

cumpre um papel importante para fornecer instrumento para gestão do negócio.

A informação é transmitida de e para a empresa e entre seus integrantes. Assim, os

recursos físicos de sistema de informações, dados, software, procedimentos e quaisquer outros

recursos de informação ficam vulneráveis em muitos lugares e a todo instante. (TURBAN et

al., 2004).

Na grande maioria das situações, usuários de informações desconhecem seu valor e

podem colocar a si ou uma instituição numa condição vulnerável, principalmente, quando

diante de um engenheiro social (FILHO, 2004).

24

4.1.1 Classificação das Informações

A definição da classificação das informações se torna necessária para uma filtragem

mais apurada da importância de cada tipo de informação dentro das empresas.

A forma mais detalhada está apresentada na Figura 1:

Figura 1: Classificação das informações

Fonte: PEIXOTO, 2006:60

Segundo Peixoto, (2006), o Engenheiro Social (vide 4.4.1 Perfil do Engenheiro Social,

págs. 44-45) buscará a coleta de informações em todas as categorias, mas geralmente em um

grau de dificuldade diretamente proporcional à escala de importância das informações.

Portanto, para Peixoto (2006), as informações podem ser públicas ou internas e

particular ou confidencial.

• Pública: São informações deliberadamente voltadas ao público, distribuídas

livremente sem restrições para as pessoas, como forma de divulgação; por

exemplo, Internet, livros, revistas, jornais, dentre outras formas;

• Interna: São as informações voltadas mais especificamente ao interesse dos

próprios funcionários da empresa, e que podem ser úteis ao Engenheiro Social,

para se passar por um empregado autorizado, contratado ou por algum

fornecedor, ou saber os melhores horários para se infiltrar na empresa;

• Particular: É a categoria de informações de âmbito mais pessoal que, se cair

em mãos erradas prejudicará não somente a empresa, como principalmente o

próprio funcionário. Tais itens de dados particulares são caracterizados como

informações de conta bancária, histórico de salário, histórico médico de

empregados, benefícios de saúde ou qualquer outro tipo de informação pessoal

que não deva ser pública;

25

• Confidencial: Tipo de informação mais valorizada pela empresa. Disponível a

um número limitado de pessoas, de modo que se não tratada com a devida

importância, comprometerá às vezes de forma irreversível toda uma estrutura

de gestão administrativa e, de diversos departamentos. Podem ser informações

operacionais da empresa, de estratégias de negócios, informações de marketing

e financeiras, além de informações voltadas aos segredos comerciais da

empresa, como códigos – fonte proprietário, especificações técnicas ou

funcionais.

Tais informações, segundo Siqueira (2005), precisam ser classificadas de acordo com

o público que a utiliza e o objetivo que esse público precisa alcançar. O objetivo dever ser

principalmente alcançar um fim estratégico para as informações, de modo que possam dar

suporte estratégico, gerando a informação relevante que apoiará a tomada de decisão ou criará

um produto de informação.

Níveis organizacionais diversos normalmente necessitam de níveis de informações

distintos. Seguindo esse preceito, Siqueira (2005), classifica as informações, em função do

nível organizacional, da seguinte maneira:

• Informações Estratégicas: Informações que podem exercer influência sobre a

estratégia da empresa, tanto internamente, quanto na relação da organização

com seu meio. Auxiliam a alta gerência na tomada de decisão e no

monitoramento dos planos e dos indicadores estratégicos. Precisa ser relevante

para o planejamento estratégico e estar disponível a tempo ou em tempo real.

• Informações Táticas: Informações que auxiliam, principalmente, os gerentes

de nível médio na tomada de decisão sobre as situações, tanto do ambiente

interno quanto externo. Auxiliam no controle e avaliação dos seus projetos,

processos e planejamento das ações sob sua responsabilidade.

• Informações Operacionais: Informações que auxiliam o pessoal do nível

operacional na execução de suas atividades e tarefas. Permite também o

planejamento das ações operacionais, bem como suas eventuais decisões.

26

4.2 SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

O termo “segurança” abarca políticas, procedimentos e medidas técnicas usados para

impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação.

Ela pode se dar por um conjunto de técnicas e ferramentas, destinadas a salvaguardar

hardwares, softwares, rede de comunicação e dados. (LAUDON e LAUDON, 2004)

Peixoto (2006) diz que o termo Segurança da Informação pode ser designado como

uma área do conhecimento que salvaguarda os chamados ativos da informação contra acessos

indevidos, modificações não autorizadas ou até mesmo sua não disponibilidade.

Segundo Sêmola (2003), a expressão “Segurança da Informação” é um termo

ambíguo, podendo assumir dupla interpretação:

1. Segurança como uma prática adotada para tornar um ambiente seguro (atividade, ação,

preservação dos princípios), de caráter interdisciplinar, composta de um conjunto de

metodologias e aplicações que visam estabelecer: controles de segurança dos elementos

constituintes de uma rede de comunicação e/ou que manipulem a informação (por

exemplo, de autentificação, autorização e auditoria); e procedimentos para garantir a

continuidade de negócios na ocorrência de acidentes.

2. Resultado da prática adotada, objetivo a ser alcançado. É a característica que a

informação adquire ao ser alvo de uma prática de segurança (segura é adjetivo, objetivo é

prática).

Logo, ao se utilizar este termo, SÊMOLA (2003:44) diz que deve-se ter consciência

desta ambigüidade, a fim de identificar o conceito mais apropriado. Por exemplo:

• Segurança como “meio”: A segurança da informação visa garantir a

confidencialidade, integridade e disponibilidade da informação, a

impossibilidade de que agentes participantes em transações ou na comunicação

repudiem a autoria de suas mensagens, a conformidade com a legislação

vigente e a continuidade dos negócios.

• Segurança como “fim”: A segurança da informação é alcançada por meio de

práticas e políticas voltadas a uma adequada padronização operacional e

gerencial dos ativos, e processos que manipulam e executem a informação.

27

4.2.1 Princípios da Segurança da Informação

Atualmente, numa era onde conhecimento e informação são fatores de suma

importância para qualquer organização, Segurança da Informação é um pré-requisito para

todo e qualquer sistema de informações.

De uma forma mais ampla, Sêmola (2003) considera a Segurança da Informação como

a prática de gestão de riscos e incidentes que impliquem no comprometimento dos três

principais conceitos da segurança: confidencialidade, integridade e disponibilidade da

informação. Em conformidade com Peixoto (2003), são descritos esses três princípios:

• Confidencialidade: Toda informação deve ser protegida de acordo com o grau

de sigilo de seu conteúdo, visando a limitação de seu acesso e uso apenas às

pessoas para quem elas são destinadas. A tramitação das informações deve

contar com a segurança de que elas cheguem ao seu destino final, sem que se

dissipem para outros meios ou lugares onde não deveriam passar. Recursos

como criptografar (vide 4.3.6.1.3.1 Criptografia, págs. 37-38) as informações

enviadas, autentificações, dentre outros, são válidos desde que mantenham

também a integridade destas informações;

• Integridade: Toda informação deve ser mantida na mesma condição em que

foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações

indevidas, intencionais ou acidentais. As informações não podem ter sofrido

nenhum tipo de modificação ou alteração comprometendo sua real veracidade,

levando à perda da integridade que continham quando partiram da origem;

• Disponibilidade: Toda informação gerada ou adquirida por um indivíduo ou

instituição deve estar disponível aos seus usuários no momento em que ele

necessitarem delas para qualquer finalidade. Conseguir manter essa estrutura

da passagem destas informações de forma confiável e íntegra sem que haja a

enorme dificuldade ou até mesmo a impossibilidade de captar de forma viável

tais informações

Filho (2004) em seu artigo coloca a segurança da informação sob cinco pilares:

28

“Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade” (FILHO, 20042).

Figura 2: Pilares da segurança da Informação segundo FILHO (2004)

Fonte: FILHO, 20043

Baseando no artigo de Filho (2004), observamos que dentro desse contexto, a

confidencialidade oferece suporte a prevenção de revelação não autorizada de informações,

além de manter dados e recursos ocultos a usuários sem privilégio de acesso. Já a integridade

previne a modificação não autorizada de informações. Por outro lado, a disponibilidade

prover suporte a um acesso confiável e prontamente disponível a informações. Isto implica

dados e sistemas prontamente disponíveis e confiáveis. Adicionalmente, o não repúdio e

autenticidade compreendem o que poderia ser denominado de responsabilidade final e, dessa

forma, busca-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente

externo de um sistema a fim de assegurar a integridade de origem.

Para Siqueira (2005), a preservação da confidencialidade é a garantia de acesso à

informação somente por pessoas autorizadas, limitando o acesso às entidades autenticadas,

sejam elas pessoas, máquinas ou processos. A preservação da integridade é a garantia de

exatidão e completeza da informação, ou seja, garantir que toda vez que uma informação seja

2 Disponível no endereço: http://www.espacoacademico.com.br/042/42amsf.htm

29

manipulada, ela esteja consistente e íntegra. A preservação da disponibilidade garante que o

acesso autorizado à informação esteja disponível a quem precisa dela para fins de negócio,

com acesso contínuo, sem falhas, ininterrupto, constante e atemporal às informações.

4.2.2 Ciclo de vida da informação

O ciclo de vida é composto e identificado pelos momentos vividos pela informação

que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos,

tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez,

mantêm a operação da empresa (SÊMOLA, 2003).

Correspondendo às situações em que a informação é exposta a ameaças que colocam

em risco suas propriedades, atingindo a sua segurança, Sêmola (2003) revela os 4 momentos

do ciclo de vida da informação.

• Manuseio: Momento em que a informação é criada e manipulada, seja ao

folhear um maço de papéis, ao digitar informações recém geradas em uma

aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para

autentificação.

• Armazenamento: Momento em que a informação é armazenada, seja em um

banco de dados compartilhado, em uma anotação de papel posteriormente

postada em um arquivo ferro, ou, ainda, em uma mídia de disquete depositada

na gaveta da mesa de trabalho.

• Transporte: Momento em que a informação é transportada, seja ao caminhar

informações por correio eletrônico (e-mail), ao postar um documento via

aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial,

por exemplo.

• Descarte: Momento em que a informação é descartada, seja ao depositar na

lixeira da empresa um material impresso, seja ao eliminar um arquivo

eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROM

usado que apresentou falha na leitura.

30

4.2.3 Ameaça X Vulnerabilidade

A todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos

são alvo de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco

compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essa possibilidade

aparece, a quebra da segurança é consumada. (SÊMOLA, 2003)

O autor Sêmola (2003) define ameaças como

“(...) agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização” SÊMOLA (2003:47)

Peixoto (2006), em conformidade com Sêmola (2003), escreve que as ameaças são

muitas vezes conseqüências das vulnerabilidades existentes, provocando assim perdas de

confidencialidade, integridade e disponibilidade. Elas podem ser classificadas quanto à sua

intencionalidade nos seguintes grupos:

• Ameaças naturais: Fenômenos da natureza, como incêndios naturais,

enchentes, terremotos, tempestades eletromagnéticas, maremotos,

aquecimento, poluição, etc.;

• Ameaças involuntárias: Ameaças inconscientes, que ocorrem quase sempre

devido ao desconhecimento. Podem ser causadas por acidentes, erros, falta de

energia, etc.;

• Ameaças voluntárias: São ameaças propositais que mais se relacionam com a

Engenharia Social. Causadas por agentes humanos como harckers, invasores,

espiões, ladrões, criadores e disseminadores de vírus de computador,

incendiários.

Para Turban et al. (2004) as ameaças não-intencionais ou involuntárias podem ser

dividas em três categorias principais:

• Falhas humanas: Pode ocorrer no projeto do hardware e/ou sistema de

informação, na fase da programação, de testes, de coleta de dados, de inserção

de dados, de autorização ou de instrução. Elas correspondem à 55% dos

problemas relacionados ao controle e segurança em inúmeras empresas.

31

• Perigos do ambiente: Incluem terremotos, tufões, tempestades de neve ou de

areia, tornados, enchentes, blackouts3, incêndios, etc.

• Falhas do sistema computacional: As falhas de sistemas computacionais

podem ocorrer em virtude de defeitos de fabricação ou de material. Também

podem ocorrer por falta de experiência ou insuficiência de testes.

Já as ameaças intencionais ou voluntárias para Turban et al. (2004) são as que

consistem em roubos de dados; uso indevido dos dados; roubo de tempo do computador

mainframe4; roubo de equipamento e/ou programas; manipulação deliberada no manuseio,

entrada, processamento, transferência ou programação de dados; greves, sabotagem ou

tumultos; dano proposital aos recursos computacionais, destruição por vírus ou ataques

semelhantes; abusos e crimes diversos contra os computadores.

As vulnerabilidades, segundo Peixoto (2006) são também frutos de ameaças

generalizadas e exploradas, afetando assim a segurança das informações.

De acordo com Sêmola (2003) as vulnerabilidades por si só não provocam incidentes,

pois são elementos passivos, necessitando para tanto de um agente causador ou condição

favorável, que são as ameaças.

A vulnerabilidade dos sistemas de informação aumenta à medida que nos movemos

em direção a um mundo onde prevalece a computação em rede. Teoricamente, existem

centenas de pontos nos sistemas de informação de uma empresa sujeitos a ameaças. O risco

que uma organização corre está relacionado à exploração de vulnerabilidades que permitam

comprometer a integridade, disponibilidade e confidencialidade das informações. (SÊMOLA,

2003)

Juntando conceitos de Sêmola (2003) e de Peixoto (2006) pode-se exemplificar como

vulnerabilidades dentro de um ambiente corporativo:

3 Blackouts: palavra oriunda da língua inglesa que significa blecaute em português.

4 Mainframe: palavra oriunda da língua inglesa que denomina, em português, um servidor central de computadores ligados em rede.

32

• Físicas: Instalações prediais fora do padrão, salas de CPD mal planejadas,

estrutura de segurança fora dos padrões exigidos (falta de extintores; detectores

de fumaça e outros recursos de combate a incêndio; risco de explosões e

vazamentos);

• Naturais: Computadores são suscetíveis a danos naturais, como tempestades,

incêndio, além, por exemplo, de falta de energia, acúmulo de poeira, aumento

da umidade e temperatura;

• Hardware: Desgaste do equipamento, obsolescência, má utilização, erros

durante a instalação;

• Software: Erros na instalação ou configuração que acarretam acessos

indevidos, vazamento de informações e, dependendo do caso, perda de dados

ou indisponibilidade de recursos;

• Mídias: Disquetes, fitas, relatórios e CD’s podem ser perdidos ou danificados,

e a radiação eletromagnética pode causar danos às mídias magnéticas às vezes

irreparáveis;

• Comunicação: Acessos não autorizados ou perda de comunicação;

• Humanas: Técnicas de Engenharia Social (vide 4.4.4 Métodos de Ataque da

Engenharia Social, págs. 49-54) e vulnerabilidades referindo-se ao fator

humano, como falta de treinamento, compartilhamento de informações

confidenciais, erros ou omissões, falta de equipamentos, conscientização, o não

segmento das políticas de segurança; ameaça de bomba, sabotagem, distúrbios

civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões

ou guerras.

Vale ressaltar alguns fatores, de acordo com Mitnick e Simon (2003 apud Peixoto,

2006) que tornam as empresas cada vez mais vulneráveis aos ataques do Engenheiro Social

(vide 4.4 Engenharia Social nas Empresas págs. 43-59) fazendo com que haja uma reflexão

melhor quando se trata de informações: um número grande de funcionários; diversas

instalações; informações sobre o paradeiro dos empregados deixadas nas mensagens de voice-

33

mail5; informações de ramal de telefone disponíveis; falta de treinamento em segurança; falta

de sistema de classificação de dados; e nenhum plano ou grupo de resposta aos incidentes de

segurança.

4.2.4 Aspectos da Segurança da Informação

De acordo com Sêmola (2003) apud Peixoto (2006), muitos percebem os aspectos da

segurança considerando apenas os problemas associados à tecnologia, mais precisamente

Internet, redes, computadores, e-mail, vírus e harckers.

Em função desse entendimento, Sêmola (2003) enumera alguns pecados praticados

com relação à segurança da informação que podem refletir negativamente no negócio: atribuir

a segurança da informação exclusivamente à área de tecnologia; posicionar hierarquicamente

essa equipe abaixo da diretoria de TI; definir investimentos subestimados e limitados à

abrangência dessa diretoria; elaborar planos de ação orientados à reatividades; não perceber a

interferência direta da segurança com o negócio; tratar as atividades como despesa e não

como investimento; adotar ferramentas pontuais como medida paliativa; satisfazer-se com a

sensação de segurança provocada por ações isoladas; não cultivar corporativamente a

mentalidade de segurança; e tratar a segurança como um projeto e não como um processo.

Assim como Sêmola (2003) e Peixoto (2006), Siqueira (2005) diz que muitas

empresas têm como foco da política de segurança da informação (vide 4.2.9 Política de

Segurança da Informação, págs. 41-42) o hábito de restringir, monitorar e inspecionar acessos

à intranet, Internet e correio eletrônico, sob o argumento de que estes são a forma mais fácil

de vazamento de informações estratégicas do negócio. Apesar de questionável, esta é uma

prática comum e de fácil justificativa: é mais fácil um gerente de segurança explicar a

negativa de acesso de um analista de sistemas aos dados de produção do que justificar o

vazamento dessas informações à concorrência, quando setores indiretamente ligados à

produção têm acesso a essas informações.

5 Voice-mai: palavra oriunda da língua inglesa, significa correio de voz em português.

34

Segundo Peixoto (2006) deve-se ter em mente que o alicerce que assegura os

princípios básicos da Segurança da Informação (confidencialidade/integridade/

disponibilidade) tange como principais questionamentos, quando da ocorrência de alguma

ameaça surgida, em três aspectos: Segurança Física; Segurança Tecnológica; e Segurança

Humana.

4.2.5 Segurança Física da Informação

De acordo com Sêmola (2003), o ambiente físico deve receber a implementação de um

conjunto de mecanismos voltados a controlar o acesso e as condições de ambientes físicos,

sinalizando, registrando, impedindo e autorizando acessos e estados; como por exemplo,

roletas de controle de acesso físico, acionadores de água para combate a incêndios, detectores

de fumaça, dispositivos de biometria, circuitos internos de televisão, alarmes e sirenes,

fragmentadores de papel, entre outros.

4.2.6 Segurança Tecnológica da Informação

Segundo Gamboa (1997 apud Siqueira, 2005), o uso excessivo de tecnologias que vise

a restrição ao acesso à informação pode se tornar perigosas, principalmente quando tentam

“controlar a rotina das pessoas” de foram irracional ou impor barreiras invisíveis, que

regridam ao modelo industrial na tentativa de criar sistemas fechados.

Sêmola (2003) diz que a lista de dispositivos aplicáveis aos ativos tecnológicos é

extensa, pois, além da diversidade e heterogeneidade de tecnologias, ainda tem-se que

considerar a velocidade criativa do setor que apresenta uma nova ferramenta ou equipamento

praticamente todo dia.

4.2.6.1 Tecnologia da Informação para Segurança da Informação

Os instrumentos aplicáveis aos ativos tecnológicos são divididos por Sêmola (2003)

em três famílias: autentificação e autorização; combate a ataques e invasões; e privacidade das

comunicações.

35

4.2.6.1.1 Autentificação e Autorização

Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e

agentes em geral, os mecanismos de autentificação mostram-se fundamentais para os atuais

padrões de informatização, automação e compartilhamento de informações, para Sêmola

(2003). Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável

realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a

compartilhar informações valiosas sem controle.

Diante tantas opções de autentificação e da oferta de diferentes níveis de segurança

proporcionados por cada método, é fator crítico de sucesso para o gestor de segurança analisar

em detalhes do ambiente de autentificação, as reais necessidades de proteção impostas pela

criticidade das informações e os impactos relacionados ao desempenho e montante de

investimento demandado. Mesmo assim, podem surgir situações em que um único método

não atenda aos requisitos mínimos de segurança, tornando necessário combinar um ou mais

métodos (SÊMOLA, 2003).

Os métodos de autentificação são divididos pelo autor em três grupos, devido ao grau

de segurança que oferecem: o que você sabe, o que você tem e o que você é.

“O que você sabe” é o método muito utilizado e baseado na definição de uma senha,

portanto, uma spring pessoal e intransferível entregue ao agente autorizado a empregá-la,

sendo mantida uma cópia de comprovação no instrumento controlador. De início este método

já revela fragilidades, pois a segurança depende de fatores internos, como a estrutura de

construção e manutenção da senha, bem como de fatores externos ao método como o

comportamento dos agentes que podem ter desvios de conduta, levando ao comprometimento

do mecanismo. Para Sêmola (2003), uma senha pode assumir o rótulo de forte ou fraca

dependendo de três fatores: do valor e importância das informações protegidas por ela, do

tempo em que a senha estará cumprindo o papel de proteção, e pelo poderio, interesse e

disposição que um suposto interessado despenderia para obter à informação protegida.

“O que você tem” é o método onde há um grande conjunto de dispositivos que se

encaixam neste perfil. A escolha do melhor mecanismo está diretamente atrelada ao nível de

segurança necessário para as informações e inevitavelmente o orçamento disponível

(SÊMOLA, 2003).

36

O método “O que você é” ainda está em fase de popularização e barateamento, este

método emprega dispositivos físicos que realizam biométricas para identificar pessoas que

exercem o direito de acesso a informações, ambientes, etc. Normalmente são equipamentos

dispendiosos devido à tecnologia de ponta empregada, pois se baseiam na leitura de

informações do corpo humano, que são únicas em cada indivíduo. (SÊMOLA, 2003).

4.2.6.1.2 Combate a Ataques e Invasões

Destinados a suprir a infra-estrutura tecnológica com dispositivos de software e

hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, este

grupo de mecanismos tem papel importante no modelo de gestão de segurança, à medida que

as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente

(SÊMOLA, 2003).

Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e

registro de acessos lógicos, bem como dispositivos voltados para a segmentação de

perímetros, identificação e tratamento de tentativas de ataque. O mais conhecido é o sistema

de firewall.

4.2.6.1.2.1 Firewalls

De acordo com a Wikipédia (2007), firewall é o nome dado ao dispositivo de uma

rede de computadores que tem por função regular o tráfego de rede entre redes distintas e

impedir a transmissão e/ou recepção de dados nocivos ou não autorizados de uma rede a

outra.

Segundo Lopes (1997), um firewall é um separador, um bloqueador e um analisador,

enquanto a implementação física varia de site para site, podendo ser, por exemplo, um

roteador, um computador, ou uma combinação de roteadores e computadores

O termo inglês firewall faz alusão comparativa à função que desempenha, executando

comandos de filtragem previamente especializiados com base nas necessidades de

compartilharmento, acesso e proteção requeridos pela rede e pelas informações disponíveis

através delaç da mesma forma que uma parede corta-fogo (firewall) evita o alastramento de

incêndios pelos cômodos de uma edificação (WIKIPÉDIA, 2007 e SÊMOLA, 2003).

37

4.2.6.1.3 Privacidade das Comunicações

Quando o assunto é privacidade das comunicações, é inevitável falar de criptografia,

que é a maneira principal de combate com relação a esse aspecto.

4.2.6.1.3.1 Criptografia

Para Sêmola (2003), a criptografia é uma ciência que estuda os princípios, meios e

métodos para proteger a confidencialidade das informações através da codificação ou

processo de cifração e que permite a restauração da informação original através do processo

de decifração.

Baseado em Misaghi (2004), define-se a criptografia como uma parte da criptologia, a

ciência das mensagens secretas. A história, estudo e desenvolvimento das técnicas de

ocultação das mensagens são baseados nesta ciência. A criptografia aborda maneiras para

processamento (computacional ou não) de documentos com o objetivo de esconder seu

conteúdo, validar sua integridade e proteger seu uso contra pessoas não autorizadas.

Muitas organizações confiam na criptografia para proteger informações sensíveis

transmitidas pela internet e outras redes públicas, por definição menos seguras que as

privadas. Ela salvaguarda a transmissão de dados de pagamento, tais como informações de

cartão de crédito, e envolve questões de autenticação e integridade de mensagem (LAUDON

e LAUDON, 2004).

Muito aplicada na comunicação de dados, esta ciência se utiliza de algoritmos

matemáticos e da criptoanálise para conferir maior ou menor proteção de acordo com a

complexidade e estrutura de desenvolvimento (SÊMOLA, 2003:122).

A criptoanálise é um conjunto de métodos para analisar mensagens cifradas com o

objetivo de decifrá-las. Seria o lado contrário da criptografia onde a mesma é concebida como

a ciência de quebrar códigos, desvendar segredos, violar esquemas de autenticação e efetuar a

quebra de protocolos criptográficos (SULZBACH, 2003).

Os componentes criptográficos da segurança da informação tratam da

confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o

uso desses pilares é feito em conformidade com as necessidades específicas de cada

organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das

38

informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras

decisões de gestão de riscos (FILHO, 2004).

4.2.7 Segurança Humana

Como já mencionado por vários autores, o fator humano é crucial para a Segurança da

Informação no âmbito pessoal e corporativo. Na pesquisa da empresa Módulo Security – veja

no Gráfico 1 abaixo – os “funcionários insatisfeitos” aparecem em segundo lugar no quesito

de quebra de segurança nas empresas, perdendo somente para os “vírus”.

Gráfico 1: Elementos responsáveis pela quebra da Segurança da Informação em empresas

Ao pensar em peopleware, ou seja, no capital humano como um dos elos mais críticos

e relevantes para a redução dos riscos, Sêmola (2003) aponta os seguintes controles:

seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de

segurança; crachás de identificação; procedimentos específicos para demissão e admissão de

funcionários; procedimentos específicos para tratamento de recursos terceirizados; termo de

responsabilidade; termo de confidencialidade; softwares de auditoria de acessos; e softwares

de monitoramento e filtragem de conteúdo, etc.

De acordo com Peixoto (2006), assim como o funcionário que trabalha na empresa, o

ex-funcionário representa um grande fator de risco em se tratando de informações

confidenciais. Funcionários insatisfeitos ou revoltados por uma demissão devem ser sempre

pontos de suspeita em casos às vezes inexplicáveis de perdas de documentos importantes,

39

entrega de informações que somente aquele setor deveria saber, dentre inúmeros outros

problemas quanto à seguridade de informações internas da empresa.

Quando se demite um funcionário, isso deve ser comunicado imediatamente ao setor

de TI da empresa caso existam identificações em âmbito tecnológico com responsabilidade

perante armazenamento da entrada/saída de funcionários no banco de dados, conta de e-mail

criada para este funcionário, id, senha, dentre outros meios existentes que autentiquem este

funcionário como integrante da empresa (PEIXOTO, 2006).

Tratando-se de Segurança da Informação mediante os cuidados que se deve ter com

um ex-empregado, Peixoto (2006) destaca as principais medidas a serem tomadas:

• Um checklist completo das etapas a serem tomadas quando um empregado vai

embora, com providências especiais para os funcionários que tinham acesso a

dados confidenciais;

• Uma política de encerramento imediato do acesso do empregado ao

computador – da preferência antes da pessoa deixar o prédio;

• Um procedimento para recuperar o crachá de identificação da pessoa, bem

como de todas as chaves ou dispositivos de acesso eletrônico;

• Medidas que exijam que os guardas da segurança vejam o ID com foto antes

de admitir qualquer empregado que não tenha o seu passe de segurança, e a

verificação do nome em uma lista para saber se a pessoa ainda é funcionária da

organização.

4.2.8 Medidas de Segurança

Conforme escrito por Sêmola (2003), medidas de segurança são práticas,

procedimentos e mecanismos usados para proteção da informação e seus ativos, que podem

impedir que as ameaças explorem vulnerabilidades, a redução das vulnerabilidades, a

limitação do impacto ou minimização do risco de qualquer forma.

Sêmola (2003) considera as medidas de segurança como controles que podem ter as

seguintes características:

40

• Preventivas: Medidas de segurança que tem como objetivo evitar que

incidentes venham a ocorrer. Visam manter a segurança já implementada por

meio de mecanismos que estabeleçam a conduta e a ética da segurança na

instituição. Como exemplos, podem-se citar as políticas de segurança (vide

4.2.9 Políticas de Segurança da Informação, págs. 41-42), instruções e

procedimentos de trabalho, especificação de segurança, campanhas e palestras

de conscientização de usuários; ferramentas para implementação da política de

segurança, por exemplo, firewall (vide 4.2.6.1.2.1 Fiewalls, pág. 36-37),

antivírus, configurações adequadas de roteadores e dos sistemas operacionais,

entre outros.

• Detectáveis: Medidas de segurança que visam identificam condições ou

indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem

vulnerabilidades. Alguns exemplos são: análise de riscos, sistemas de detecção

de intrusão, alertas de segurança; câmeras de vigilância, alarmes, entre outros.

• Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana

para que as mesmas se adaptem às condições de segurança estabelecidas pela

instituição, ou voltadas à redução dos impactos: equipes para emergências,

restauração de backup, plano de continuidade operacional, plano de

recuperação de desastres.

Por se tratar de um problema generalizado e corporativo, envolvendo os aspectos

físicos, tecnológicos e humanos que sustentam a operação do negócio, torna-se necessário,

que se inicie os trabalhos mobilizando primeiro os executivos da diretoria da empresa, para

depois atingir os demais da hierarquia; e as ações tem seu início no nível operacional.

As ações precisam estar intimamente alinhadas com as diretrizes estratégicas da

empresa e, para isso, é necessário ter uma visão corporativa, global e ampla, capaz de criar

sinergia entre as atividades. Sêmola (2003) diz que importante conseguir a eliminação de

ações redundantes e, muitas vezes conflitantes, que depreciam o plano corporativo de

segurança da informação.

41

4.2.9 Política de Segurança da Informação

Com o propósito de fornecer orientação e apoio às ações de gestão de segurança, a

política, segundo Sêmola (2003), tem papel fundamental. Uma política estabelece padrões,

responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das

informações dentro do nível de segurança estabelecido sob medida pela e para a empresa;

portanto, a mesma deve ser personalizada.

É muito importante o envolvimento da alta direção, refletida pelo caráter oficial com

que a política é comunicada e compartilhada junto aos funcionários. Este instrumento deve

expressar as preocupações dos executivos e definir as linhas de ação que orientarão as

atividades táticas e operacionais (SÊMOLA, 2003).

Critérios normatizados para admissão e demissão de funcionários; criação de

manutenção de senhas; descarte de informação em mídia magnética; desenvolvimento e

manutenção de sistemas; uso da Internet; acesso remoto; uso de notebook6; contratação de

serviços terceirizados; e classificação da informação são bons exemplos de normas de uma

típica política de segurança para Sêmola (2003).

Pode-se perceber, portanto o quão complexo é desenvolver e, principalmente, manter

atualizada a política de segurança da informação com todos os seus componentes. Esta

percepção torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnológico

de uma empresa, e, ainda, mudanças previsíveis e imprevisíveis que o negócio poderá sofrer

(SÊMOLA, 2003).

Desta forma, o importante é iniciar com um grupo de trabalho formado por

representantes das áreas e departamentos mais representativos, integrando visões, percepções

e necessidades múltiplas que tenderão a convergir e gerar os instrumentos da política. Sêmola

(2003) indica os seguintes passos:

• Comece elaborando as diretrizes, envolva os executivos e conquiste apoio;

• Estabeleça os responsáveis e os gestores diretos da manutenção política;

6 Notebook: palavra oriunda da língua inglesa, utilizada para denominar, em português, um computador portátil.

42

• Desenvolva um programa de divulgação das diretrizes, normas, procedimentos

e instruções da política como instrumento para disseminação de cultura e

conscientização dos funcionários;

• Lance mão de seminário, cartazes, brindes, comunicações oficiais de

executivos, cursos convencionais ou on-line, protetores de tela e tudo mais que

se aplicar ao perfil da empresa e a natureza de sua atividade;

• Envolva todos os funcionários, fazendo-os sentir co-responsáveis pela saúde da

segurança do negócio e, principalmente, responsáveis pela proteção das

informações por eles custodiadas.

A conformidade com os requisitos legais, envolvendo obrigações contratuais, direitos

de propriedade intelectual, direitos autorais de software e todas as possíveis regulamentações

que iniciam no negócio da empresa devem ser respeitados e, logo, deve ser a linha de conduta

da construção da política de segurança. (SÊMOLA, 2003)

4.2.10 Plano de Continuidade de Negócios

Garantir a continuidade de processos e informações vitais à sobrevivência da empresa,

no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre.

Com este propósito e formado pelas etapas de análise se impactos no negócio, estratégias de

contingência e três planos de contingência, o Plano de Continuidade de Negócios deve ser

elaborado com o claro objetivo de contingenciar situações e incidentes de segurança que não

puderem ser evitados (SÊMOLA, 2003).

Assim, segundo Sêmola (2003) o Plano de Continuidade tem, por sua natureza, um

alto nível de complexidade, podendo assumir diversas formas em função do objeto a ser

contingenciado e a abrangência de sua atuação.

“Diferente do que muitos imaginam, uma empresa não possuirá um plano único, mas diversos planos integrados e focados em diferentes perímetros, sejam físicos, tecnológicos ou humanos e, ainda, preocupada com múltiplas ameaças potenciais. Essa segmentação é importante, afinal, uma empresa tem processos cuja tolerância à falha é variável, os impactos idem, assim como o nível de segurança necessário à natureza das informações manipuladas” SÊMOLA (2003:99)

43

Seja qual for o objeto de contingência – uma aplicação, um processo de negócio, um

ambiente físico e, até mesmo uma equipe de funcionários –, a empresa deverá selecionar a

estratégia que melhor conduza o objeto a operar sob nível de risco controlado.

4.2 ENGENHARIA SOCIAL NAS EMPRESAS

O termo ”Engenharia Social” abrange diretamente o assunto referente aos fatores

externos que, superficialmente, significa o estudo dos meios pelos quais um indivíduo pode

ser capaz de induzir outro a agir de determinada maneira.

A Engenharia Social é tratada na mesma linha de pensamento dentre vários autores.

Peixoto (2006), em sua obra, leva em conta o significado das palavras supostamente

separadas:

“Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas habilitações específicas à criação de estruturas, dispositivos e processos que se utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas.” (FERREIRA, 1995:687 apud PEIXOTO 2006:4)

“Social: Da sociedade, ou relativo a ela. Sociável. Que interessa à sociedade.” (FERREIRA, 1995:687 apud PEIXOTO 2006:4)

A melhor definição encontrada por Peixoto (2006) é da Konsultex Informática,

empresa de software especializada em gerenciamento de projetos.

“Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informações) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos.” (KONSULTEX, 1993 apud PEIXOTO, 2006:4)

Assim também a define Engenharia Social Nakamura e Geus (2003)

“A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras informações que possam comprometer a segurança da organização” (NAKAMURA,GEUS, 2003:70).

Segundo um dos maiores especialistas na arte da Engenharia Social, Kevin Mitnick, a

Engenharia Social “é um termo diferente para definir o uso de persuasão para influenciar as

pessoas a concordar com um pedido”. (MITNICK, 2003 apud PEIXOTO, 2006)

44

Gartner (2002) em seu artigo, também diz que a Engenharia Social, envolve a

manipulação de pessoas mais do que de tecnologia, para encontrar uma brecha perfeita num

sistema de segurança da empresa. Ela ataca o sistema de segurança de uma empresa usando

uma combinação de habilidades interpessoais, pesquisa e habilidades técnicas para explorar

uma brecha que revele dados privados em âmbito corporativo e pessoal.

De acordo com Peixoto (2006) a Engenharia Social retrata três aspectos fundamentais

que englobam sua verdadeira essência. Uma delas é como ciência, na forma de estudo,

pesquisa e descobrimento que o Engenheiro Social deve ter consigo. A técnica, como modelo

de aplicação de suas habilidades envolvendo características propriamente padronizadas como

principalmente personalizadas ou incrementadas. Por fim, a arte como o meio mais criativo e

envolvente que o Engenheiro Social pode trazer levando em conta o senso lógico, mas,

sobretudo emocional, que é muito bem explorado por esse mestre articulador das

vulnerabilidades humanas.

4.4.1 Perfil do Engenheiro Social

De acordo com Peixoto (2006), geralmente o Engenheiro Social é um tipo de pessoal

agradável. Ou seja, uma pessoa educada, simpática, carismática. Mas, sobretudo, criativa,

flexível e dinâmica, possuindo uma conversa bastante envolvente.

Peixoto (2006) diz que os indivíduos manipuladores em geral têm personalidades

muito envolventes. Eles geralmente são astutos e bem articulados. Os Engenheiros Sociais

também são especialistas na arte de distrair os processos de pensamento das pessoas para que

elas cooperem com seu objetivo. Imaginar que determinada pessoa não é vulnerável a essa

manipulação é subestimar a inteligência e o instinto do Engenheiro Social.

Turban et al. (2004) em sua obra traçou um perfil básico de um Engenheiro Social,

bem como escreveu suas principais motivações para realizar os ataques. Para melhor

apresentação, confeccionaram-se estes quadros:

45

Quadro 2: Perfil do Engenheiro Social

Sexo Homens brancos, com idades entre 19 e 30 anos, sem

antecedentes criminais. (As mulheres têm tendência de serem

cúmplices)

Ocupação Programador de aplicativos, usuário de sistema, pessoal

administrativo, estudantes, gerentes.

QI QI elevado, inteligente, boa aparência e criativo.

Aparência Aparentemente autoconfiante, ambiciosa e dinâmico

Abordagem ao trabalho Gosta de aventuras, disposto a aceitar desafios tecnológicos,

altamente motivado.

Fonte: TURBAN et al. (2004), adaptado por BALDIM (2007).

Quadro 3: Elementos Motivadores para os Engenheiros Sociais

Econômica Necessidade urgente de dinheiro

Ideológica Enganar o sistema é visto como jogo limpo, uma vez que o

“sistema engana todo mundo”

Egocêntrica É divertido, desafiante e emocionante enganar o sistema. O

egocentrismo parece ser o principal motivador desses criminosos.

Psicológica Vingar-se do patrão, que é visto como frio, indiferente e

impessoal

Diversão Divertir-se invadindo um sistema, roubando senhas, etc.

Outras O funcionário acredita que está “tomando um software

emprestado” e não o roubando

Fonte: TURBAN et al. (2004), adaptado por BALDIM (2007).

4.4.2 Características da Vulnerabilidade Humana exploradas pelos Engenheiros Sociais

O Engenheiro Social trabalha como ninguém os pontos relativos à psicologia humana.

46

Gartner (2002) diz que a Engenharia Social compreende em entender o

comportamento humano, e nas habilidades de persuadir os outros para conseguir informações

ou fingir que é outra pessoa. Persuasão por si mesma é uma arte e uma ciência; estudos

mostram que humanos tem certas tendências de comportamento que são exploráveis por uma

cuidadosa manipulação. Alguns indivíduos têm uma habilidade natural de manipular,

enquanto outros desenvolvem essa habilidade através de prática usando reforços positivos, e

negativamente. Engenheiros sociais brincam com essas tendências e motivações para excitar

certas respostas de seus alvos.

Para Filho (2004), é importante salientar que, independente do hardware, software e

plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual

possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia

social; como por exemplo: vontade de ser útil, busca por novas amizades e propagação de

responsabilidade.

De acordo com Mitnick e Simon (2003) apud Peixoto (2006), quando um Engenheiro

Social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse

conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam

estar preparadas para os ataques da Engenharia Social vindos de empregados atuais ou ex-

empregados, que podem ter um motivo de descontentamento.

Para Peixoto (2006), qualquer coisa que conserve ou forneça informações está

vulnerável ao engenheiro social, e ninguém em qualquer nível da empresa está a salvo dele.

Toda e qualquer informação é valiosa para um atacante. É importante lembrar que

engenheiros sociais são cíclicos, com pequenos ataques regulares, eles ganham informações

até conseguir seu objetivo. Informações podem ser públicas ou privadas, acessíveis ou não

acessíveis. Infelizmente, a maioria das informações é pública e acessível, como dados

financeiros, dados pessoais (por exemplo, nome de sua mãe, número da carteira de motorista,

número da identidade), que formam detalhes que podem ligar a documentos secretos.

(GARTNER, 2002)

Garnter (2002) em seu artigo aponta seis tendências básicas de comportamento

humano que ajuda a gerar uma resposta positiva para os engenheiros sociais:

47

Quadro 4: Seis Comportamentos humanos para resposta positiva

Comportamento Definição Exemplo

Reciprocidade Alguém é estigado e se sente obrigado a fazer algo sobre alguma coisa.

Você compra uma rodada de queijo quando eles te dão desconto.

Coerência Certos comportamentos moldados são coerentes de uma pessoa a outra.

Se você perguntar algo e esperar, a pessoa vai se sentir obrigada a falar algo.

Aceitação social - Medo

Alguém é obrigado a fazer o que todo mundo faz.

Parar no meio de uma rua movimentada e olhar para cima; pessoas eventualmente irão parar e fazer o mesmo.

Simpatia Pessoas tendem a dizer sim para aqueles que ele gosta ou sentem atraídos.

Bonitas modelos são usadas em publicidade

Autoridade Pessoas tendem a escultar ou prestar atenção nos avisos de quem tem posição de autoridade.

“Quatro entre cinco médicos recomendam..”

Escassez Se alguém está com poucos suplementos, isso se torna mais “precioso” e, portanto, mais apelativo.

Furbees ou Sony Playstation 2.

Fonte: Gartner Research (2002); tradução adaptada por BALDIM (2007)

4.4.3 Ciclo de Ataque do Engenheiro Social

Os autores Gartner (2002) e Filho (2004) descrevem, nos mesmos aspectos, o ciclo de

ataque de um engenheiro social:

Figura 3: Ciclo de ataque do engenheiro social

Fonte: Gartner Research (2002)

48

• Coletar informações: Atacantes usam uma variedade de

técnicas para juntar informações sobre seus alvos, como número de CPF, data

de nascimento, nomes dos pais, manuais da empresa, etc. Isso pode ser através

de coisas simples como uma lista telefônica, arquitetura de sistemas ou

estruturas/procedimentos organizacionais. Todas essas informações serão

usadas como base para construir uma relação, mesmo que temporária, com

alguém conectado ao eventual objetivo.

• Desenvolvimento da relação: É da natureza humana ser de

alguma maneira confiável. Atacantes exploram essa tendência para

desenvolver uma afinidade com seus alvos. Em alguns casos, isso é feito por

uma simples ligação telefônica; em outros, pode demorar semanas ou mais.

Desenvolvendo uma relação, os atacantes se colocam numa posição de

confiança, para que assim esta possa ser explorada.

• Explorando a relação: O atacante explora o alvo fazendo com

que ele revele informações (por exemplo, senhas, números de cartão de crédito

ou período de ferias) ou que faça algo (como por exemplo, abrir uma conta)

que ele não faria eventualmente naquele momento. A informação ou ação pode

ser o objetivo final ou pode ser usado como uma etapa para o próximo ataque

ou próxima fase do ataque.

• Executando do ataque: O atacante executa o ciclo para realizar

o ataque contra empresa ou vítima, usando todas as informações e recursos

obtidos. Normalmente, um ataque pode incluir um certo número desses ciclos,

combinados com tradicionais métodos de cracking e alguma informação física,

para alcançar o objetivo final.

Uma série de sucessos pequenos, aparentemente não relacionados, podem dar base à

um ataque mais-sério. Essa informação pode então ser usada para infiltrar mais na empresa,

até que finalmente o atacante convença seus alvos de liberar a informação de que necessita

para comprometer a segurança da empresa (GARTNER, 2002).

49

4.4.4 Métodos de Ataque do Engenheiro Social

Com a Engenharia Social, nada parece ser o que é. A atividade primordial da

engenharia social é de manipulação de pessoas usando uma combinação de espionagem,

roubo e engano para ser bem sucedido em encontrar brechas no sistema de segurança das

empresas. Atacantes usam artimanhas psicológicas para tirar vantagem da boa vontade,

confiança e desejo de ser útil aos usuários. Os usuários, portanto, são levados a fazer coisas

pessoalmente ou on-line em favor do atacante. GARTNER (2002).

Como mostra GARTNER (2002), o atacante pode ser uma pessoa de dentro ou de fora

da empresa que finge ser outra pessoa, no telefone, por e-mail e através de programas

maliciosos disfarçados de mensagens interessantes ou programas legítimos.

Em seu artigo, GARTNER (2002) expõe alguns métodos de conseguir informações

normalmente empregados pelos engenheiros sociais:

• Fingindo ser autoridade: Com algum conhecimento, os atacantes podem

personificar figuras com pressão da autoridade e enganar alvos humanos.

• Fingindo ser alguém necessitado: Os humanos têm uma tendência de ajudar

ao outro com necessidade, tal como os usuários que têm a dificuldade alcançar

seus clientes. Com pouca pesquisa, os atacantes podem aprender bastante

informação sobre um usuário real (por exemplo, número ou gerente do

empregado) e enganar a atendente de ajuda a revelar uma senha.

• Roubo de identidade: Este é um problema crescente para indivíduos e

empresas. Muitas informações que nós usamos para nos identificar ao mundo

está facilmente disponível. Não é incomum atualmente que os criminosos

tenham bastante informação sobre você para “roubar” sua identidade e criar

um novo cartão de banco ou de crédito dos clientes já existentes.

• Manutenção e suporte: Uma das maneiras mais fáceis de adentrar em uma

empresa é trabalhar lá. Quando um novo empregado for visível, poucas

empresas prestam atenção à equipe de funcionários da limpeza, aos

trabalhadores provisórios, aos telefonistas ou aos empregados da manutenção

que têm o acesso cheio às informações administrativas.

50

• Softwares maliciosos: Muitos dos vírus que mais se proliferam são realmente

ataques da engenharia social, tais como o “Melissa” ou o ILOVEU. Estes vírus

trabalham somente se os usuários os executarem em seu sistema. Os usuários

são levados a fazer isso pelo índice compelindo do E-mail, pelo assunto ou

porque a origem da suposta mensagem é conhecida e confiável.

• Pesquisa: Na era da informação, há muito pouco sobre nós e com quem

trabalhamos que um bom pesquisador não consiga descobrir.

Peixoto (2006) também aponta certas técnicas clássicas de ataque de um Engenheiro

Social. São elas:

a) Informações Inofensivas X Valiosas

Como um jogo de quebra-cabeças, as informações são postas como “pedaços”

importantes, que se juntando aos outros “pedaços” formarão o resultado final do que se

espera. Assim, informações que parecem ser irrelevantes ou tampouco consideradas como

importantes, quando juntadas a outras também assim consideradas, tomam forma diferente

daquilo que imaginávamos inofensivo. Isso faz com que o Engenheiro Social tenha acesso a

informações que até então eram confidenciais.

Vale a seguinte regra: Não dê nenhuma informação pessoal ou interna da empresa,

nem identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante tenha

necessidade de saber a informação.

Segundo Kevin Mtinick (2006):

“Como diz o ditado: até mesmo os verdadeiros paranóicos provavelmente têm inimigos. Devemos assumir que cada empresa também tem os seus – os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados” (MITNICK e SIMON, 2003 apud PEIXOTO, 2006:8)

GARTNER (2002), em seu artigo, montou um quadro que resume bem essa técnica de

ataque de um Engenheiro Social:

b) Criando confiança

É um dos elementos que compõe o Ciclo de Ataque da Engenharia Social. Segundo

Yamagishi (1998) segurança está muito próximo da confiança.

51

“... a confiança generalizada é a expectativa básica de um comportamento não explorador da contraparte, até que prova em contrário” (YAMAGISHI, 1998 apud PEIXOTO, 2006:8)

O que o Engenheiro Social faz é simplesmente adquirir esta confiança primeiro para

que, depois de reforçado o “vínculo” de amizade criado, possa então atacar e conseguir as

informações. Ele prepara toda a teia de situações que podem vir a ocorrer, como

questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar ou

demonstrar insegurança, a ponto da vítima não ter motivo de desconfiar de algo estranho

nessa conversa.

Quando as pessoas não têm um determinado motivo para suspeitar, o Engenheiro

Social ganha a confiança mais facilmente. O hábito de aprender a se educar a observar, pensar

e questionar a autoridade que aparenta ser no momento é de fundamental importância para ao

menos dificultar a entrega de informações preciosas, ou até mesmo de informações

consideradas sem importância serem compartilhadas.

c) Simplesmente pedindo

Considerada literalmente a técnica mais simples de se conseguir informação. Quando

você tem alguma dúvida ou quer saber alguma informação, o que você faz naturalmente é

pedir. Então nada mais prático do que simplesmente solicitar o pedido da informação

interessada para a suposta vítima.

Primeiramente o Engenheiro Social deve sim ter ao menos conhecimento de alguns

jargões comumente utilizados naquele ambiente onde se fará o ataque. O saber da linguagem

de uma empresa e de sua estrutura corporativa, bem como os departamentos ali existentes e

suas funções, fazem parte da bagagem essencial de truques que um Engenheiro Social bem

sucedido deve ter consigo.

Segundo Kevin Mitnick (2003), em sua entrevista para a Information Week Brasil, das

características do comportamento humano que podem ser exploradas pelo Engenheiro Social,

duas são destaque neste contexto dessa técnica: a autoridade e o medo. Autoridade, devido a

credibilidade. Quando ele demonstra que sabe do que está falando, manipulando de uma

forma segura e convicta, a vítima se sente sufocada a dispor a informação requerida. Isso

também pelo fator conseqüente: o medo.

GARTNER (2002) apresenta um quadro demonstrando esse tipo de ataque:

52

Quadro 5: Uma simples requisição pessoal

O que é Como funciona Como se defender

Um tipo comum de jogo de pessoa-para-pessoa – envolvendo impersonificação e mentira – que explora a boa vontade da vítima.

O empregado responde a um inocente pedido de ajuda com um problema ou emergência, normalmente de alguém que diz estar “sem tempo” para resolvê-los pelos meios burocráticos. O objetivo é obter o usuário e senha. O atacante pode: • Pedir ajuda para “trocar a senha” • “Esquecer” o sistema de senha e perguntar à pessoas na vizinhança. • Dizer, “Deixei minhas coisas na outra bolsa e eu realmente preciso entrar no laboratório”.

• Fingir ser um executivo e – tirando vantagem do novo administrador do sistema – requisitar acesso a conta do verdadeiro executivo. • Identificar-se como representante do suporte técnico, que precisa de ajuda com um teste – por exemplo, “me passe seu usuário e senha” ou “você poderia mudar sua senha para..”

Técnicas • Técnicas/procedimento para verificar a identidade de quem liga.

Processo • O desejo de ser útil faz a pessoa ficar vulnerável; entretanto, um esforço extra deve ser gasto para reforçar as políticas e processos de segurança da informação.

Prevenção • Educação sobre políticas de segurança, começando quando novos empregados são contratados. • Apresentação da política de segurança em lugares sugestivos – por exemplo, a mensagem “Administradores do sistema nunca perguntarão sua senha” pode aparecer como uma nova janela quando o usuário for acessado. • Cursos freqüentes para administradores para que os empregados sintam-se a vontade para dizer “só um momento, por favor, enquanto eu limpo seu pedido com meu chefe."

Fonte: Gartner Research (2002); tradução adaptada por BALDIM (2007)

d) Engenharia Social inversa

O atacante, com essa técnica, consegue criar um problema para você que somente ele

consegue resolver. Assim, gera uma teia para convencer o alvo de que ele tem um problema

sendo que este na verdade não existe ou ainda não aconteceu, mas que ele sabe que vai

acontecer porque ele vai causá-lo. Em seguida, ele se apresenta como a pessoa que pode

fornecer a solução (MITNICK e SIMON, 2003 apud PEIXOTO, 2006).

53

Esse tipo de ataque é extremamente poderoso, pois parte-se da premissa de que o

Engenheiro Social tem absoluta credibilidade para conseguir as informações que deseja.

4.4.4.1 Ferramentas utilizadas pelo Engenheiro Social

Peixoto (2006) apresenta em sua obra as principais ferramentas utilizadas pelo

praticante da Engenharia Social. São elas:

a) Telefone ou VoIP (voz sobre IP): Passar-se por alguém que não seria um dos

típicos ataques da Engenharia Social;

b) Internet (coleta de informações): Como, por exemplo, sites que fornecem id e

passwords default (DEFAULT, 2007 apud PEIXOTO, 2006), sites clonados ou via FTP,

Orkut, registro.br, Google, dentre outros;

c) Intranet (acesso remoto): Algo extremamente possível de acontecer. Como por

exemplo, por acesso remoto, capturando-se o micro de determinado usuário da rede e se

passando por alguém que na verdade não é. Como já visto, o funcionário insatisfeito é uma

das maiores ameaças existentes;

d) Email: utilizando fakemails ou e-mail falsos;

e) Pessoalmente (In Person Social Engineering): Poder de persuasão, habilidade em

saber conversar, tipo de ataque mais raro. O Engenheiro Social faz-se passar por alguém que

na verdade não é. Adota toda uma encenação, e, como um verdadeiro artista, busca manipular

a vítima de forma a ser bastante convincente no que diz.

f) Chats (bate-papo): Fazer-se passar por alguém que na verdade não é fica muito

mais fácil pelos canais de bate-papo. Além de tudo, mandar fotos fica mais atrativo e seduz

mais facilmente a conseguir informações que se deseja;

g) Fax: Primeiramente, obter o número do fax da pessoa física ou jurídica para que se

possa começar o ataque. Seguindo praticamente os mesmos princípios do e-mail, enviando,

por exemplo, pedidos de requisição, formulários de preenchimento, dentre outros, para

posterior retorno do que se deseja obter.

54

h) Cartas/correspondência: Não é o meio mais moderno sem dúvida, mas é um

recurso poderoso que faz como uma das maiores vítimas as pessoas mais velhas que aquelas

com certa resistência à tecnologia.

i) Spyware: Software “espião” usado para monitorar de modo oculto as atividades do

computador de um alvo;

j) Mergulho no lixo (“Dumpster diving”): Várias coisas que são descartadas para o

lixo muitas vezes contêm informações essenciais ao suposto Engenheiro Social, como por

exemplo, cadernetas com telefones; memorandos; manuais de políticas internas da empresa;

calendários com informações sobre eventos, cursos ou férias; manuais de sistemas utilizados;

nomes de usuários e senhas; disquetes; CD’s ou HD’s aparentemente inutilizáveis; papéis

timbrados da empresa, etc. E não se pode esquecer do lixo virtual, que deve ser esvaziado de

vez em quando;

k) Surfar sobre os ombros: É o ato de observar uma pessoa digitando no teclado do

computador para descobrir e roubar sua senha ou outras informações de usuário;

l) P2P (Peer-to-Peer): Tecnologia empregada para estabelecer comunicação entre

inúmeros computadores, como uma rede, onde cada estação possui capacidades e

responsabilidades equivalentes.

4.4.5 Engenharia Social na Internet

Mensagens de e-mails com títulos familiares podem fazer com que você acredite ser

alguém que na verdade não é. Links que lhe direcionam para determinada página que na

verdade não é realmente a original é outro ponto a ser destacado de vital importância

(PEIXOTO, 2006).

A Internet é um excelente recurso para coleta de informações, assim como para

“incrementar” a finalização de um ataque de Engenharia Social. Armadilhas como sites

clonados, mensagens enganosas que chegam a nosso correio eletrônico – fakemail (e-mails

falsos) – com anexos aparentemente inofensivos e chats (bate-papos) são ferramentas

frequentemente utilizadas pelo Engenheiro Social. O Quadro 7 exemplifica esse ataque.

55

Quadro 6: Um email “bastante interessante”

O que é Como funciona Como se defender

Os e-mails que oferecem novos amigos, diversão e presentes de graça tiram vantagem do anonimato da Internet ao código malicioso da planta.

O empregado abre os e-mails e os aplicativos fazem com que vírus e worms encontrem a sua maneira de entrar em sistemas e em redes. Ele ou ela é motivado a abrir porque lá aparece: • Oferta de informação útil, tal como observações da segurança ou verificação de uma compra. • Promessa de diversão, tal como fofocas, desenhos de humor ou fotografias. • Oferece coisas de graça, como músicas, vídeos ou programas de download. Assim como todos os vírus e worms, o resultado pode variar quanto à destruição ou à alteração dos registros.

Técnicas

• Defesas técnicas quanto a monitoramento e segurança dos anexos de e-mail dos clientes.

•Atualização freqüente do anti-vírus.

Processo • Publicar os procedimentos que instruam os empregados em que fazer exame e a quem contatar quando encontrem mensagens suspeitas.

Conscientização • Instrução a respeito dos sinais indicadores de E-mails chamados “falsos amigos.”

Fonte: Gartner Research (2002); tradução adaptada por BALDIM (2007)

4.4.6 Medidas de Defesa contra a Engenharia Social

Kevin Mitnick, um dos maiores especialistas no assunto, diz que:

“A verdade é que não existe tecnologia no mundo que evite o ataque de um Engenheiro Social (MITNICK e SIMON, 2003 apud PEIXOTO, 2006:56).”

Contudo a idéia é dificultar ao máximo a concretização dos planos que o Engenheiro

Social tem em mente e deseja por em prática.

Quanto à segurança em relação a vírus, Peixoto (2006) aponta uma regra básica: ter

um antivírus instalado. Também, se possível, deixar ativado o firewall do Sistema

Operacional ou instalar algum disponível facilmente na Internet. Ele também registra que o

melhor antivírus é aquele que está sempre atualizado, preferencialmente, diariamente.

De acordo com Peixoto (2006) o hacker pode ser considerado o primo longe do

Engenheiro Social. Nem todo Engenheiro Social é um hacker, mas em alguns casos o hacker

chega a ser um Engenheiro Social, com condutas semelhantes à captura de informações. O

56

hacker age de forma a explorar muito mais as vulnerabilidades técnicas, enquanto o

Engenheiro Social explora as vulnerabilidades humanas.

Filho (2004) em seu artigo diz que especialistas afirmam que a medida que nossa

sociedade torna-se cada vez mais dependente da informação, a Engenharia Social tende a

crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes)

organizações. Essas medidas compreendem:

• Educação e Treinamento: Importante conscientizar as pessoas sobre o valor

da informação que elas dispõem e manipulam, seja ela de uso pessoal ou

institucional. Informar os usuários sobre como age um engenheiro social.

• Segurança Física: Permitir o acesso a dependências de uma organização

apenas às pessoas devidamente autorizadas, bem como dispor de funcionários

de segurança a fim de monitorar entrada e saída da organização.

• Política de Segurança: Estabelecer procedimentos que eliminem quaisquer

trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha

e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso

de senhas de difícil descoberta, além de remover contas de usuários que

deixaram a instituição.

• Controle de Acesso: Os mecanismos de controle de acesso tem o objetivo de

implementar privilégios mínimos a usuários a fim de que estes possam realizar

suas atividades. O controle de acesso pode também evitar que usuários sem

permissão possam criar/remover/alterar contas e instalar software danosos a

organização.

Gartner (2002) ratifica a idéia de Filho (2004) quando expõe que a defesa contra os

ataques da Engenharia Social começa com as políticas claras, consistentes, detalhadas e

reforçadas de segurança escritas em um plano de segurança.

Ainda em seu artigo, Gartner (2002) apresenta algumas alternativas de segurança para

as empresas e empregados contra a Engenharia Social:

• Defina claramente, distribua e discuta as políticas e os procedimentos da

segurança que cobrem as principais áreas de vulnerabilidade aos ataques da

Engenharia Social;

57

• Programas educacionais da conduta em todos os níveis de a empresa. Realizar

um “backup” desse programa fazendo uma simulação em que um gerente finge

ser um engenheiro social para testar o nível de instrução dos empregados,

dando uma visão prática da situação;

• Crie um modelo de uma comunicação em que os empregados sabem onde e

como relatar situações suspeitas nos telefonemas, e-mails ou pessoas. O

relatório deve ser tratado com respeito, registrado e analisado - se não, os

empregados ficarão desanimados a observar ou do relatar ataques suspeitos da

Engenharia Social;

• Estabeleça os procedimentos que eliminam toda troca de senhas, e então

eduque usuários e administradores nestes procedimentos. Um administrador de

sistemas nunca deve pedir a um usuário sua senha, nem mesmo poder ver

qualquer a senha em qualquer sistema.

Quando os ataques da Engenharia Social sucedem não é por causa de uma falta da

segurança, nem é porque os usuários são estúpidos. Normalmente é porque os usuários são

humanos. Pessoas de todos os níveis de uma empresa podem ser vítima do engenheiro social e

podem ser iludidos a fazer algo do interesse do atacante que viole as políticas e procedimentos

da segurança. Seria um erro supor que qualquer um é imune. (GARTNER, 2002)

4.4.6.1 Medidas de defesa quanto a senhas

Peixoto (2006) escreve sobre uma técnica para burlar ataques de Engenheiros Sociais

que querem obter senhas e usuários. Primeiramente, durante o cadastro por telefone, além dos

eventuais dados, pedir que o cliente faça uma pergunta pessoal e, obviamente, uma resposta

que ficará armazenada no cadastro. Assim, quando o cliente perguntar sua senha, será feita a

pergunta do cadastro. Caso a resposta também seja correta, a informação poderá ser passada.

O autor frisa ser importante que tal pergunta seja de cunho pessoal e que não sobreponha

nenhum dos dados. Muitas vezes é muito mais confortável para o cliente responder o CPF ou

RG e a pergunta do que todos os dados do seu cadastro.

Sêmola (2003) desmistifica a classificação popular de senha fraca ou forte, tome como

base os critérios de classificação Acadêmica e Prática. Academicamente falando, uma senha

58

pode ser classificada como forte se possuir mais de seis caracteres, misturar números, letras

em maiúsculo e em minúsculo e caracteres especiais como colchete, asterisco, etc. E pode ser

classificada como fraca se possuir menos de seis caracteres, se for constituída de apenas

números, letras maiúsculas ou minúsculas e, principalmente, mesmo sendo de tamanho maior,

representar alguma informação do mundo real, por exemplo, nomes próprios, placa de

automóveis, datas de nascimento, etc. Sua força está na informação que está sendo protegida.

Contudo, segundo Peixoto (2006), as senhas aleatórias são esquecidas freqüentemente

e quando armazenado, é mais provável colocar num lugar vulnerável. As datas significativas,

nomes dos animais de estimação, números do empregado, nomes do membro da família,

podem ser descobertos sem demasiada dificuldade. Mesmo as perguntas usadas pelas

ferramentas da restauração da senha devem ser selecionadas para minimizar a possibilidade

de descoberta por um atacante. As possibilidades alternativas incluem:

• Combinando os nomes dos personagens de filmes, livros ou televisão não

relacionados;

• Usando a parte de uma popular, contudo obscura, citação;

• Combinando palavras, nomes, números e datas significativos que não são

relacionadas entre si e que são muito obscuros para serem revelados por um

atacante;

• Intencionalmente soletrar erradamente uma palavra aleatória.

4.4.6.2 Medidas de defesa quanto ao lixo

Como mostrado anteriormente, o lixo é um dos meios utilizados para ataque dos

Engenheiros Sociais. Mitnick e Simon (2003 apud PEIXOTO, 2006:) enumeram “oito

segredos” para tratar o lixo com mais sabedoria:

• Classificar todas as informações confidenciais com base no grau de

confidencialidade;

• Estabelecer procedimentos em toda a empresa para descartar as informações

confidenciais;

59

• Insistir para que todas as informações confidenciais descartadas passem

primeiro pela máquina cortadora de papel e fornecer um modo seguro de se

livrar das informações importantes em pedaços de papel que são pequenos

demais e passam pela máquina. As máquinas não devem ser muito baratas, as

quais resultam em tiras de papel que podem ser montadas novamente por um

atacante determinado e com paciência. Elas devem ser do tipo que faz cortes

cruzados ou do tipo que transforma a saída em polpa inútil;

• Fornecer um modo de inutilizar ou apagar completamente a mídia de

computador – os disquetes, discos Zip, CD’s, e DVD’s usados para armazenar

arquivos, fitas removíveis ou unidades de disco rígido antigas e outras mídias

de computador – antes de descartá-la. Importante lembrar que os arquivos

apagados não são realmente removidos; eles ainda podem ser recuperados;

• Manter um nível de controle apropriado sobre a seleção das pessoas da sua

equipe de limpeza usando a verificação de antecedentes, se for apropriado;

• Fazer com que os empregados pensem periodicamente na natureza do material

que estão jogando no lixo;

• Trancar os contêineres de lixo;

• Usar contêineres separados para material confidencial e fazer com que os

materiais dispensados sejam manuseados pro uma empresa especializada nesse

trabalho.

4.5 TREINAMENTO E CONSCIENTIZAÇÃO EM SEGURANÇA

Apesar de ter em mente que os planos para o desenvolvimento de um programa de

conscientização partam quase exclusivamente do departamento de TI, por estar envolvendo

tecnologias e estruturas físicas, não se pode esquecer que envolve também o mais importante

de todos: o ser humano.

Inclusive, para Sêmola (2003), os recursos humanos são responsáveis por uma ou mais

fases de processo de segurança da informação, portanto é o elemento que mais precisa de

atenção.

60

“O ser humano é uma máquina complexa, dotada de iniciativa, criatividade e que sofre interferência de fatores externos, provocando comportamentos nunca antes experimentados. O fator surpresa é um dos pontos nevrálgicos dos processos de segurança que dependem das pessoas” (SÊMOLA, 2003:129).

Segundo Peixoto (2006), o importante é haver conscientização por parte de todos os

empregados, para assim ao menos amenizar as ameaças da Engenharia Social. E essa

conscientização deverá ser combinada às políticas de segurança (personalizada de cada

empresa), juntamente com os hábitos das condutas corretas segmentadas às regras definidas,

completando com treinamentos.

Uma política de segurança desatualizada ou surrealista leva os usuários a burlá-la; e,

conseqüentemente, reconhecer uma ruptura da segurança se torna mais difícil. A gerência, os

usuários e os administradores devem ser treinados nas políticas e em questões de segurança. A

única defesa mais forte contra os ataques da Engenharia Social é um empregado treinado.

(GARTNER, 2002)

O programa de conscientização, de acordo com Peixoto (2006), deverá ser criativo,

dinâmico e convincente. Também para Sêmola (2003), as ações devem ter a estratégia de

compartilhar a responsabilidade com cada indivíduo, demonstrando que aquilo que está sendo

posto em prática é realmente necessário e, sobretudo importante.

Um bom e prático programa de treinamento e conscientização visando a segurança das

informações contidas também os aspectos do comportamento humano pode incluir, se acordo

com Mitnick e Simon (2003, apud PEIXOTO, 2006)

• Uma descrição do modo como os atacantes usam habilidades da Engenharia

Social para enganar as pessoas;

• Os métodos usados pelos Engenheiros Sociais para atingir seus objetivos;

• Como reconhecer um provável ataque da Engenharia Social;

• O procedimento para o tratamento de uma solicitação suspeita;

• A quem relatar as tentativas de Engenharia Social ou os ataques bem

sucedidos;

• A importância de questionar todos os que fazem uma solicitação suspeita,

independente da posição ou importância que a pessoa alegar ter;

61

• O fato de que os funcionários não devem confiar implicitamente nas outras

pessoas sem uma verificação adequada, embora o seu impulso seja dar aos

outros o benefício da dúvida;

• A importância de verificar a identidade e a autoridade de qualquer pessoa que

faça uma solicitação de informações ou ação;

• Procedimentos para proteger as informações confidenciais, entre eles a

familiaridade com todo o sistema de classificação de dados;

• A localização das políticas e dos procedimentos de segurança da empresa e sua

importância para a proteção das informações e dos sistemas de informações

corporativas;

• Um resumo das principais políticas de segurança e uma explicação do seu

significado. Por exemplo, cada empregado deve ser instruído sobre como criar

uma senha difícil de adivinhar;

• A obrigação de cada empregado de atender às políticas e as conseqüências do

seu não-atendimento.

Sêmola (2003) apresenta algumas formas de iniciar a construção da cultura de

segurança:

a) Seminários: O trabalho deve começar com seminários abertos voltados a compartilhar

a percepção dos riscos associados às atividades da empresas, os impactos potenciais

no negócio e, principalmente, o comprometimento dos processos críticos se alguma

ameaça se concretizar.

b) Campanha e divulgação: Suas diretrizes devem ser conhecidas por todos, e suas

normas, procedimentos e instruções específicas devem ser apresentados a cada grupo

com perfil de atividade semelhante. Desta forma, cada membro percebe suas

responsabilidades dentro de cada modelo de segurança único, motivando-o a

colaborar. Deve-se lembrar que os resultados efetivos de comprometimento ocorrem

lentamente e, muitas vezes requerem ações complementares. Por conta disso, a

campanha deverá lançar mão de diversos artifícios para comunicar os padrões,

critérios e instruções operacionais.

62

c) Carta do Presidente: Como instrumento de oficialização dos interesses da empresa

em adequar o nível de segurança de suas informações a partir do envolvimento de

todos os níveis hierárquicos é conveniente que o presidente, CEO ou CIO manifeste

esta vontade oficialmente. A Carta do Presidente tem esse papel e é disponibilizada ou

encaminhada a cada funcionário, dando caráter formal ao movimento.

d) Termo de Responsabilidade e Confidencialidade: Tem o propósito de formalizar o

compromisso e o entendimento do funcionário diante de suas novas responsabilidades

relacionadas à proteção das informações que manipula. Além disso, este termo se

encarrega de divulgar as punições cabíveis por desvios de conduta e, ainda, esclarecer

que a empresa é o legítimo proprietário dos ativos, incluindo as informações, que

fluem pelos processos de negócio e ora são temporariamente custodiadas pelas

pessoas.

e) Cursos de Capacitação e Certificação: Dentro do quadro de funcionários, existem

perfis profissionais que necessitam de maior domínio dos conceitos, métodos e

técnicas de segurança, podendo inclusive, variar sua área de interesse e profundidade.

O Security Offcer deve ter condições de definir, medir e avaliar os índices e

indicadores de segurança para subsidiar seus planos de gestão das ações e,

principalmente, alcançar os objetivos. Para todos esses casos, não bastam os

seminários, campanhas de conscientização ou a carta do presidente. Eles precisam de

capacitação formal através de cursos especializados, que propõem uma certificação

como instrumento de reconhecimento da competência.

Para Peixoto (2006), a motivação para que o funcionário aplique de forma mais eficaz

tais medidas de segurança das informações é promover, por exemplo, certificados pela

conclusão e acompanhamento dos programas de treinamento oferecidos pela empresa; brindes

ou prêmios por estar colaborando significativamente para a diminuição dos ataques sofridos,

dentre outras maneiras.

O mesmo autor ainda diz que seria muito importante fazer com que o funcionário

assinasse algum termo de comprometimento quanto ao seguimento das políticas e princípios

de segurança que foram ministrados pelo programa. Geralmente quando as pessoas assinam

algo, as chances de se esforçar para cumprir os procedimentos aumentam.

63

4.6 ENGENHARIA SOCIAL, SEGURANÇA DA INFORMAÇÃO E O

PROFISSIONAL DE SECRETARIADO EXECUTIVO

Segundo Natalense (1995), as empresas de grande porte têm utilizado com sucesso os

Secretários como importante instrumento na modernização administrativa para alcançar os

objetivos com mais rapidez e facilidade. Os gerentes com isso reconhecem a capacidade

desses profissionais de assimilar o novo e também seu poder de difundir informação e

reconhecimento dentro da empresa. Os Secretários também aprenderam nos últimos dez anos

que poder é conhecimento e informação; e que o melhor trabalho é aquele realizado em

equipe, e que correr risco é uma ferramenta de trabalho diário.

Para Beuren (1998) os Secretários Executivos exercem a função de controle e

gerenciamento das informações, assegurando uniformidade de referencial para diferentes

usuários.

Medeiros e Hernandes (1999) relatam que por ocupar uma posição estratégica dentro

das Organizações, o Secretário Executivo é capaz de gerenciar informações e dinamizar seu

trabalho, uma vez que lida com pessoas, facilitando relações.

Por isso Micheletti (2003) expõe sua opinião sobre a importância do desenvolvimento

das competências nos profissionais secretários. Também afirma que os secretários passam a

ser gestores de processos e pessoas e, que com a competitividade e o enxugamento das

empresas, eles começam a receber uma maior carga de trabalho e, conseqüentemente, mais

responsabilidades. E como os processos são dependentes de informações, é crucial que estes

profissionais saibam lidar com seus fluxos e com a devida segurança.

Peixoto (2006) fala em sua obra que os usuários de computador – no caso, sabe-se que

os profissionais de Secretariado Executivo da atualidade exercem suas atividades quase em

totalidade no computador – não têm concreta noção que nessa máquina estão guardados

documentos, texto, planilhas, slides e todo tipo de arquivo importante para seu setor. Assim,

mais sujeitos a não perceber o quão importante são aquelas informações que estão na sua

máquina. O Engenheiro Social explora precisamente esse tipo de funcionário, desatento com

os dados que estão em seu poder.

Ainda segundo este mesmo autor Peixoto (2006), no contexto de gerir a Segurança da

Informação, deve-se levar em conta que os ativos (tudo que manipula direta ou indiretamente

a informação, inclusive ela própria, ou seja; em termos de segurança das informações, um

64

ativo pode ser um computador, uma impressora, um fichário na mesa da secretária, ou até

mesmo o próprio usuário) têm que ser encarados minuciosamente como ponto chave para o

efetivo sucesso de administrar por onde passa, com quem passa e até onde chega essa

informação.

Nicolay (2006) aponta os profissionais de Secretariado Executivo como elemento

estratégico, na medida em que organiza e gerencia as informações. Essas exposições

exemplificam a relevância de se pesquisar sobre como os Secretários Executivos se

comportam quando o assunto é Segurança da Informação.

Em Sêmola (2003), encontramos um exemplo de como os profissionais de

Secretariado Executivo são cruciais para a Segurança da Informação nas empresas:

“Imagine...você gera, em uma reunião, uma nova definição: informação estratégica confidencial. A mesma é anotada em papel e armazenada posteriormente em um cofre adequado. No momento imediatamente posterior, você delega à secretária que digite tal informação e a envie por correio eletrônico aos envolvidos. Pense agora que, depois de completada a tarefa, a secretária não tenha adotado os procedimentos adequados de descarte, e consequentemente, tenha jogado, sem qualquer critério e tratamento, o material original em papel na lixeira mais próxima. Neste exato momento, instaurou-se uma vulnerabilidade ou um furo de segurança! Agora imagine que haja efetivamente uma ameaça em potencial pronta para explorar esta vulnerabilidade. Por exemplo: um outro funcionário no perímetro físico da secretária, interessado, mas que não participara da reunião e tenha objetivos obscuros” SÊMOLA (2003:11).

Por mais que tenha adotado um comportamento controlado e alinhado na política de

segurança nos momentos de manuseio, armazenamento e transporte, a informação – alvo e

motivo de todo o trabalho – estivera exposta no momento de descarte, pelas mãos do

profissional de Secretariado Executivo, comprometendo todos os demais, e ainda pondo toda

a segurança do negócio a perder.

Nota-se que o Secretário Executivo convive com a alta administração da empresa e

por muitas vezes estar em contato direto com os clientes, ele deverá estar preparado e ter

capacidade de discernimento quanto a possibilidade de ataques externos contra a empresa

através de sua pessoa.

Também se pode observar que o Secretário Executivo não deve esquecer que possui

um cargo significativo para a empresa, é seu dever obedecer ao conjunto de princípios que

regem a conduta funcional de sua profissão.

65

O comprometimento e responsabilidade desses profissionais com relação a gestão e

segurança da informação deve ser total. Não somente no aspecto de ataques externos que

podem prejudicar a empresa, mas também por uma questão de ética. Isso faz transparecer seu

profissionalismo que conquista maior prestígio e confiança dos executivos com quem

trabalha.

66

5. OBJETO DE ESTUDO

A fim de desenvolver uma pesquisa mais fundada sobre a Segurança da Informação,

Engenharia Social e os Profissionais de Secretariado Executivo, aplicaram-se os questionários

(vide págs. 91-99) em profissionais de empresas de diversos portes e diversos segmentos de

mercado (automobilístico, financeiro, mobiliário e terceiro setor). A amostra constituiu em

um número de 20 profissionais de Secretariado Executivo, solicitados via e-mail.

Importante frisar que esses profissionais não são necessariamente graduados em um

curso superior ou técnico de Secretariado Executivo. Conforme escrito no site da FENASSEC

– Federação Nacional das Secretárias e Secretários – no Art.2 da Lei nº 7.3777 assinada em

30/09/1985 que regulamenta a profissão de Secretariado Executivo está escrito que o

profissional de Secretariado Executivo pode ser considerado aquele:

7 Lei da Regulamentação da Profissão de Secretariado Executivo (Redação dada pela Lei nº 9.261, de 10.1.1996) . A lei completa se encontra no anexo 2, págs. 107-108.

67

6. ANÁLISE E DISCUSSÃO DE DADOS

Conforme informado anteriormente, os dados analisados foram coletados a partir de

questionários (vide págs. 91-99) respondidos por profissionais de Secretariado Executivo de

diversas empresas. As questões foram divididas por assunto de acordo com o que se queria

avaliar.

A primeira parte do questionário é relativa ao próprio profissional.

No gráfico 2 pode-se observar que a maioria dos entrevistados é composta por pessoas

jovens, com idade entre 21 e 30 anos.

Gráfico 2: Idade

Idade

0%

90%

10%

0%

Até 20 anos

De 21 a 30 anos

De 31 a 40 anos

Acima de 40 anos

Fonte: Dados da pesquisa

Cem por cento dos entrevistados que responderam o questionário são mulheres.

68

Os dados do gráfico 3 mostram que alguns dos profissionais de Secretariado

Executivo nas empresas ainda não se formaram em um curso superior. Mas é importante

observar que todos são ou estão se qualificando em um curso superior.

Gráfico 3: Nível de instrução

Nível de Instrução

0%0%0%0%

30%

70%

0%Ensino fundamental incompleto

Ensino fundamental completo

Ensino médio incompleto

Ensino médio completo

Superior incompleto

Superior completo

Técnico

Fonte: Dados da pesquisa

Nesta pesquisa cem por cento dos profissionais entrevistados assessoram a Diretoria

das empresas. Isso está em conformidade com o gráfico anterior, onde mostra que os efetivos

profissionais são qualificados para assessoria direta do maior nível hierárquico da empresa.

A maioria dos profissionais responderam que trabalham na empresa num período de

até 5 anos; o que é muito pouco para um cargo de assessora de Diretoria. Apenas 10% delas

trabalham a mais de 10 anos na empresa, o que significa maior comprometimento e domínio

das atividades da empresa.

Gráfico 4: Tempo de trabalho na empresa

Tempo de trabalho na empresa

40%

50%

0%

10%

Menos de 1 ano

De 1 a 5 anos

De 5 a 10 anos

Mais de 10 anos

Fonte: Dados da pesquisa

Todas as entrevistadas possuem somente um emprego; confirmando um caráter de

exclusividade do seu trabalho.

A segunda parte do questionário, que é quanto às senhas, apresenta dados onde é

possível observar que ainda há descuidos quanto a utilização de senhas no serviço.

69

O Gráfico 5 mostra que metade dos profissionais de Secretariado Executivo da

pesquisa divulgam suas senhas para algum outro funcionário. Por mais que devam ser pessoas

de confiança, é preocupante ter 50% das secretárias dividindo suas senhas.

Gráfico 5: Divulgação de sua(s) senha(s) utilizadas na empresa

Divulgação de sua(s) senha(s) utilizadas na empresa

50%50%

Sim

Não

Fonte: Dados da pesquisa

O Gráfico 6 apresenta uma situação inversa à mostrada no Gráfico 5. A maioria das

secretárias executivas entrevistadas utilizam as senhas do seu chefe para algum serviço

cotidiano. Pode-se deduzir que existe uma relação estreita de confiança entre o chefe e a

secretária, que inclusive é desejada. Contudo, a partir dos dados sobre o funcionário

apresentados acima, também pode ser alarmante, por causa do perfil jovial encontrado entre

as entrevistadas. Apenas 27% não utilizam qualquer tipo de senha que não seja a própria.

Gráfico 6: Utilização de senhas de outro funcionário para acessar informações da empresa

Utilização de senhas de outro funcionário para acessar

informações da empresa

55%

18%

27%

Sim, do meu chefe

Sim, de outro funcionário

Não

Fonte: Dados da pesquisa

Quanto à facilidade de acesso à sua senha, o Gráfico 7 mostra que ainda 30% das

secretárias executivas anotam suas senhas em algum lugar propício de roubo, como por

exemplo, perto do computador e na agenda, o que não condiz com uma postura de

profissionais que trabalham para assessorar uma Diretoria de uma empresa.

70

Gráfico 7: Senhas anotadas em algum lugar próximo ao computador, na agenda ou local de fácil acesso

Senhas anotadas em algum lugar próximo ao

computador, na agenda ou local de fácil acesso

30%

70%

Sim

Não

Fonte: Dados da pesquisa

O Gráfico 8 mostra que metade das secretárias executivas da pesquisa declarou

repassar sua senha para algum serviço rápido.

Gráfico 8: Permissão para utilizar sua(s) senha(s) para algum trabalho rápido

Permissão para utilizar sua(s) senha(s) para algum

trabalho rápido

50%50%

Sim

Não

Fonte: Dados da pesquisa

A troca contínua de senhas é um quesito relevante para a Segurança da Informação,

principalmente contra os Engenheiros Sociais, como descrito no trabalho. O Gráfico 9

apresenta justamente a periodicidade da alteração de senhas das secretárias executivas. A

maioria delas, 60%, ainda é acomodada quanto a esse assunto, pois esperam a solicitação do

sistema para efetuar a troca. É possível observar que 20% das entrevistadas nunca trocam suas

senhas; sendo uma facilitadora para possíveis invasores. É importante lembrar que tem que se

observar qual a senha escolhida. Por mais que Sêmola (2003) diga que não há senhas fracas,

também não se pode facilitar adotando uma senha obvia, de fácil adivinhação.

71

Gráfico 09: Freqüência de alteração de sua(s) senha(s)

Freqüência de alteração de sua(s) senha(s)

10%

0%

10%

60%

20%

Mensalmente

Trimestralmente

Semestralmente

Somente quando o sistema solicita

a alteração

Nunca

Fonte: Dados da pesquisa

Quanto à divulgação de informações, na terceira parte do questionário, os resultados

observados foram bastante proveitosos.

No caso do procedimento sobre solicitação de informações por telefone ou e-mail,

representado no Gráfico 10, a maioria (65%) disse fornecer informações mediante o

conhecimento de quem solicitou, qual tipo de informação e se o chefe consente a divulgação

dessa informação. Importante observar que se teve 14% (a segunda maior resposta) das

secretárias dependem da aprovação do chefe para fornecer informações, mostrando pouco

grau de autonomia da secretária.

Gráfico 10: Procedimento para fornecer informações solicitadas por telefone ou e-mail

Procedimento para fornecer informações solicitadas por telefone ou e-mail

0%0% 7% 0%14%

14%65%

0%0%0%

Fo rneço a info rmação , po is não há nada

conf idencia l em minha área

Fo rneço a info rmação , apó s identif icar o

so licitante

Fo rneço somente quando a info rmação não

fo r co nf idencia l

F o rneço info rmaçõ es somente ao s gerentes

da empresa

So lic ito auto rização ao meu superio r para

liberar a info rmação

D epende da info rmação so lic itada

D epende de quem so lic ito u, qual a info rmação

so licitada e se fo i co ncedida pelo superio r

Só fo rneço info rmaçõ es po r escrito e com

auto rização do meu superio r

Só fo rneço a part ir da confirmação do s dados

N ão fo rneço , independente de quem fo r

Fonte: Dados da pesquisa

O Gráfico 11 apresenta as ocorrências de tentativas de ataques típicos de Engenharias

Sociais. A maioria disse nunca ter sofrido esse tipo de ataque, ou, a não ser que não tenham

percebido. Contudo, uma das secretárias entrevistadas relatou que já ter presenciado esse tipo

de situação: “Interrogatórios sobre as questões administrativas da empresa, a estrutura

organizacional, membros do conselho, entre outras informações, as quais não tinha certeza se

72

podia passar ou não. É uma situação ruim. Por isso é muito importante que os superiores

digam claramente o que pode ser transmitido e o que não pode”.

Gráfico 11: Ocorrência de uma solicitação em que alguém utilizou de má-fé para obter ou tentar obter informações

Ocorrência de uma solicitação em que alguém utilizou de má-fé

para obter ou tentar obter informações

20%

80%

Sim

Não

Fonte: Dados da pesquisa

A quarta parte, quanto à empresa, a partir do que foi respondido pelas secretárias,

pode-se inferir genericamente que estas têm preocupação com a questão de Segurança da

Informação. Entretanto, a questão não é unânime.

O Gráfico 12 aponta que a maioria das empresas disponibilizam orientações sobre a

divulgação de informações.

Gráfico 12: Disponibilização da empresa de orientação sobre divulgação de informações

Disponibilização da empresa de orientação sobre divulgação de

informações

70%

30%

Sim

Não

Fonte: Dados da pesquisa

Conforme é mostrado no Gráfico 13, 80% das secretárias executivas têm

conhecimento das informações vitais para o negócio da empresa. Sendo este percentual não

equivalente ao percentual do Gráfico 12, pode-se concluir que nem todas as secretárias têm

orientação sobre divulgação das informações, mas conhecem a relevância das informações

para a empresa. Importante frisar que ainda tem 20% das secretárias não sabem quais

informações são vitais para o negócio da empresa. O número é pequeno, mas é relevante visto

que, como descrito no trabalho segundo Beuren (1998), os profissionais de secretariado

73

também gerenciam informações. O desconhecimento de quais delas são cruciais para o

negócio da organização, pode torná-la bastante vulnerável e ser prejudicial à própria empresa.

Gráfico 13: Conhecimento das informações vitais para o negócio da empresa

Conhecimento das informações vitais para o negócio da

empresa

80%

20%

Sim

Não

Fonte: Dados da pesquisa

Sessenta por cento da empresas possuem uma Política de Segurança da Informação,

como mostrado no Gráfico 14. Ainda é muito expressiva a porcentagem de empresas que têm

sua política desatualizada ou que simplesmente não tem. Ou seja, quase metade delas não está

devidamente preparada e/ou organizada para se defender de ataques maldosos ou ilícitos.

Gráfico 14: Existência de uma Política de Segurança da Informação

Existência de uma Política de Segurança da Informação

60%20%

20%

Sim

Sim, porém desatualizada

Não

Fonte: Dados da pesquisa

A mesma situação pode ser observada no Gráfico 15. A ausência de um departamento

de TI especializado é expressiva (cerca de 30%). Isso só aumenta a vulnerabilidade da

empresa e sua chance de ser atacada.

Com relação aos contratos de terceiros, depara-se com o mesmo tipo de situação, em

que se tem apenas 67% das empresas totalmente preparadas quanto a esse quesito, conforme

apresentado no Gráfico 16. Pode-se dizer que é uma situação mais agrave, pois se trata de

contratação de pessoas alheias para conviver e trabalhar todos os dias dentro da empresa. A

falta de compromisso do terceiro e/ou a ingenuidade de algum funcionário, pode acarretar

conseqüências desagradáveis para a empresa.

74

Gráfico 15: Existência de um Departamento de TI especializado

Existência de um Departamento de TI especializado

70%

30%

Sim

Não

Fonte: Dados da pesquisa

Gráfico 16: Existência de requisitos de segurança nos contratos de terceirização

Existência de requisitos de segurança nos contratos de

terceirização

67%

11%

22%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Os prestadores de serviços, assim como os terceiros contratados, merecem atenção

especial, pois são elementos externos que adentram na empresa sem ter compromisso e, neste

caso, mesmo que esporadicamente, podem oferecer riscos de segurança. Mais uma vez, como

demonstrado no Gráfico 17, não são todas as empresa que controlam o acesso específico de

prestadores de serviços, o que contribui para aumentar a vulnerabilidade da empresa.

Gráfico 17: Existência de controle de acesso específico para os prestadores de serviço

Existência de controle de acesso específico para os prestadores

de serviço

67%

33%

Sim

Não

Fonte: Dados da pesquisa

Em 70% das empresas, como mostrado no Gráfico 18, há uma estrutura para notificar

e responder aos incidentes e falhas de segurança. Este dado está coerente com o Gráfico 15,

75

pois tem praticamente o mesmo percentual de empresas que apresentam essa estrutura e que

têm um departamento de TI. A construção dessa estrutura é uma das funções de um

departamento de TI.

Gráfico 18: Existência de uma estrutura para notificar e responder aos incidentes e falhas de segurança

Existência de uma estrutura para notificar e responder aos

incidentes e falhas de segurança

67%0%

33%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

A quinta parte do questionário é relativa ao controle e segurança do acesso a

informações dentro de uma empresa.

O Gráfico 19 mostra que, mesmo a maioria das empresas tendo o gerenciamento e

acesso de usuários aceitável, 30% delas ainda têm uma gestão defasada ou defeituosa. Isso

pode contribuir com um ataque anônimo à empresa.

Gráfico 19: Existência de gerenciamento de acessos do usuário

Existência de gerenciamento de acessos do usuário

70%

10%

20%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

O acesso à rede também é controlado pela maioria das empresas onde trabalham as

secretárias executivas entrevistadas, conforme Gráfico 20. Todavia, 20% delas não tem esse

controle. A rede é um dos meios mais eficientes e fáceis para um intruso conseguir lesar uma

companhia. Esse controle é imprescindível de ser feito.

76

Gráfico 20: Existência de controle de acesso à rede

Existência de controle de acesso à rede

80%

0%

20%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Os aplicativos e diretórios também merecem atenção quando o assunto é segurança.

Tudo que fica gravado nos computadores da empresa está passível de consulta. E esse acesso

deve ser controlado, mesmo “contra” outros funcionários da empresa. Este foi o resultado

mais satisfatório, pois 90% das empresas onde trabalham as secretárias executivas

entrevistadas, têm esse controle. Os outros 10% são desatualizados, mas existem. Esses dados

podem ser observados no Gráfico 21.

Gráfico 21: Existência de controle de acesso às aplicações ou diretórios

Existência de controle de acesso às aplicações ou

diretórios

90%

10% 0%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

O Gráfico 22 mostra que apenas 9% das empresas onde trabalham as secretárias

executivas entrevistadas não tem esse monitoramento. É lamentável para essas empresas, no

entanto é satisfatório que 91% delas controlem o acesso aos sistemas internos.

O Gráfico 23 mostra o percentual das empresas que tem critérios para computação

móvel (notebooks, por exemplo) e trabalho remoto. Não é aceitável ter 40% das empresas sem

o controle nesta questão. Isso torna muito mais fácil sair com informações importantes para as

empresas, e assim, podendo prejudicar seu negócio.

77

Gráfico 22: Existência de monitoramento de uso e acesso ao sistema

Existência de monitoramento de uso e acesso ao sistema

91%

0%

9%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Gráfico 23: Existência de critérios para computação móvel e trabalho remoto

Existência de critérios para computação móvel e trabalho

remoto

60%

0%

40% Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

No Gráfico 24 observa-se que 80% das secretárias executivas entrevistadas tinham

algum papel com informações sobre a empresa em cima de sua mesa. É um fato comum, pelas

atribuições da profissão, e ratifica a preocupação com a segurança da informação que esses

profissionais devem ter.

Gráfico 24: Existência de algum papel sobre a mesa com informações sobre a empresa

no momento

Existência de algum papel sobre a mesa com informações

sobre a empresa no momento

80%

20%

Sim

Não

Fonte: Dados da pesquisa

78

O Gráfico 25 mostra que ainda 10% das entrevistadas deixam papéis importantes em

cima de sua mesa quando se retiram para alguma outra atividade. É um número pequeno, mas

esse é um erro e é a maneira mais simples de se fazer um ataque contra a empresa.

Gráfico 25: Ao sair, tem-se a mesa limpa, sem papéis importantes

Ao sair, tem-se a mesa limpa, sem papéis importantes

90%

10% 0%

Sim

Não

Nunca reparei

Fonte: Dados da pesquisa

Com relação a efetuação de bloqueio quando estiver ausente ao computador, o

resultado foi um pouco pior do que sobre os papéis na mesa. Como mostrado no Gráfico 26,

cerca de 20% das secretárias executivas entrevistadas não bloqueiam quando saem do

computador. Este equívoco pode colocar a empresa em uma situação vulnerável. Uma

secretária executiva deve saber controlar o seu espaço de trabalho, para não dar acesso a

pessoas estranhas. Isto mostra comprometimento com a gestão das informações da

organização.

Gráfico 26: Ao sair, tem-se o computador bloqueado

Ao sair, tem-se o computador bloqueado ou em logoff

80%

20% 0%

Sim

Não

Nunca reparei

Fonte: Dados da pesquisa

Cerca de 91% das secretárias executivas entrevistadas, conforme apresentado no

Gráfico 27, trabalham com informações consideradas confidencias da empresa. Isso

demonstra o quão importante é para elas saberem assegurar a utilização, o transporte, o acesso

e descarte das mesmas, conforme dito por Sêmola (2003).

79

O Gráfico 28 demonstra uma opinião pessoal das entrevistadas a cerca do

conhecimento que os funcionários da empresa tem sobre a importância das informações da

empresa. A maioria respondeu afirmativamente (80%). Isso é coerente com os dados do

Gráfico 12, pois se uma empresa divulga orientações quanto à informações, logo seus

funcionários saberão a importância das informações da empresa.

Gráfico 27: Existência de informações confidenciais no setor de trabalho

Existência de informações confidenciais no setor de

trabalho

91%

9%

Sim

Não

Fonte: Dados da pesquisa

Gráfico 28: Conhecimento dos funcionários sobre a importância das informações da empresa

Conhecimento dos funcionários sobre a importância das

informações da empresa

80%

20%

Sim

Não

Fonte: Dados da pesquisa

O Gráfico 29 apresenta mais uma questão de opinião das entrevistadas. Inclusive é um

pouco preocupante, pois 50% das secretárias executivas alegam não achar difícil alguém

externo conseguir informações importantes sobre a empresa. Isso vai de encontro com os

dados sobre Segurança da Informação nas empresas das secretárias executivas entrevistas

vistos nos Gráficos 14 e 15 (págs. 73 e 74, respectivamente). Se a maioria das empresas tem

uma Política de Segurança da Informação e um departamento de TI especializado, e se

baseando nos dados deste gráfico, pode-se inferir que essa política e esse departamento são

precários e ineficientes por fazer pensar que seria fácil adquirir informações da empresa por

uma pessoa externa.

80

Tendo em mente que todas as entrevistadas são secretárias executivas de Diretoria,

pode-se concluir que este Gráfico 30 condiz muito com esse cargo de responsabilidade.

Somente 4% delas acreditam que não passa nenhuma informação importante da empresa em

sua mão. As informações operacionais e gerencias são bastante importantes e totalizam 45%

das informações com que as secretárias executivas convivem. As confidenciais e

imprescindíveis à continuidade do negócio da empresa são as mais relevantes e totalizam

43%. Devido a isso é indiscutível que os profissionais de Secretariado Executivo precisam ter

conhecimento e estarem preparados para garantir a segurança dos fluxos desses tipos de

informação.

Gráfico 29: Existência de dificuldade para pessoas externas conseguirem informações importantes na empresa

Existência de dificuldade para pessoas externas

conseguirem informações importantes na empresa

50%50%

Sim

Não

Fonte: Dados da pesquisa

Gráfico 30: Tipos de informações que se tem acesso

Tipos de informações que se tem acesso

26%

29%19%

22%

4%

Informações Operacionais

Informações Gerenciais

Informações Confidenciais da empresa

Informaçoes imprescindíveis à

continuidade do negócio da empresa

Não há acesso a nenhum tipo de

informação importante

Fonte: Dados da pesquisa

A sexta parte do questionário é sobre a contratação de funcionários que são admitidos

para serem ativos na empresa. E, para passar de um elemento externo para interno, requer da

empresa bastante cuidado e atenção.

81

Cem por cento das empresas onde trabalham as entrevistadas têm critérios de seleção e

política de pessoal. Também unânime foi o resultado indicando que nas empresas das

entrevistadas existem processos para capacitação e treinamento dos usuários.

Pelo Gráfico 31 pode-se perceber que apenas 62% das empresas divulgam a Política

de Segurança da Informação aos novos contratados. E como a porcentagem de não divulgação

da política é maior que os dados de que a empresa possui uma Política de Segurança da

Informação (conforme mostrado no Gráfico 14, pág. 74), pode-se inferir que algumas

empresas que tem essa política não as divulgam para os novos contratados.

Gráfico 31: Divulgação da Política de Segurança da Informação para os novos contratados

Divulgação da Política de Segurança da Informação para os

novos contratados

62%

38%Sim

Não

Fonte: Dados da pesquisa

A partir do Gráfico 32, percebe-se que apenas 67% das empresas se preocupam em

fazer um termo de responsabilidade e/ou confidencialidade sobre as informações da empresa

com os novos funcionários. O ideal seria que todas as empresas se preocupassem. Contudo

não é um resultado surpreso pois não são todas as empresas que tem uma Política de

Segurança da Informação (vide Gráfico 14, pág. 73) ou um departamento de TI especializado

(vide Gráfico 15, pág. 74), que são aspectos que podem motivar a utilização desses termos.

Gráfico 32: Assinatura dos funcionários de algum Termo de Responsabilidade e/ou Confidencialidade sobre as informações da empresa

Assinatura dos funcionários de algum Termo de

Responsabilidade e/ou Confidencialidade sobre as

informações da empresa

67%

33%

Sim

Não

Fonte: Dados da pesquisa

82

A sétima e última parte do questionário é quanto ao gerenciamento das operações e

comunicações das empresas.

A maioria considerável das empresas (86%), pelo que está apresentado no Gráfico 33,

tem um controle de mudanças operacionais que ocorrem na empresa. Isto é importante para

um controle gerencial da informação inserido no sistema operacional.

Gráfico 33: Existência de controle de mudanças operacionais

Existência de controle de mudanças operacionais

86%

0%

14%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Também a maioria das empresas das secretárias executivas entrevistadas fazem um

esquema de cópias de segurança. Pelo que foi exposto nos Gráficos 14 e 15 (Políticas de

Segurança da Informação, pág. 73 e existência de um departamento de TI especializado, pág.

74 respectivamente), pode-se inferir que esse procedimento de cópias de segurança é feito de

maneira independente, sem qualquer orientação de políticas ou de TI.

Gráfico 34: Existência de procedimentos para cópias de segurança

Existência de procedimentos para cópias de segurança

74%

13%

13%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Conforme descrito no trabalho, os cuidados com os quesitos técnicos e tecnológicos

são mais vistos com atenção que as outras variáveis. Isso está confirmado no Gráfico 35, onde

constata-se que a maioria das empresas possui controle e gerenciamento de rede.

83

Conforme mostrado no Gráfico 36, apenas 57% das empresas tem mecanismos de

segurança e tratamento de mídias. Isso também pode dizer que esse assunto não está presente

em todas as Políticas de Segurança da Informação das empresas das entrevistadas (vide

Gráfico 15, pág. 74), por ser esta uma porcentagem menor do que a existência de política.

Gráfico 35: Existência de controles e gerenciamento de rede

Existência de controles e gerenciamento de rede

89%

0%

11%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Gráfico 36: Existência de mecanismos de segurança e tratamento de mídias

Existência de mecanismos de segurança e tratamento de

mídias

57%

0%

43% Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Em conformidade com o que foi apresentado no trabalho sobre os cuidados técnicos e

ferramentas tecnológicas e com o Gráfico 36 acima, observa-se no Gráfico 37 que a maioria

das empresas controlam a segurança do correio eletrônico.

Gráfico 37: Existência de mecanismos de segurança de correio eletrônico

Existência de mecanismos de segurança de correio eletrônico

89%

0%

11%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

84

Por fim, tem-se no Gráfico 38 o dado de que as empresas têm importado com a

segurança da documentação de seus arquivos nos sistemas. E como esse número é divergente

da quantidade percentual das empresas que têm uma Política de Segurança da Informação,

pode-se concluir que esse assunto não está inserido em algumas políticas.

Gráfico 38: Existência de algum procedimento para documentação dos sistemas

Existência de algum procedimento para documentação dos

sistemas

71%

0%

29%

Sim

Sim, porém desatualizado

Não

Fonte: Dados da pesquisa

Tomando por base essas respostas e em conformidade com o Teste de Conformidade

encontrado em Sêmola (2003), as respostas das secretárias executivas entrevistas resultaram

na seguinte análise sobre suas empresas pelo Teste de Conformidade:

“Parabéns! Sua empresa é uma exceção e deve estar em destaque em seu segmento de mercado por conta da abrangência dos controles que aplica no negócio. Apesar de não podermos ver a uniformidade das ações, (...). podemos dizer que sua empresa está conscientizada da importância da segurança para a saúde dos negócios. A situação estará ainda melhor se todas as ações e controles aplicados tiverem sido decididos com base em uma análise de riscos integrada (...)” (SÊMOLA, 2003:151).

Portanto, as empresas onde trabalham as secretárias executivas entrevistadas têm uma

boa noção de como proteger suas informações. Contudo, a defesa tecnológica ainda é a mais

visada e possui maiores investimentos. Não se pode afirmar que essas empresas estão seguras,

pois os recursos humanos ainda não detêm investimentos suficientes para garantir esta

segurança. Funcionários treinados e conscientes são eficazes inclusive para os recursos

tecnológicos, visto que muitas das invasões por meios tecnológicos precisam de alguma senha

de domínio de uma pessoa.

No geral, sob a ótica do perfil das secretárias executivas, pode-se concluir que o objeto

de estudo apresentou uma postura preocupante quanto ao domínio de segurança da

informação. Concorda-se que a maioria está consciente e treinada. Mas pela hierarquia que

85

assessoram, o perfil delas ainda precisa de mais treinamento e capacitação. Qualquer falha ou

distração põe em risco mais do que a imagem da empresa, mas também seu negócio.

Para finalizar a análise, registra-se um comentário de uma das secretárias executivas

entrevistadas sobre a gestão da informação no seu cotidiano: “Antes de fornecer qualquer

informação sobre a empresa que atua, seja por telefone ou por e-mail, a secretária executiva

deve se certificar de que ela está correta, se está autorizada a repassá-la e à quais pessoas.

Caso contrário, isso pode afetar diretamente a sua imagem, a imagem da empresa e seus

negócios”.

86

7. CONCLUSÃO

Atualmente, a maioria das empresas não tem nenhum meio de detectar o que deve ser

preservado, o que pode ser preservado e o que vale a pena ser preservado. É difícil para as

organizações determinar quão abertas ou quão fechadas devem ser e, ao mesmo tempo, ficar

protegidas. Se um sistema exigir muitas senhas, autorizações ou níveis de segurança para

acessar a informação, deixará de ser usado. Não se sabe quais são os pontos de

vulnerabilidades através dos quais se poderia comprometer desastrosamente as atividades e os

serviços prestados e esperados. A inserção das redes de computadores nas empresas

contribuiu para aumentar esta falta de segurança das informações. Cada ponto da rede é um

ponto potencial de vulnerabilidade o que fragiliza ainda mais as informações da corporação.

Observou-se que a maioria das empresas acredita que a solução, unicamente, técnica

garante a segurança dos sistemas. Embora se tenha que concordar que a solução técnica seja

necessária, ela por si só não é suficiente. É preciso também considerar o componente humano

de um sistema de segurança da informação a fim de minimizar a vulnerabilidade de sistemas.

Não existe segurança total e cada empresa precisará de um nível distinto de medidas

para controle da segurança da informação. Não é possível operar com risco zero. Sempre

haverá risco, e ele deve ser ajustado à natureza do negócio, considerando todas as variáveis

internas e externas a fim de viabilizar a operação da empresa.

87

Intrusos dos sistemas de segurança das empresas normalmente utilizam-se de

princípios da engenharia social para enganar usuários violando políticas e procedimentos de

segurança. O melhor impedimento é manter e reforçar essas políticas, assim como educar os

empregados.

Não existe ao certo uma receita milagrosa que defina como totalmente seguro

qualquer ambiente de trabalho que manipule informação. Ficam como medida para dificultar

a entrega destas informações: as condutas, os treinamentos, os hábitos, o conhecimento

dastécnicas de Engenharia Social, além da atenção e responsabilidade que se deve ter ao

manipular, transmitir ou descartas informações, sejam elas importantes para você ou não.

Destacando o assunto de comportamento e responsabilidade dos profissionais de

Secretariado Executivo pode-se inferir que é inquestionável a importância do conhecimento

da gestão da informação e, obviamente de sua segurança. Por ser um profissional com papel

estratégico dentro das empresas, deve-se conhecer e dominar todo o fluxo de informações que

move o negócio da empresa.

Não se pode deixar de frisar que esta posição estratégica requer postura e

comprometimento para criar confiança dos executivos. Porém a questão mais importante é a

menos tangível ou mensurável: a ética. Ter o poder do conhecimento dos processos e

negócios de uma empresa, implica exigir o mesmo grau de ética sobre o domínio das

informações com os outros funcionários e, principalmente, com os indivíduos externos.

88

8. REFERÊNCIAS BIBLIOGRÁFICAS

AISENBERG, Daniel. O feitiço contra o feiticeiro. In: Internet Business. Rio de Janeiro, v. 2, n. 18, 0, p. 68-71, fev.1999

BARDIN, L. Análise de conteúdo. Lisboa: Edições 70, 1977 apud VERGARA, S. C. Métodos de pesquisa em administração. São Paulo: Atlas, 2005.

BEUREN, Ilse Maria. Gerenciamento da Informação. Editora Atlas, 1998. Disponível em: http://www.univap.br/faculdades/fe/pp_se_2006.doc Acesso em: 10 mai. 2007

DEFAULT password list. In: PHENOELIT lans of packets. 2007. Disponível em : http://www.phenoelit.de/dpl/dpl.html apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

FENASSEC, Federação Nacional das Secretárias e Secretários. Lei de Regulamentação da Profissão. Disponível em: http://www.fenassec.com.br/lei.htm Acesso em 03 jun. 2007.

FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio básico da língua portuguesa. Rio de Janeiro: Nova Fronteira, 1995

FILHOa, Antônio Mendes da Silva. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações in Revista Espaço Acadêmico nº 43 – dezembro 2004; Disponível em: http://www.espacoacademico.com.br/043/43amsf.htm Acesso em: 04 mai. 2007

89

FILHOb, Antônio Mendes da Silva. Segurança da Informação e Disponibilidade de Serviços na Era da Internet in Revista Espaço Acadêmico nº 44 – janeiro 2005; Disponível em: http://www.espacoacademico.com.br/044/44amsf.htm Acesso em 01 jun. 2007

FILHOc, Antônio Mendes da Silva. Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações in Revista Espaço Acadêmico nº 42 – novembro 2004; Disponível em: http://www.espacoacademico.com.br/042/42amsf.htm Acesso em 01 jun. 2007

GAMBOA, Sanches. Revolução Informacional: pontos de vista para o debate sobre a sociedade da informação. Transformação, Campinas, v.9, n.1 p.32-42, 1997 apud SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.

GARTNERa, INC. Protect Against Social Engineering Attacks in Gartner's Information Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em: http://www.gartner.com/gc/webletter/security/issue1/article2.html Acesso em 01 jun. 2007

GARTNERb, INC. There Are No Secrets: Social Engineering and Privacy in Gartner's Information Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em: http://www.gartner.com/gc/webletter/security/issue1/index.html Acesso em 24 abr. 2007

GARTNERc, INC. Unmasking Social-Engineering Attacks in Gartner's Information Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em: http://www.gartner.com/gc/webletter/security/issue1/article1.html Acesso em 24 abr. 2007

GUIMARÃES, M. E. O livro Azul da Secretária. 20ª ed. São Paulo: Editora Atlas, 2001.

KONSULTEX Informática. 1993. Disponível em: http://www.konsultex.com.br/index.php apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informação Gerenciais: administrando a empresa digital. 5ª ed. São Paulo: Person Pretice Hall, 2004

LESCA, H.; ALMEIDA, F. C. Administração Estratégica da Informação. Revista de Administração. São Paulo, b.29, n.3, p,66-75, jul./set. 1994 apud SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.

MEDEIROS, J. B; HERNANDES, S. Manual da Secretária. 7ª ed. São Paulo: Editora Atlas, 1999.

MICHELETTI, Camila; Secretárias têm posição cada vez mais estratégica na empresa, 2003. Disponível em: http://www.empregos.com.br. Acesso em 24 abr. 2007

MISAGHI, Mehran. Segurança e auditoria em informática, 2004. Disponível em: http://www.vision.ime.usp.br/ mehran/ensino/20042.html Acesso em 30 abr. 2007

MITNICK, Kevin. O conhecimento que assusta in InformationWeek Brasil. São Paulo, 2003. Entrevista. Disponível em: http://www.informationweek.com.br/iw70/mitnick/ apud

90

PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de harckers: controlando o fator humano na segurança da informação. São Paulo: Person Education, 2003 apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

NAKAMURA, Emilio Tissato; GEUS, Paulo Licio; Segurança de Redes em ambientes Cooperativos; Editora Futura; 2003.

NATALENSE, Liana Castro. A Secretária do Futuro. 1ª ed. Rio de Janeiro: Editora Qualitymark, 1998.

NATALENSE, Liana Castro. Manual Prático da Secretária Executiva, 1ª ed., São Paulo: IOB Informações Objetivas, 1995

NICOLAY, Loinir Teresinha. Assessoria no Ensino Superior: um olhar profissional de ediação e gestão no contexto da Pós-Graduação, in UNIrevista, Volume 1, n° 1, abril 2006. Disponível em http://www.unirevista.unisinos.br/_pdf/UNIrev_Nicolay.pdf Acessado em 03 jun. 2007.

PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

ROESCH, A. M. S. Projeto de estágio e de pesquisa em administração. 2. ed. São Paulo: Atlas,1999 apud CASTRO, F. F. Processo de comunicação nas organizações virtuais: um estudo de caso na Escola Aberta Superior do Brasil. 2006. Monografia (Graduação). Universidade Federal de Viçosa, Viçosa, 2006.

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. 9ª reimpressão. Rio de Janeiro: Elsevier, 2003

SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.

SULZBACH, Jaime André. Análise de viabilidade da criptografia quântica, 2003. Disponível em: http://galileo.unisinos.br/alunos/arquivos/TCJaimeSulzbach.pdf. Acesso em: 01 abr 2007.

TURBAN, Efaim; MCLEAN, Ephraim; WETHERBE, James; trad. Renate Schinke. Tecnologia da Informação para Gestão: transformando os negócios na economia digital. 3ª ed. Porto Alegre: Bookman, 2004

YAMAGISHI, T. Trust and social intelligence: the evolutionary game of mind and society. Tóquio: Tokyo University Press, 1998.

WIKIPÉDIA, Wikipédia, a Enciclopédia livre. Disponível no endereço http://pt.wikipedia.org Acesso em 01 jun 2007.

91

9. APÊNDICE

QUESTIONÁRIO APLICADO

92

SOBRE O FUNCIONÁRIO

1. Qual sua idade? ___ Até 20 anos ___ De 21 a 30 anos ___ De 31 a 40 anos ___ Acima de 40 anos 2. Qual seu Sexo? ___ Masculino ___ Feminino 3. Qual seu nível de instrução? ___ Ensino fundamental incompleto ___ Ensino fundamental completo ___ Ensino médio incompleto ___ Ensino médio completo ___ Superior incompleto ___ Superior completo ___ Técnico 4. A qual nível da empresa você assessora? ___ Diretoria ___ Gerência ___ Operacional 5. Quanto tempo você trabalha na empresa? ___ Menos de 1 ano ___ De 1 a 5 anos ___ De 6 a 10 anos ___ Acima de 10 anos 6. Você possui outro emprego? ___ Sim, na mesma área em que trabalho nesta empresa ___ Sim, em outra área ___ Não

93

QUANTO A SENHAS 1. Alguém mais, além de você, conhece a(s) sua(s) senha(s) utilizada(s) na empresa? ___ Sim ___ Não 2. Você utiliza a senha de algum outro funcionário para acessar informações da empresa? ___ Sim, do meu chefe ___ Sim, de outro funcionário ___ Não 3. Você anota suas senhas em algum local próximo ao computador, na agenda, ou local de fácil acesso? ___ Sim ___ Não 4. Você permite que outras pessoas utilizem sua senha para algum tipo de trabalho rápido? ___ Sim ___ Não 5. Com que Freqüência você altera sua(s) senha(s)? ___ Mensalmente ___ Trimestralmente ___ Semestralmente ___ Somente quando o sistema solicita alteração ___ Nunca

94

QUANTO A DIVULGAÇÃO DE INFORMAÇÕES 1. Como você procede para fornecer informações solicitadas por telefone ou email? ___ Forneço a informação, pois não há nada confidencial em minha área ___ Forneço a informação, após identificar o solicitante ___ Forneço somente quando a informação não for confidencial ___ Forneço informações somente aos gerentes da empresa ___ Solicito autorização ao meu superior para liberar a informação ___ Depende da informação solicitada ___ Depende de quem solicitou, qual informação solicitada e se foi concedida pelo superior ___ Só forneço informações por escrito e com autorização do meu superior ___ Só forneço a partir de confirmação de dados ___ Não forneço, independente de quem for 2. Você já passou por uma situação em que alguém utilizou má-fé para obter ou tentar obter informações que você tem acesso? Se possível descreva-a brevemente. ___ Sim ___ Não Descrição: ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

95

QUANTO À EMPRESA 1. A empresa disponibiliza orientação sobre a divulgação de informação? ___ Sim ___ Não 2. Você conhece quais são as informações vitais para o negócio da empresa? ___ Sim ___ Não 3. A empresa possui uma política de Segurança da Informação? ___ Sim ___ Sim, porém desatualizada ___ Não 4. A empresa possui um departamento de TI especializado? ___ Sim ___ Não 5. A empresa possui requisitos de segurança dos contratos de terceirização? ___ Sim ___ Sim, porém desatualizado ___ Não 6. A empresa possui controle de acesso específico para os prestadores de serviço? ___ Sim ___ Não 7. Há uma estrutura para notificar e responder aos incidentes e falhas de segurança? ___ Sim ___ Sim, porém desatualizada ___ Não

96

QUANTO AO ACESSO A INFORMAÇÕES 1. Existe o gerenciamento de acessos do usuário? ___ Sim ___ Sim, porém desatualizado ___ Não 2. Existe controle de acesso à rede? ___ Sim ___ Sim, porém desatualizado ___ Não 3. Há algum controle de acesso às aplicações ou diretórios? ___ Sim ___ Sim, porém desatualizada ___ Não 4. Existe monitoração do uso e acesso ao sistema? ___ Sim ___ Sim, porém desatualizado ___ Não 5. Há critérios para computação móvel e trabalho remoto? ___ Sim ___ Sim, porém desatualizados ___ Não 6. Neste momento, existe algum papel sobre sua mesa com informações sobre a empresa? ___ Sim ___ Não 7. Ao sair, você costuma deixar sua mesa limpa, sem papéis importantes? ___ Sim ___ Não ___ Nunca reparei 8. Ao sair, você costuma deixar seu computador bloqueado ou efetua Logoff? ___ Sim ___ Não ___ Nunca reparei 9. O setor em que trabalha, possui informações consideradas confidenciais? ___ Sim ___ Não

97

10. Na sua opinião, todos os funcionários do seu setor sabem a importância das informações da empresa ? ___ Sim ___ Não 11. Você acha que seria difícil para pessoas externas, conseguirem informações importantes na empresa? ___ Sim ___ Não 12. Quais os tipos de informações você possui acesso? (pode ter mais de uma resposta) ___ Informações Operacionais ___ Informações Gerenciais ___ Informações Confidenciais da Empresa ___ Informações imprescindíveis à continuidade do negócio da empresa ___ Não tenho acesso a nenhum tipo de informação importante

98

QUANTO A CONTRATAÇÃO DE FUNCIONÁRIOS 1. A empresa estabelece critérios de seleção e política de pessoal? ___ Sim ___ Sim, porém desatualizados ___ Não 2. Existem processos para capacitação e treinamento de usuários? ___ Sim ___ Sim, porém desatualizados ___ Não 3. A política de segurança da informação é divulgada aos novos contratados? ___ Sim ___ Não 4. Os funcionários assinam algum termo de responsabilidade e/ou confidencialidade sobre as informações da empresa ? ___ Sim ___ Não

99

QUANTO AO GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES 1. Há um controle de mudanças operacionais? ___ Sim ___ Sim, porém desatualizado ___ Não 2. É realizada a segregação de funções e ambientes? ___ Sim ___ Sim, porém desatualizada ___ Não 3. Existem procedimentos para cópias de segurança? ___ Sim ___ Sim, porém desatualizada ___ Não 4. Há controles e gerenciamento de rede? ___ Sim ___ Sim, porém desatualizada ___ Não 5. Existem mecanismos de segurança e tratamento de mídias? ___ Sim ___ Sim, porém desatualizadas ___ Não 6. Existem mecanismos de segurança de correio eletrônico? ___ Sim ___ Sim, porém desatualizados ___ Não 7. Existe algum procedimento padrão para documentação dos sisteamas? ___ Sim ___ Sim, porém desatualizado ___ Não Algum comentário ou situação vivida interessante sobre a gestão da informação no seu dia-a-dia como secretária executiva? _______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

100

10. GLOSSÁRIO

Ameaças (ou perigos): Os diversos perigos aos quais um sistema está exposto (TURBAN et al., 2004).

Ataque de força bruta: Uma estratégia de descoberta de senha que tenta todas as combinações possíveis de caracteres alfanuméricos e símbolos especiais (PEIXOTO, 2006).

Autentificação de dois fatores: O uso de dois tipos diferentes de autentificação para verificar a identidade. Por exemplo, uma pessoa pode ter de identificar a si mesma ligando de uma determinada localização identificável e sabendo uma senha (PEIXOTO, 2006).

Backdoor: Um ponto de entrada oculto que fornece um caminho secreto para o computador de um usuário, o qual é desconhecido do usuário. Usado também pelos programadores que desenvolvem um programa de software para que possam entrar no programa para corrigir problemas (PEIXOTO, 2006).

Backup: Cópia extra dos dados e/ou programas, mantida em local seguro (TURBAN et al., 2004).

Cavalo de Tróia: Um programa que contém um código malicioso ou prejudicial, criado para gerenciar arquivos do computador da vítima ou para obter informações do computador ou da rede da vítima. Alguns deles foram criados para ocultarem-se dentro do sistema operacional do computador e espiar cada tecla digitada ou ação; ou para aceitar instruções por uma conexão de rede para executar alguma função, tudo isso sem que a vítima tenha consciência de sua presença (PEIXOTO, 2006).

Conexão direta: A expressão da empresa de telefonia para uma linha telefônica que vai diretamente para um número específico quando o telefone é tirado do gancho (PEIXOTO, 2006).

101

Controles de sistemas de informação: Os procedimentos, dispositivos ou software que procuram assegurar que o sistema opere como planejado (TURBAN et al., 2004).

Criptografar: Transformar dados em código criptografados antes de sua transmissão (TURBAN et al., 2004).

Dead drop: Um lugar para deixar as informações, no qual é pouco provável que sejam encontradas por outras pessoas. No mundo dos espiões tradicionais, isso poderia estar atrás de um tijolo falso na parede; no mundo dos harckers de computadores, é comum haver um site de Internet em um país remoto (PEIXOTO, 2006).

Decriptografar: Transformação de código criptografado em dados legíveis, após a transmissão (TURBAN et al., 2004).

Engenharia Social inversa: Um ataque de Engenharia Social no qual o atacante cria uma situação na qual a vítima tem um problema e entra em contato com ele para obter ajuda. Outra forma de Engenharia Social inversa é aquela que se volta contra o atacante. O alvo reconhece o ataque e usa princípios psicológicos de influência para tirar o máximo possível de informações do atacante para que a empresa possa preservar os ativos visados (PEIXOTO, 2006).

Enumeração: Um processo que revela os serviços que estão ativos no sistema alvo, a plataforma do sistema operacional e uma lista dos nomes de contas dos usuários que têm acesso ao sistema (PEIXOTO, 2006).

Exposição: O dano, perda ou prejuízo que pode ocorrer, caso algo saia errado em um sistema de informação (TURBAN et al., 2004).

FTP Anônimo: Um programa que fornece acesso a um computador remoto mesmo que você não tenha uma conta e que use o File Transfeer Protocol (FTP). Embora o FTP anônimo possa ser acessado sem uma senha, em geral os direitos de acesso de usuário a determinadas pastas são restritos (PEIXOTO, 2006).

Golpe inverso: Um golpe no qual a pessoa atacada pede ajuda ao atacante (PEIXOTO, 2006).

Gzip: Classificar arquivos em um único arquivo compactado usando o utilitário GNU do Linux (PEIXOTO, 2006).

Harckers: Originário do inglês, o termo é comumente utilizado no português sem modificação. Na língua comum o termo designa programadores maliciosos e ciberpiratas que agem com o intuito de violar ilegal ou imoralmente sistemas cibernéticos (WIKIPÉDIA, 2007).

Hardware: é a parte física do computador, ou seja, é o conjunto de componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos (WIKIPÉDIA, 2007).

Instalação silenciosa: Um método de instalar um aplicativo de software sem que o usuário ou operador do computador tenha conhecimento de que a ação está ocorrendo (PEIXOTO, 2006).

102

Integridade (dos dados): Uma garantia de precisão, integridade e confiabilidade dos dados. A integridade do sistema é garantida pela integridade de seus componentes e sua integração (TURBAN et al., 2004).

Intranet: é uma rede de computadores privativa que utiliza as mesmas tecnologias que são utilizadas na Internet. O protololo de transmissão de dados de uma intranet é o TCP/IP e sobre ele podemos encontrar varios tipos de serviços de rede comuns na Internet, como por exemplo o e-mail, chat, grupo de notícias, HTTP, FTP entre outros (WIKIPÉDIA, 2007)

Mail Drop: O termo do Engenheiro Social para uma caixa postal alugada, em geral com um nome fictício, a qual é usada para o recebimento de documentos ou pacotes que a vítima foi convencida a enviar (PEIXOTO, 2006).

Malware: Gíria para o software malicioso, um programa de computador, tal como um vírus, um worm ou um Cavalo-de-Tróia, que executa tarefas prejudiciais (PEIXOTO, 2006).

Mark: A vítima de uma conspiração (PEIXOTO, 2006).

Negar encerramento: Uma opção de serviço da empresa de telefonia na qual o equipamento de comutação é definido para que as ligações não possam ser recebidas naquele número de telefone (PEIXOTO, 2006).

Password default: senha para determinar valor e/ou informação assumida em determinada situação, quando nenhuma outra é especificada para o seu lugar (disponível no endereço: www.flaviowenzel.hpg.ig.com.br/informatiques/d.html)

Patch: Tradicionalmente uma parte do código que, quando colocado em um programa executável, corrige um problema (PEIXOTO, 2006).

Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação (FILHO, 2004).

Queimar a fonte: Diz-se que um atacante queimou a fonte quando ele permite que uma vítima reconheça que ocorreu um ataque. Após a vítima tomar conhecimento e notificar os outros empregados ou a direção sobre a tentativa, fica muito difícil explorar a mesma fonte em ataques futuros (PEIXOTO, 2006).

Risco: a probabilidade de que uma ameaça se concretize (TURBAN et al., 2004).

Secure Sockets Layer: Um protocolo desenvolvido pela Netscape que fornece a autentificação para o cliente e o servidor em uma comunicação segura na Internet (PEIXOTO, 2006).

Security Officer: Empregados de um sistema de Política de Segurança da Informação. (tradução adaptada, texto original disponível no endereço: sig.nfc.usda.gov/pki/glossary/glossary.html)

Segurança através da obscuridade: Um método eficaz de segurança de computadores que mantém em segredo os detalhes de como funciona o sistema (protocolos, algoritmos e

103

sistemas internos). A segurança através da obscuridade baseia-se na falsa suposição de que ninguém que esteja fora de um grupo de pessoas de confiança poderá enganar o sistema (PEIXOTO, 2006).

Segurança baseada em terminal: A segurança baseada em parte na identificação do terminal de computador específico que está sendo usado. Esse método de segurança era particularmente conhecido nos computadores mainframe da IBM (PEIXOTO, 2006).

Segurança Speakeasy: A segurança que depende do conhecimento do lugar onde estão as informações desejadas e do uso de uma palavra ou nome para acessar aquelas informações ou um sistema de computador (PEIXOTO, 2006).

Segurança Suave (Candy Security): Um termo criado por Belloin e Cheswick da Bell Labs para descrever um cenário de segurança no qual o perímero externo (tal como um firewall) é forte, mas a infra-estrutura é fraca. O termo refere-se ao confeito, que tem uma cãs ca externa dura e um centro mole (PEIXOTO, 2006).

Senha hash: Uma string de coisas initeligíveis que resulta do processamento de uma senha por meio de um processo de criptografia de uma via. O processo deve ser irreversível, ou seja, acredita-se que não seja possível reconstruir a senha a partir do hash (PEIXOTO, 2006).

Shell de comandos remoto: Uma interface não-gráfica que aceita comando baseados em texto para executar determinadas funções ou executar programas. Um atacante explora as vulnerabilidades técnicas ou que pode instalar um programa Cavalo de Tróia no computador da vítima pode obter o acesso remoto a um Shell de comandos (PEIXOTO, 2006).

Software: é a parte lógica, ou seja, o conjunto de instruções e dados que é processado pelos circuitos eletrônicos do hardware (WIKIPÉDIA, 2007).

Sosh: Gíria da polícia para o número do seguro social (uma espécie de CPF aqui no Brasil) (PEIXOTO, 2006).

Spyware: Software especializado usado para monitorar de modo oculto as atividades do computador de um alvo. Um dos meios mais comuns dessa prática é usado para controlar sites visitados pelos compradores da Internet para que os anúncios on-line possam ser adaptados aos seus hábitos de pesquisa na Internet. A outra forma análoga é grampear um telefone, exceto que o dispositivo alvo é um computador. O software captura as atividades do usuário, incluindo as senhas e teclas digitadas, e-mails, conversas de chat, mensagens instantâneas, todos os sites web visitados e capturas da tela (PEIXOTO, 2006).

Terminal burro: Um terminal que não contém seu próprio microprocessador. Os terminais burros só aceitam comandos simples e exibem caracteres de texto e números (PEIXOTO, 2006).

Tolerância a falhas: A capacidade de um sistema de informação continuar operando, normalmente por um tempo limitado e/ou a um nível reduzido, quando acontece uma falha (TURBAN et al., 2004).

Virar Latas: Vasculhar o lixo de uma empresa (quase sempre em um lixo externo e vulnerável) para encontrar informações descartadas que tivessem valor ou que fornecessem

104

uma ferramenta a ser usada em um ataque da Engenharia Social, tal como os números de telefones internos ou os cargos (PEIXOTO, 2006).

Vulnerabilidade: A suscetibilidade do sistema ao dano causado pela ameaça (TURBAN et al., 2004).

105

11. ANEXOS

ANEXO 1: CÓDIGO PENAL SOBRE “ENGENHEIROS SOCIAIS”

106

CÓDIGO PENAL SOBRE “ENGENHEIROS SOCIAIS”

ESTELIONATO

Art. 171 - Código penal: Obter para si ou para outrem, vantagem ilícita, em prejuízo

alheio, induzido ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro

meio fraudulento. Pena - Reclusão, 1 a 5 anos, e multa.

FALSA IDENTIDADE

Artigo 307 - Código penal: Atribuir-se ou atribuir a terceiros falsa identidade para

obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem. Pena -

Detenção - 3 meses a 1 ano, e multa

USURPAÇÃO DE FUNÇÃO PÚBLICA

Art. 238 - Código penal: Usurpar o exercício de função pública. Pena - Detenção, 3

meses a 2 anos, e multa.

Parágrafo único - Se do fato o agente aufere vantagem

Pena - Reclusão, 2 a 5 anos, e multa.

FALSIDADE IDEOLÓGICA

Art. 299 – Código penal: Omitir, em documento público ou particular, declaração que

dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser

escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato

juridicamente relevante:

Parágrafo único - Se o agente é funcionário público, e comete o crime prevalecendo-se

do cargo, ou se a falsificação ou alteração é de assentamento de registro civil, aumenta-se a

pena de sexta parte.

Pena - reclusão, de 1 (um) a 5 (cinco) anos, e multa, se o documento é público, e

reclusão de 1 (um) a 3 (três) anos, e multa, se o documento é particular.

107

USO DE DOCUMENTO FALSO

Art. 304 – Código penal: Fazer uso de qualquer dos papéis falsificados ou alterados, a

que se referem os arts. 297 a 302:

Pena - a cominada à falsificação ou à alteração.

Fonte: Código Penal

108

AENXO 2: LEI DE REGULAMENTAÇÃO DA PROFISSÃO DE SECRETARIADO

EXECUTIVO

109

Lei 7377, de 30/09/85 e Lei 9261, de 10/01/96

Dispõe sobre o exercício da profissão de secretário e dá outras providências

O Presidente da República.

Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art.1º. O exercício da profissão de secretário é regulado pela presente Lei.

Art.2º. Para os efeitos desta Lei, é considerado:

I - Secretário Executivo

a) o profissional diplomado no Brasil por curso superior de Secretariado, reconhecido na

forma de Lei, ou diplomado no exterior por curso de Secretariado, cujo diploma seja

revalidado no Brasil, na forma de Lei.

b) o portador de qualquer diploma de nível superior que, na data de vigência desta Lei, houver

comprovado, através de declarações de empregadores, o exercício efetivo, durante pelo menos

trinta e seis meses, das atribuições mencionados no Art.4º. desta Lei.

II - Técnico em Secretariado

a) o profissional portador de certificado de conclusão de curso de Secretariado em nível de 2º.

grau

b) portador de certificado de conclusão do 2º. grau que, na data de início da vigência desta

Lei, houver comprovado, através de declarações de empregadores, o exercício efetivo, durante

pelo menos trinta e seis meses, das atribuições mencionados no Art.5º. desta Lei.

Art. 3º. É assegurado o direito ao exercício da profissão aos que, embora não habilitados nos

termos do artigo anterior, contém pelo menos cinco anos ininterruptos ou dez anos

intercalados de exercício de atividades próprias de secretaria na data de vigência desta Lei.

Art.4º. São atribuições do Secretário Executivo:

I - planejamento, organização e direção de serviços de secretaria;

II - assistência e assessoramento direto a executivos;

III - coleta de informações para a consecução de objetivos e metas de empresas;

IV - redação de textos profissionais especializados, inclusive em idioma estrangeiro;

V - interpretação e sintetização de textos e documentos;

VI - taquigrafia de ditados, discursos, conferências, palestras de explanações, inclusive em

idioma estrangeiro;

VII - versão e tradução em idioma estrangeiro, para atender às necessidades de comunicação

da empresa;

110

VIII - registro e distribuição de expediente e outras tarefas correlatas;

IX - orientação da avaliação e seleção da correspondência para fins de encaminhamento a

chefia;

X - conhecimentos protocolares.

Art.5º. São atribuições do Técnico em Secretariado:

I - organização e manutenção dos arquivos da secretaria;

II - classificação, registro e distribuição de correspondência;

III - redação e datilografia de correspondência ou documentos de rotina, inclusive em idioma

estrangeiro;

IV - execução de serviços típicos de escritório, tais como recepção, registro de compromissos,

informações e atendimento telefônico.

Art.6º. O exercício da profissão de Secretário requer prévio registro na Delegacia Regional do

Trabalho do Ministério do Trabalho e far-se-á mediante a apresentação de documento

comprobatório de conclusão dos cursos previstos nos incisos I e II do Art.2º. desta Lei e da

Carteira de Trabalho e Previdência Social - CTPS.

Parágrafo Único - No caso dos profissionais incluídos no Art.3º., a prova da atuação será

feita por meio de anotações na Carteira de Trabalho e Previdência Social e através de

declarações das empresas nas quais os profissionais tenham desenvolvido suas respectivas

atividades, discriminando as atribuições a serem confrontadas com os elencos especificados

nos Arts.4º. e 5º.

Art.7º. Esta Lei entra em vigor na data de sua publicação.

Art.8º. Revogam-se as disposições em contrário.

José Sarney Almir Pazzianotto

Fernando Henrique Cardoso Paulo Paiva

111

ANEXO 3: O “JOGO DA SEGURANÇA”

112

A empresa Módulo Security Solution, líder em Segurança da Informação na América

Latina, trouxe, dentre inúmeros outros artigos que sempre divulga em seu portal

http://www.modulo.com.br , um documento muito interessante e bastante prático

desenvolvido pelo Módulo Education Center, relativo à Segurança da Informação no

ambiente corporativo: “O jogo da segurança”.

Veja, na figura, demonstração de um ambiente de trabalho onde se encontram

inúmeras falhas de segurança no âmbito físico, técnico e humano.

Como percebido, realmente muitas medidas deverão ser tomadas para, se não resolver

todas, ao menos minimizar tamanha desordem, imprudência e insegurança.

É possível detectar algumas falhas agravantes que também são simples de serem

resolvidas, seguindo políticas de segurança e condutas educativas por parte dos funcionários

da empresa. Eis os erros:

• Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de

informação, saber: com quem fala, de onde fala, conferir se o telefone de onde

se origina a ligação esteja batendo com o que mencionou (via BINA, por

exemplo) e por que quer aquela informação;

113

• Fatores externos (visitantes) terem acesso à área interna na empresa, obtendo

contato com as informações confidenciais;

• Entrega de informações sem o devido conhecimento real de quem as está

levando;

• Entrada de pessoas não autorizadas ou principalmente sem identificação, com

portas abertas e expostas à entrada de qualquer um;

• Recebimento de informações digitais (disquete, CD, etc.) sem o prévio

conhecimento da procedência (de onde realmente vem, de quem vem e do que

se trata), sem fazer primeiramente uma inspeção do material recebido em

algum lugar ou equipamento que não comprometa a empresa ou organização;

• Descarte incorreto de material que se acha inútil depois de jogado no lixo. O

não picotamento em diversos pedaços e de preferência em diversos lixos;

• Cabos e fios que interligam os computadores soltos no meio da sala, sem a

devida organização de estarem atrás do micro salvaguardado de qualquer

tropeço ou acidente;

• Gavetas abertas, de fácil acesso a documentos;

• Jogos via Internet ou mesmo por disquetes ou CD-ROM são passíveis de

conter armadilhas, como ativação de worms, cavalos de Tróia, vírus dentre

outros perigos que se escondem por trás dos envolventes jogos, ou diversões

oferecidas;

• Deixar expostos arquivos de backup, não guardando em lugar seguro e

confiável, além de demonstrar explicitamente que é um backup e de colocar

em risco a perda de todo backup sem os devidos cuidados necessários à

segurança física, em caso de algum acidente como uma xícara de café cair em

cima do material de backup;

• Nome de usuário e senhas expostos para qualquer um que passar, ver e ter

acesso;

114

• Disquetes, CD’s, documentos, material particular como bolsas, carteiras em

cima da mesa ou expostos com grande facilidade de alguém se apoderar ou ter

acesso, principalmente se as portas ou janelas ficam sempre abertas;

• Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se

trabalha, ainda mais se neste lugar tem carpetes;

• Programas, documentos digitais gravados em disquete ou CD’s, não sendo

devidamente guardados em lugares seguros onde somente aqueles que podem

ter realmente acesso seriam portadores da informação;

• Materiais eletro-eletrônicos perto das máquinas de trabalho;

• Cabos de energia soltos, comprometendo a segurança física dos funcionários;

• Computador ligado demonstrando informações confidenciais como senha,

usuário, códigos fontes;

• Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da

empresa;

• Computador ligado e, sobretudo, logado com a senha e nome de algum usuário

esquecido, deixando à mercê o uso da máquina por alguém não autorizado;

• Sistema de alarme desativado, desligado ou inoperante, em caso de alguma

urgência ou emergência;

• Material (software de aplicativos) exposto sem estar guardado em lugar

seguro; bem como livros, apostilas, etc., que contenham informações que

sirvam como facilitador em trazer palavras de cunho técnico de modo a

“achar” id, senhas, sejam elas default ou não;

• Enfeites, como vasos, quadros, dentre outros, servindo como mera distração,

fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho,

quando surgem, podem ser alvo de suspeita, pois de trás desses “enfeites”

podem estar guardados, escondidos, implantados sistemas de escuta,

gravadores, dentre outros pequenos sistemas que podem colher informações

ditas ou vivenciadas naquele ambiente.

Fonte: Módulo Security Magazine, São Paulo, n.345, 14 jun. 2004.

115

ANEXO 4: ENTREVISTA COM KEVIN D. MITNICK

116

Hoje com 39 anos, Kevin Mitnick deu uma virada na sua vida e estabeleceu-se como

um dos especialistas em segurança de computadores mais requisitados de todo o mundo.

Consultor de segurança para corporações em vários países e co-fundador da Defensive

Thinking, empresa de consultoria com sede em Los Angeles (defensivethinking.com).

Ele testemunhou no Comitê do Senado para Assuntos Governamentais sobre a

necessidade de legislação que garanta a segurança dos sistemas de informações do governo.

Seus artigos já foram publicados na maioria das revistas e jornais especializados e ele foi

convidado dos programas Court TV, Good Morning América e 60 Minutes; do Burden of

Proof da CNN e do Headline News, além de ter ministrado palestras em inúmeros eventos da

área. Mitnick tem um programa de rádio semanal na KFI AM 640, em Los Angeles, EUA .

Kevin Mitnick, já foi considerado um dos hackers mais famosos no mundo.Esteve oito

meses em prisão solitária em 1988. Voltou a ser apanhado pelo FBI em 1995. Cumpriu outros

cinco anos de prisão até 2000, quando saiu em liberdade condicional, proibido de tocar em

qualquer computador com ligação à Internet, modem, pacote de software ou um telefone, sem

alguém por perto.

Em uma de suas vindas aqui no Brasil, disse na capital baiana que o nível de

segurança das empresas de internet varia muito. "Por causa da competitividade, as empresas

inserem no mercado softwares que não foram testados suficientemente. O hacker justamente

busca esta falha para tirar proveito da situação."

De acordo com o americano, enquanto as empresas não corrigirem estas falhas,

"sempre vai existir uma janela de vulnerabilidade". "No caso da Microsoft, por exemplo, isso

(falta de testes) vai permitir a invasão a milhares e milhares de computadores."

Apesar de ganhar fama mundial como hacker, Kevin Mitnick dá um conselho para os

"seus seguidores". "Não façam isso (invasão de sistemas). Se querem mesmo agir como

hackers, acho que deveriam criar o seu próprio sistema operacional e tentar encontrar

falhas”

Ele defendeu a contratação de "hackers regenerados" como a melhor ferramenta de

combate à insegurança da rede.

"O que você prefere: viajar com um piloto que tem 10 mil milhas de experiência em

um simulador ou contratar um profissional com três mil milhas de vôo?"

117

Numa das raras vindas de Mitnick ao Brasil, quando esteve presente em Salvador –

Bahia, no final do ano de 2003, ele concedeu diversas entrevistas dentre as quais para a

Information Week Brasil, onde falou sobre os riscos que as empresas correm, sua experiência

pessoal e formas de defesa para as corporações

INFORMATIONWEEK Brasil - Kevin, o que é exatamente a engenharia social?

Kevin Mitnick - Engenharia social, na verdade, é um termo diferente para definir o

uso de persuasão para influenciar as pessoas a concordar com um pedido. A diferença entre

usar engenharia social e ser um bom vendedor é que o primeiro usa técnicas para enganar as

pessoas para conseguir informações que podem ser usadas para um ataque, ou mesmo fazer

com que o outro tome alguma ação que permita o atacante colocar em prática uma invasão ao

computador ou à rede que é alvo da ação. Eu posso garantir que engenharia social é uma das

mais graves vulnerabilidades de segurança do mundo corporativo. Porque não importa que

tipo de tecnologia a empresa utilize - biometria, detecção de intrusos, ou o melhor firewall

que se pode encontrar no mercado -, a engenharia social passa por cima disso tudo, usando o

elemento humano como um proxy para conseguir o que quer que o atacante deseja.

IWB - O maior ponto de falha de segurança para empresas, então, são as

pessoas?

Mitnick - Com certeza é o elemento humano. Porque não importa que tipo de trancas

você coloque em sua casa: o que o engenheiro social faz é convencer a pessoa que está do

outro lado da porta a abri-la. Independente do tamanho do cadeado, o engenheiro social vai

manipular as pessoas a entregar as chaves ou abrir o cadeado.

IWB - Como as empresas podem se defender dessa ameaça?

Mitnick - A melhor maneira é trabalhar para que as pessoas conheçam os processos

seguros definidos pela companhia. Todos precisam saber quais são as formas de atuação e de

quais situações os engenheiros sociais tiram proveito. Uma das melhores defesas para as

empresas é que seus funcionários desenvolvam consciência sobre segurança, baseada em

políticas e processos que sejam largamente divulgados. Dessa forma, todas as pessoas terão

conhecimento de como agir mediante uma requisição. Porque o que um engenheiro social faz,

e é aí que está o perigo, é uma requisição, seja de uma informação ou que alguém faça algo.

Diante disso, a segurança se resume a duas coisas: identificação e autorização. O que a pessoa

que recebe o telefonema, fax, e-mail ou qualquer outra forma de contato tem de saber é, não

118

importa quão insignificante pareça o pedido, se ela está falando com quem ela foi levada a

pensar que está. É preciso que todos conheçam os mecanismos de verificação de identidade.

Essa simples preocupação protege a empresa da ação de ex-funcionários ou de outras pessoas

que conhecem a estrutura organizacional e afins.Em termos práticos, são basicamente duas

ações para se proteger da engenharia social. A primeira é sempre ter certeza absoluta de estar

falando com a pessoa correta. A menos que se conheça pessoalmente a outra parte, tem de se

usar métodos para tanto. A outra defesa é ter todas as informações da empresa classificadas,

com regras claras para verificação de identidade para uma eventual disponibilização da

informação, mesmo para outro funcionário da empresa.

IWB - Como um engenheiro social atua?

Mitnick - Ele tenta aprender o máximo possível sobre a estrutura organizacional, os

processos, as formas de troca de informação e as pessoas da empresa para que possa e passar

por um funcionário. Esse é o maior perigo do "insider" ou do ex-funcionário, que já têm essa

informação e a utiliza para conquistar a confiança, não importa quão efêmera seja, da pessoa

com quem está se comunicando. A partir daí, o engenheiro social explora essa confiança para

atingir seu objetivo. O processo de engenharia social começa com o recolhimento de

informações sobre a pessoa e a empresa para quem se vai ligar; essa informação é usada para

desenvolver uma relação de confiança, que pode ser de curto prazo; depois é hora de explorar

essa relação para fazer com que a outra parte faça o que se deseja, para que, no fim de tudo, o

atacante consiga seu objetivo. E é fácil recolher as informações. Um bom exemplo disso é

quando alguém quer ser contratado por uma empresa. Com uma simples pesquisa na Web é

possível descobrir quais são seus produtos, os fundadores, há quanto tempo está no mercado,

sua posição financeira ou o nome dos principais executivos. E é isso que o engenheiro social

faz, só que com o objetivo de se passar por outra pessoa e se fazer acreditar. O que as pessoas

que são alvo pensam é "se ele sabe tal informação, com certeza ele é da empresa". Mas esse é

um tipo de confiança errada.

IWB - O que você recomenda que as empresas façam para diminuir os riscos de

serem vítimas de engenharia social?

Mitnick - Informações internas, como ramais diretos, e-mails internos, os nomes dos

sistemas de tecnologia, os sistemas operacionais adotados e até mesmo quem são os

fornecedores de tecnologia, que podem ser usadas por um engenheiro social, não devem ser

119

abertas para pessoas de fora da empresa. Além disso, é recomendável que se adote acordos de

confidencialidade para todos os funcionários. Em linhas gerais, informações importantes não

devem ser espalhadas e os empregados têm de ser treinados para não divulgá-las. As

companhias precisam aprender a limitar as informações divulgadas.

IWB - Kevin, você certa vez disse que a engenharia social era a sua grande arma.

É possível você dar um exemplo de como essa técnica permitiu atingir seu objetivo?

Mitnick - Vou lhe dar alguns exemplos genéricos. Um é criar um disquete e escrever

na etiqueta algo como "Departamento Pessoal - Folha de Pagamento". Só que o disquete

carrega, na verdade, um programa invasivo que instala uma backdoor. Ou até mesmo um

programa mais sofisticado, que irá enviar informações para o atacante. Então o engenheiro

social vai fisicamente à empresa e espalha cópias desse disquete nas áreas comuns da

companhia. Inevitavelmente alguém vai pegar o disquete por curiosidade, rodá-lo em sua

máquina e boom! Esse é um exemplo onde a tecnologia envolvida é mínima. Mas há muitas

outras formas de ação. Uma delas é a engenharia reversa. Aqui nos EUA, por exemplo, os

bancos possuem códigos diários para autenticar ligações telefônicas entre suas agências. Um

método que eu usei no passado foi o de procurar alguém da agência - que eu sabia que não

estaria lá - me fazendo passar por um outro funcionário que está acompanhando o andamento

de uma requisição. Uma possibilidade era ligar para uma agência solicitando uma nova conta,

junto ao responsável por essa área. Eu ligava pela manhã, falava com a pessoa e fingia que

tinha de atender uma outra ligação. Nesse momento eu combinava de ligar depois do almoço -

e descobria a que horas ele sairia para o almoço. Eu voltava a ligar quando ele estava fora e

dizia a quem me atendia que estava ligando sobre o fax com as informações que ele havia

pedido. Quando o funcionário me dizia que quem eu procurava não estava, bastava dizer que

precisava passar o fax logo porque estava do outro lado do país e pedia o código para

autenticar a informação. O funcionário acabava sendo levado a acreditar que deveria fornecer

o código porque alguém estava esperando por essas informações. Isso é o que se chama de

engenharia reversa: você faz o alvo acreditar que você está acompanhando o andamento de

uma requisição legítima. Só que o detalhe é que a pessoa que recebeu a ligação não deveria

fornecer o código, já que a autenticação deveria vir do outro lado.

IWB - Kevin, há alguma coisa que você queira destacar sobre o assunto?

120

Mitnick - É importante destacar que há muitas técnicas que as pessoas podem usar. O

engenheiro social pode se passar por um representante do suporte técnico da companhia que

está tentando resolver uma falha - o que leva o usuário a colaborar. O mesmo vale para

alguém ligando para o suporte técnico se fazendo passar por um funcionário que esqueceu sua

senha, ou algo do gênero, com o objetivo de conseguir privilégios de acesso ou a troca da

senha. Muitas vezes, as pessoas não fazem a verificação de identidade. E é disso que o

engenheiro social se aproveita, criando uma relação de confiança que faz a outra parte se

sentir desconfortável ao questioná-lo. Essa é a razão psicológica que explica porque

engenharia social funciona. Há na verdade seis comportamentos humanos que podem ser

manipulados por um engenheiro social: reciprocidade, consistência, a busca por aprovação

social, simpatia, autoridade e medo Mesmo sendo considerado o maior especialista em

engenharia social do qual se tem notícias, o próprio Mitnick, em sua apresentação, conta que

foi vítima de engenharia social. “Foi perto do lançamento do meu livro, The Arte of

Deception”(A arte de enganar)”,lembra. O ex-hacker conta que recebeu uma ligação de um

jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na

palavra do jornalista e deu uma entrevista sobre o livro.”Quando a reportagem foi publicada

meu editor me ligou furioso. Afinal de contas, toda estratégia para o lançamento havia sido

prejudicada por aquela entrevista, que ele nunca autorizou. Só ai eu percebi que havia sido

enganado”.

Fonte: MITNICK, Kevin. O conhecimento que assusta in InformationWeek Brasil. São

Paulo, 2003. Entrevista. Disponível em: http://www.informationweek.com.br/iw70/mitnick/

121

ANEXO 5: EXEMPLO DE UMA HISTÓRIA REAL DE ENGENHARIA SOCIAL

122

A história contada a seguir foi retirada do livro “The Art of Deception”ou como

conhecido aqui no Brasil: “A arte de enganar” de Kevin D.Mitnick & William L.Simon.É

uma história contada pelo próprio Kevin, que demonstra a utilização de técnicas da

Engenharia Social abordadas com a ajuda de seu amigo e comparsa Vinny.

Dinheiro fácil

Quando fui apresentado aos computadores pela primeira vez no colégio, tínhamos de

nos conectar por modem a um minicomputador DEC PDP 11 no centro da cidade de Los

Angeles. Todos os colégios de Los Angeles compartilhavam desse mesmo minicomputador.

O sistema operacional daquele computador se chamava RSTS/E e esse foi o primeiro sistema

operacional com o qual aprendi a trabalhar.

Naquela época, em 1981, a DEC patrocinava uma conferência anual para seus

usuários de produto, e um ano li que a conferência seria realizada em Los Angeles.Uma

revista conhecida para os usuários desse sistema operacional trazia um anúncio sobre um

novo produto de segurança, o LOCK-11. O produto era promovido com uma campanha

publicitária inteligente que dizia algo do tipo “São 3:30 da manhã e Johnny, do final da rua,

descobriu o seu número de discagem, 555-0336, na sua 336_ tentativa. Ele está dentro e você

está fora. Use o LOCK-11”.O anúncio sugeria que o produto era à prova de hackers. E ele

seria exibido na conferência.

Eu estava ansioso para ver o produto. Um colega e amigo do colégio, Vinny, meu

parceiro de hacking durante vários anos e que se tornou mais tarde um informante dos

federais contra mim, compartilhava do meu interesse no novo produto da DEC e me

incentivou a ir à conferência com ele.

Dinheiro on-line

Chegamos lá e encontramos um grande movimento das pessoas que estavam na feira

ao redor do LOCK-11. Parece que os desenvolvedores estavam apostando dinheiro on-line

para ver quem conseguia quebrar a segurança do produto. Esse parecia um desafio ao qual eu

não poderia resistir.

Fomos direto ao stand do LOCK-11 e encontramos os três desenvolvedores do

produto. Eu os reconheci e eles me reconheceram – mesmo adolescente eu já tinha fama de

phreaker e hacker por causa de um artigo que o LA Times havia publicado sobre meu

primeiro contato juvenil com as autoridades. O artigo relatava que eu havia entrado no prédio

da Pacific Telephone no meio da noite e tirado manuais de computadores, bem debaixo do

123

nariz dos guardas de segurança. (Parece que o Times queria criar uma história sensacionalista

e a publicação do meu nome servia para isso; como eu era ainda m adolescente, o artigo

violou a prática, senão a lei, de não – divulgação dos nomes dos menores acusados de

infrações.)

Quando Vinny e eu chegamos, isso criou um certo interesse de ambos os lados. Havia

um interesse da parte deles porque eles me reconheceram como o hacker sobre quem haviam

lido e eles estavam um pouco chocados em me ver. Isso criou um interesse da nossa parte,

porque cada um dos três desenvolvedores estava lá com uma nota de US$ 100 pendurada no

crachá da exposição. O premio em dinheiro total para todos que pudessem invadir seu sistema

seria de US$ 300 – o que parecia bastante dinheiro para uma dupla de adolescentes. Mal

podíamos esperar para começar.

O LOCK-11 foi criado com base em um principio estabelecido que dependia de dois

níveis de segurança. Um usuário precisava te um ID e uma senha válida, como sempre, mas o

ID e a senha só funcionariam quando fossem inseridos em terminais autorizados, uma

abordagem chamada de segurança baseada em terminal. Para burlar o sistema, um hacker

precisaria não apenas ter um ID de conta e uma senha, mas também teria de inserir essas

informações no terminal correto. O método estava bem estabelecido e os inventores do

LOCK- 11 estavam convencidos de que isso manteria as pessoas más de fora.

Nós resolvemos que iríamos ensinar uma lição para eles e embolsar as 300 pratas. Um

rapaz que eu conhecia e que era considerado um guru do RSTS/E já havia nos derrotado.

Anos antes ele tinha me desafiado a entrar no computador interno de desenvolvimento da

DEC, e depois disso seus colegas me entregaram. Desde aquela época ele havia se tornado um

programador respeitado. Nós descobrimos que ele havia tentado burlar o programa de

segurança LOCK-11 pouco antes de chegarmos, mas não conseguiu. O incidente havia dado

aos desenvolvedores mais segurança de que o seu produto realmente era seguro.

O concurso era um grande desafio: vencer o sistema de segurança e levar o dinheiro.

Um bom golpe publicitário... a menos que alguém conseguisse e levasse o dinheiro. Eles

tinham tanta certeza de que o seu produto era seguro que até se atreveram a afixar no stand

uma lista com os números e senhas de algumas das contas do sistema. E não apenas as contas

comuns, mas também as contas privilegiadas.

Na verdade, isso era menos audacioso do que parecia. Eu sabia que nesse tipo de

configuração cada terminal esta conectado a uma porta do próprio computador. Não era

124

preciso ser um cientista aeroespacial para descobrir que eles haviam configurado cinco

terminais na sala de reuniões para que um visitante fizesse a conexão apenas como um usuário

não privilegiado – ou seja, os logins só eram possíveis para as contas que não tinham

privilégios de administradores de sistemas. Parecia que havia apenas duas rotas: desviar

totalmente do software de segurança – exatamente aquilo que o LOCK-11 deveria evitar, ou

burlar o software de alguma maneira que os desenvolvedores não haviam imaginado.

Aceitando o desafio

Vinny e eu fomos dar uma volta para conversar sobre o desafio e voltamos com um

plano. Ficamos por ali inocentemente e vigiamos o stand à distância. Na hora do almoço

quando o movimento diminuiu, os três desenvolvedores se aproveitaram do intervalo e saíram

juntos para comer alguma coisa , deixando lá uma mulher que poderia ser a mulher ou

namorada de um deles.Nós voltamos e eu distrai a mulher, conversando com ela sobre várias

coisas como “Há quanto tempo você trabalha na empresa?””Quais outros produtos a sua

empresa vende?” e assim por diante.

Nesse meio tempo, Vinny, que estava fora da sua linha de visão, estava trabalhando,

usando uma habilidade que nós dois havíamos desenvolvido. Além do fascínio por invadir

computadores e do meu próprio interesse em mágica, uma coisa que sempre nos interessou foi

aprender como abrir cadeados. Quando criança, eu havia percorrido as prateleiras de uma

livraria obscura no Vale de São Fernando, que tinha livros sobre como abrir cadeados, livrar-

se de algemas, criar identidades falsas; todo o tipo de coisas que uma criança não deveria

saber.

Assim como eu, Vinny havia praticado o arrombamento de cadeados até ficarmos

muito bons nos cadeados comuns que compram nas lojas de ferragens. Certa vez me diverti

encontrando alguém que usava dois cadeados como uma medida extra proteção. Eu troquei os

cadeados de lugar, o que irritaria e frustraria o proprietário quando ele tentasse abrir cada um

deles com a chave errada.

No recinto de exposições eu continuava distraindo a mulher enquanto Vinny se

esgueirava na parte de trás do stand para não ser visto e pegava o cadeado do gabinete que

abrigava o seu minicomputador PDP-11 e os terminais dos cabos. Dizer que o gabinete estava

trancado era quase piada. Ele estava fechado com aqueles cadeados chamados de cadeado de

biscoito, evidentemente fáceis de abrir até mesmo para arrombadores amadores como nós.

125

Vinny precisou de apenas um minuto para abrir o cadeado. Dentro do gabinete ele

encontrou o que havia previsto: a fila de portas para conectar os terminais de usuários e uma

porta para aquele que era chamado de terminal de console. Esse era o terminal usado pelo

operador do computador ou administrador do sistema para controlar todos os computadores.

Vinny conectou o cabo que ia da porta da console até um dos terminais da feira.

Isso significava que esse terminal agora reconhecido como terminal da console. Eu me

sentei na máquina com os cabos novos e me conectei usando uma senha que os

desenvolvedores haviam fornecido. Como o software LOCK-11 agora identificava que eu

estava me conectando de um terminal autorizado, ele me concedeu o acesso e eu estava

conectado com privilégios de administrador de sistema. Fiz o patch do sistema operacional

para que eu pudesse me conectar como usuário privilegiado de qualquer terminal do local.

Depois que o meu patch secreto estava instalado, Vinny voltou a trabalhar

desconectando o cabo de terminal e conectando-o de volta no lugar onde ele estava

originalmente. Em seguida pegou o cadeado mais uma vez, desta vez para trancar a porta do

gabinete. Pedi uma listagem de diretórios para saber quais arquivos havia no computador,

procurei o programa LOCK-11 e os arquivos associados e encontrei algo que achei chocante:

um diretório que não deveria estar naquela máquina. Os desenvolvedores estavam tão

confiantes, tão certos de que seu software era invencível que nem se importaram em remover

o código – fonte do novo produto. Fui até o terminal de impressão ao lado e comecei a

imprimir partes do código –fonte nas folhas de formulário continuo com listras verdes que

eram usadas naquela época.

Vinny havia acabado de fechar o cadeado e tinha se juntado a mim quando os

desenvolvedores voltaram do almoço. Eles me encontraram sentado no computador digitando

enquanto a impressora continuava trabalhando.”O que você esta fazendo, Kevin?”, um deles

me perguntou. “Ah, só estou imprimindo o seu código fonte”, respondi. Eles pensaram, é

claro, que eu estava brincando. Até que olharam a impressora e viram que aquilo realmente

era o código – fonte tão bem guardado do seu produto.

Eles não acreditaram que eu estivesse conectado como usuário privilegiado. “Digite

um Control –T” ordenou um dos desenvolvedores. Eu fiz isso. A tela confirmou o que eu

disse. O rapaz começou a bater na cabeça enquanto Vinny pedia: “Os US$ 300, por favor”.

Eles pagaram. Vinny e eu caminhamos pela exposição no restante do dia com as notas

de US$ 100 pregadas em nossos crachás da conferência. Todos que viam as notas sabiam o

126

que elas representavam. Obviamente, Vinny e eu burlamos o software deles, e se a equipe de

desenvolvedores tivesse pensado em definir regras melhores para o concurso, se tivessem

usado um cadeado realmente seguro ou se tivessem tomado conta do seu equipamento com

mais cuidado não teriam sofrido aquela humilhação naquele dia – a humilhação sofrida pelas

mãos de dois adolescentes.

Mais tarde descobri que a equipe de desenvolvedores teve de ir ao banco para tirar

dinheiro: aquelas notas de US$ 100 eram todo o dinheiro que tinham com eles para gastar

O que se acabou de ler foi exatamente um típico ataque da engenharia social

aproveitando como vulnerabilidade, não as falhas por questões supostamente técnicas, mas

sim como observado na história, o problema chave nesse aspecto quando se refere à

engenharia social – o elo mais fraco chamado: fator humano.

A vítima foi a moça, namorada ou esposa de um dos donos desenvolvedores do

projeto, que analogamente estaria fazendo o papel de um “guarda da segurança” de uma

empresa. Pena que ela não fora avisada ou devidamente instruída quanto a importância de seu

papel naquele momento, sozinha no stand aguardando o retorno dos desenvolvedores.

Imagine então que um engenheiro social consiga, com apenas um telefonema,

conversar com o guarda responsável pela segurança, de forma a manipulá-lo a entrar numa

sala que contenha computador (qualquer sala terá acesso, pois normalmente os seguranças

possuem todas as chaves, ou uma chave mestra para abrir qualquer porta) e fazer com que,

devidamente e pacientemente instruído, digite na console comandos que concederão acesso

indevido além de muitas outras proezas a serem realizadas com as informações ante coletadas

pelo habilidoso e articuloso engenheiro social.

O mesmo vale, e principalmente, para aqueles funcionários que estão iniciando na

empresa, seja de qualquer área ou setor. São alvos “suculentos” para qualquer engenheiro

social. Sobretudo para os que se acham muito espertos e convincentemente se declaram muito

bem preparados para qualquer eventual circunstância que venha ocorrer com eles próprios. A

subestimação é o que o engenheiro social mais quer que ocorra.

Será que toda empresa instrui seus guardas da segurança, assim como os empregados

que acabaram de iniciar na empresa, para evitarem esse tipo de incidente? Creio que não.

Sobre esse assunto Mitnick ressalta: “É prática comum pedir que um colega ou

subordinado faça um favor. Os engenheiros sociais sabem como explorar o desejo natural

das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano

127

positivo para enganar empregados desavisados para que executem ações que o coloquem

mais perto de seu objetivo. É importante entender esse conceito simples para que você

reconheça quando outra pessoa está tentando manipula-lo”.

Fonte: MITNICK e SIMON, “A arte de enganar” (Capítulo 11 – páginas 145a 148).