universidade candido mendes pÓs-graduaÇÃo “lato … · infelizmente o que vemos na prática é...

Quantidade de “enter” para posicionar o cabeçalho, apague em seguida

<>

<>

<>

<>

UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO “LATO SENSU”

PROJETO A VEZ DO MESTRE

<>

<>

<>

<>

<>

GESTÃO DE RISCO NO COMBATE A ENGENHARIA SOCIAL

<>

<>

<>

Por: Glória Ramalho Carneiro

<>

<>

<>

Orientador

Prof. Mário Luiz

Rio de Janeiro

2010

Exemplo de configuração de monografia A Vez do Mestre

2

UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO “LATO SENSU”

PROJETO A VEZ DO MESTRE

<>

<>

<>

<>

<>

GESTÃO DE RISCO NO COMBATE A ENGENHARIA SOCIAL

<>

<>

<>

<>

<>

Apresentação de monografia à Universidade

Candido Mendes como requisito parcial para

obtenção do grau de especialista em Gestão

Empresarial.

Por: . Glória Ramalho Carneiro


3

AGRADECIMENTOS

....Em primeiro lugar, agradeço a Deus

por sua força constante em minha vida

e a minha mãe que sempre me apoiou

em todas as fases do meu crescimento

físico, profissional e emocional.


4

DEDICATÓRIA

.....dedico este trabalho a todos que

buscam a justiça e que acreditam na

verdade,.......


5

RESUMO

A informação é, na atualidade, uma das mais valiosas ferramentas de

uma empresa. Logo, o descuido nessa área pode causar prejuízos

significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das

empresas está consciente do perigo mantendo alguma política de segurança.

A Segurança da Informação refere-se à proteção requerida para

proteger as informações de empresas ou de pessoas, ou seja, o conceito se

aplica tanto as informações corporativas quanto às pessoais. Entende-se por

informação todo e qualquer conteúdo ou dado que tenha valor para alguma

organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta

ao público para consulta ou aquisição.

Os gestores podem estabelecer medidas para definição do nível de

segurança existente e requerido. Dessa forma, são constituídas as bases para

análise da melhoria da situação de segurança existente. A segurança de uma

determinada informação pode ser afetada por fatores comportamentais e de

uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou

por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou

modificar tal informação.

Portanto, a questão que se apresenta é de como promover nas

instituições ações para conscientização, esclarecimento e informação de seus

colaboradores quanto aos riscos existentes, às vulnerabilidades e aos

aspectos de segurança da informação, de maneira a garantir que a Política de

Segurança da Informação da organização seja efetiva do ponto de vista do

fator humano em relação aos Engenheiros Sociais?


6

METODOLOGIA

A metodologia adotada para o estudo da Engenharia Social sob o foco

da Gestão de Risco foi baseada nas pesquisas em:

• Livros específicos focados em Engenharia Social, Gestão de Risco

e Informática;

• Código da Associação Brasileira de Normas Técnicas

(NBRISO;IEC17799;

• Sites na Internet;

• Artigos;

• Google

O estudo pretende identificar os pontos vulneráveis, do ponto de vista

da segurança da informação, dentro de uma organização e quais as medidas

cabíveis para enfrentar o grande guerreiro que é o Engenheiro Social, onde

seus funcionários podem ser tornar os maiores aliados na luta do dia-a-dia

contra este terrível mal do mundo globalizado.


7

SUMÁRIO

INTRODUÇÃO 08

CAPÍTULO I - Engenharia Social 09

CAPÍTULO II - Gestão da Segurança da Informação 25

CAPÍTULO III – Gestor da Segurança da Informação 30

CAPÍTULO IV – Gestão de Risco 39

CONCLUSÃO 47

BIBLIOGRAFIA CONSULTADA 49

ÍNDICE 52

FOLHA DE AVALIAÇÃO 63


8

INTRODUÇÃO

Vivemos em um mundo globalizado, com o espaço geográfico

fragmentado, porém fortemente articulado pelas redes, onde a informação,

independente do seu formato, é um dos maiores patrimônios de uma

organização moderna, sendo vital para quaisquer níveis hierárquicos e dentro

de qualquer instituição que deseja manter-se competitiva no mercado.

Nos últimos anos as tecnologias de informação e comunicação têm

evoluído de forma rápida, fazendo com que as organizações tenham maior

eficiência e rapidez nas tomadas de decisão. Devido a este fato as chances de

uma empresa não usar sistemas de informação tornou-se praticamente nula.

No passado a questão segurança da informação era muito mais

simples, pois os arquivos contendo inúmeros documentos podiam ser

trancados fisicamente, porém com a chegada das tecnologias da informação e

comunicação a questão ficou bem mais complexa, hoje a maioria dos

computadores conecta-se a internet e conseqüentemente a internet conecta-se

a eles. Além disto, sabemos que dados em formato digital são portáteis, este

fato fez que estes ativos tornassem atrativos para ladrões. Mas isto não é tudo,

existem inúmeras situações de insegurança que podem afetar os sistemas de

informação como engenharia social, incêndios, alagamentos, problemas

elétricos, poeira, fraudes, uso inadequado dos sistemas, guerras, etc.

Portanto podemos dizer que não existe segurança absoluta, torna-se

necessário agirmos no sentido de descobrir quais são os pontos vulneráveis e

a partir daí avaliar os riscos e impactos, e rapidamente providenciar para que a

segurança da informação seja eficaz.

Infelizmente o que vemos na prática é que muitas empresas não dão o

devido valor a esta questão e por muitas vezes o preço é muito alto, portanto o


9

melhor caminho é reduzir ao máximo quaisquer riscos às informações,

seguindo um trajeto no sentido único de manter a integridade e a

disponibilidade dos sistemas de informação.

Para se implantar uma eficaz segurança da informação dentro de uma

organização devemos ficar atentos para algumas questões como uma boa

análise de riscos, a definição da Política de Segurança e por fim um plano de

contingência a qual descreve o que deve ser feito em caso de problemas com

as informações.

A análise de riscos basicamente visa a identificação dos pontos de

riscos que a que a informação está exposta, identificando desta maneira quais

os que necessitam de maior empenho em proteção.

A política de segurança da informação é a formalização explícita de

quais ações será realizada em um sentido único de garantir a segurança e

disponibilidade dos mesmos, esta política é de extrema importância uma vez

que descreve as regras necessárias para o uso seguro dos sistemas de

informação.

Uma vez identificados quais os riscos que as informações estão

expostas deve-se imediatamente iniciar um processo de segurança física e

lógica, com o intuito de alcançar um nível aceitável de segurança.

O estudo deste tema demonstrará como as pessoas são "inocentes" e

frágeis quando se trata de protegerem a si ou a terceiros da invasão de

"golpistas", que usam a inteligência e a astucia para persuadirem as futuras

vitimas a satisfazerem seus desejos em detrimento dos procedimentos éticos e

moral de convívio em sociedade.

CAPÍTULO I


10

ENGENHARIA SOCIAL

O CONCEITO

O conceito de engenharia social resume-se em a “arte de trapacear”,

construir métodos e estratégias de enganar em cima de informações cedidas

por pessoas ou ganhar a confiança para obter informações sem o uso da força

apenas com inteligência, técnica, perspicácia e persuasão. Essas são ações

antigas, oriundas dos tempos mais remotos que ganharam um novo termo. A

melhor visão da Engenharia Social está descrita nesta frase:

”As pessoas acabam caindo nas minhas mentiras porque eu

mexo com a ambição delas. Sou quem eles quiserem que

eu seja”. ROCHA, Marcelo.

1.1 – Perfil do Engenheiro Social

O engenheiro social é um oportunista com um grande talento para

observar as pessoas avaliando-as para suas investidas, ele também não deixa

de possuir um espírito empreendedor, arriscando-se para conseguir o que

quer. Alem disso, ele usa os sentimentos mais comuns das pessoas com arma

a seu favor, como medo, vaidade, ambição, inveja, vingança e ira.

Na história da Engenharia Social, existem alguns “especialistas” que

depois de descobertos continuaram a investir em seus negócios através das

suas autobiografias alimentando com isso seu ego.

Alguns dos mais famosos Hackers são: Frank W. Abagnale, cuja

“performance” foi registrada no filme “prenda-me se for capaz”. Outro ícone da

Engenharia Social é Kevin Mitnick que após sua prisão lançou vários livros

entre eles “A arte de Enganar”.


11

No Brasil, Marcelo Nascimento da Rocha, conseguiu “fama” com seus

golpes na mídia, isto é, se passando por outras pessoas, na intenção de obter

benefício próprio. A mais conhecida mentira de Rocha ocorreu em 2001,

quando ele ficou quatro dias em uma micareta no Recife fingindo ser filho do

dono da companhia aérea Gol. Ele conseguiu ficar hospedado em um resort de

luxo, posou ao lado de famosos e chegou até a dar entrevista por Amaury Jr.

No mesmo ano, foi preso transportando drogas em um avião.

Na cadeia, fingiu ser chefe de uma gangue de trafico e liderou uma

rebelião. Suas estripulias viraram livro, “Vips – Histórias Reais de Um

Mentiroso, escrito pela jornalista Mariana Caltabiano. Na hora de negociar os

direitos, ele fingiu ter várias propostas e embolsou 50% dos direitos da

publicação.

1.2 – Ferramentas do Engenheiro Social

Como principais ferramentas utilizadas pelo Engenheiro social têm-se:

(PEIXOTO,2006)

• Telefone ou Voip: (voz sobre IP): se passar por outra pessoa é um

dos típicos ataques de engenharia social, como exemplo um

atendente de help-desk;

• E-mail: phishing scam; Cavalo de tróia;

• Internet: (coleta de informações) através de sites como Orkut,

Twister, registro.br, Google, dentre outros;

• Pessoalmente: (in Person Social Engineering): Este tipo de ataque

é o incomum, porém muito perigoso, pois faz do engenheiro social


12

um artista que usa de suas habilidades de atração, sedução

intimidação, dramaticidade e credibilidade para manipular sua

futura vitima em prol de informações confidenciais;

• Chats: (bate papo) - assim como no telefone, fazer-se passar por

alguém que na verdade não é, fica mais fácil através das salas de

bate-papo, onde os internautas trocam fotos e muitas vezes

compartilham informações pessoais;

• Cartas/Correspondências: por ser um recurso tradicional, ele atrai

maiores vitimas nas faixas mais idosas da sociedade ou entre

aqueles que têm certa resistência à tecnologia. É muito fácil hoje

através do scanner, elaborar documentos com logomarcas e tudo

mais, dando-se a impressão de serem de fontes seguras;

• Spyware: software “espião” usado para monitorar de modo oculto

as atividades do computador de uma provável vitima;

• Mergulho no lixo: através das coisas que são descartadas para o

lixo, se pode avaliar o perfil dos usuários e seus hábitos. Algumas

vezes se consegue até extratos, permitindo ao Engenheiro Social

avaliar as finanças de sua vítima;

• Surfar sobre os ombros: é o ato de “observar” uma pessoa

digitando no teclado do computador para descobrir e furtar sua

senha ou outras informações deste usuário, para utilizá-la em

outro situação conveniente ao seu objetivo.

1.3 - A Arte do Engenheiro Social e Suas Técnicas

Os artifícios utilizados por um engenheiro social estão em constante

evolução. Porém eles buscam sempre o aprimoramento de suas técnicas para

atingirem os seus objetivos. Mas mesmo perante tais transformações e

mudanças no segmento da arte de enganar, modificando ou incrementando


13

seus ataques, o engenheiro social utiliza-se sempre de alguns aspectos

clássicos de ataque, que serão vistos a seguir. (PEIXOTO,2006)

1.3.1 - Informações inofensivas x valiosas

Você sabe distinguir a importância das informações? Pergunta difícil de

ser respondida partindo-se do ponto de vista “funcionário mal treinados”.

Como um jogo de quebra-cabeça, as informações são obtidas em

“pedaços”, onde ao se juntar todos as peças teremos a “figura completa”.

Assim, informações que parecem irrelevantes ou consideradas sem

importância, quando juntadas a outras também assim avaliadas tomam forma

diferente daquilo que imaginávamos inofensivo. E passa a ser a chave que

o engenheiro social precisava para abrir o “cofre” e ter acesso a informações

que até então eram confidenciais.

É recomendável que todo repasse de informação seja avaliada com

cuidado antes de passada adiante, levando-se em conta a pessoa que está

solicitando e a necessidade do solicitante de saber a informação.

1.3.2 - Conquistando confiança

Parece estranho acreditar que praticamente todas as pessoas estão

sujeitas a serem enganadas a qualquer momento em qualquer lugar. Porém

isto ocorre com muita freqüência.

Confiança não é transitiva; isto é: Eu confio em Lúcia, e Lúcia confia

em José, o que não significa que eu confio em José por sua vez. Por exemplo,

Lúcia tem permissão para acessar dados confidenciais de sua empresa; então

ela por “achar” que José é um colega confiável pede que ele tire uma cópia

dos documentos. Agora José tem acesso a dados que deveriam está protegido

por Lucia. O fato é que existe um risco desta informação ser propagada com a

quebra de sigilo da funcionária responsável pela segurança da informação.


14

O que o engenheiro social faz é adquirir primeiro esta confiança para

depois de reforçado esse “vínculo” de amizade, possa então atacar e conseguir

as informações. Ele simula toda a teia de situações que pode vir a ocorrer no

decorrer do ataque, preparando questionários e perguntas das quais ele possa

ter que responder no ato, sem fraquejar ou demonstrar insegurança, a ponto

da vitima não ter motivo de desconfiar de algo estranho nessa conversa.

O hábito de aprendermos a observar, pensar, questionar e checar as

solicitações e de quem estão partindo é de fundamental importância para

dificultar a ação dos Engenheiros Sociais.

1.3.3 - Simplesmente pedindo

Considerada a técnica mais simples de se conseguir informação, pois

quando você tem alguma dúvida ou quer obter alguma coisa, o que se faz

naturalmente é pedir. Então nada mais prático e simples do que se dirigir

diretamente a suposta vítima.

O primeiro passo do engenheiro social é saber da linguagem de uma

empresa e de sua estrutura corporativa, bem como os departamentos ali

existentes e suas funções, Este procedimento faz parte da bagagem essencial

de truques que um “expert” bem sucedido deve ter consigo.

Após ter em mãos tais conhecimentos fica mais fácil ter a confiança da

pessoa que disponibilizará a informação.

Segundo Kevin Mitnick em sua entrevista aqui no Brasil para a

Information Week Brasil (revista especializada em assuntos tecnológicos),

existe seis características do comportamento humano que podem ser

explorados pelo engenheiro social, onde duas delas é destaque neste contexto

da técnica do ‘simplesmente pedindo’. Que são: a autoridade e o medo.


15

Autoridade, devido o que fora mencionado anteriormente com relação

à credibilidade. Ou seja, após ter conhecimento suficiente para demonstrar que

sabe do que esta falando e, sobretudo, aonde quer chegar, manipulando de

forma segura e convicta a situação, pressiona a vítima a dispor da informação

requisitada. Levando-se em conta também o fator conseqüente da outra

característica do comportamento humano: o medo.

1.3.4 Técnica do “Posso Ajudar ?”

Dispondo-se desta técnica do “posso ajudar?” o “atacante” com sua

habilidade nata de persuasão consegue criar um problema para você. E

aproveitando desta situação, ele, passa para a segunda fase da operação que

a de dar gentilmente assistência a sua vitima. Aí é onde mora o perigo.

Um dos pratos prediletos do engenheiro social é justamente conseguir

as informações partindo da gratidão imposta pelo favor executado. Portanto

caso alguém venha lhe fazer um favor e mais tarde vier pedir outro em troca,

não vá imediatamente retribuir, sem ao menos pensar cuidadosamente as

conseqüências daquilo que lhe pediu, possa vir a trazer no presente momento,

ou futuramente transtornos às vezes irreparáveis.


16

1.3.5 Técnica do “Você pode me ajudar ?”

Similar a técnica do “simplesmente pedindo”, pois se baseia no fato de

estar também solicitando uma informação. Porém existe uma pequena

diferença que a questão da utilização da dramaticidade juntamente com a

humildade pela qual o atacante faz o pedido. Este golpe é um dos mais

poderosos do Engenheiro Social, pois ele sabe que o funcionário vendo a

oportunidade de ajudar um “companheiro de trabalho”, não hesitará em

cooperar e assim fornecer a informação desejada, com isso dando recursos a

ele de atingir seu objetivo.

1.4 – A Engenharia Social na Internet

Sem sombra de dúvidas a Internet é um excelente recurso para coleta

de informações assim como para “incrementar” a finalização de um ataque de

engenharia social. Armadilhas como sites clonados, mensagens enganosas

que chegam a nosso correio eletrônico - “fakemail” (e-mails falsos) com

anexos aparentemente inofensivos, chats (bate-papos), como dissemos, são

ferramentas freqüentemente utilizadas pelo engenheiro social.

Os aparentes “programinhas inofensivos”, mas muito maldosos que

são inseridos nos computadores, na maioria das vezes por nós mesmos

persuadidos ou induzidos por alguém (engenheiro social) ou por algum motivo

(anúncios atraentes de algo que nos interessa, via e-mail) são exemplos de

transtornos que podem surgir, se não ficarmos atento e prevenidos contra

qualquer tipo do chamado “malware” - abreviação de Malicious software seja

executada dando acesso total ao seu computador, como se o atacante

estivesse sentado em frente a sua máquina usando seu teclado.

E-mails com títulos familiares podem fazer com que se acredite ser de

alguém que na verdade não é. Portanto, muita atenção ao sair abrindo anexos


17

e clicando em links sem o prévio cuidado necessário de segurança.

“Chorar o leite derramado” não vai fazer com que volte o tempo e

previna-se do acontecido. Lembre-se sempre: Na dúvida não faça nada! Pare,

pense e se necessário confirme a procedência de alguma forma, ao ponto de

lhe dar a firme segurança de poder abrir ou executar o que fora recebido.

Links que lhe direcionam para determinada página que na verdade

não é a original, é outro ponto a ser destacado de vital importância neste

contexto na arte de enganar. Esteja atento para onde está sendo redirecionado

o link que você clicou. Se realmente está coerente ao domínio ao qual

pertence o hiperlink acessado.

Sempre que estiver navegando, ou seja, visitando algum site, verifique

se a conexão está autenticada e criptografada. Não vá clicando diretamente

em “Sim” em nenhuma caixa de diálogo que possa indicar uma questão de

segurança, como por exemplo, um certificado digital inválido ou vencido. Muito

cuidado quanto a isso, pois um site Web que não usa um protocolo seguro,

não se convém passar informações confidenciais, tais como seu endereço,

telefone, nome, número de cartões de crédito dentre outras informações.

Quanto à segurança em relação a vírus, regra básica: ter um anti-virus

instalado. Como também se possível deixar ativado o firewall do Sistema

Operacional (no caso do Windows XP, que vem com um simples, mas que

supre a necessidade “caseira” do usuário “doméstico”), ou instalar algum

disponível facilmente na Internet. Melhor anti-virus? Aquele que esteja sempre

atualizado. Isto é: não anualmente, ou mensalmente, mas sim diariamente ou

no muito semanalmente.

Completamente seguro, com certeza ninguém está. Mas dificultar a

entrada de vírus, trojans dentre outros inconvenientes, isso não só pode como


18

deve ser feito se quiser preservar ao menos um pouco da privacidade de seus

dados que julga ser confidencial.

A Symantec também dá algumas orientações relevantes a esse

contexto (SYMANTEC, 1995):

• Estabeleça uma política de utilização da Internet. Permita que os

funcionários conheçam as regras da empresa a respeito do uso

pessoal do e-mail e da Internet. Desenvolver políticas de utilização

da Internet ajudará também os gerentes de TI a configurar e

monitorar soluções de segurança da rede com maior eficiência;

• Utilize uma tecnologia que permita uma verificação de conteúdo

impróprio nos e-mails e anote as atividades da Internet que

estejam fora dos parâmetros determinados pela gerência;

• Jurídicos afirmam que monitorar os conteúdos dos e-mails e

Internet utilizada pelos funcionários ajuda a proteger a empresa no

caso de um processo legal. Tenha uma política e uma solução de

monitoramento de conteúdos para mostrar seus esforços em

resguardar os funcionários de ataques, por exemplo;

• Treine seus usuários para que eles saibam quando e como fazer

download das mais recentes atualizações dos antivírus, bem como

reconhecer um possível vírus. Ensine-os a fazer uma verificação

nos documentos antes de abri-los;

• Atualize o antivírus, de modo a evitar as brechas de segurança

conhecidas dos softwares reduzindo assim as chances de uma

entrada de vírus pelas páginas da Web ou por e-mail;

• Desenvolva uma política para senhas, requisitando freqüentes

mudanças nas mesmas e educando os usuários nas táticas e


19

engenharia social. Reforcem que eles nunca devem informar suas

senhas. Softwares para descobrir estes códigos estão disponíveis

e ajudam a encontrar senhas fracas de usuários na sua rede. De

qualquer modo, o software não protegerá a companhia contra o

comportamento descuidado de um usuário. Muitas vezes, educar

os funcionários é o suficiente;

• Determine a necessidade de cada funcionário de acessar

informações delicadas, e restrinja o acesso somente para o que for

necessário a cada função na empresa;

• Informe os funcionários sobre os perigos de fazer download de

softwares e protetores de tela gratuitos;

O Hacker pode ser considerado o primo longe do engenheiro social.

Nem todo engenheiro social é um Hacker, mas em alguns casos ele chega a

ser um engenheiro social, com condutas semelhantes à captura de

informações. Pois age de forma a explorar muito mais as vulnerabilidades

técnicas, enquanto o engenheiro social as fraquezas humanas.

1.4.1 “Internet Banking”

Com o advento da Internet, muita coisa mudou e melhorou. E a

evolução da Internet inserida aos bancos, ao qual, atividades antes ditas

extremamente cansativas, como ficar em uma fila para tão somente tirar um

extrato ou fazer uma transferência, agora não mais é necessário.

Os perigos existem tanto nas compras on-line e transações bancárias

via Internet mediante a disponibilização dos números do cartão de crédito

como também na utilização do cartão em aeroportos, restaurantes, postos de

gasolina etc.


20

O fato é que, hoje em dia, é quase impossível para um consumidor

médio não realizar aplicações chamadas críticas de segurança via web. Seja

uma compra num site 'seguro', em transferências de fundos para fornecedores,

ou pagamento de última hora. Boa parte deste hábito foi proporcionada pelos

próprios bancos, que oferecem um leque cada vez maior de serviços via

internet, para que o usuário faça a maioria das transações bancárias sem sair

do seu ambiente.

Também cresce e se sofistica a oferta de softwares de segurança,

antivírus, firewalls etc. para que as máquinas dos usuários fiquem cada vez

mais seguras. Mas isso parece não ser suficiente, nem mesmo para grandes

portais. Um exemplo é que nos primeiros dias deste ano (5 de janeiro), o big

portal Twitter foi invadido por um Hacker que violou as contas do novo

presidente dos EUA, Barak Obama, e da cantora Britney Spears, segundo

reportou a Folha de São Paulo. O ataque se deu através de uma operação

muito simples e comum - o pedido de reenvio de senha e login para o e-mail,

num site com acesso seguro.

Segundo o Ibope/NetRatings, no mês de julho de 2009, 36,4 milhões

de pessoas usaram a internet no trabalho ou em residências, o que significa

um crescimento de 10% sobre os 33,2 milhões registrados no mês de junho. O

tempo médio de uso continuou crescendo e atingiu as marcas de 71 horas e

30 minutos de tempo total, incluindo aplicativos, e de 48 horas e 26 minutos,

considerando somente navegação em páginas. O número de pessoas com

acesso à internet em casa ou no trabalho é de 44,5 milhões.

De acordo com a revista Veja, no Brasil, o volume de notificações

relacionadas a fraudes, furtos, vírus destruidores, invasões e tentativas de

invasão de computador quadruplicaram em cinco.


21

No ranking dos crimes eletrônicos que mais crescem o que atenta

contra o patrimônio ocupa o primeiro lugar: só os programas destinados a

invadir contas bancárias infectam 195 computadores por hora no país.

De acordo com o CAIS - Centro de Atendimento a Incidentes de

Segurança; dentre as principais condutas que todo usuário de Internet banking

deve ter seriam (REDE NACIONAL DE ENSINO E PESQUISAS (RNP) 2004):

• Manter bem guardadas e seguras as senhas bancárias, seguindo

as recomendações de seu banco;

• Não fornecer detalhes de conta bancária inclusive senhas a

terceiros quando abordados por qualquer meio, seja pessoalmente,

telefone ou e-mail;

• Usar senhas fortes e não triviais, trocar as senhas com frequência,

seguindo as normas e recomendações de seu banco;

• Ao acessar o site de seu banco, dedicar algum tempo para verificar

a página, propagandas e dados solicitados, em busca de algo

suspeito. Fique atento em verificar se o endereço mostrado pelo

navegador corresponde ao acessado: ex.: www.banco.com.br;.

• Ficar de olho nos comunicados oficiais do seu banco. Alguns

bancos têm destacado nos seus sites, mensagens de advertência

sobre recentes tentativas de fraude;

• Ao ser alvo de situações suspeitas (e-mails do banco, contatos

telefônicos solicitando senha ou conta bancária, erros consecutivos

no acesso ao site do banco), notificar o ocorrido ao serviço de

suporte ao usuário do respectivo banco;

http://www.banco.com.br;./


22

• Manter sempre atualizado o navegador utilizado, por exemplo,

Netscape e Internet Explorer;

• Verificar o certificado digital do site do banco, confirmando se

este foi realmente emitido para o referido banco e seu prazo

de validade. Recomenda-se também ficar atento às mensagens

emitidas pelo seu navegador, verificando se este reconheceu a

autoridade certificadora que emitiu o certificado ao site que você

está acessando;

• Não descartar automaticamente as mensagens de aviso

geradas pelo navegador em relação a certificados digitais e

páginas criptografadas. A prática recomendada é ler atentamente

tais mensagens e em caso de dúvidas interromper o processo,

consultando o serviço de suporte ao usuário do banco

.


23

1.5. Pontos fracos explorados pelo Engenheiro Social

Se todo funcionário fosse tão questionador como uma criança,

demonstrando interesse nos mínimos detalhes, ouvindo mais, estando

fortemente antenado a tudo a sua volta, e fazendo o uso dos poderosos

“porquês”, com certeza as empresas transformariam os frágeis cadeados

em legítimos dispositivos bloqueadores de segurança da informação. Porém é

claro que se deve ter cuidado ao responder aos “porquês”, pois funcionários

insatisfeitos ou mal intencionados podem utilizar as respostas para fins

pessoais. É preciso avaliar as intenções de quem está questionando.

Segundo Kevin D Mitnick:

“Quando um engenheiro social sabe como as coisas

funcionam dentro da empresa-alvo, ele pode usar esse

conhecimento para desenvolver a confiança junto aos

empregados. As empresas precisam estar preparadas

para os ataques da engenharia social vindos de

empregados atuais ou ex-empregados, que podem ter um

motivo de descontentamento. As verificações de histórico

podem ser úteis para detectar os candidatos ao emprego

que tenham uma propensão para esse tipo de

comportamento. Mas, na maioria dos casos, é difícil

detectar essas pessoas. A única segurança razoável

nesses casos é implantar e auditar os procedimentos de

verificação de identidade, incluindo o status de emprego

da pessoa, antes de divulgar qualquer informação para

qualquer um que não se conheça

pessoalmente e, portanto, não se sabe se ainda está na

empresa”. (MITNICK, 2003)


24

Resumindo: O Engenheiro Social trabalha como ninguém os pontos

relativos psicologia humana. Explora sentimentos como o medo e a

insegurança da vítima, utiliza-se também a simpatia para conseguir convencer,

ou até mesmo a culpa, como forma de se pensar “A coitadinho dele, eu já

passei por isso também” ou “realmente é difícil ou constrangedora a situação

dele”. Assim também como foram de intimidação, proporcionando o medo ou a

insegurança de que se não fornecer aquela informação naquele momento, terá

a sensação que poderá se comprometer gravemente em seu emprego,

especificamente com seus superiores.

É típico do usuário, não ter a concreta noção de que se ele está

trabalhado como um computador, e nesta máquina se guardam documentos,

texto, planilhas, slides e todo tipo de arquivo importante de seu setor, fica mais

do que nunca sujeito a dispor facilmente dessas informações se não tiver o

costume de perceber quão é importante àquilo que guarda em sua máquina. O

engenheiro social explora precisamente o funcionário desatento com seus

dados; ou seja, que tem pouca compreensão de como são valiosas as

informações que ele pode fornecer a um estranho.


“É incrível como é fácil para um engenheiro social

convencer as pessoas a fazerem as coisas com base no

medo como ele estrutura a solicitação. A tese é acionar

uma resposta automática como base nos princípios

psicológicos e utilizar os atalhos mentais que as

pessoas usam quando percebem que o interlocutor é um

aliado”. (MITNICK, 2003)

Portanto o prévio conhecimento de quem estará recebendo a

informação é imprescindível. A conferência seja de forma pessoal ou de


25

diferentes níveis de autenticação para disponibilização da informação dever ser

levada a sério.


“As pessoas manipuladoras em geral têm personalidades

muito atraentes. Elas são rápidas e bem articuladas.

Os engenheiros sociais também são habilidosos para

distrair os processos de pensamento das pessoas para

que elas cooperem. Pensar que determinada pessoa

não é vulnerável a essa manipulação é

subestimar a habilidade e o instinto mortal do engenheiro

social. Um bom engenheiro social, por sua vez, nunca

subestima o seu adversário”.(MITNICK, 2003),


26

CAPÍTULO II

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

DEFINIÇÃO

Segundo a norma NBR ISO/IEC 17799:2005, segurança da informação

é a proteção da informação contra vários tipos de ameaças de forma a

assegurar a continuidade do negócio, minimizando danos comerciais e

maximizando o retorno sobre investimentos e oportunidades de negócios.

Gestão de Segurança da Informação é o resultado da aplicação

planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras

medidas administrativas que, de forma conjunta, definem como são reduzidos

os riscos em favor da segurança da informação.

2.1 - Atributos Básicos da Segurança

A segurança da informação, também segundo a NBR ISO/IEC

17799:2005, é caracterizada pela preservação dos três atributos básicos da

informação: confidencialidade, integridade e disponibilidade

• Confidencialidade: Princípio que trata sobre a disponibilidade de

informações à apenas pessoas autorizadas. Controles devem ser

criados para garantir que o acesso a informação seja sempre

restrito àquelas pessoas que necessitam efetivamente tê-los.

Muitos crimes cibernéticos acontecem através da quebra da

confidencialidade e do roubo da informação.

Podem-se considerar dois momentos distintos desse princípio: ser


27

confidencial e manter-se confidencial.

A informação, para ser confidencial, deve ter uma classificação que

determine as medidas de segurança necessárias quando ela estiver

sendo tratada. Manter-se confidencial significa que o meio utilizado

para tratar a informação permite proteção adequada;

• Integridade: propriedade que garante que a informação manipulada

mantenha todas as características originais estabelecidas pelo

proprietário da informação, incluindo controle de mudanças e

garantia do seu ciclo de vida (nascimento, manutenção e

destruição);

• Disponibilidade: propriedade que trata sobre prevenir que a

informação ou o recurso de informação esteja indisponível, quando

requerida pelo cliente, pelo órgão regulador ou mesmo pela própria

instituição. Aplica-se não só à informação, mas, também, aos

canais eletrônicos, equipamentos de uma rede e outros elementos

da infra-estrutura tecnológica.

Não conseguir acesso a um recurso de informação desejado é

chamado de Denial of Service, técnica muito utilizada pelos Hacker.

Os ataques intencionais contra infra-estrutura tecnológica podem

ter finalidade de tornar os dados indisponíveis, assim como de

roubar a informação;

2.2 - Diferenciando Ameaça de Vulnerabilidade


28

Vulnerabilidade é a estimativa da possibilidade de sofrer uma ameaça,

baseada no levantamento técnico dos fatores internos que podem facilitar a

ocorrência. A existência da vulnerabilidade no sistema permite a ação dos

agentes externos. Já a ameaça é um agente ou ação, espontâneo ou

proposital, que se aproveita das vulnerabilidades de um sistema para

conseguir seu intento.

Quando há uma vulnerabilidade e uma ameaça simultaneamente,

ocorre o que se chama, em segurança da informação, um RISCO.

“Risco é o produto vulnerabilidade X ameaça”.

O objetivo das contramedidas preventivas é minimizar o risco. Isso se

consegue ou diminuindo as vulnerabilidades (instalar antivírus, atualizar as

versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças

(seguir regras de segurança, cultivar boas relações) .

2.3 - Riscos de Segurança

O mundo em que vivemos está em constante transformação.

Infelizmente não sabemos quanto dessas mudanças nos afetarão. A medida

que conseguimos entender a dinâmica dos riscos, suas conseqüências e

impactos e também as causas de sua concretização, menos estaremos

expostos. Devemos estar conscientes que muitos riscos são inerentes aos

negócios e está associado às leis da probabilidade, portanto a seleção de

quais riscos a empresa deve tratar reside à competência do gestor de riscos.

A natureza humana interpreta o risco mais por seu lado negativo,

porém ao determinar o risco, avaliá-lo devidamente e principalmente bem

administrá-lo, pode ensejar decisões cautelares apropriadas e,

conseqüentemente, traduzir efeitos positivos.


29

O risco operacional pode ser definido como uma medida numérica da

incerteza dos retornos de uma empresa caso seus sistemas, práticas e

medidas de controle não sejam capazes de resistir a falhas humanas, danos à

infra-estrutura de suporte, utilização indevida de modelos matemáticos ou

produtos, alterações no ambiente dos negócios, ou a situações adversas de

mercado.

2.3.1 - Segurança é Administrar Riscos

O Security Officer é o responsável pelo estudo das possibilidades para

cada situação e etapas a serem impostas, na defesa das estratégias de

análise dos riscos.

Uma das ferramentas utilizadas por este agente para sua avaliação é o

Plano Diretor de Segurança Empresarial (PDSE), documento que tem como

finalidade levantar quais são os riscos corporativos, que podem, em caso de

concretização, impactar as metas definidas pela empresa, minimizando as

ameaças e maximizando as oportunidades de mercado, tratando da melhor

forma os riscos que comprometam a reação rápida da empresa e por sua vez

sua respectiva vantagem competitiva.

Como cada caso é um caso, e em detrimento ao que será

implementado como processo para cada empresa. Entende-se então que

não existe uma formula para ser aplicada em todas as empresas e sim

planos individualizados conforme a necessidade de cada uma.

Levando-se em conta a o que foi dito, não entraremos especificamente

em detalhes sobre cada processo. Portanto será mencionado cada um dos

tópicos como uma visão “top-down”; sabendo-se da grande importância que

existe para o Security Officer de aplicar tais processos, cada um com suas

particularidades: (SÊMOLA,2003)


30

• Solução Corporativa de Segurança da Informação;

• Plano Diretor de Segurança;

• Plano de Continuidade de Negócios;

• Política de Segurança da Informação;

• Análise de Riscos e Vulnerabilidades;

• Testes de Invasão;

• Implementação de Controles de Segurança;

• Treinamento e Sensibilização em Segurança;

• Equipe para Resposta a Incidentes;

• Administração e Monitoração de Segurança.

.


31

CAPÍTULO III

GESTOR DE SEGURANÇA DA INFORMAÇÃO

DEFINIÇÃO

O Gestor de Segurança da Informação, aqui tratado como Chief

Security Officer (CSO) é o elemento principal dentro de uma organização,

quando refere-se a Gestão de Segurança da Informação (GSI). É ele que tem

por responsabilidade adequar o nível de segurança e de controle da

organização, possibilitando o atendimento do fluxo do negócio dentro de um

ambiente que gera oportunidades, mas também ameaças.

Diante deste desafio, este profissional precisa estar verticalizado às

funções associadas, sem compartilhar o mesmo foco, e sendo assim não

basta um perfil tecnológico aguçado. Compete a ele ser um “especialista”, com

visão completa e horizontal da segurança da informação dentro de sólidos

conceitos, além de possuir fundamentos em gestão de projetos, coordenação

de equipes e liderança e, alimentar com maestria os relacionamentos

interpessoais com o objetivo da conquista do comprometimento.

O principal fator de sucesso desse profissional é baseado na

manutenção do alinhamento e do foco nas características e necessidades do

negócio, e para tal empreitada deve ser profundo conhecedor dessas

necessidades, para que possa constantemente ajustar seu plano de ação às

premissas e definições estratégicas. Como: acompanhar as mudanças

culturais da empresa; identificar, no mercado, profissionais preparados;

organizar as demandas de segurança do negócio; e gerenciar mudanças

físicas, tecnológicas e humanas.


32

3.1 - Perfil do Gestor de Segurança da Informação

Com a aceleração do mercado tecnológico, e o crescimento do número

de informações circulando virtualmente e fisicamente, viu-se a necessidade de

reorganizar a área de TI, pois os gestores estavam mais voltados para o

acompanhamento das mudanças tecnológicas do que com a segurança da

própria informação. Dai surgiu à idéia de se criar e investir numa nova equipe

dentro da empresa que organizasse e coordenasse as iniciativas em

Segurança da Informação. Essas foram algumas das necessidades que

influenciaram na criação da função do Gestor da Segurança da Informação ou

Chief Security Officer, para gerenciar esta área.

Este novo profissional deveria ter conhecimento abrangente de todo

negócio e ser conhecedor profundo da área de segurança, pois assim teria

condições para desenhar a estratégia de Segurança da Informação de maneira

competente, instituindo políticas e escolhendo as medidas apropriadas para as

necessidades de negócios, sem impactar na produtividade da empresa. Para

que todo este trabalho ocorresse de encontro aos objetivos da companhia, ele

precisaria estabelecer critérios que visassem: (INTEL)

• Desenvolver e executar políticas, padrões e guias gerais para o

pessoal, para segurança de dados, recuperação de desastre e

continuidade de negócios;

• Supervisionar o contínuo monitoramento e proteção da infra-

estrutura, os recursos necessários de processos que envolvam

pessoas ou dados, avaliando possíveis brechas de segurança e

recomendar as correções necessárias;

• Negociar e gerenciar “service-level agreements (SLAs)” com

fornecedores externos de serviços de proteção.


33

Para atender aos requisitos de segurança lógica e física de redes

globais cada vez mais complexas e vulneráveis, o perfil do gestor de

segurança evoluiu muito. Por um lado, o cenário apresenta ameaças

crescentes e cada vez mais fatais, Hackers, vírus, ataques terroristas,

enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade

tecnológica crescem também e aumentam as atribuições e as habilidades

necessárias para exercer a função de Chief Security Officer (CSO). Hoje, as

qualificações que costumam ser exigidas para este cargo são: (INTEL)

• Habilidades em questões de segurança física;

• Familiaridade com a linguagem e os dilemas próprios da TI ;

• Experiência em segurança é um destaque, se seguida também por

conhecimento e visão estratégica na gestão de negócios:

• Facilidade de comunicação, para ter a desenvoltura necessária

para fazer a interface tanto na esfera de decisão quanto nos

diversos setores e níveis culturais dentro da companhia;

• Capacidade de liderança e de gerenciamento de equipes para

atingir uma atuação bem-sucedida em qualquer corporação;

• Ter conhecimentos maduros sobre questões como autenticação,

auditoria, preservação da cena do crime real ou virtual, e

gerenciamento de risco;

É comum, o gestor de segurança possui formação em Ciências da

Computação, Engenharia ou Auditoria de Sistemas. Especialistas em carreira

recomendam que o CSO tenha atuação independente e não se reporta ao

Chefe do departamento de Informação aqui tratado como “Chief Information

Officer – CIO”, mas diretamente à diretoria ou à presidência.


34

3.2 - Engenheiro Social x Gestor de Segurança

“A segurança não é um produto, mas um processo. Você

não pode simplesmente incluí-la em um sistema após

um fato... Soluções perfeitas não são exigidas, mas

sistemas que possam ser totalmente invadidos são

inaceitáveis”. (SCHNEIER, 2004)

Segundo Mário César Peixoto [10], o Security Officer não deixa de ser

um hacker do bem, devido a ter que conhecer suas técnicas, seu modo de

agir, enfim, o perfil com atitudes e suspeitas de que esteja se deparando com

um ataque da engenharia social, caso este suposto engenheiro social esteja

realmente aplicando suas habilidades por um propósito maléfico.

O Security Officer utiliza técnicas e ferramentas que muitas vezes o

engenheiro social mal intencionado aplica, para detectar, demonstrar e

descobrir as fragilidades existentes (ou o chamado elo mais fraco) dentro da

organização e poder assim tomar medidas aplicáveis a evitar ou dificultar o que

antes era um ponto de vulnerabilidade.

Contudo, infelizmente, existe não somente o lado da curiosidade

impetuosa ou "vontade de descobrir o que não pode", mas sim o lado da

maldade, do rancor e até mesmo da vingança, que o ser humano carrega

consigo transpondo as barreiras do bom senso, da responsabilidade e,

sobretudo, a do respeito, fazendo com que tais habilidades sejam utilizadas na

"arte de enganar" pessoas.

3.3 - Como evitar ou dificultar a entrega de informações


35

A prevenção não é uma tarefa muito fácil. A maioria das empresas não

direciona recursos financeiros nem humanos para tal. No entanto, investe na

manutenção de sistemas e em novas tecnologias, ao invés de aplicar parte

desse dinheiro para combater um inimigo que pode ser bem mais perigoso, a

engenharia social. A ameaça deste inimigo é real, tanto quanto as falhas em

uma rede.

Os seres humanos são seres imperfeitos de múltiplas faces. As

situações de risco modificam seus comportamentos e decisões, pois são

baseadas normalmente no lado emocional que quando não administradas

corretamente podem criar embaraços.

A Symantec Corporation (Nasdaq: SYMC) e o Instituto Ponemon, uma

empresa de pesquisa líder em gerenciamento de informação e privacidade,

anunciaram os resultados de uma pesquisa conjunta, realizada com

trabalhadores que perderam ou deixaram seus empregos em 2008 e que

revelou que 59% dos ex-funcionários admitem ter roubado informações

confidenciais da empresa, como listas de contatos.

Os resultados também demonstraram que se as empresas onde os

participantes trabalhavam tivessem implementado melhores políticas e

tecnologias para prevenir a perda de dados, muitos desses roubos de dados

poderiam ter sido evitados. Dos participantes que admitiram ter levado dados

da empresa, 61% também relataram ter uma visão desfavorável de seu antigo

empregador.

Segundo a Symantec os tipos de dados mais comumente levados

pelos ex-funcionários incluem listas de e-mail, dados de outros colaboradores e

informações de clientes, incluindo listas de contatos e informações não-

financeiras. Apesar dos participantes da pesquisa estar divididos entre

inúmeras segmentos de atuação, o mais alto percentual de participantes da


36

pesquisa foi da indústria de serviços financeiros. Outros resultados da

pesquisa:

• 53% dos participantes copiaram informações em um CD ou DVD,

42% em drive USB e 38% enviou arquivos anexados para sua

conta pessoal de e-mail;

• 79% dos participantes levaram os dados sem a autorização do

empregador;

• 82% dos participantes afirmaram que seu empregador não realizou

uma auditoria ou uma revisão dos papéis ou documentos

eletrônicos antes que ele/ela deixasse o emprego;

• 24% dos participantes tiveram acesso ao sistema ou rede de

computadores do empregador após a saída da empresa.

O Instituto Ponemon realizou a pesquisa via internet em janeiro de 2009

e teve a participação de cerca de 1000 participantes dos Estados

Unidos que deixaram o emprego nos últimos 12 meses.

Declarações

“A perda de dados durante a demissão de funcionários pode ser prevenida.

Podemos evitar que funcionários enviem conteúdo sensível para contas

pessoais de Webmail ou o copiem para drives USB”, declarou Rob Greer,

diretor sênior de gerenciamento de soluções para a Prevenção da Perda de

Dados da Symantec.

“As empresas precisam implementar tecnologias para a prevenção de

perda de dados para saber exatamente quais dados sensíveis possuem, como


37

eles estão sendo usados e para prevenir que eles sejam copiados ou enviados

para fora da empresa”.

“As descobertas da pesquisa devem soar o alarme para todas as indústrias:

seus dados sensíveis estão saindo pela porta da frente da empresa com os

seus funcionários. Mesmo que demissões não sejam iminentes, as empresas

precisam ter mais consciência de quem possui acesso a informações

empresariais sensíveis”, declarou Larry Ponemon, chairman e fundador do

Instituto Ponemon LLC. “A nossa pesquisa sugere que grande parte da perda

de dados possa ser prevenida por meio do uso de políticas claras, melhor

comunicação com os funcionários e controles adequados para o acesso aos

dados”.

Em função desses fatores, sempre existirão brechas em seu caráter

ou comportamento pouco consciente com relação à segurança, onde a

engenharia social poderá ser plenamente eficaz.

Para amenizar estes riscos, é recomendável que as empresas criem

políticas de segurança centralizada e bem divulgada, para que todos os seus

colaboradores saibam como proteger a si mesmo e as informações que estão

em seu poder, evitando com isso o risco dos funcionários se acomodarem na

rotina diária passando a descuidar da segurança da informação. A intranet

pode ser um recurso valioso para esta divulgação, assim como boletins

periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de

senha e treinamento.

O treinamento deve estender-se por toda a empresa isto é: Diretores,

gerentes, supervisores, e demais funcionários, que devem ser orientados para

eficácia da missão.

Nestes treinamentos devem ser exploradas as táticas comuns de

intromissão e as estratégias de prevenção. Quando alguém captar sinais de


38

um ataque, deve imediatamente alertar os demais, para que não sejam

também abordados.

Seguem medidas importantes que podem ajudar a evitar o repasse das

informações de maneira incorreta. (SYMANTEC)

• Estabeleça política de utilização da Internet e regras a respeito

do uso pessoal do e-mail. Isto ajudará também os gerentes de TI

a configurar e monitorar soluções de segurança da rede com

maior eficiência. Determine a necessidade de cada funcionário

acessar informações especificas, e restrinja o acesso somente

para o que for necessário a cada função na empresa;

• Utilize recursos que permitam a verificação de conteúdo impróprio

nos e-mails ou em outras atividades da Internet que estejam

fora dos parâmetros determinados pela Companhia, dificultando

a entrada de virus no sistema. Informe os funcionários sobre os

perigos de fazer download de softwares ou outros arquivos

gratuitos;

• Atualize o antivírus, de modo a evitar as brechas de segurança

conhecidas dos softwares reduzindo assim as chances de uma

entrada de vírus pelas páginas da Web ou por e-mail;

• Desenvolva uma política para senhas, requisitando freqüentes

mudanças nas mesmas. Isto só será eficaz se os funcionários

foram treinados para o sigilo das senhas;

• Classifique todas as informações confidenciais com base no grau

de importância;


39

• Estabeleça procedimentos em toda a empresa para descartar

as informações confidenciais;

• Insista para que todas as informações confidenciais descartadas

sejam passadas pela máquina cortadora de papel. As máquinas

não devem ser muito baratas, as quais resultam em tiras de

papel que podem ser montadas novamente por um atacante

determinado e com paciência. Elas devem ser do tipo que fazem

cortes cruzados ou que transforma a saída em polpa inútil;

• Estabeleça um modo de inutilizar ou apagar completamente

a mídia de computador (disquetes, discos Zip, CDs, e DVDs

usados para armazenar arquivos, fitas removíveis ou unidades

de disco rígido antigas e outras mídias de computador) antes de

descartá-la. Lembre-se de que os arquivos apagados não são

realmente removidos; eles ainda podem ser recuperados. Jogar

simplesmente no lixo é um convite para “vira-latas” de plantão;

• Mantenha um nível de controle apropriado sobre a seleção das

pessoas da sua equipe de limpeza usando a verificação de

antecedentes;

• Usar contêineres separados para material confidencial e fazer

com que os materiais dispensados sejam manuseados por uma

empresa especializada nesse trabalho. Estes contêineres

deverão se trancados.


40

CAPÍTULO IV

GESTÃO DE RISCO

DEFINIÇÃO

A gestão de riscos corporativos é um processo conduzido em uma

organização pelo conselho de administração, diretoria e demais empregados,

aplicado no estabelecimento de estratégias, formuladas para identificar em

toda a organização eventos em potencial, capazes de afetá-la, e administrar os

riscos de modo a mantê-los compatível com o apetite a risco da organização e

possibilitar garantia razoável do cumprimento dos seus objetivos. Essa

definição reflete certos conceitos fundamentais. Tais como: (BRASILIANO)

• Um processo contínuo e que flui através da organização;

• Aplicado em toda organização e conduzido pelos profissionais em

todos os níveis da organização;

• Usado à definição das estratégias, inclui a formação de uma

visão de portfólio de todos os riscos a que empresa está exposta;

• Formulado para identificar eventos em potencial, cuja ocorrência

poderá afetar a organização, e para administrar os riscos de

acordo com seu apetite a risco;

• Capaz de propiciar garantia razoável para o conselho de

administração e a diretoria executiva de uma organização;

• Orientado para a realização de objetivos em uma ou mais

categorias distintas, mas dependentes.


41

.Essa definição é ampla e adota conceitos fundamentais sobre a

forma como as empresas e outras organizações administram riscos,

possibilitando uma base para sua aplicação em organizações, indústrias e

setores. O gerenciamento de riscos corporativos orienta seu enfoque

diretamente para o cumprimento dos objetivos estabelecidos por uma

organização específica e fornece parâmetros para definir a eficácia desse

gerenciamento de riscos.

“Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer

como resultado das decisões exigidas por toda a organização.”

4.1. - Componentes da Gestão de Riscos Corporativos

O gerenciamento de riscos corporativos é constituído de oito

componentes inter-relacionados, pela qual a administração gerência a

organização, e estão integrados com o processo de gestão. Esses

componentes são: (BRASILIANO,2009)

• O ambiente interno - compreende o tom de uma organização e

fornece a base pela qual os riscos são identificados e abordados

pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos,

o apetite a risco, a integridade e os valores éticos, além do

ambiente em que estes estão.

• Fixação dos Objetivos: os objetivos devem existir antes que a

administração possa identificar os eventos em potencial que

poderão afetar a sua realização. O gerenciamento de riscos

corporativos assegura que a administração disponha de um

processo implementado para estabelecer os objetivos que


42

propiciem suporte e estejam alinhados com a missão da

organização e sejam compatíveis com o seu apetite a riscos.

• Identificação de Eventos: os eventos internos e externos que

influenciam o cumprimento dos objetivos de uma organização

devem ser identificados e classificados entre riscos e

oportunidades. Essas oportunidades são canalizadas para os

processos de estabelecimento de estratégias da administração ou

de seus objetivos.

• Avaliação de riscos: os riscos são analisados, considerando-se a

sua probabilidade e o impacto como base para determinar o

modo pelo qual deverão ser administrados. Esses riscos são

avaliados quanto à sua condição de inerentes e residuais.

• Resposta a Risco: a administração escolhe as respostas aos

riscos - evitando, aceitando, reduzindo ou compartilhando -

desenvolvendo uma série de medidas para alinhar os riscos com

a tolerância e com o apetite a risco.

• Atividades de Controle: políticas e procedimentos são elaborados

e implementados para assegurar que as respostas aos riscos

sejam executadas com eficácia.

• Atividades de Controle: as informações relevantes são

identificadas, colhidas e comunicadas de forma e no prazo que

permitam que cumpram suas responsabilidades. A comunicação

eficaz também ocorre em um sentido mais amplo, fluindo em

todos níveis da organização.

• Monitoramento: a integridade da gestão de riscos corporativos é

monitorada e são feitas as modificações necessárias. O


43

monitoramento é realizado através de atividades gerenciais

contínuas ou avaliações independentes ou de ambas as formas.

A rigor, o gerenciamento de riscos corporativos não é um processo em

série pelo qual um componente afeta apenas o próximo. É um processo

multidirecional e interativo segundo o qual quase todos os componentes

influenciam os outros.

4.2 - Perspectivas dos riscos nas empresas

Hoje com a oscilação do mercado mundial, em função das constante

mudanças econômicas, ambientais, sociais, tecnológicas etc., colocando a

estabilidade dos negócios em risco. Sobreviver aos danos causados por este

impacto é a principal razão para que qualquer empresa, através de seu gestor,

programe um Plano de Continuidade de Negócios.

Podemos definir ‘Plano de Continuidade de Negócios’ (PCN) como o

planejamento e a realização de ações que têm como objetivo assegurar a

continuidade das operações dos processos de negócio da empresa, na

eventualidade de uma indisponibilidade prolongada dos recursos que dão

suporte à realização dessas operações.

4.2.1 - Riscos como fator de perigo ou ameaça

O risco pode ser considerado o produto do perigo (evento físico e seu

impacto) em conjunto com a vulnerabilidade (susceptibilidade ao perigo ou à

perda). Vejamos a diferença entre risco e perigo.

O risco, definido tecnicamente, tem a implicação adicional de que há

uma possibilidade de que um perigo real pode acontecer. O perigo é definido

como "... situação em que está ameaçada a existência ou integridade de uma


44

pessoa ou de uma coisa;" e risco como "... a probabilidade da ocorrência do

perigo"

A avaliação do risco não pode estar dissociada dos valores e dos

julgamentos, que são condicionados por sua vez pelas crenças e pelas

circunstâncias individuais. Muitas pessoas tomam decisões e agem em relação

aos perigos que enfrentam baseadas em sua visão pessoal do risco, em vez

de usar uma medida objetiva do perigo. Conseqüentemente, as percepções de

risco devem também ser consideradas como um componente importante para

o planejamento de estratégia para a administração de risco, juntamente com

medidas objetivas de avaliação desses processos. Geralmente, há uma

distinção entre os perigos reais e os percebidos, principalmente porque as

pessoas observam os riscos diferentemente das predições feitas baseadas nos

modelos de avaliação objetiva.

A percepção do perigo está relacionada aos desastres e é influenciada

por um grupo dos fatores inter-relacionados que incluem experiências

passadas, atitudes atuais em relação ao evento, personalidade e valores,

juntos com as expectativas futuras. Um fator importante é a experiência

passada com o evento. Os desastres, os quais as pessoas não estão

familiarizadas, têm o potencial de causar comprometimento psicológico maior..

4.2.2 - Riscos como fator de incerteza

Um dos fatores que podem complicar uma tomada de decisão racional

é a incerteza. A maior parte das decisões, sobretudo as mais importantes, é

tomada com base em algum tipo de previsão, o que, por si só, já coloca o fator

incerteza no processo de decisão. Mesmo que o problema não exija.

O fato mais difícil, numa análise de risco, é justamente a estimativa

das probabilidades. Ela é, desta forma, uma medida de incerteza. Assim,

mesmo que o problema seja novo para o gestor, ele sempre terá informações


45

a respeito (sem informação alguma o problema fica realmente difícil), que lhe

dão certa sensibilidade acerca da incerteza dos fatores envolvidos.

Todas as organizações enfrentam incertezas, e o desafio de sua

administração é determinar o nível de risco que a empresa está preparada

para suportar, na medida em que se empenha para crescer. Com um pouco de

esforço de imaginação, o gestor pode quantificar o grau de certeza (ou

incerteza) que em sobre cada fator. Com isso, estará definindo, em termos

numéricos, a probabilidade de ocorrência do fator que ele acha razoável.

4.2.3 - Riscos como fator de oportunidade

Os eventos podem gerar impacto tanto negativo quanto positivo ou

ambos. Os que geram impacto negativo representam riscos que podem afetar

o patrimônio da empresa. Os de impacto positivo podem contrabalançar os

negativo ou podem representar oportunidades, que possibilitam um evento

ocorrer e influenciar favoravelmente a realização dos objetivos.

4.3 – Classificações de riscos empresariais

4.3.1 - Riscos Estratégicos

São as diretrizes que mobilizam os recursos de uma organização

visando o longo prazo. Inclui proteção ou adaptação à mudança mercadológica

e no meio clima organizacional. Agrega valor aos acionistas através de

objetivos estratégicos alinhados à missão/visão da organização.

O Risco Estratégico leva em conta o posicionamento da organização

no mercado, assim como o traçado nos planos de ação, de onde partem

importantes tomadas de decisão. Este grupo de riscos sofre influência


46

constante do ambiente externo, como os cenários político, macroeconômico e

tecnológico, além de mudanças no ambiente regulatório.

Para entender e medir possíveis perdas devido às flutuações do

mercado, é importante identificar e quantificar o mais corretamente possível as

volatilidades e correlações dos fatores de mercado que impactam a dinâmica

do preço do ativo. Incluem-se nesta avaliação os riscos relacionados à

reputação da organização, ou seja, os Riscos de Imagem.

4.3.2 - Riscos Financeiros

São os objetivos decorrentes da gestão ampla do caixa, nas atividades

de aplicação e captação de recursos em operações nos mercados financeiros.

A adequação da estrutura de capitais, grau de utilização de fontes alternativas

de capital, administração de risco e visão estratégica.

Entre os principais benefícios do gerenciamento dos Riscos

Financeiros está a ajuda às empresas a manter os seus fluxos de caixa menos

instáveis, diminuir o risco de estresse financeiro, garantir a programação de

investimento, reduzir o custo médio de capital e o custo tributário, e agregar

valor à empresa.

4.3.3 - Riscos Operacionais

São aqueles que contribuem com a produção e distribuição dos

produtos e serviços da companhia nas condições e prazos estabelecidos.

Promove a eficácia e eficiência operacional. Inclui desempenho da base

produtiva, modernidade das instalações, grau de maturidade tecnológica e

visão estratégica, qualidade e organização dos recursos humanos,

instrumentos de gestão.

O Risco Operacional está relacionado a possíveis perdas como

resultado de sistemas e controles inadequados, falhas de gerenciamento e


47

erros humanos. São aqueles ligados de alguma forma ao curso produtivo da

empresa. São provavelmente os mais complexos de serem tratados, pela sua

amplitude, caráter do relacionamento humano, e pela eventual dificuldade em

sua identificação.

O desafio da gestão do risco operacional assenta-se em três questões

básicas, cada uma delas imprescindível na estruturação das demais: Fusões &

Aquisições Processos; Avaliação de custos de riscos, de custos dos controles

e dos resultados decorrentes das alternativas de controle; Definição de

indicadores de riscos. A última delas é que de fato nos permite adotar medidas

que busquem reduzir as chances de ocorrência do risco (a adoção dessas

medidas pode implicar em custos proibitivos comparativamente com os custos

dos riscos - o segredo é gerir resultados, e não gerir riscos). (ACQUISITIONS)

O Risco operacional pode ser dividido em três grandes áreas:

• Risco organizacional: está relacionado a uma organização

ineficiente, ou seja, a uma administração inconsistente e sem

definição de objetivos de longo prazo, fluxo deficiente de

informações internas e externas, responsabilidades mal definidas,

fraudes, acesso dos concorrentes a informações internas, etc.;

• Risco de operações: diz respeito a problemas como sub-

dimensionamento de sistemas e erros, confirmações incorretas ou

sem verificação criteriosa etc.;

• Risco de pessoal: se refere a problemas como empregados não

qualificados e/ou pouco motivados, de personalidade fraca, falsa

ambição, carreiristas etc.

Para mapear os riscos operacionais desenvolve-se um macro fluxo o

processo, identificando os pontos chaves, riscos e os controles. Em seguida é

validado com todas as pessoas envolvidas.


48

CONCLUSÃO

A questão de como os gestores das empresas pode conscientizar,

esclarecer e informar seus colaboradores sobre os riscos existentes na área de

Segurança da Informação, foi abordada a partir dos estudos de livros e artigos

voltados a análise da Engenharia Social sob o foco da Gestão Empresarial.

A análise dos dados evidenciou que os problemas de Segurança da

Informação estão concentrados na maioria das vezes no fator humano.

Portanto, podemos afirmar que ao transformar usuários simples e

despreparados em agentes treinados e capacitados para identificar uma

possível ameaça, estaremos reforçando as políticas de segurança da

Informação da organização.

Essas ações, no entanto, implicam em mudanças culturais,

comportamentais, que em geral, sofrem resistências pela maioria da equipe. É

necessário, portanto, sensibilizar usuários e gestores para que se possa

realizar um trabalho efetivo. Dessa forma as recomendações partem do ponto

de vista de que os gestores priorizem os aspectos humanos e

comportamentais dos sistemas de segurança.

A área de Gestão da Segurança da Informação é nova e para muitos o

investimento em treinamento para todos os níveis da organização é uma das

melhores e mais efetivas formas de se minimizar riscos e acelerar o

crescimento..

Nesse sentido, evidenciam-se ser necessário cada vez mais ações

educacionais e de capacitação para diretores, gerentes e demais

colaboradores.


49

Segundo alguns gestores em segurança da informação, a engenharia

social será a maior ameaça à continuidade dos negócios desta década. Então

de nada valerão os milhões investidos em tecnologia, se o fator humano for

deixado em segundo plano. É recomendável que haja uma política de

segurança centralizada e bem divulgada, para que todos saibam como se

defender e a quem recorrer em caso de dúvidas.

Ignorar a ação do Engenheiro Social pode ser uma falha na gestão de

segurança da empresa, pois trará problemas sérios tantos de ordem pessoal,

financeira ou de imagem e posicionamento.

Lembre-se, agora mesmo pode haver um Hacker ligando para sua

empresa. Você está tranqüilo?


50

BIBLIOGRAFIA CONSULTADA

ABAGNALE, Frank W. Prenda-me se for capaz. Rio de Janeiro: Record,

2003.

ADNEWS. Fraudes no Internet Banking. São Paulo, 14-01-2009

http://www.adnews.com.br/telecom.php?id=82362. 5-11,2009.

ACQUISITIONS CONSULTORIA EMPRESARIAL. Matriz de Riscos. São

Paulo. www.acquisitions.com.br/pdf/matriz_risco.pdf. 5-11,2009.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.

NBRISO/IEC17799: Tecnologia da Informação - Código de prática para a

gestão da segurança da informação. Rio de Janeiro, 2001.

BRASILIANO, A. C. R. Entendendo Riscos Corportivos, São Paulo,

2008. http://www.brasiliano.com.br/blog/?p=274. 5-11,2009

___________________. Fraude – Gerenciando Riscos de Fraude

através de sua Lógica, 4ª ed: São Paulo, 2009. 5-11,2009

__________________. Fuga de Informação através da Engenharia

Social,SãoPaulo, 2009. http://www.brasiliano.com.br/blog/?p=1654. 5-11,2009

COMMITTEE OF SPONSORING ORGANIZATIOHS OF THE

TREADWAY COMMKISSION (COSO): Gerenciamento de Risco Corporativo.

Copyright ©2007.

http://www.adnews.com.br/telecom.php?id=82362

http://www.acquisitions.com.br/pdf/matriz_risco.pdf

http://www.brasiliano.com.br/blog/?p=274

http://www.brasiliano.com.br/blog/?p=1654


51

FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS

(FERMA).Estados Unidos. Norma de Gestão de Riscos. 2002.

www.ferma.eu/Portals/2/documents/RMS/RMS-Port(2).pdf. 15-11,2009

FILTRO de conteúdo: treinamento de segurança na Internet para

funcionários. In: SYMANTEC Corporation. 1995. Disponível em:

<http://www.google.com.br/search?q=cache:o7nFGmoEhTAJ:www.symantec.

com.tw/region/br/enterprisesecurity/content/content_filter3.html+â¢Informe+os+

funcionÃ¡rios+sobre+os+perigos+de+fazer+download+de+softwares+e+proteto

res+de+tela+gratuitos&hl=pt-BR>. .

IBOPE//NetRatings , Internet no Brasil Cresceu 10 % no mês de julho,

2009. Disponível em:

http://www.ibope.com.br/calandraWeb/servlet/CalandraRedirect?temp=5&proj=

PortalIBOPE&pub=T&db=caldb&comp=Not%EDcias&docid=62A33B253477B5

8783257619004BD15C

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC).

Guia de Orientação para Gerenciamento de Riscos Corporativos. 2007

MCGEE, J.; PRUSAK, L.; Gerenciamento Estratégico da Informação;

Editora Campus, 1994

MARCELO, Antônio; PEREIRA MARCOS. A Arte de Hackear Pessoas.

Rio de Janeiro: Brasport, 2005.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de

Hackers: controlando o fator humano na segurança da informação. São Paulo:

Pearson Education, 2003.

MONITOR DAS FRAUDES: Fraudes no Internet Banking. 2009.

http://www.fraudes.org/clipread.asp?CdClip=8602. 15-11,2009

http://www.ferma.eu/Portals/2/documents/RMS/RMS-Port%282%29.pdf

http://www.ibope.com.br/calandraWeb/servlet/CalandraRedirect?temp=5&proj=PortalIBOPE&pub=T&db=caldb&comp=Not%EDcias&docid=62A33B253477B58783257619004BD15C



http://www.fraudes.org/clipread.asp?CdClip=8602


52

NEXTGENERATION CENTER - INTEL: Segurança da Informação.

http://www.scribd.com/doc/3808475/-Seguranca-Seguranca-da-Informacao. 15-

11,2009

O JOGO da segurança; descubra as ameaças e vulnerabilidades em

ambiente corporativo. Módulo Security Magazine, São Paulo, n. 345, 1jun.

2004. http://www.modulo.com.br/media/boletins/2004/msnews_no345.htm.

5-11,2009

PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança

da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

RAMOS, Anderson. Security Officer 1 – Guia Oficial para Formação:

de Gestores em Segurança da Informação. Rio de Janeiro: Zouk, 2006.

REDE NACIONAL DE ENSINO E PESQUISAS (RNP). Alerta do cais

ALR-02042003: fraudes em Internet banking. 2004.

http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html. 5-11,2009

REVISTA VEJA. Mouse ao alto!. Rio de Janeiro Ed: 2113 20-05-09.

Disponível em: http://veja.abril.com.br/200509/p_088.shtml

SÊMOLA, Marcos. Gestão da segurança da informação: uma visão

executiva. Rio de Janeiro: Campus, 2003.

SILVA, Paulo Tavares; CARVALHO, Hugo; TORRES, Catarina

Botelho. Segurança dos Sistemas de Informação – Gestão Estratégica da

Segurança Empresarial. Portugal, Editora CentroAtlantico PT, 2003.

SCHNEIER, Bruce. Segurança.com: Segredos e mentiras sobre a

proteção na vida digital. Rio de Janeiro: Campus, 2001. 403 p.

http://www.scribd.com/doc/3808475/-Seguranca-Seguranca-da-Informacao

http://www.modulo.com.br/media/boletins/2004/msnews_no345.htm

http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html.%205-11%2C2009

http://veja.abril.com.br/200509/p_088.shtml


53

SYMANTEC CORPORATION. Pesquisa revela: mais da metade dos

ex-funcionários admite ter roubado dados da empresa onde trabalhava. 2009.

http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20090304_01. 5-11,2009

http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20090304_01


54

ÍNDICE

FOLHA DE ROSTO 2

AGRADECIMENTO 3

DEDICATÓRIA 4

RESUMO 5

METODOLOGIA 6

SUMÁRIO 7

INTRODUÇÃO 8

CAPÍTULO I

ENGENHARIA SOCIAL 9

1.1 - Perfil do Engenheiro Social 9

1.2 - Ferramentas do Engenheiro Social 10

1.3 - A Arte do Engenheiro Social e Suas Técnicas 12

1.3.1 - Informações inofensivas x valiosas 12

1.3.2 - Conquistando confiança 12

1.3.3 - Simplesmente pedindo 13

1.3.4 Técnica do “Posso Ajudar ?” 14

1.3.5 Técnica do “Você pode me ajudar ?” 15

1.4 A Engenharia Social na Internet 15

1.4.1 “Internet Banking” 18

1.5. Pontos fracos explorados pelo Engenheiro Social 22

CAPÍTULO II

GESTÃO DA SEGURANÇA DA INFORMAÇÃO 25

2.1 - Atributos Básicos da Segurança 25

2.2 - Diferenciando Ameaça de Vulnerabilidade 27

2.3 - Riscos de Segurança 27

2.3.1 - Segurança é Administrar Riscos 28


55

CAPÍTULO III

GESTOR DA SEGURANÇA DA INFORMAÇÃO 30

3.1 - Perfil do Gestor 31

3.2 - Engenheiro Social x Gestor de Segurança 33

3.3 - Como evitar ou dificultar a entrega de informações 34

CAPÍTULO IV

GESTÃO DE RISCO 39

4.1. - Componentes da Gestão de Riscos Corporativos 40

4.2 - Perspectivas dos riscos nas empresas 42

4.2.1 - Riscos como fator de perigo ou ameaça 42

4.2.2 - Riscos como fator de incerteza 43

4.2.3 - Riscos como fator de oportunidade 44

4.3 – Classificações de riscos empresariais 44

4.3.1 - Riscos Estratégicos 44

4.3.2 - Riscos Financeiros 45

4.3.3 - Riscos Operacionais 45

CONCLUSÃO 47

BIBLIOGRAFIA CONSULTADA 49

ÍNDICE 52

universidade candido mendes pÓs-graduaÇÃo “lato … · infelizmente o que vemos na prática é...

Documents