universidade candido mendes pÓs-graduaÇÃo “lato … · infelizmente o que vemos na prática é...
TRANSCRIPT
![Page 1: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/1.jpg)
Quantidade de “enter” para posicionar o cabeçalho, apague em seguida
<>
<>
<>
<>
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
<>
<>
<>
<>
<>
GESTÃO DE RISCO NO COMBATE A ENGENHARIA SOCIAL
<>
<>
<>
Por: Glória Ramalho Carneiro
<>
<>
<>
Orientador
Prof. Mário Luiz
Rio de Janeiro
2010
![Page 2: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/2.jpg)
Exemplo de configuração de monografia A Vez do Mestre
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
<>
<>
<>
<>
<>
GESTÃO DE RISCO NO COMBATE A ENGENHARIA SOCIAL
<>
<>
<>
<>
<>
Apresentação de monografia à Universidade
Candido Mendes como requisito parcial para
obtenção do grau de especialista em Gestão
Empresarial.
Por: . Glória Ramalho Carneiro
![Page 3: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/3.jpg)
Exemplo de configuração de monografia A Vez do Mestre
3
AGRADECIMENTOS
....Em primeiro lugar, agradeço a Deus
por sua força constante em minha vida
e a minha mãe que sempre me apoiou
em todas as fases do meu crescimento
físico, profissional e emocional.
![Page 4: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/4.jpg)
Exemplo de configuração de monografia A Vez do Mestre
4
DEDICATÓRIA
.....dedico este trabalho a todos que
buscam a justiça e que acreditam na
verdade,.......
![Page 5: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/5.jpg)
Exemplo de configuração de monografia A Vez do Mestre
5
RESUMO
A informação é, na atualidade, uma das mais valiosas ferramentas de
uma empresa. Logo, o descuido nessa área pode causar prejuízos
significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das
empresas está consciente do perigo mantendo alguma política de segurança.
A Segurança da Informação refere-se à proteção requerida para
proteger as informações de empresas ou de pessoas, ou seja, o conceito se
aplica tanto as informações corporativas quanto às pessoais. Entende-se por
informação todo e qualquer conteúdo ou dado que tenha valor para alguma
organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta
ao público para consulta ou aquisição.
Os gestores podem estabelecer medidas para definição do nível de
segurança existente e requerido. Dessa forma, são constituídas as bases para
análise da melhoria da situação de segurança existente. A segurança de uma
determinada informação pode ser afetada por fatores comportamentais e de
uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou
por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou
modificar tal informação.
Portanto, a questão que se apresenta é de como promover nas
instituições ações para conscientização, esclarecimento e informação de seus
colaboradores quanto aos riscos existentes, às vulnerabilidades e aos
aspectos de segurança da informação, de maneira a garantir que a Política de
Segurança da Informação da organização seja efetiva do ponto de vista do
fator humano em relação aos Engenheiros Sociais?
![Page 6: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/6.jpg)
Exemplo de configuração de monografia A Vez do Mestre
6
METODOLOGIA
A metodologia adotada para o estudo da Engenharia Social sob o foco
da Gestão de Risco foi baseada nas pesquisas em:
• Livros específicos focados em Engenharia Social, Gestão de Risco
e Informática;
• Código da Associação Brasileira de Normas Técnicas
(NBRISO;IEC17799;
• Sites na Internet;
• Artigos;
O estudo pretende identificar os pontos vulneráveis, do ponto de vista
da segurança da informação, dentro de uma organização e quais as medidas
cabíveis para enfrentar o grande guerreiro que é o Engenheiro Social, onde
seus funcionários podem ser tornar os maiores aliados na luta do dia-a-dia
contra este terrível mal do mundo globalizado.
![Page 7: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/7.jpg)
Exemplo de configuração de monografia A Vez do Mestre
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I - Engenharia Social 09
CAPÍTULO II - Gestão da Segurança da Informação 25
CAPÍTULO III – Gestor da Segurança da Informação 30
CAPÍTULO IV – Gestão de Risco 39
CONCLUSÃO 47
BIBLIOGRAFIA CONSULTADA 49
ÍNDICE 52
FOLHA DE AVALIAÇÃO 63
![Page 8: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/8.jpg)
Exemplo de configuração de monografia A Vez do Mestre
8
INTRODUÇÃO
Vivemos em um mundo globalizado, com o espaço geográfico
fragmentado, porém fortemente articulado pelas redes, onde a informação,
independente do seu formato, é um dos maiores patrimônios de uma
organização moderna, sendo vital para quaisquer níveis hierárquicos e dentro
de qualquer instituição que deseja manter-se competitiva no mercado.
Nos últimos anos as tecnologias de informação e comunicação têm
evoluído de forma rápida, fazendo com que as organizações tenham maior
eficiência e rapidez nas tomadas de decisão. Devido a este fato as chances de
uma empresa não usar sistemas de informação tornou-se praticamente nula.
No passado a questão segurança da informação era muito mais
simples, pois os arquivos contendo inúmeros documentos podiam ser
trancados fisicamente, porém com a chegada das tecnologias da informação e
comunicação a questão ficou bem mais complexa, hoje a maioria dos
computadores conecta-se a internet e conseqüentemente a internet conecta-se
a eles. Além disto, sabemos que dados em formato digital são portáteis, este
fato fez que estes ativos tornassem atrativos para ladrões. Mas isto não é tudo,
existem inúmeras situações de insegurança que podem afetar os sistemas de
informação como engenharia social, incêndios, alagamentos, problemas
elétricos, poeira, fraudes, uso inadequado dos sistemas, guerras, etc.
Portanto podemos dizer que não existe segurança absoluta, torna-se
necessário agirmos no sentido de descobrir quais são os pontos vulneráveis e
a partir daí avaliar os riscos e impactos, e rapidamente providenciar para que a
segurança da informação seja eficaz.
Infelizmente o que vemos na prática é que muitas empresas não dão o
devido valor a esta questão e por muitas vezes o preço é muito alto, portanto o
![Page 9: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/9.jpg)
Exemplo de configuração de monografia A Vez do Mestre
9
melhor caminho é reduzir ao máximo quaisquer riscos às informações,
seguindo um trajeto no sentido único de manter a integridade e a
disponibilidade dos sistemas de informação.
Para se implantar uma eficaz segurança da informação dentro de uma
organização devemos ficar atentos para algumas questões como uma boa
análise de riscos, a definição da Política de Segurança e por fim um plano de
contingência a qual descreve o que deve ser feito em caso de problemas com
as informações.
A análise de riscos basicamente visa a identificação dos pontos de
riscos que a que a informação está exposta, identificando desta maneira quais
os que necessitam de maior empenho em proteção.
A política de segurança da informação é a formalização explícita de
quais ações será realizada em um sentido único de garantir a segurança e
disponibilidade dos mesmos, esta política é de extrema importância uma vez
que descreve as regras necessárias para o uso seguro dos sistemas de
informação.
Uma vez identificados quais os riscos que as informações estão
expostas deve-se imediatamente iniciar um processo de segurança física e
lógica, com o intuito de alcançar um nível aceitável de segurança.
O estudo deste tema demonstrará como as pessoas são "inocentes" e
frágeis quando se trata de protegerem a si ou a terceiros da invasão de
"golpistas", que usam a inteligência e a astucia para persuadirem as futuras
vitimas a satisfazerem seus desejos em detrimento dos procedimentos éticos e
moral de convívio em sociedade.
CAPÍTULO I
![Page 10: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/10.jpg)
Exemplo de configuração de monografia A Vez do Mestre
10
ENGENHARIA SOCIAL
O CONCEITO
O conceito de engenharia social resume-se em a “arte de trapacear”,
construir métodos e estratégias de enganar em cima de informações cedidas
por pessoas ou ganhar a confiança para obter informações sem o uso da força
apenas com inteligência, técnica, perspicácia e persuasão. Essas são ações
antigas, oriundas dos tempos mais remotos que ganharam um novo termo. A
melhor visão da Engenharia Social está descrita nesta frase:
”As pessoas acabam caindo nas minhas mentiras porque eu
mexo com a ambição delas. Sou quem eles quiserem que
eu seja”. ROCHA, Marcelo.
1.1 – Perfil do Engenheiro Social
O engenheiro social é um oportunista com um grande talento para
observar as pessoas avaliando-as para suas investidas, ele também não deixa
de possuir um espírito empreendedor, arriscando-se para conseguir o que
quer. Alem disso, ele usa os sentimentos mais comuns das pessoas com arma
a seu favor, como medo, vaidade, ambição, inveja, vingança e ira.
Na história da Engenharia Social, existem alguns “especialistas” que
depois de descobertos continuaram a investir em seus negócios através das
suas autobiografias alimentando com isso seu ego.
Alguns dos mais famosos Hackers são: Frank W. Abagnale, cuja
“performance” foi registrada no filme “prenda-me se for capaz”. Outro ícone da
Engenharia Social é Kevin Mitnick que após sua prisão lançou vários livros
entre eles “A arte de Enganar”.
![Page 11: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/11.jpg)
Exemplo de configuração de monografia A Vez do Mestre
11
No Brasil, Marcelo Nascimento da Rocha, conseguiu “fama” com seus
golpes na mídia, isto é, se passando por outras pessoas, na intenção de obter
benefício próprio. A mais conhecida mentira de Rocha ocorreu em 2001,
quando ele ficou quatro dias em uma micareta no Recife fingindo ser filho do
dono da companhia aérea Gol. Ele conseguiu ficar hospedado em um resort de
luxo, posou ao lado de famosos e chegou até a dar entrevista por Amaury Jr.
No mesmo ano, foi preso transportando drogas em um avião.
Na cadeia, fingiu ser chefe de uma gangue de trafico e liderou uma
rebelião. Suas estripulias viraram livro, “Vips – Histórias Reais de Um
Mentiroso, escrito pela jornalista Mariana Caltabiano. Na hora de negociar os
direitos, ele fingiu ter várias propostas e embolsou 50% dos direitos da
publicação.
1.2 – Ferramentas do Engenheiro Social
Como principais ferramentas utilizadas pelo Engenheiro social têm-se:
(PEIXOTO,2006)
• Telefone ou Voip: (voz sobre IP): se passar por outra pessoa é um
dos típicos ataques de engenharia social, como exemplo um
atendente de help-desk;
• E-mail: phishing scam; Cavalo de tróia;
• Internet: (coleta de informações) através de sites como Orkut,
Twister, registro.br, Google, dentre outros;
• Pessoalmente: (in Person Social Engineering): Este tipo de ataque
é o incomum, porém muito perigoso, pois faz do engenheiro social
![Page 12: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/12.jpg)
Exemplo de configuração de monografia A Vez do Mestre
12
um artista que usa de suas habilidades de atração, sedução
intimidação, dramaticidade e credibilidade para manipular sua
futura vitima em prol de informações confidenciais;
• Chats: (bate papo) - assim como no telefone, fazer-se passar por
alguém que na verdade não é, fica mais fácil através das salas de
bate-papo, onde os internautas trocam fotos e muitas vezes
compartilham informações pessoais;
• Cartas/Correspondências: por ser um recurso tradicional, ele atrai
maiores vitimas nas faixas mais idosas da sociedade ou entre
aqueles que têm certa resistência à tecnologia. É muito fácil hoje
através do scanner, elaborar documentos com logomarcas e tudo
mais, dando-se a impressão de serem de fontes seguras;
• Spyware: software “espião” usado para monitorar de modo oculto
as atividades do computador de uma provável vitima;
• Mergulho no lixo: através das coisas que são descartadas para o
lixo, se pode avaliar o perfil dos usuários e seus hábitos. Algumas
vezes se consegue até extratos, permitindo ao Engenheiro Social
avaliar as finanças de sua vítima;
• Surfar sobre os ombros: é o ato de “observar” uma pessoa
digitando no teclado do computador para descobrir e furtar sua
senha ou outras informações deste usuário, para utilizá-la em
outro situação conveniente ao seu objetivo.
1.3 - A Arte do Engenheiro Social e Suas Técnicas
Os artifícios utilizados por um engenheiro social estão em constante
evolução. Porém eles buscam sempre o aprimoramento de suas técnicas para
atingirem os seus objetivos. Mas mesmo perante tais transformações e
mudanças no segmento da arte de enganar, modificando ou incrementando
![Page 13: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/13.jpg)
Exemplo de configuração de monografia A Vez do Mestre
13
seus ataques, o engenheiro social utiliza-se sempre de alguns aspectos
clássicos de ataque, que serão vistos a seguir. (PEIXOTO,2006)
1.3.1 - Informações inofensivas x valiosas
Você sabe distinguir a importância das informações? Pergunta difícil de
ser respondida partindo-se do ponto de vista “funcionário mal treinados”.
Como um jogo de quebra-cabeça, as informações são obtidas em
“pedaços”, onde ao se juntar todos as peças teremos a “figura completa”.
Assim, informações que parecem irrelevantes ou consideradas sem
importância, quando juntadas a outras também assim avaliadas tomam forma
diferente daquilo que imaginávamos inofensivo. E passa a ser a chave que
o engenheiro social precisava para abrir o “cofre” e ter acesso a informações
que até então eram confidenciais.
É recomendável que todo repasse de informação seja avaliada com
cuidado antes de passada adiante, levando-se em conta a pessoa que está
solicitando e a necessidade do solicitante de saber a informação.
1.3.2 - Conquistando confiança
Parece estranho acreditar que praticamente todas as pessoas estão
sujeitas a serem enganadas a qualquer momento em qualquer lugar. Porém
isto ocorre com muita freqüência.
Confiança não é transitiva; isto é: Eu confio em Lúcia, e Lúcia confia
em José, o que não significa que eu confio em José por sua vez. Por exemplo,
Lúcia tem permissão para acessar dados confidenciais de sua empresa; então
ela por “achar” que José é um colega confiável pede que ele tire uma cópia
dos documentos. Agora José tem acesso a dados que deveriam está protegido
por Lucia. O fato é que existe um risco desta informação ser propagada com a
quebra de sigilo da funcionária responsável pela segurança da informação.
![Page 14: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/14.jpg)
Exemplo de configuração de monografia A Vez do Mestre
14
O que o engenheiro social faz é adquirir primeiro esta confiança para
depois de reforçado esse “vínculo” de amizade, possa então atacar e conseguir
as informações. Ele simula toda a teia de situações que pode vir a ocorrer no
decorrer do ataque, preparando questionários e perguntas das quais ele possa
ter que responder no ato, sem fraquejar ou demonstrar insegurança, a ponto
da vitima não ter motivo de desconfiar de algo estranho nessa conversa.
O hábito de aprendermos a observar, pensar, questionar e checar as
solicitações e de quem estão partindo é de fundamental importância para
dificultar a ação dos Engenheiros Sociais.
1.3.3 - Simplesmente pedindo
Considerada a técnica mais simples de se conseguir informação, pois
quando você tem alguma dúvida ou quer obter alguma coisa, o que se faz
naturalmente é pedir. Então nada mais prático e simples do que se dirigir
diretamente a suposta vítima.
O primeiro passo do engenheiro social é saber da linguagem de uma
empresa e de sua estrutura corporativa, bem como os departamentos ali
existentes e suas funções, Este procedimento faz parte da bagagem essencial
de truques que um “expert” bem sucedido deve ter consigo.
Após ter em mãos tais conhecimentos fica mais fácil ter a confiança da
pessoa que disponibilizará a informação.
Segundo Kevin Mitnick em sua entrevista aqui no Brasil para a
Information Week Brasil (revista especializada em assuntos tecnológicos),
existe seis características do comportamento humano que podem ser
explorados pelo engenheiro social, onde duas delas é destaque neste contexto
da técnica do ‘simplesmente pedindo’. Que são: a autoridade e o medo.
![Page 15: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/15.jpg)
Exemplo de configuração de monografia A Vez do Mestre
15
Autoridade, devido o que fora mencionado anteriormente com relação
à credibilidade. Ou seja, após ter conhecimento suficiente para demonstrar que
sabe do que esta falando e, sobretudo, aonde quer chegar, manipulando de
forma segura e convicta a situação, pressiona a vítima a dispor da informação
requisitada. Levando-se em conta também o fator conseqüente da outra
característica do comportamento humano: o medo.
1.3.4 Técnica do “Posso Ajudar ?”
Dispondo-se desta técnica do “posso ajudar?” o “atacante” com sua
habilidade nata de persuasão consegue criar um problema para você. E
aproveitando desta situação, ele, passa para a segunda fase da operação que
a de dar gentilmente assistência a sua vitima. Aí é onde mora o perigo.
Um dos pratos prediletos do engenheiro social é justamente conseguir
as informações partindo da gratidão imposta pelo favor executado. Portanto
caso alguém venha lhe fazer um favor e mais tarde vier pedir outro em troca,
não vá imediatamente retribuir, sem ao menos pensar cuidadosamente as
conseqüências daquilo que lhe pediu, possa vir a trazer no presente momento,
ou futuramente transtornos às vezes irreparáveis.
![Page 16: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/16.jpg)
Exemplo de configuração de monografia A Vez do Mestre
16
1.3.5 Técnica do “Você pode me ajudar ?”
Similar a técnica do “simplesmente pedindo”, pois se baseia no fato de
estar também solicitando uma informação. Porém existe uma pequena
diferença que a questão da utilização da dramaticidade juntamente com a
humildade pela qual o atacante faz o pedido. Este golpe é um dos mais
poderosos do Engenheiro Social, pois ele sabe que o funcionário vendo a
oportunidade de ajudar um “companheiro de trabalho”, não hesitará em
cooperar e assim fornecer a informação desejada, com isso dando recursos a
ele de atingir seu objetivo.
1.4 – A Engenharia Social na Internet
Sem sombra de dúvidas a Internet é um excelente recurso para coleta
de informações assim como para “incrementar” a finalização de um ataque de
engenharia social. Armadilhas como sites clonados, mensagens enganosas
que chegam a nosso correio eletrônico - “fakemail” (e-mails falsos) com
anexos aparentemente inofensivos, chats (bate-papos), como dissemos, são
ferramentas freqüentemente utilizadas pelo engenheiro social.
Os aparentes “programinhas inofensivos”, mas muito maldosos que
são inseridos nos computadores, na maioria das vezes por nós mesmos
persuadidos ou induzidos por alguém (engenheiro social) ou por algum motivo
(anúncios atraentes de algo que nos interessa, via e-mail) são exemplos de
transtornos que podem surgir, se não ficarmos atento e prevenidos contra
qualquer tipo do chamado “malware” - abreviação de Malicious software seja
executada dando acesso total ao seu computador, como se o atacante
estivesse sentado em frente a sua máquina usando seu teclado.
E-mails com títulos familiares podem fazer com que se acredite ser de
alguém que na verdade não é. Portanto, muita atenção ao sair abrindo anexos
![Page 17: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/17.jpg)
Exemplo de configuração de monografia A Vez do Mestre
17
e clicando em links sem o prévio cuidado necessário de segurança.
“Chorar o leite derramado” não vai fazer com que volte o tempo e
previna-se do acontecido. Lembre-se sempre: Na dúvida não faça nada! Pare,
pense e se necessário confirme a procedência de alguma forma, ao ponto de
lhe dar a firme segurança de poder abrir ou executar o que fora recebido.
Links que lhe direcionam para determinada página que na verdade
não é a original, é outro ponto a ser destacado de vital importância neste
contexto na arte de enganar. Esteja atento para onde está sendo redirecionado
o link que você clicou. Se realmente está coerente ao domínio ao qual
pertence o hiperlink acessado.
Sempre que estiver navegando, ou seja, visitando algum site, verifique
se a conexão está autenticada e criptografada. Não vá clicando diretamente
em “Sim” em nenhuma caixa de diálogo que possa indicar uma questão de
segurança, como por exemplo, um certificado digital inválido ou vencido. Muito
cuidado quanto a isso, pois um site Web que não usa um protocolo seguro,
não se convém passar informações confidenciais, tais como seu endereço,
telefone, nome, número de cartões de crédito dentre outras informações.
Quanto à segurança em relação a vírus, regra básica: ter um anti-virus
instalado. Como também se possível deixar ativado o firewall do Sistema
Operacional (no caso do Windows XP, que vem com um simples, mas que
supre a necessidade “caseira” do usuário “doméstico”), ou instalar algum
disponível facilmente na Internet. Melhor anti-virus? Aquele que esteja sempre
atualizado. Isto é: não anualmente, ou mensalmente, mas sim diariamente ou
no muito semanalmente.
Completamente seguro, com certeza ninguém está. Mas dificultar a
entrada de vírus, trojans dentre outros inconvenientes, isso não só pode como
![Page 18: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/18.jpg)
Exemplo de configuração de monografia A Vez do Mestre
18
deve ser feito se quiser preservar ao menos um pouco da privacidade de seus
dados que julga ser confidencial.
A Symantec também dá algumas orientações relevantes a esse
contexto (SYMANTEC, 1995):
• Estabeleça uma política de utilização da Internet. Permita que os
funcionários conheçam as regras da empresa a respeito do uso
pessoal do e-mail e da Internet. Desenvolver políticas de utilização
da Internet ajudará também os gerentes de TI a configurar e
monitorar soluções de segurança da rede com maior eficiência;
• Utilize uma tecnologia que permita uma verificação de conteúdo
impróprio nos e-mails e anote as atividades da Internet que
estejam fora dos parâmetros determinados pela gerência;
• Jurídicos afirmam que monitorar os conteúdos dos e-mails e
Internet utilizada pelos funcionários ajuda a proteger a empresa no
caso de um processo legal. Tenha uma política e uma solução de
monitoramento de conteúdos para mostrar seus esforços em
resguardar os funcionários de ataques, por exemplo;
• Treine seus usuários para que eles saibam quando e como fazer
download das mais recentes atualizações dos antivírus, bem como
reconhecer um possível vírus. Ensine-os a fazer uma verificação
nos documentos antes de abri-los;
• Atualize o antivírus, de modo a evitar as brechas de segurança
conhecidas dos softwares reduzindo assim as chances de uma
entrada de vírus pelas páginas da Web ou por e-mail;
• Desenvolva uma política para senhas, requisitando freqüentes
mudanças nas mesmas e educando os usuários nas táticas e
![Page 19: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/19.jpg)
Exemplo de configuração de monografia A Vez do Mestre
19
engenharia social. Reforcem que eles nunca devem informar suas
senhas. Softwares para descobrir estes códigos estão disponíveis
e ajudam a encontrar senhas fracas de usuários na sua rede. De
qualquer modo, o software não protegerá a companhia contra o
comportamento descuidado de um usuário. Muitas vezes, educar
os funcionários é o suficiente;
• Determine a necessidade de cada funcionário de acessar
informações delicadas, e restrinja o acesso somente para o que for
necessário a cada função na empresa;
• Informe os funcionários sobre os perigos de fazer download de
softwares e protetores de tela gratuitos;
O Hacker pode ser considerado o primo longe do engenheiro social.
Nem todo engenheiro social é um Hacker, mas em alguns casos ele chega a
ser um engenheiro social, com condutas semelhantes à captura de
informações. Pois age de forma a explorar muito mais as vulnerabilidades
técnicas, enquanto o engenheiro social as fraquezas humanas.
1.4.1 “Internet Banking”
Com o advento da Internet, muita coisa mudou e melhorou. E a
evolução da Internet inserida aos bancos, ao qual, atividades antes ditas
extremamente cansativas, como ficar em uma fila para tão somente tirar um
extrato ou fazer uma transferência, agora não mais é necessário.
Os perigos existem tanto nas compras on-line e transações bancárias
via Internet mediante a disponibilização dos números do cartão de crédito
como também na utilização do cartão em aeroportos, restaurantes, postos de
gasolina etc.
![Page 20: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/20.jpg)
Exemplo de configuração de monografia A Vez do Mestre
20
O fato é que, hoje em dia, é quase impossível para um consumidor
médio não realizar aplicações chamadas críticas de segurança via web. Seja
uma compra num site 'seguro', em transferências de fundos para fornecedores,
ou pagamento de última hora. Boa parte deste hábito foi proporcionada pelos
próprios bancos, que oferecem um leque cada vez maior de serviços via
internet, para que o usuário faça a maioria das transações bancárias sem sair
do seu ambiente.
Também cresce e se sofistica a oferta de softwares de segurança,
antivírus, firewalls etc. para que as máquinas dos usuários fiquem cada vez
mais seguras. Mas isso parece não ser suficiente, nem mesmo para grandes
portais. Um exemplo é que nos primeiros dias deste ano (5 de janeiro), o big
portal Twitter foi invadido por um Hacker que violou as contas do novo
presidente dos EUA, Barak Obama, e da cantora Britney Spears, segundo
reportou a Folha de São Paulo. O ataque se deu através de uma operação
muito simples e comum - o pedido de reenvio de senha e login para o e-mail,
num site com acesso seguro.
Segundo o Ibope/NetRatings, no mês de julho de 2009, 36,4 milhões
de pessoas usaram a internet no trabalho ou em residências, o que significa
um crescimento de 10% sobre os 33,2 milhões registrados no mês de junho. O
tempo médio de uso continuou crescendo e atingiu as marcas de 71 horas e
30 minutos de tempo total, incluindo aplicativos, e de 48 horas e 26 minutos,
considerando somente navegação em páginas. O número de pessoas com
acesso à internet em casa ou no trabalho é de 44,5 milhões.
De acordo com a revista Veja, no Brasil, o volume de notificações
relacionadas a fraudes, furtos, vírus destruidores, invasões e tentativas de
invasão de computador quadruplicaram em cinco.
![Page 21: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/21.jpg)
Exemplo de configuração de monografia A Vez do Mestre
21
No ranking dos crimes eletrônicos que mais crescem o que atenta
contra o patrimônio ocupa o primeiro lugar: só os programas destinados a
invadir contas bancárias infectam 195 computadores por hora no país.
De acordo com o CAIS - Centro de Atendimento a Incidentes de
Segurança; dentre as principais condutas que todo usuário de Internet banking
deve ter seriam (REDE NACIONAL DE ENSINO E PESQUISAS (RNP) 2004):
• Manter bem guardadas e seguras as senhas bancárias, seguindo
as recomendações de seu banco;
• Não fornecer detalhes de conta bancária inclusive senhas a
terceiros quando abordados por qualquer meio, seja pessoalmente,
telefone ou e-mail;
• Usar senhas fortes e não triviais, trocar as senhas com frequência,
seguindo as normas e recomendações de seu banco;
• Ao acessar o site de seu banco, dedicar algum tempo para verificar
a página, propagandas e dados solicitados, em busca de algo
suspeito. Fique atento em verificar se o endereço mostrado pelo
navegador corresponde ao acessado: ex.: www.banco.com.br;.
• Ficar de olho nos comunicados oficiais do seu banco. Alguns
bancos têm destacado nos seus sites, mensagens de advertência
sobre recentes tentativas de fraude;
• Ao ser alvo de situações suspeitas (e-mails do banco, contatos
telefônicos solicitando senha ou conta bancária, erros consecutivos
no acesso ao site do banco), notificar o ocorrido ao serviço de
suporte ao usuário do respectivo banco;
![Page 22: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/22.jpg)
Exemplo de configuração de monografia A Vez do Mestre
22
• Manter sempre atualizado o navegador utilizado, por exemplo,
Netscape e Internet Explorer;
• Verificar o certificado digital do site do banco, confirmando se
este foi realmente emitido para o referido banco e seu prazo
de validade. Recomenda-se também ficar atento às mensagens
emitidas pelo seu navegador, verificando se este reconheceu a
autoridade certificadora que emitiu o certificado ao site que você
está acessando;
• Não descartar automaticamente as mensagens de aviso
geradas pelo navegador em relação a certificados digitais e
páginas criptografadas. A prática recomendada é ler atentamente
tais mensagens e em caso de dúvidas interromper o processo,
consultando o serviço de suporte ao usuário do banco
.
![Page 23: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/23.jpg)
Exemplo de configuração de monografia A Vez do Mestre
23
1.5. Pontos fracos explorados pelo Engenheiro Social
Se todo funcionário fosse tão questionador como uma criança,
demonstrando interesse nos mínimos detalhes, ouvindo mais, estando
fortemente antenado a tudo a sua volta, e fazendo o uso dos poderosos
“porquês”, com certeza as empresas transformariam os frágeis cadeados
em legítimos dispositivos bloqueadores de segurança da informação. Porém é
claro que se deve ter cuidado ao responder aos “porquês”, pois funcionários
insatisfeitos ou mal intencionados podem utilizar as respostas para fins
pessoais. É preciso avaliar as intenções de quem está questionando.
Segundo Kevin D Mitnick:
“Quando um engenheiro social sabe como as coisas
funcionam dentro da empresa-alvo, ele pode usar esse
conhecimento para desenvolver a confiança junto aos
empregados. As empresas precisam estar preparadas
para os ataques da engenharia social vindos de
empregados atuais ou ex-empregados, que podem ter um
motivo de descontentamento. As verificações de histórico
podem ser úteis para detectar os candidatos ao emprego
que tenham uma propensão para esse tipo de
comportamento. Mas, na maioria dos casos, é difícil
detectar essas pessoas. A única segurança razoável
nesses casos é implantar e auditar os procedimentos de
verificação de identidade, incluindo o status de emprego
da pessoa, antes de divulgar qualquer informação para
qualquer um que não se conheça
pessoalmente e, portanto, não se sabe se ainda está na
empresa”. (MITNICK, 2003)
![Page 24: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/24.jpg)
Exemplo de configuração de monografia A Vez do Mestre
24
Resumindo: O Engenheiro Social trabalha como ninguém os pontos
relativos psicologia humana. Explora sentimentos como o medo e a
insegurança da vítima, utiliza-se também a simpatia para conseguir convencer,
ou até mesmo a culpa, como forma de se pensar “A coitadinho dele, eu já
passei por isso também” ou “realmente é difícil ou constrangedora a situação
dele”. Assim também como foram de intimidação, proporcionando o medo ou a
insegurança de que se não fornecer aquela informação naquele momento, terá
a sensação que poderá se comprometer gravemente em seu emprego,
especificamente com seus superiores.
É típico do usuário, não ter a concreta noção de que se ele está
trabalhado como um computador, e nesta máquina se guardam documentos,
texto, planilhas, slides e todo tipo de arquivo importante de seu setor, fica mais
do que nunca sujeito a dispor facilmente dessas informações se não tiver o
costume de perceber quão é importante àquilo que guarda em sua máquina. O
engenheiro social explora precisamente o funcionário desatento com seus
dados; ou seja, que tem pouca compreensão de como são valiosas as
informações que ele pode fornecer a um estranho.
Segundo Kevin D Mitnick:
“É incrível como é fácil para um engenheiro social
convencer as pessoas a fazerem as coisas com base no
medo como ele estrutura a solicitação. A tese é acionar
uma resposta automática como base nos princípios
psicológicos e utilizar os atalhos mentais que as
pessoas usam quando percebem que o interlocutor é um
aliado”. (MITNICK, 2003)
Portanto o prévio conhecimento de quem estará recebendo a
informação é imprescindível. A conferência seja de forma pessoal ou de
![Page 25: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/25.jpg)
Exemplo de configuração de monografia A Vez do Mestre
25
diferentes níveis de autenticação para disponibilização da informação dever ser
levada a sério.
Segundo Kevin D Mitnick:
“As pessoas manipuladoras em geral têm personalidades
muito atraentes. Elas são rápidas e bem articuladas.
Os engenheiros sociais também são habilidosos para
distrair os processos de pensamento das pessoas para
que elas cooperem. Pensar que determinada pessoa
não é vulnerável a essa manipulação é
subestimar a habilidade e o instinto mortal do engenheiro
social. Um bom engenheiro social, por sua vez, nunca
subestima o seu adversário”.(MITNICK, 2003),
![Page 26: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/26.jpg)
Exemplo de configuração de monografia A Vez do Mestre
26
CAPÍTULO II
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
DEFINIÇÃO
Segundo a norma NBR ISO/IEC 17799:2005, segurança da informação
é a proteção da informação contra vários tipos de ameaças de forma a
assegurar a continuidade do negócio, minimizando danos comerciais e
maximizando o retorno sobre investimentos e oportunidades de negócios.
Gestão de Segurança da Informação é o resultado da aplicação
planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, definem como são reduzidos
os riscos em favor da segurança da informação.
2.1 - Atributos Básicos da Segurança
A segurança da informação, também segundo a NBR ISO/IEC
17799:2005, é caracterizada pela preservação dos três atributos básicos da
informação: confidencialidade, integridade e disponibilidade
• Confidencialidade: Princípio que trata sobre a disponibilidade de
informações à apenas pessoas autorizadas. Controles devem ser
criados para garantir que o acesso a informação seja sempre
restrito àquelas pessoas que necessitam efetivamente tê-los.
Muitos crimes cibernéticos acontecem através da quebra da
confidencialidade e do roubo da informação.
Podem-se considerar dois momentos distintos desse princípio: ser
![Page 27: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/27.jpg)
Exemplo de configuração de monografia A Vez do Mestre
27
confidencial e manter-se confidencial.
A informação, para ser confidencial, deve ter uma classificação que
determine as medidas de segurança necessárias quando ela estiver
sendo tratada. Manter-se confidencial significa que o meio utilizado
para tratar a informação permite proteção adequada;
• Integridade: propriedade que garante que a informação manipulada
mantenha todas as características originais estabelecidas pelo
proprietário da informação, incluindo controle de mudanças e
garantia do seu ciclo de vida (nascimento, manutenção e
destruição);
• Disponibilidade: propriedade que trata sobre prevenir que a
informação ou o recurso de informação esteja indisponível, quando
requerida pelo cliente, pelo órgão regulador ou mesmo pela própria
instituição. Aplica-se não só à informação, mas, também, aos
canais eletrônicos, equipamentos de uma rede e outros elementos
da infra-estrutura tecnológica.
Não conseguir acesso a um recurso de informação desejado é
chamado de Denial of Service, técnica muito utilizada pelos Hacker.
Os ataques intencionais contra infra-estrutura tecnológica podem
ter finalidade de tornar os dados indisponíveis, assim como de
roubar a informação;
2.2 - Diferenciando Ameaça de Vulnerabilidade
![Page 28: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/28.jpg)
Exemplo de configuração de monografia A Vez do Mestre
28
Vulnerabilidade é a estimativa da possibilidade de sofrer uma ameaça,
baseada no levantamento técnico dos fatores internos que podem facilitar a
ocorrência. A existência da vulnerabilidade no sistema permite a ação dos
agentes externos. Já a ameaça é um agente ou ação, espontâneo ou
proposital, que se aproveita das vulnerabilidades de um sistema para
conseguir seu intento.
Quando há uma vulnerabilidade e uma ameaça simultaneamente,
ocorre o que se chama, em segurança da informação, um RISCO.
“Risco é o produto vulnerabilidade X ameaça”.
O objetivo das contramedidas preventivas é minimizar o risco. Isso se
consegue ou diminuindo as vulnerabilidades (instalar antivírus, atualizar as
versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças
(seguir regras de segurança, cultivar boas relações) .
2.3 - Riscos de Segurança
O mundo em que vivemos está em constante transformação.
Infelizmente não sabemos quanto dessas mudanças nos afetarão. A medida
que conseguimos entender a dinâmica dos riscos, suas conseqüências e
impactos e também as causas de sua concretização, menos estaremos
expostos. Devemos estar conscientes que muitos riscos são inerentes aos
negócios e está associado às leis da probabilidade, portanto a seleção de
quais riscos a empresa deve tratar reside à competência do gestor de riscos.
A natureza humana interpreta o risco mais por seu lado negativo,
porém ao determinar o risco, avaliá-lo devidamente e principalmente bem
administrá-lo, pode ensejar decisões cautelares apropriadas e,
conseqüentemente, traduzir efeitos positivos.
![Page 29: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/29.jpg)
Exemplo de configuração de monografia A Vez do Mestre
29
O risco operacional pode ser definido como uma medida numérica da
incerteza dos retornos de uma empresa caso seus sistemas, práticas e
medidas de controle não sejam capazes de resistir a falhas humanas, danos à
infra-estrutura de suporte, utilização indevida de modelos matemáticos ou
produtos, alterações no ambiente dos negócios, ou a situações adversas de
mercado.
2.3.1 - Segurança é Administrar Riscos
O Security Officer é o responsável pelo estudo das possibilidades para
cada situação e etapas a serem impostas, na defesa das estratégias de
análise dos riscos.
Uma das ferramentas utilizadas por este agente para sua avaliação é o
Plano Diretor de Segurança Empresarial (PDSE), documento que tem como
finalidade levantar quais são os riscos corporativos, que podem, em caso de
concretização, impactar as metas definidas pela empresa, minimizando as
ameaças e maximizando as oportunidades de mercado, tratando da melhor
forma os riscos que comprometam a reação rápida da empresa e por sua vez
sua respectiva vantagem competitiva.
Como cada caso é um caso, e em detrimento ao que será
implementado como processo para cada empresa. Entende-se então que
não existe uma formula para ser aplicada em todas as empresas e sim
planos individualizados conforme a necessidade de cada uma.
Levando-se em conta a o que foi dito, não entraremos especificamente
em detalhes sobre cada processo. Portanto será mencionado cada um dos
tópicos como uma visão “top-down”; sabendo-se da grande importância que
existe para o Security Officer de aplicar tais processos, cada um com suas
particularidades: (SÊMOLA,2003)
![Page 30: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/30.jpg)
Exemplo de configuração de monografia A Vez do Mestre
30
• Solução Corporativa de Segurança da Informação;
• Plano Diretor de Segurança;
• Plano de Continuidade de Negócios;
• Política de Segurança da Informação;
• Análise de Riscos e Vulnerabilidades;
• Testes de Invasão;
• Implementação de Controles de Segurança;
• Treinamento e Sensibilização em Segurança;
• Equipe para Resposta a Incidentes;
• Administração e Monitoração de Segurança.
.
![Page 31: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/31.jpg)
Exemplo de configuração de monografia A Vez do Mestre
31
CAPÍTULO III
GESTOR DE SEGURANÇA DA INFORMAÇÃO
DEFINIÇÃO
O Gestor de Segurança da Informação, aqui tratado como Chief
Security Officer (CSO) é o elemento principal dentro de uma organização,
quando refere-se a Gestão de Segurança da Informação (GSI). É ele que tem
por responsabilidade adequar o nível de segurança e de controle da
organização, possibilitando o atendimento do fluxo do negócio dentro de um
ambiente que gera oportunidades, mas também ameaças.
Diante deste desafio, este profissional precisa estar verticalizado às
funções associadas, sem compartilhar o mesmo foco, e sendo assim não
basta um perfil tecnológico aguçado. Compete a ele ser um “especialista”, com
visão completa e horizontal da segurança da informação dentro de sólidos
conceitos, além de possuir fundamentos em gestão de projetos, coordenação
de equipes e liderança e, alimentar com maestria os relacionamentos
interpessoais com o objetivo da conquista do comprometimento.
O principal fator de sucesso desse profissional é baseado na
manutenção do alinhamento e do foco nas características e necessidades do
negócio, e para tal empreitada deve ser profundo conhecedor dessas
necessidades, para que possa constantemente ajustar seu plano de ação às
premissas e definições estratégicas. Como: acompanhar as mudanças
culturais da empresa; identificar, no mercado, profissionais preparados;
organizar as demandas de segurança do negócio; e gerenciar mudanças
físicas, tecnológicas e humanas.
![Page 32: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/32.jpg)
Exemplo de configuração de monografia A Vez do Mestre
32
3.1 - Perfil do Gestor de Segurança da Informação
Com a aceleração do mercado tecnológico, e o crescimento do número
de informações circulando virtualmente e fisicamente, viu-se a necessidade de
reorganizar a área de TI, pois os gestores estavam mais voltados para o
acompanhamento das mudanças tecnológicas do que com a segurança da
própria informação. Dai surgiu à idéia de se criar e investir numa nova equipe
dentro da empresa que organizasse e coordenasse as iniciativas em
Segurança da Informação. Essas foram algumas das necessidades que
influenciaram na criação da função do Gestor da Segurança da Informação ou
Chief Security Officer, para gerenciar esta área.
Este novo profissional deveria ter conhecimento abrangente de todo
negócio e ser conhecedor profundo da área de segurança, pois assim teria
condições para desenhar a estratégia de Segurança da Informação de maneira
competente, instituindo políticas e escolhendo as medidas apropriadas para as
necessidades de negócios, sem impactar na produtividade da empresa. Para
que todo este trabalho ocorresse de encontro aos objetivos da companhia, ele
precisaria estabelecer critérios que visassem: (INTEL)
• Desenvolver e executar políticas, padrões e guias gerais para o
pessoal, para segurança de dados, recuperação de desastre e
continuidade de negócios;
• Supervisionar o contínuo monitoramento e proteção da infra-
estrutura, os recursos necessários de processos que envolvam
pessoas ou dados, avaliando possíveis brechas de segurança e
recomendar as correções necessárias;
• Negociar e gerenciar “service-level agreements (SLAs)” com
fornecedores externos de serviços de proteção.
![Page 33: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/33.jpg)
Exemplo de configuração de monografia A Vez do Mestre
33
Para atender aos requisitos de segurança lógica e física de redes
globais cada vez mais complexas e vulneráveis, o perfil do gestor de
segurança evoluiu muito. Por um lado, o cenário apresenta ameaças
crescentes e cada vez mais fatais, Hackers, vírus, ataques terroristas,
enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade
tecnológica crescem também e aumentam as atribuições e as habilidades
necessárias para exercer a função de Chief Security Officer (CSO). Hoje, as
qualificações que costumam ser exigidas para este cargo são: (INTEL)
• Habilidades em questões de segurança física;
• Familiaridade com a linguagem e os dilemas próprios da TI ;
• Experiência em segurança é um destaque, se seguida também por
conhecimento e visão estratégica na gestão de negócios:
• Facilidade de comunicação, para ter a desenvoltura necessária
para fazer a interface tanto na esfera de decisão quanto nos
diversos setores e níveis culturais dentro da companhia;
• Capacidade de liderança e de gerenciamento de equipes para
atingir uma atuação bem-sucedida em qualquer corporação;
• Ter conhecimentos maduros sobre questões como autenticação,
auditoria, preservação da cena do crime real ou virtual, e
gerenciamento de risco;
É comum, o gestor de segurança possui formação em Ciências da
Computação, Engenharia ou Auditoria de Sistemas. Especialistas em carreira
recomendam que o CSO tenha atuação independente e não se reporta ao
Chefe do departamento de Informação aqui tratado como “Chief Information
Officer – CIO”, mas diretamente à diretoria ou à presidência.
![Page 34: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/34.jpg)
Exemplo de configuração de monografia A Vez do Mestre
34
3.2 - Engenheiro Social x Gestor de Segurança
“A segurança não é um produto, mas um processo. Você
não pode simplesmente incluí-la em um sistema após
um fato... Soluções perfeitas não são exigidas, mas
sistemas que possam ser totalmente invadidos são
inaceitáveis”. (SCHNEIER, 2004)
Segundo Mário César Peixoto [10], o Security Officer não deixa de ser
um hacker do bem, devido a ter que conhecer suas técnicas, seu modo de
agir, enfim, o perfil com atitudes e suspeitas de que esteja se deparando com
um ataque da engenharia social, caso este suposto engenheiro social esteja
realmente aplicando suas habilidades por um propósito maléfico.
O Security Officer utiliza técnicas e ferramentas que muitas vezes o
engenheiro social mal intencionado aplica, para detectar, demonstrar e
descobrir as fragilidades existentes (ou o chamado elo mais fraco) dentro da
organização e poder assim tomar medidas aplicáveis a evitar ou dificultar o que
antes era um ponto de vulnerabilidade.
Contudo, infelizmente, existe não somente o lado da curiosidade
impetuosa ou "vontade de descobrir o que não pode", mas sim o lado da
maldade, do rancor e até mesmo da vingança, que o ser humano carrega
consigo transpondo as barreiras do bom senso, da responsabilidade e,
sobretudo, a do respeito, fazendo com que tais habilidades sejam utilizadas na
"arte de enganar" pessoas.
3.3 - Como evitar ou dificultar a entrega de informações
![Page 35: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/35.jpg)
Exemplo de configuração de monografia A Vez do Mestre
35
A prevenção não é uma tarefa muito fácil. A maioria das empresas não
direciona recursos financeiros nem humanos para tal. No entanto, investe na
manutenção de sistemas e em novas tecnologias, ao invés de aplicar parte
desse dinheiro para combater um inimigo que pode ser bem mais perigoso, a
engenharia social. A ameaça deste inimigo é real, tanto quanto as falhas em
uma rede.
Os seres humanos são seres imperfeitos de múltiplas faces. As
situações de risco modificam seus comportamentos e decisões, pois são
baseadas normalmente no lado emocional que quando não administradas
corretamente podem criar embaraços.
A Symantec Corporation (Nasdaq: SYMC) e o Instituto Ponemon, uma
empresa de pesquisa líder em gerenciamento de informação e privacidade,
anunciaram os resultados de uma pesquisa conjunta, realizada com
trabalhadores que perderam ou deixaram seus empregos em 2008 e que
revelou que 59% dos ex-funcionários admitem ter roubado informações
confidenciais da empresa, como listas de contatos.
Os resultados também demonstraram que se as empresas onde os
participantes trabalhavam tivessem implementado melhores políticas e
tecnologias para prevenir a perda de dados, muitos desses roubos de dados
poderiam ter sido evitados. Dos participantes que admitiram ter levado dados
da empresa, 61% também relataram ter uma visão desfavorável de seu antigo
empregador.
Segundo a Symantec os tipos de dados mais comumente levados
pelos ex-funcionários incluem listas de e-mail, dados de outros colaboradores e
informações de clientes, incluindo listas de contatos e informações não-
financeiras. Apesar dos participantes da pesquisa estar divididos entre
inúmeras segmentos de atuação, o mais alto percentual de participantes da
![Page 36: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/36.jpg)
Exemplo de configuração de monografia A Vez do Mestre
36
pesquisa foi da indústria de serviços financeiros. Outros resultados da
pesquisa:
• 53% dos participantes copiaram informações em um CD ou DVD,
42% em drive USB e 38% enviou arquivos anexados para sua
conta pessoal de e-mail;
• 79% dos participantes levaram os dados sem a autorização do
empregador;
• 82% dos participantes afirmaram que seu empregador não realizou
uma auditoria ou uma revisão dos papéis ou documentos
eletrônicos antes que ele/ela deixasse o emprego;
• 24% dos participantes tiveram acesso ao sistema ou rede de
computadores do empregador após a saída da empresa.
O Instituto Ponemon realizou a pesquisa via internet em janeiro de 2009
e teve a participação de cerca de 1000 participantes dos Estados
Unidos que deixaram o emprego nos últimos 12 meses.
Declarações
“A perda de dados durante a demissão de funcionários pode ser prevenida.
Podemos evitar que funcionários enviem conteúdo sensível para contas
pessoais de Webmail ou o copiem para drives USB”, declarou Rob Greer,
diretor sênior de gerenciamento de soluções para a Prevenção da Perda de
Dados da Symantec.
“As empresas precisam implementar tecnologias para a prevenção de
perda de dados para saber exatamente quais dados sensíveis possuem, como
![Page 37: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/37.jpg)
Exemplo de configuração de monografia A Vez do Mestre
37
eles estão sendo usados e para prevenir que eles sejam copiados ou enviados
para fora da empresa”.
“As descobertas da pesquisa devem soar o alarme para todas as indústrias:
seus dados sensíveis estão saindo pela porta da frente da empresa com os
seus funcionários. Mesmo que demissões não sejam iminentes, as empresas
precisam ter mais consciência de quem possui acesso a informações
empresariais sensíveis”, declarou Larry Ponemon, chairman e fundador do
Instituto Ponemon LLC. “A nossa pesquisa sugere que grande parte da perda
de dados possa ser prevenida por meio do uso de políticas claras, melhor
comunicação com os funcionários e controles adequados para o acesso aos
dados”.
Em função desses fatores, sempre existirão brechas em seu caráter
ou comportamento pouco consciente com relação à segurança, onde a
engenharia social poderá ser plenamente eficaz.
Para amenizar estes riscos, é recomendável que as empresas criem
políticas de segurança centralizada e bem divulgada, para que todos os seus
colaboradores saibam como proteger a si mesmo e as informações que estão
em seu poder, evitando com isso o risco dos funcionários se acomodarem na
rotina diária passando a descuidar da segurança da informação. A intranet
pode ser um recurso valioso para esta divulgação, assim como boletins
periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de
senha e treinamento.
O treinamento deve estender-se por toda a empresa isto é: Diretores,
gerentes, supervisores, e demais funcionários, que devem ser orientados para
eficácia da missão.
Nestes treinamentos devem ser exploradas as táticas comuns de
intromissão e as estratégias de prevenção. Quando alguém captar sinais de
![Page 38: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/38.jpg)
Exemplo de configuração de monografia A Vez do Mestre
38
um ataque, deve imediatamente alertar os demais, para que não sejam
também abordados.
Seguem medidas importantes que podem ajudar a evitar o repasse das
informações de maneira incorreta. (SYMANTEC)
• Estabeleça política de utilização da Internet e regras a respeito
do uso pessoal do e-mail. Isto ajudará também os gerentes de TI
a configurar e monitorar soluções de segurança da rede com
maior eficiência. Determine a necessidade de cada funcionário
acessar informações especificas, e restrinja o acesso somente
para o que for necessário a cada função na empresa;
• Utilize recursos que permitam a verificação de conteúdo impróprio
nos e-mails ou em outras atividades da Internet que estejam
fora dos parâmetros determinados pela Companhia, dificultando
a entrada de virus no sistema. Informe os funcionários sobre os
perigos de fazer download de softwares ou outros arquivos
gratuitos;
• Atualize o antivírus, de modo a evitar as brechas de segurança
conhecidas dos softwares reduzindo assim as chances de uma
entrada de vírus pelas páginas da Web ou por e-mail;
• Desenvolva uma política para senhas, requisitando freqüentes
mudanças nas mesmas. Isto só será eficaz se os funcionários
foram treinados para o sigilo das senhas;
• Classifique todas as informações confidenciais com base no grau
de importância;
![Page 39: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/39.jpg)
Exemplo de configuração de monografia A Vez do Mestre
39
• Estabeleça procedimentos em toda a empresa para descartar
as informações confidenciais;
• Insista para que todas as informações confidenciais descartadas
sejam passadas pela máquina cortadora de papel. As máquinas
não devem ser muito baratas, as quais resultam em tiras de
papel que podem ser montadas novamente por um atacante
determinado e com paciência. Elas devem ser do tipo que fazem
cortes cruzados ou que transforma a saída em polpa inútil;
• Estabeleça um modo de inutilizar ou apagar completamente
a mídia de computador (disquetes, discos Zip, CDs, e DVDs
usados para armazenar arquivos, fitas removíveis ou unidades
de disco rígido antigas e outras mídias de computador) antes de
descartá-la. Lembre-se de que os arquivos apagados não são
realmente removidos; eles ainda podem ser recuperados. Jogar
simplesmente no lixo é um convite para “vira-latas” de plantão;
• Mantenha um nível de controle apropriado sobre a seleção das
pessoas da sua equipe de limpeza usando a verificação de
antecedentes;
• Usar contêineres separados para material confidencial e fazer
com que os materiais dispensados sejam manuseados por uma
empresa especializada nesse trabalho. Estes contêineres
deverão se trancados.
![Page 40: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/40.jpg)
Exemplo de configuração de monografia A Vez do Mestre
40
CAPÍTULO IV
GESTÃO DE RISCO
DEFINIÇÃO
A gestão de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em
toda a organização eventos em potencial, capazes de afetá-la, e administrar os
riscos de modo a mantê-los compatível com o apetite a risco da organização e
possibilitar garantia razoável do cumprimento dos seus objetivos. Essa
definição reflete certos conceitos fundamentais. Tais como: (BRASILIANO)
• Um processo contínuo e que flui através da organização;
• Aplicado em toda organização e conduzido pelos profissionais em
todos os níveis da organização;
• Usado à definição das estratégias, inclui a formação de uma
visão de portfólio de todos os riscos a que empresa está exposta;
• Formulado para identificar eventos em potencial, cuja ocorrência
poderá afetar a organização, e para administrar os riscos de
acordo com seu apetite a risco;
• Capaz de propiciar garantia razoável para o conselho de
administração e a diretoria executiva de uma organização;
• Orientado para a realização de objetivos em uma ou mais
categorias distintas, mas dependentes.
![Page 41: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/41.jpg)
Exemplo de configuração de monografia A Vez do Mestre
41
.Essa definição é ampla e adota conceitos fundamentais sobre a
forma como as empresas e outras organizações administram riscos,
possibilitando uma base para sua aplicação em organizações, indústrias e
setores. O gerenciamento de riscos corporativos orienta seu enfoque
diretamente para o cumprimento dos objetivos estabelecidos por uma
organização específica e fornece parâmetros para definir a eficácia desse
gerenciamento de riscos.
“Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer
como resultado das decisões exigidas por toda a organização.”
4.1. - Componentes da Gestão de Riscos Corporativos
O gerenciamento de riscos corporativos é constituído de oito
componentes inter-relacionados, pela qual a administração gerência a
organização, e estão integrados com o processo de gestão. Esses
componentes são: (BRASILIANO,2009)
• O ambiente interno - compreende o tom de uma organização e
fornece a base pela qual os riscos são identificados e abordados
pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos,
o apetite a risco, a integridade e os valores éticos, além do
ambiente em que estes estão.
• Fixação dos Objetivos: os objetivos devem existir antes que a
administração possa identificar os eventos em potencial que
poderão afetar a sua realização. O gerenciamento de riscos
corporativos assegura que a administração disponha de um
processo implementado para estabelecer os objetivos que
![Page 42: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/42.jpg)
Exemplo de configuração de monografia A Vez do Mestre
42
propiciem suporte e estejam alinhados com a missão da
organização e sejam compatíveis com o seu apetite a riscos.
• Identificação de Eventos: os eventos internos e externos que
influenciam o cumprimento dos objetivos de uma organização
devem ser identificados e classificados entre riscos e
oportunidades. Essas oportunidades são canalizadas para os
processos de estabelecimento de estratégias da administração ou
de seus objetivos.
• Avaliação de riscos: os riscos são analisados, considerando-se a
sua probabilidade e o impacto como base para determinar o
modo pelo qual deverão ser administrados. Esses riscos são
avaliados quanto à sua condição de inerentes e residuais.
• Resposta a Risco: a administração escolhe as respostas aos
riscos - evitando, aceitando, reduzindo ou compartilhando -
desenvolvendo uma série de medidas para alinhar os riscos com
a tolerância e com o apetite a risco.
• Atividades de Controle: políticas e procedimentos são elaborados
e implementados para assegurar que as respostas aos riscos
sejam executadas com eficácia.
• Atividades de Controle: as informações relevantes são
identificadas, colhidas e comunicadas de forma e no prazo que
permitam que cumpram suas responsabilidades. A comunicação
eficaz também ocorre em um sentido mais amplo, fluindo em
todos níveis da organização.
• Monitoramento: a integridade da gestão de riscos corporativos é
monitorada e são feitas as modificações necessárias. O
![Page 43: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/43.jpg)
Exemplo de configuração de monografia A Vez do Mestre
43
monitoramento é realizado através de atividades gerenciais
contínuas ou avaliações independentes ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos não é um processo em
série pelo qual um componente afeta apenas o próximo. É um processo
multidirecional e interativo segundo o qual quase todos os componentes
influenciam os outros.
4.2 - Perspectivas dos riscos nas empresas
Hoje com a oscilação do mercado mundial, em função das constante
mudanças econômicas, ambientais, sociais, tecnológicas etc., colocando a
estabilidade dos negócios em risco. Sobreviver aos danos causados por este
impacto é a principal razão para que qualquer empresa, através de seu gestor,
programe um Plano de Continuidade de Negócios.
Podemos definir ‘Plano de Continuidade de Negócios’ (PCN) como o
planejamento e a realização de ações que têm como objetivo assegurar a
continuidade das operações dos processos de negócio da empresa, na
eventualidade de uma indisponibilidade prolongada dos recursos que dão
suporte à realização dessas operações.
4.2.1 - Riscos como fator de perigo ou ameaça
O risco pode ser considerado o produto do perigo (evento físico e seu
impacto) em conjunto com a vulnerabilidade (susceptibilidade ao perigo ou à
perda). Vejamos a diferença entre risco e perigo.
O risco, definido tecnicamente, tem a implicação adicional de que há
uma possibilidade de que um perigo real pode acontecer. O perigo é definido
como "... situação em que está ameaçada a existência ou integridade de uma
![Page 44: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/44.jpg)
Exemplo de configuração de monografia A Vez do Mestre
44
pessoa ou de uma coisa;" e risco como "... a probabilidade da ocorrência do
perigo"
A avaliação do risco não pode estar dissociada dos valores e dos
julgamentos, que são condicionados por sua vez pelas crenças e pelas
circunstâncias individuais. Muitas pessoas tomam decisões e agem em relação
aos perigos que enfrentam baseadas em sua visão pessoal do risco, em vez
de usar uma medida objetiva do perigo. Conseqüentemente, as percepções de
risco devem também ser consideradas como um componente importante para
o planejamento de estratégia para a administração de risco, juntamente com
medidas objetivas de avaliação desses processos. Geralmente, há uma
distinção entre os perigos reais e os percebidos, principalmente porque as
pessoas observam os riscos diferentemente das predições feitas baseadas nos
modelos de avaliação objetiva.
A percepção do perigo está relacionada aos desastres e é influenciada
por um grupo dos fatores inter-relacionados que incluem experiências
passadas, atitudes atuais em relação ao evento, personalidade e valores,
juntos com as expectativas futuras. Um fator importante é a experiência
passada com o evento. Os desastres, os quais as pessoas não estão
familiarizadas, têm o potencial de causar comprometimento psicológico maior..
4.2.2 - Riscos como fator de incerteza
Um dos fatores que podem complicar uma tomada de decisão racional
é a incerteza. A maior parte das decisões, sobretudo as mais importantes, é
tomada com base em algum tipo de previsão, o que, por si só, já coloca o fator
incerteza no processo de decisão. Mesmo que o problema não exija.
O fato mais difícil, numa análise de risco, é justamente a estimativa
das probabilidades. Ela é, desta forma, uma medida de incerteza. Assim,
mesmo que o problema seja novo para o gestor, ele sempre terá informações
![Page 45: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/45.jpg)
Exemplo de configuração de monografia A Vez do Mestre
45
a respeito (sem informação alguma o problema fica realmente difícil), que lhe
dão certa sensibilidade acerca da incerteza dos fatores envolvidos.
Todas as organizações enfrentam incertezas, e o desafio de sua
administração é determinar o nível de risco que a empresa está preparada
para suportar, na medida em que se empenha para crescer. Com um pouco de
esforço de imaginação, o gestor pode quantificar o grau de certeza (ou
incerteza) que em sobre cada fator. Com isso, estará definindo, em termos
numéricos, a probabilidade de ocorrência do fator que ele acha razoável.
4.2.3 - Riscos como fator de oportunidade
Os eventos podem gerar impacto tanto negativo quanto positivo ou
ambos. Os que geram impacto negativo representam riscos que podem afetar
o patrimônio da empresa. Os de impacto positivo podem contrabalançar os
negativo ou podem representar oportunidades, que possibilitam um evento
ocorrer e influenciar favoravelmente a realização dos objetivos.
4.3 – Classificações de riscos empresariais
4.3.1 - Riscos Estratégicos
São as diretrizes que mobilizam os recursos de uma organização
visando o longo prazo. Inclui proteção ou adaptação à mudança mercadológica
e no meio clima organizacional. Agrega valor aos acionistas através de
objetivos estratégicos alinhados à missão/visão da organização.
O Risco Estratégico leva em conta o posicionamento da organização
no mercado, assim como o traçado nos planos de ação, de onde partem
importantes tomadas de decisão. Este grupo de riscos sofre influência
![Page 46: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/46.jpg)
Exemplo de configuração de monografia A Vez do Mestre
46
constante do ambiente externo, como os cenários político, macroeconômico e
tecnológico, além de mudanças no ambiente regulatório.
Para entender e medir possíveis perdas devido às flutuações do
mercado, é importante identificar e quantificar o mais corretamente possível as
volatilidades e correlações dos fatores de mercado que impactam a dinâmica
do preço do ativo. Incluem-se nesta avaliação os riscos relacionados à
reputação da organização, ou seja, os Riscos de Imagem.
4.3.2 - Riscos Financeiros
São os objetivos decorrentes da gestão ampla do caixa, nas atividades
de aplicação e captação de recursos em operações nos mercados financeiros.
A adequação da estrutura de capitais, grau de utilização de fontes alternativas
de capital, administração de risco e visão estratégica.
Entre os principais benefícios do gerenciamento dos Riscos
Financeiros está a ajuda às empresas a manter os seus fluxos de caixa menos
instáveis, diminuir o risco de estresse financeiro, garantir a programação de
investimento, reduzir o custo médio de capital e o custo tributário, e agregar
valor à empresa.
4.3.3 - Riscos Operacionais
São aqueles que contribuem com a produção e distribuição dos
produtos e serviços da companhia nas condições e prazos estabelecidos.
Promove a eficácia e eficiência operacional. Inclui desempenho da base
produtiva, modernidade das instalações, grau de maturidade tecnológica e
visão estratégica, qualidade e organização dos recursos humanos,
instrumentos de gestão.
O Risco Operacional está relacionado a possíveis perdas como
resultado de sistemas e controles inadequados, falhas de gerenciamento e
![Page 47: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/47.jpg)
Exemplo de configuração de monografia A Vez do Mestre
47
erros humanos. São aqueles ligados de alguma forma ao curso produtivo da
empresa. São provavelmente os mais complexos de serem tratados, pela sua
amplitude, caráter do relacionamento humano, e pela eventual dificuldade em
sua identificação.
O desafio da gestão do risco operacional assenta-se em três questões
básicas, cada uma delas imprescindível na estruturação das demais: Fusões &
Aquisições Processos; Avaliação de custos de riscos, de custos dos controles
e dos resultados decorrentes das alternativas de controle; Definição de
indicadores de riscos. A última delas é que de fato nos permite adotar medidas
que busquem reduzir as chances de ocorrência do risco (a adoção dessas
medidas pode implicar em custos proibitivos comparativamente com os custos
dos riscos - o segredo é gerir resultados, e não gerir riscos). (ACQUISITIONS)
O Risco operacional pode ser dividido em três grandes áreas:
• Risco organizacional: está relacionado a uma organização
ineficiente, ou seja, a uma administração inconsistente e sem
definição de objetivos de longo prazo, fluxo deficiente de
informações internas e externas, responsabilidades mal definidas,
fraudes, acesso dos concorrentes a informações internas, etc.;
• Risco de operações: diz respeito a problemas como sub-
dimensionamento de sistemas e erros, confirmações incorretas ou
sem verificação criteriosa etc.;
• Risco de pessoal: se refere a problemas como empregados não
qualificados e/ou pouco motivados, de personalidade fraca, falsa
ambição, carreiristas etc.
Para mapear os riscos operacionais desenvolve-se um macro fluxo o
processo, identificando os pontos chaves, riscos e os controles. Em seguida é
validado com todas as pessoas envolvidas.
![Page 48: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/48.jpg)
Exemplo de configuração de monografia A Vez do Mestre
48
CONCLUSÃO
A questão de como os gestores das empresas pode conscientizar,
esclarecer e informar seus colaboradores sobre os riscos existentes na área de
Segurança da Informação, foi abordada a partir dos estudos de livros e artigos
voltados a análise da Engenharia Social sob o foco da Gestão Empresarial.
A análise dos dados evidenciou que os problemas de Segurança da
Informação estão concentrados na maioria das vezes no fator humano.
Portanto, podemos afirmar que ao transformar usuários simples e
despreparados em agentes treinados e capacitados para identificar uma
possível ameaça, estaremos reforçando as políticas de segurança da
Informação da organização.
Essas ações, no entanto, implicam em mudanças culturais,
comportamentais, que em geral, sofrem resistências pela maioria da equipe. É
necessário, portanto, sensibilizar usuários e gestores para que se possa
realizar um trabalho efetivo. Dessa forma as recomendações partem do ponto
de vista de que os gestores priorizem os aspectos humanos e
comportamentais dos sistemas de segurança.
A área de Gestão da Segurança da Informação é nova e para muitos o
investimento em treinamento para todos os níveis da organização é uma das
melhores e mais efetivas formas de se minimizar riscos e acelerar o
crescimento..
Nesse sentido, evidenciam-se ser necessário cada vez mais ações
educacionais e de capacitação para diretores, gerentes e demais
colaboradores.
![Page 49: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/49.jpg)
Exemplo de configuração de monografia A Vez do Mestre
49
Segundo alguns gestores em segurança da informação, a engenharia
social será a maior ameaça à continuidade dos negócios desta década. Então
de nada valerão os milhões investidos em tecnologia, se o fator humano for
deixado em segundo plano. É recomendável que haja uma política de
segurança centralizada e bem divulgada, para que todos saibam como se
defender e a quem recorrer em caso de dúvidas.
Ignorar a ação do Engenheiro Social pode ser uma falha na gestão de
segurança da empresa, pois trará problemas sérios tantos de ordem pessoal,
financeira ou de imagem e posicionamento.
Lembre-se, agora mesmo pode haver um Hacker ligando para sua
empresa. Você está tranqüilo?
![Page 50: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/50.jpg)
Exemplo de configuração de monografia A Vez do Mestre
50
BIBLIOGRAFIA CONSULTADA
ABAGNALE, Frank W. Prenda-me se for capaz. Rio de Janeiro: Record,
2003.
ADNEWS. Fraudes no Internet Banking. São Paulo, 14-01-2009
http://www.adnews.com.br/telecom.php?id=82362. 5-11,2009.
ACQUISITIONS CONSULTORIA EMPRESARIAL. Matriz de Riscos. São
Paulo. www.acquisitions.com.br/pdf/matriz_risco.pdf. 5-11,2009.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.
NBRISO/IEC17799: Tecnologia da Informação - Código de prática para a
gestão da segurança da informação. Rio de Janeiro, 2001.
BRASILIANO, A. C. R. Entendendo Riscos Corportivos, São Paulo,
2008. http://www.brasiliano.com.br/blog/?p=274. 5-11,2009
___________________. Fraude – Gerenciando Riscos de Fraude
através de sua Lógica, 4ª ed: São Paulo, 2009. 5-11,2009
__________________. Fuga de Informação através da Engenharia
Social,SãoPaulo, 2009. http://www.brasiliano.com.br/blog/?p=1654. 5-11,2009
COMMITTEE OF SPONSORING ORGANIZATIOHS OF THE
TREADWAY COMMKISSION (COSO): Gerenciamento de Risco Corporativo.
Copyright ©2007.
![Page 51: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/51.jpg)
Exemplo de configuração de monografia A Vez do Mestre
51
FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS
(FERMA).Estados Unidos. Norma de Gestão de Riscos. 2002.
www.ferma.eu/Portals/2/documents/RMS/RMS-Port(2).pdf. 15-11,2009
FILTRO de conteúdo: treinamento de segurança na Internet para
funcionários. In: SYMANTEC Corporation. 1995. Disponível em:
<http://www.google.com.br/search?q=cache:o7nFGmoEhTAJ:www.symantec.
com.tw/region/br/enterprisesecurity/content/content_filter3.html+â¢Informe+os+
funcionários+sobre+os+perigos+de+fazer+download+de+softwares+e+proteto
res+de+tela+gratuitos&hl=pt-BR>. .
IBOPE//NetRatings , Internet no Brasil Cresceu 10 % no mês de julho,
2009. Disponível em:
http://www.ibope.com.br/calandraWeb/servlet/CalandraRedirect?temp=5&proj=
PortalIBOPE&pub=T&db=caldb&comp=Not%EDcias&docid=62A33B253477B5
8783257619004BD15C
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC).
Guia de Orientação para Gerenciamento de Riscos Corporativos. 2007
MCGEE, J.; PRUSAK, L.; Gerenciamento Estratégico da Informação;
Editora Campus, 1994
MARCELO, Antônio; PEREIRA MARCOS. A Arte de Hackear Pessoas.
Rio de Janeiro: Brasport, 2005.
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de
Hackers: controlando o fator humano na segurança da informação. São Paulo:
Pearson Education, 2003.
MONITOR DAS FRAUDES: Fraudes no Internet Banking. 2009.
http://www.fraudes.org/clipread.asp?CdClip=8602. 15-11,2009
![Page 52: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/52.jpg)
Exemplo de configuração de monografia A Vez do Mestre
52
NEXTGENERATION CENTER - INTEL: Segurança da Informação.
http://www.scribd.com/doc/3808475/-Seguranca-Seguranca-da-Informacao. 15-
11,2009
O JOGO da segurança; descubra as ameaças e vulnerabilidades em
ambiente corporativo. Módulo Security Magazine, São Paulo, n. 345, 1jun.
2004. http://www.modulo.com.br/media/boletins/2004/msnews_no345.htm.
5-11,2009
PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança
da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
RAMOS, Anderson. Security Officer 1 – Guia Oficial para Formação:
de Gestores em Segurança da Informação. Rio de Janeiro: Zouk, 2006.
REDE NACIONAL DE ENSINO E PESQUISAS (RNP). Alerta do cais
ALR-02042003: fraudes em Internet banking. 2004.
http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html. 5-11,2009
REVISTA VEJA. Mouse ao alto!. Rio de Janeiro Ed: 2113 20-05-09.
Disponível em: http://veja.abril.com.br/200509/p_088.shtml
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. Rio de Janeiro: Campus, 2003.
SILVA, Paulo Tavares; CARVALHO, Hugo; TORRES, Catarina
Botelho. Segurança dos Sistemas de Informação – Gestão Estratégica da
Segurança Empresarial. Portugal, Editora CentroAtlantico PT, 2003.
SCHNEIER, Bruce. Segurança.com: Segredos e mentiras sobre a
proteção na vida digital. Rio de Janeiro: Campus, 2001. 403 p.
![Page 53: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/53.jpg)
Exemplo de configuração de monografia A Vez do Mestre
53
SYMANTEC CORPORATION. Pesquisa revela: mais da metade dos
ex-funcionários admite ter roubado dados da empresa onde trabalhava. 2009.
http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20090304_01. 5-11,2009
![Page 54: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/54.jpg)
Exemplo de configuração de monografia A Vez do Mestre
54
ÍNDICE
FOLHA DE ROSTO 2
AGRADECIMENTO 3
DEDICATÓRIA 4
RESUMO 5
METODOLOGIA 6
SUMÁRIO 7
INTRODUÇÃO 8
CAPÍTULO I
ENGENHARIA SOCIAL 9
1.1 - Perfil do Engenheiro Social 9
1.2 - Ferramentas do Engenheiro Social 10
1.3 - A Arte do Engenheiro Social e Suas Técnicas 12
1.3.1 - Informações inofensivas x valiosas 12
1.3.2 - Conquistando confiança 12
1.3.3 - Simplesmente pedindo 13
1.3.4 Técnica do “Posso Ajudar ?” 14
1.3.5 Técnica do “Você pode me ajudar ?” 15
1.4 A Engenharia Social na Internet 15
1.4.1 “Internet Banking” 18
1.5. Pontos fracos explorados pelo Engenheiro Social 22
CAPÍTULO II
GESTÃO DA SEGURANÇA DA INFORMAÇÃO 25
2.1 - Atributos Básicos da Segurança 25
2.2 - Diferenciando Ameaça de Vulnerabilidade 27
2.3 - Riscos de Segurança 27
2.3.1 - Segurança é Administrar Riscos 28
![Page 55: UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor a esta questão e por muitas vezes](https://reader030.vdocuments.com.br/reader030/viewer/2022011807/5c45981693f3c34c377ddf5d/html5/thumbnails/55.jpg)
Exemplo de configuração de monografia A Vez do Mestre
55
CAPÍTULO III
GESTOR DA SEGURANÇA DA INFORMAÇÃO 30
3.1 - Perfil do Gestor 31
3.2 - Engenheiro Social x Gestor de Segurança 33
3.3 - Como evitar ou dificultar a entrega de informações 34
CAPÍTULO IV
GESTÃO DE RISCO 39
4.1. - Componentes da Gestão de Riscos Corporativos 40
4.2 - Perspectivas dos riscos nas empresas 42
4.2.1 - Riscos como fator de perigo ou ameaça 42
4.2.2 - Riscos como fator de incerteza 43
4.2.3 - Riscos como fator de oportunidade 44
4.3 – Classificações de riscos empresariais 44
4.3.1 - Riscos Estratégicos 44
4.3.2 - Riscos Financeiros 45
4.3.3 - Riscos Operacionais 45
CONCLUSÃO 47
BIBLIOGRAFIA CONSULTADA 49
ÍNDICE 52