JOSU COSTA JNIOR

SEGURANA DA INFORMAO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social

JEQUI-BA. 2012

JOSU COSTA JNIOR

SEGURANA DA INFORMAO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social
Artigo apresentado ao curso de psgraduao como requisito obrigatrio para obteno do ttulo de especialista em Gesto em Tecnologia da Informao, da Faculdade de Tecnologia e Cincia. Orientador: Prof. MsC. Saulo Correia Peixoto

JEQUI-BA. 2012

FOLHA DE APROVAO
Nome do aluno: _____________________________________________________ Curso: _____________________________________________________________ Ttulo do Artigo:_____________________________________________________ PARECER: 1) Trabalho aprovado sem alterao 3) Trabalho no aprovado comentar Comentrios: ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________ NOTA:___________ Data de aprovao / / 2) Trabalho aprovado com sugesto comentar

BANCA EXAMINADORA:

Orientador Prof. FACULDADE DE TECNOLOGIA E CINCIAS DE UNIDADE (CIDADE)

Prof. Titulao. Coordenador do Curso de Nome do Curso FACULDADE DE TECNOLOGIA E CINCIAS DE UNIDADE (CIDADE) JEQUI-BA. 2012

SEGURANA DA INFORMAO Ferramentas e atitudes eficazes para minimizar ataques de Engenharia Social

Josu Costa Jnior1 Saulo Correa Peixoto2

RESUMO Este estudo discute diversos pontos de vista de autores sobre segurana da informao e engenharia social. Revisa textos com base nos conceitos e fundamentos da segurana, e nas tendncias de ataques contra o maior ativo de uma organizao, a informao. Seu objetivo identificar ferramentas, medidas e principalmente atitudes comportamentais que poderiam minimizar ataques contra sistemas de informao das organizaes. Conclui que, mesmo no sendo definitiva, a melhor forma de minimizar as vulnerabilidades humanas diante de ataques de engenharia social , a reformulao contnua de polticas de segurana, a conscientizao e o treinamento contnuo de pessoal e, sobretudo, o comprometimento dos profissionais da alta gesto da empresa diante deste tema. Palavras Chave: Segurana. Informao. Humano. Social. Engenharia. Conscientizao. ABSTRACT This study discusses different views of authors on information security and social engineering. Revises text based on the concepts and fundamentals of safety, and on tendencies in attacks against an organization's greatest asset, information. Your purpose is to identify tools, tactics and especially behavioral attitudes that could minimize attacks against information systems of organizations. Concludes that, while not definitive, the best way to minimize human vulnerabilities facing social engineering attacks is continuous reformulation of security policies, awareness and on going training of staff and especially the commitment of top management professionals company on this issue. Key Words: Security. Information. Human. Social. Engeneering. Awareness.

1 Pos-graduando em Gesto em Tecnologia da Informao, pela Faculdade de Tecnologia e Cincias FTC. Rua Antnio Orrico, 357, So Judas Tadeu, Jequi/Bahia, CEP: 45.204-010. E-mail: josuecostajr@gmail.com 2 Professor Orientador da Faculdade de Tecnologia e Cincias - FTC; Mestre em Administrao Pblica; Especialista em Redes de Computadores, Metodologia do Ensino Superior, Auditoria Fiscal e Criminalstica; e Bacharel em Cincias da Computao. E-mail: saulopeixoto@hotmail.com

5 1 INTRODUO De todas as mudanas que marcaram a sociedade chamada produtiva nas ltimas dcadas, nenhuma foi mais importante que o aumento da informao. Sejam em diferentes aspectos ou em pocas distintas a informao ganhou seu espao tornando-se o bem mais valioso do sculo atual. Com este crescimento a tecnologia da informao se difundiu to rapidamente que ningum mais sobrevive a este contexto sem algum tipo de dispositivo eletrnico que possibilite o acesso rede mundial (internet). Vivendo na era ps-PC 3, a sociedade moderna realiza atividades por meios eletrnicos, que antes exigiam aes presenciais e manuais de seus realizadores. Compras online, pagamentos e transferncias bancrias, comunicao por mensagens instantneas ou voz, so minimas tarefas, atualmente, possveis de serem realizadas por meios eletrnicos. Para Siqueira (2005), os mercados empresariais tambm se modificaram com essa nova realidade. Cada vez mais no ambiente corporativo se ouve falar em: videoconferncia, aplicaes remotas, conectividade, e-commerce, fibra-tica, correio eletrnico, biblioteca virtual, certificados digitais, ensino distncia, moeda eletrnica, assinatura digital, telefonia digital, lixo eletrnico, entre outros. No entanto, na mesma proporo que o uso destas facilidades abriram novas fronteiras e tornaram a sociedade moderna na sociedade da informao, tambm se abriram outras possibilidades: aes que ameaam a segurana. A facilidade para roubar senhas e cdigos de acesso e assim ganhar acesso indevido informao, se tornou to incrivelmente iminente quanto o crescimento tecnolgico das ltimas dcadas. No cenrio corporativo, Smola (2003) diz que compartilhar informao passou a ser considerada uma prtica moderna de gesto, necessria s empresas que buscavam maior velocidade nas aes. A informao e o conhecimento tornaram-se os principais recursos econmicos para a competitividade das empresas, criando uma necessidade de valorizao, manuteno e desenvolvimento das organizaes de forma plena e organizada. (SIQUEIRA, 2005). Nesta realidade empresarial moderna percebe-se o quanto as empresas tem se tornado cada vez mais dependentes da informao muito mais digitalizada, compartilhada e distribuda
3 O termo ps-PC comeou a ser badalado em uma entrevista de Steve Jobs, da Apple, quando do anncio do iPad2. E no
uma buzzword. real e suas consequncias iro revolucionar o uso dos equipamentos pessoais. Fonte: http://computerworld.uol.com.br/blog/tecnologia/2011/12/12/a-era-pos-pc/

6 alm, de todo o material humano e infra-estrutura envolvidos, que a mantm, controla e a gerencia. E justamente neste panorama, que da mesma maneira que cada pessoa deve ter cuidado com seus documentos pessoais, as organizaes devem ter cuidado com todo o tipo de informao que circula dentro dela, referente, sobretudo s pessoas que por elas so responsveis, como por exemplo, os profissionais ligados s reas administrativas e gerenciais. 1.1 Problema O surgimento de vrios especialistas na prtica de crimes baseados na explorao de falhas de arquiteturas e sistemas, demonstram que a segurana da informao nos ambientes corporativos merece uma maior ateno. Entretanto, o despreparo de colaboradores envolvidos nas reas de gesto, para lidar e reconhecer situaes de riscos, se torna um dos fatores predominantes na quebra da confidencialidade de informaes vitais ao negcio, mostrando assim que a maior das falhas constatada ainda a ingenuidade humana. Diante do exposto surge ento o problema motivador desta pesquisa: Quais so as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurana da informao diante de ataques de Engenharia Social? O tema deste estudo tem como base a vulnerabilidade da Segurana da Informao diante da Engenharia Social, o que o torna extremamente abrangente. Desde os objetos de proteo at os fatores ambientais, como rede de relacionamentos do indivduo e o conhecimento externo que as pessoas tem a seu respeito, so pontos fortes explorveis dentro desta temtica. 1.2 Objetivos O objetivo final deste trabalho identificar as ferramentas e atitudes eficazes para minimizar as vulnerabilidades de segurana da informao diante de ataques de Engenharia Social. Para tanto foi necessrio perpassar os seguintes objetivos intermedirios: - Entender elementos de segurana da informao, no mbito fsico, tecnolgico e humano; - Abordar quesitos relevantes de ameas e vulnerabilidades segurana da informao nas organizaes; - Abordar a importncia da gesto da segurana das informaes para os executivos

7 envolvidos na administrao de uma Organizao; - Verificar questes de tica quanto segurana da informao para os profissionais envolvidos nas diversas reas de gesto de uma organizao; - Analisar a difuso do conceito de Engenharia Social entre os profissionais da rea administrativa e operacional (Treinamento e Conscientizao). 2 METODOLOGIA O presente estudo, atravs de sua metodologia, pretende discutir os diversos pontos de vista de autores sobre segurana da informao e engenharia social atravs da reviso de suas obras. Quanto aos fins, trata-se de uma abordagem de carter explicativo, atravs de levantamento bibliogrfico e estudos de dados e informaes que visem compreender o problema proposto. De acordo com Roesch (1999) apud Castro (2006), a reviso da literatura, na prtica, implica seleo, leitura e anlise de textos relevantes ao tema do projeto, seguida de um relato por escrito. Quanto aos meios, a pesquisa tem carter bibliogrfico, j que esto sendo utilizados como fonte de informao, obras de vrios autores envolvidos nos temas explorados neste trabalho. Portanto, o contedo do referencial terico deste estudo composto por informaes extradas de livros e artigos na Internet referentes Segurana da Informao, Engenharia Social e Gesto da Informao. 3 REVISO DE LITERATURA 3.1 Informao Para chegar ao ponto conceitual da informao preciso primeiramente entender o conceito que serve de base para a informao: os dados. De acordo com Turban et al (2004), dados so itens referentes a uma descrio primria de objetivos, eventos, atividades e transaes que so gravados, classificados e armazenados, mas no chegam a ser organizados de forma a transmitir algum significado especfico. Os dados podem ser numricos, alfanumricos, figuras, som ou imagens.

8 Em concordncia com o conceito citado acima, Laudon e Laudon (2004) diz que dados representam eventos que esto ocorrendo nas organizaes ou no ambiente fsico, antes de terem sido organizados e arranjados de uma forma que as pessoas possam entend-los e uslos. Segundo Turban et. al. (2004) informao todo conjunto de dados organizados de forma a terem sentido e valor para seu destinatrio. Este interpreta o significado e tira concluses do material desenvolvido pelos dados. Laudon e Laudon (2004) conceituam a informao de forma mais simplificada: dados apresentados em uma forma significativa e til para os seres humanos. Filho (2004) diz que informao compreende qualquer contedo que possa ser armazenado ou transferido de algum modo, servindo a determinado propsito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisio de conhecimento. Smola (2003) define como informao:
... conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processos comunicativos ou transacionais. () A informao pode estar presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvos de proteo de segurana da informao. SMOLA (2003:45)

De acordo Smola (2003 apud Peixoto, 2006), a informao representa a inteligncia competitiva dos negcios e reconhecida como ativo crtico para a continuidade operacional da empresa. Para Smola (2003) a informao o sangue da empresa. Distribuda por todos os processos de negcios e circulando por diversos ativos (tudo o que manipula direta ou indiretamente a informao inclusive ela prpria), ambientes e tecnologias, a informao cumpre um papel importante para fornecer instrumentos para gesto do negcio. A informao transmitida de e para a empresa e entre seus integrantes. Assim, os recursos fsicos de sistemas de informaes, dados, software, procedimentos e quaisquer outros recursos de informao ficam vulnerveis em muitos lugares e a todo instante. (TURBAN et. al., 2004). Na grande maioria das situaes, usurios de informaes desconhecem seu valor e podem colocar a si ou uma instituio numa condio vulnervel, principalmente, quando diante de um engenheiro social (FILHO, 2004).

9 3.2 Segurana da Informao nas Empresas O termo segurana abarca polticas, procedimentos e medidas tcnicas usados para impedir acesso no autorizado, alterao, roubo ou danos fsicos a sistemas de informao. Ele pode se dar por um conjunto de tcnicas e ferramentas, destinadas a salvaguardar hardwares, softwares, rede de comunicao e dados. (LAUDON e LAUDON, 2004). Peixoto (2006) diz que o termo Segurana da Informao pode ser designado como uma rea do conhecimento que salvaguarda os chamados ativos da informao contra os acessos indevidos, modificaes no autorizadas ou at mesmo sua no disponibilidade. Segundo Smola (2003), a expresso Segurana da Informao um termo ambguo, podendo assumir dupla interpretao: 1. Segurana como uma prtica adotada para tornar um ambiente seguro (atividade, ao, preservao dos princpios), de carter interdisciplinar, composta de um conjunto de metodologias e aplicaes que visam estabelecer: controles de segurana dos elementos constituintes de uma rede de comunicao e/ou que manipulem a informao (por exemplo, de autenticao, autorizao e auditoria); e procedimentos para garantir a continuidade de negcios na ocorrncia de acidentes. 2. Resultado da prtica adotada, objetivo a ser alcanado. a caracterstica que a informao adquire ao ser alvo de uma prtica de segurana (segura adjetivo, objetivo prtica). Portanto, ao se utilizar este termo, SMOLA (2003:44) diz que devemos ter conscincia desta ambiguidade, a fim de identificar o conceito mais apropriado. Por exemplo: Segurana como meio: A segurana da informao visa garantir a confidencialidade, integridade e disponibilidade da informao, a impossibilidade de que agentes participantes em transaes ou na comunicao repudiem a autoria de suas mensagens, a conformidade com a legislao vigente e a continuidade dos negcios. Segurana como fim: A segurana da informao alcanada por meio de prticas e polticas voltadas a uma adequada padronizao operacional e gerencial dos ativos, e processos que manipulam e executem a informao.

10 3.2.1 Princpios da Segurana da Informao A Segurana da Informao se tornou um pr-requisito para todo e qualquer sistema de informaes, em um momento em que o conhecimento e a informao so elementos de extrema importncia para uma organizao. Para Smola (2003), a Segurana da Informao considerada como a prtica de gesto de riscos e incidentes que comprometam os trs principais conceitos de segurana: confidencialidade, integridade e disponibilidade da informao. Em conformidade com Peixoto (2003), so descritos esses trs princpios: Confidencialidade: Toda informao deve ser protegida de acordo com o grau de sigilo de seu contedo, visando a limitao de seu acesso e uso apenas s pessoas para quem elas so destinadas. Integridade: Toda informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou acidentais. Disponibilidade: Toda informao gerada ou adquirida por um indivduo ou instituio deve estar disponvel aos seus usurios no momento em que eles necessitarem delas para qualquer finalidade Filho (2004) em seu artigo coloca a segurana da informao sob cinco pilares:
Segurana da informao compreende um conjunto de medidas que visam proteger e preservar informaes e sistemas de informaes, assegurando-lhes integridade, disponibilidade, no repdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurana da informao e, portanto, so essenciais para assegurar a integridade e confiabilidade em sistemas de informaes FILHO (20044)

Com base no artigo escrito por Filho (2004), observado que dentro desse contexto o suporte preveno de revelao no autorizada de informaes tem como suporte, a confidencialidade. Na integridade vemos a preveno da modificao no autorizada de informaes. J na disponibilidade observamos um suporte a um acesso disponvel e confivel a informaes (o que implica dados e sistemas prontamente disponveis e confiveis). O no repdio e a autenticidade poderiam ser compreendidos e denominados como responsabilidade
4 Disponvel no endereo: http://www.espacoacademico.com.br/042/42amsf.htm

11 final e, dessa maneira buscar-se fazer a verificao da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem. Para Siqueira (2005), a preservao da confidencialidade o que garante o acesso informao somente por pessoas autorizadas, limitando o acesso s entidades autenticadas, sejam elas pessoas, mquinas ou processos. A preservao da integridade a garantia de exatido da informao, ou seja, a garantia que toda vez que uma informao for manipulada, ela esteja ntegra. A preservao da disponibilidade garante que o acesso autorizado informao esteja disponvel para fins de negcio contnuo, sem falhas, ininterrupto, constante e atemporal s informaes. 3.2.2 Elementos da segurana da informao Segundo Peixoto (2006) deve-se ter em mente que o alicerce que assegura os princpios bsicos da Segurana da Informao (confidencialidade, integridade e disponibilidade) tange como principais questionamentos, quando da ocorrncia de alguma ameaa surgida, em trs aspectos: Segurana Fsica, Segurana Tecnolgica e Segurana Humana. 3.2.2.1 Segurana Fsica da Informao De acordo com Smola (2003), um conjunto de mecanismos devem ser implementados no ambiente fsico voltados a controlar o acesso e as condies destes ambientes, sinalizando registrando, impedindo e autorizando acessos e estados; como por exemplo, roletas de controle de acesso fsico, acionadores de gua para o combate a incndios, detectores de fumaa, dispositivos de biometria5, circuitos internos de televiso, alarmes e sirenes, fragmentadores de papel, entre outros. 3.2.2.2 Segurana Tecnolgica da Informao Smola (2003) diz que a lista de dispositivos aplicveis aos ativos tecnolgicos extensa, pois, alm da diversidade e heterogeneidade de tecnologias, ainda tem-se que considerar a
5 Biometria [bio (vida) + metria (medida)] o estudo estatstico das caractersticas fsicas ou comportamentais dos seres
vivos. Recentemente este termo tambm foi associado medida de caractersticas fsicas ou comportamentais das pessoas como forma de identific-las unicamente. Hoje a biometria usada na identificao criminal, controle de acesso, etc. Fonte: http://pt.wikipedia.org/wiki/Biometria

12 velocidade criativa do setor que apresenta uma nova ferramenta ou equipamento praticamente todo dia. Em se tratando de Tecnologia da Informao para a Segurana da Informao, os instrumentos aplicveis aos ativos tecnolgicos so divididos por Smola (2003) em trs famlias: Autenticao e autorizao: Destinados a suprir os processos de identificao de pessoas, equipamentos, sistemas e agentes em geral, mecanismos de autenticao mostram-se fundamentais para os atuais padres de informatizao, automao e compartilhamento de informaes. Para Smola (2003) sem identificar a origem de um acesso e seu agente, tornase praticamente invivel realizar autorizaes condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informaes valiosas sem controle. Combate a ataques e invases: Destinados a suprir a infra-estrutura tecnolgica com dispositivos de software e hardware de proteo, controle de acesso e consequentemente combate a ataques e invases, este grupo de mecanismos tem papel importante no modelo de gesto de segurana, medida que as conexes eletrnicas e tentativas de acesso indevido crescem exponencialmente (SMOLA, 2003). Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e registro de acessos lgicos, bem como dispositivos voltados para a segmentao de permetros, identificao e tratamento de tentativas de ataque. O mais conhecido o sistema de firewall6. Privacidade das comunicaes: Nesta categoria, a criptografia a principal maneira de combate em relao a este aspecto. Para Smola (2003), a criptografia uma cincia que estuda os princpios, meios e mtodos para proteger a confidencialidade das informaes atravs da codificao ou processo de cifrao e que permite a restaurao da informao original atravs do processo de decifrao. Muito aplicada na comunicao de dados, esta cincia se utiliza de algoritmos matemticos e da criptoanlise7 para conferir maior ou menor proteo de acordo com a complexidade e estrutura de desenvolvimento (SMOLA, 2003:122). Os componentes criptogrficos da segurana da informao tratam da confidencialidade,
6 Firewall (em portugus: parede de fogo) um dispositivo de uma rede de computadores que tem por objetivo aplicar uma
poltica de segurana a um determinado ponto da rede. O firewall pode ser do tipo filtros de pacotes, proxy de aplicaes, etc. Os firewalls so geralmente associados a redes TCP/IP. Fonte: http://pt.wikipedia.org/wiki/Firewall

7 A criptoanlise representa o esforo de descodificar ou decifrar mensagens sem que se tenha o conhecimento prvio da
chave secreta que as gerou. A criptoanlise a arte de tentar descobrir o texto cifrado e/ou a lgica utilizada em sua encriptao (chave). As pessoas que participam desse esforo so denominadas criptoanalistas. Da fuso da criptografia com a criptoanlise, forma-se a criptologia. Fonte: http://pt.wikipedia.org/wiki/Criptoanlise

13 integridade, no repdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares feito em conformidade com as necessidades especficas de cada organizao. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informaes ou sistemas de informaes, pelo nvel de ameaas ou por quaisquer outras decises de gesto de riscos (FILHO, 2004). 3.2.2.3 Segurana Humana Diversos autores defendem que o fator humano extremamente crucial para a Segurana da Informao no mbito pessoal e corporativo. Um funcionrio insatisfeito, por exemplo, pode se tornar um dos principais elementos da quebra de segurana dentro de uma empresa. Ao pensar em capital humano como um dos elos mais crticos e relevantes para a reduo dos riscos, Smola (2003) aponta os seguintes controles: seminrios de sensibilizao; cursos de capacitao; campanhas de divulgao da poltica de segurana; crachs de identificao; procedimentos especficos para demisso e admisso de funcionrios; procedimentos especficos para tratamento de recursos terceirizados; termo de responsabilidade; termo de confidencialidade; softwares de auditoria de acessos; e softwares de monitoramento e filtragem de contedo, etc. De acordo com Peixoto (2006), assim como o funcionrio que trabalha na empresa, o exfuncionrio representa um grande fator de risco em se tratando de informaes confidenciais. Funcionrios insatisfeitos ou revoltados por uma demisso devem ser sempre pontos de suspeita em casos s vezes inexplicveis de perdas de documentos importantes, entrega de informaes que somente aquele setor deveria saber, dentre inmeros outros problemas quanto seguridade de informaes internas da empresa. Quando se demite um funcionrio, isso deve ser comunicado imediatamente ao setor de T.I. 8 da empresa caso existam identificaes em mbito tecnolgico com responsabilidade perante armazenamento da entrada/sada de funcionrios no banco de dados, conta de e-mail criada para este funcionrio, id9, senha, dentre outros meios existentes que autentiquem este funcionrio como integrante da empresa (PEIXOTO, 2006).
8 T.I. (Tecnologia da Informao) a rea de conhecimento responsvel por criar, administrar e manter a gesto da
informao atravs de dispositivos e equipamentos para acesso, operao e armazenamento dos dados, de forma a gerar informaes para tomada de deciso. Fonte: http://pt.wikipedia.org/wiki/Tecnologia_da_Informao.

9 ID, o nome de usurio ou e-mail que serve de identificao pessoal aos internautas; enquanto acessam certos sites
(sobretudo clientes de e-mail e/ou acesso internet).

14 3.3 Ameaa versus Vulnerabilidade A todo instante os negcios, seus processos e ativos fsicos, tecnolgicos e humanos so alvo de investidas de ameaas de toda ordem, que buscam identificar um ponto fraco compatvel, uma vulnerabilidade capaz de potencializar sua ao. Quando essa possibilidade aparece a quebra de segurana consumada. (SMOLA, 2003). Segundo Smola (2003) ameaas so:
... agentes ou condies que causam incidentes que comprometam as informaes e seu ativos por meio da explorao de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negcios de uma organizao SMOLA (2003:47)

Amparando Smola (2003), Peixoto (2006), escreve que ameaas so muitas vezes consequncias das vulnerabilidades existentes, provocando assim perdas de confidencialidade, integridade e disponibilidade. Quanto sua intencionalidade elas podem ser assim classificadas: Ameaas naturais: Fenmenos da natureza, tais como: incndios naturais, enchentes, tempestades, terremotos, etc; Ameaas involuntrias: Ameaas inconscientes, que ocorrem quase sempre devido ao desconhecimento. Podem ser causadas por acidentes; Ameaas voluntrias: Ameaas propositais que mais se relacionam com a Engenharia Social. Causadas por agentes humanos, como hackers10, invasores, etc; Segundo Peixoto (2006), as vulnerabilidades so tambm frutos de ameaas generalizadas e exploradas, aferando assim a segurana das informaes. Para Smola (2003), as vulnerabilidades por si s no provocam incidentes, pois so elementos passivos, necessitando para tanto de um agente causador ou condio favorvel, que so as ameaas. Com base nos conceitos dos dois autores, podemos exemplificar como vulnerabilidades dentro de um ambiente corporativo: Fsicas: Estrutura e infraestrutura ruins e mal planejadas;
10
Hackers, so indivduos que elaboram e modificam software e hardware de computadores, seja desenvolvendo funcionalidades novas, seja adaptando as antigas, alm de terem muito conhecimento em informtica. Fonte: http://pt.wikipedia.org/wiki/Hacker.

15 Naturais: Danos causados a equipamentos computacionais decorrente de causas naturais; Hardware: Desgastes, obsolescncia ou mal uso de equipamentos; Software: Erros na instalao e configurao acarretando em acesso indevido, vazamento de informaes e at perda de dados; Mdias: Dispositivos de armazenamento que podem ser perdidos ou danificados; Comunicao: Acessos no autorizados ou perda de comunicao Humanas: Ataques de Engenharia Social, vulnerabilidades do fator humano por falta de treinamento, ausncia de polticas de seguranas, etc. De acordo Mitnick e Simon (2003) existem alguns fatores que tornam uma empresa vulnervel ao ataque de Engenharia Social, tais como: um nmero grande de funcionrios, diversas instalaes, informaes sobre o paradeiro dos empregados deixadas nas mensagens de voice-mail11, informaes de ramal de telefone disponveis, falta de treinamento em segurana, falta de sistema de classificao de dados e nenhum plano ou grupo de resposta aos incidentes de segurana. 3.3.1 Engenharia Social O termo Engenharia Social abarca todas as possibilidades da explorao do comportamento humano com a finalidade de um indivduo ser capaz de induzir e manipular outro a agir de determinada maneira. A engenharia social tratada aproximadamente na mesma linha de pensamento por vrios autores. Costa Jr (2010), em seu artigo, define que Engenharia Social []
[] um termo moderno, dado a arte de trapacear ou construir mtodos para enganar algum, com a finalidade de extrair destas pessoas informaes relevantes e cruciais que proporcionaro o acesso a ambientes ou informaes realmente de grande valor.

Peixoto (2006), em sua obra, leva em conta o significado das palavras supostamente separadas:
Engenharia: Arte de aplicar conhecimentos cientficos e empricos e certas habilitaes especficas criao de estruturas, dispositivos e processos que se 11 Um sistema de Voice Mail permite no perder chamadas importantes: se se encontrar ausente as chamadas sero
desviadas para o sistema que convidar as pessoas que o querem contactar (os emissores) a gravarem a sua mensagem. Fonte: http://www.it.uc.pt/signal/sait/voicemail.htm

16
utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. (FERREIRA, 1995:687 apud PEIXOTO 2006:4) Social: Da sociedade, ou relativo a ela. Socivel. Que interessa sociedade. (FERREIRA, 1995:687 apud PEIXOTO 2006:4)

Segundo GRANGER (2001):

...a engenharia social geralmente a hbil manipulao de um hacker da tendncia humana natural de confiana. O objetivo do hacker obter informaes que iro permitir que ele obtenha acesso no autorizado a um sistema de valor e as informaes que residem no sistema.

Segundo um dos maiores especialistas na arte da Engenharia Social, Kevin Mitnick, a Engenharia Social um termo diferente para definir o uso de persuaso para influenciar as pessoas a concordar com um pedido. (MITINICK, 2003). Segundo Mann (2011), uma definio mais apropriada para Engenharia Social seria, manipular pessoas, enganando-as, para que forneam informaes ou executem uma ao. Para MANN (2011), algumas vezes, a engenharia social pode ser usada para obter diretamente informaes confidenciais, apesar de muitas vezes as informaes no terem sido classificadas de nenhuma maneira; o alvo do ataque pode no ter nem mesmo reconhecido a natureza confidencial da informao que est revelando. No entanto, h outras ocasies em que a ao que um agressor busca pode no ser diretamente planejada com o objetivo de manipular algum para revelar informaes. Enganar um guarda de segurana para que ele d acesso ao prdio usando engenharia social no oferece informaes confidenciais diretamente. De acordo com MANN (2011), a manipulao de usurios legtimos pode desempenhar um papel importante em um ataque de engenharia social. No entanto, com frequncia, voc pode enganar um funcionrio para que ele passe os direitos legtimos que tem como usurio, como uma rota para o seu objetivo de ataque.
Essa definio capta os aspectos distintos de fazer as pessoas de alvos e manipul-las, em conjunto com os dois principais desfechos perda direta da informao e obteno de alguma ao desejada pelo agressor. (MANN, 2011, p.19)

A Engenharia Social, portanto, tem a inteno de furtar informaes utilizando a habilidade de lidar com pessoas induzindo-as a fornecer informaes ou executar aes desejadas pelo agressor.

17 3.3.2 Riscos da Engenharia Social Segundo MANN (2011), uma definio mais apropriada de risco, como, por exemplo, a possibilidade de que alguma coisa desagradvel ou indesejada acontecer, oferea um melhor ponto de partida na explorao do risco da engenharia social. De acordo MANN (2011), dois componentes so essenciais para a compreenso do risco: 1) Impacto precisa haver algum impacto (ou dano) sobre o sistema em questo. Sem impacto no h risco. 2) Probabilidade se garantido que o risco nunca vai acontecer, ento, de novo, no estamos interessados. preciso que haja alguma chance de um evento ocorrer para criar um risco real. Assim, a combinao de algum impacto (mesmo que pequeno) e uma probabilidade real (mesmo que remota) nos d um risco (mesmo que pequeno). Segundo MANN (2011), o impacto e a probabilidade devem ser utilizado para discernir quais riscos so realistas para uma organizao. Mann (2011), relaciona os seguintes riscos que beneficiariam ataques de engenharia social: Excesso de confiana: Muitos executivos sniores tm excesso de confiana na segurana das informaes de sua organizao e subestimam a possibilidade de violaes graves (at que elas acontecem). Otimismo: Apesar de todas as evidncias apontarem para o contrrio, muitos executivos acreditam estar no controle dos seus sistemas de TI e acham que eventos de segurana acontecem somente com outras organizaes. Percepo tardia: Em muitos casos, as respostas a um ataque so puro apagamento de incndio, e tm muito pouca correlao com qualquer plano pr-elaborado. Busca de Padro: A natureza humana tem uma tendncia a colocar significado onde no existe nenhum. Assim, naturalmente tentamos adicionar padres aos eventos. A consequncia negativa disso que, com frequncia, no consideramos a natureza aleatria dos eventos reais, pois no conseguimos ver nenhuma razo para sua ocorrncia. Supercompensao: Quando desenvolvemos confiana em nossos sistemas de gerenciamento de risco, ela pode nos levar a correr riscos desnecessariamente altos, pois ns supercompensamos. A exemplo, a existncia de air bags (e outros itens de segurana nos carros) pode levar a mais acidentes, pois com a falsa sensao de segurana as pessoas podem dirigir mais rpido.

18 Miopia: Envolve o erro de considerar o passado recente e uma viso do futuro prximo como os nicos perodos indicados para avaliao de risco. Inrcia: No fazer nada a escolha feita em muitas ocasies, a despeito de todas as evidncias que apontam para o fato de essa ser a estratgia de mais alto risco disponvel. Complacncia: Os riscos com os quais estamos familiarizados, geralmente parecem ser reduzidos. Fanatismo: a tendncia a prender-se a uma viso do futuro (e ao risco associado a ele), mesmo quando a evidncia fortemente aponta para um ambiente que est mudando e ignorar o fato de que desenvolver uma nova estratgia seria inteligente. 3.4. Medidas Defensivas Contra Engenharia Social Kevin Mitnick, um dos maiores especialistas no assunto, diz que:
A verdade que no existe tecnologia no mundo que evite o ataque de um Engenheiro Social (MITINICK e SIMON, 2003 apud PEIXOTO, 2006:56).

Contudo a ideia dificultar ao mximo a concretizao dos planos que o Engenheiro Social tem em mente e deseja por em prtica. 3.4.1 Medidas de segurana Conforme escrito por Smola (2003), medidas de segurana so prticas, procedimentos e mecanismos usados para proteo da informao e seus ativos, que podem impedir que as ameaas explorem vulnerabilidades, a reduo das vulnerabilidades, a limitao do impacto ou minimizao do risco de qualquer forma. Smola (2003) considera as medidas de segurana como controles que podem ter as seguintes caractersticas: Preventivas: Medidas de segurana que tem como objetivo evitar que incidentes venham a ocorrer. Visam manter a segurana j implementada por meio de mecanismos que estabeleam a conduta e a tica da segurana da instituio. Detectveis: Medidas de segurana que visam identificar condies ou indivduos causadores de ameaas, a fim de evitar que as mesmas explorem vulnerabilidades. Corretivas: aes voltadas correo de uma estrutura tecnolgica e humana para que as

19 mesmas se adaptem s condies de segurana estabelecidas pela instituio, ou voltadas reduo dos impactos: equipes para emergncias, restaurao de backup, plano de continuidade operacional, plano de recuperao de desastres. Por se tratar de um problema generalizado e corporativo, envolvendo os aspectos fsicos, tecnolgicos e humanos que sustentam a operao do negcio, torna-se necessrio, que se inicie os trabalhos relacionados s medidas defensivas mobilizando primeiro os executivos da diretoria da empresa, para depois atingir os demais profissionais, colaboradores e os demais da hierarquia; e as aes tem seu incio no nvel operacional. As aes precisam estar intimamente alinhadas com as diretrizes estratgicas da empresa e, para isso, necessrio ter uma viso corporativa, global e ampla, capaz de criar sinergia entre as atividades. Smola (2003) diz que importante conseguir a eliminao de aes redundantes e, muitas vezes conflitantes, que depreciam o plano corporativo de segurana da informao. 3.4.2 Mapeamento de Vulnerabilidade De acordo com MANN (2011), comum que as empresas atualmente adotem avaliaes de vulnerabilidade tcnica para seus sistemas de TI. Essas avaliaes com frequncia combinam escaneamento automatizado e ferramentas de auditoria com testes manuais. E totalmente aceitvel que estes testes sejam realizados por terceiros com a finalidade de revelar a vulnerabilidade sobre as quais no se estava anteriormente ciente. Para MANN (2011), os mesmos princpios de testes deveriam ser aplicado ao elemento humano da sua segurana da informao. Segundo MANN (2011), para compreender as vulnerabilidades presentes em determinado sistema de informao, til compreender duas variveis de proteo contra engenharia social: a Resistncia do Pessoal capacidade dos indivduos de dentro do sistema de informao de detectar um ataque de engenharia social e resistir a ele. Exemplo: quando um operador da assistncia se recusa a reconfigurar um login de acesso remoto sem telefonar (internamente) ao gerente superior para confirmao. e a Resistncia Sistmica capacidade do sistema de informao de resistir a um ataque de engenharia social sem contar com a interveno humana. Exemplo: quando um indivduo que foi enganado para mandar uma informao para algum externo por e-mail descobre que o e-

20 mail automaticamente bloqueado devido ao seu contedo de informao confidencial. Essas variveis proporcionam uma indicao de quo dependente voc das pessoas dentre da sua segurana da informao e se voc possui sistemas que compensam as suas vulnerabilidades (MANN, 2011). 3.4.3 Mapeando Sistemas Segundo MANN (2011), para produzir mapeamentos teis aos sistemas, pode-se utilizar a seguinte metodologia (a abordagem foi utilizada com clientes que tinham dificuldades em identificar suas vulnerabilidades engenharia social): Compreender as ameas s suas informaes ponto de partida para a avaliao de risco. Ajuda a direcionar a anlise a reas que traro maior benefcio. Avaliar a resistncia do pessoal ao medir a capacidade do pessoal de resistir a ataques, pode-se comear a compor o quadro dos nveis reais de segurana. Identificar os nveis de proteo sistmica elementos da segurana que protegem as pessoas e ajudam a combater as vulnerabilidades humanas sempre presentes. Mapear seus sistemas oferece uma indicao visual e comparao de diferentes sistemas dentro da sua proteo geral de segurana da informao. Testar para confirmar suas avaliaes nesse estgio, testes podem ser muito mais direcionados e podem ajudar a tomar decises importantes. Implementar melhorias nesse estgio, j haver um plano de ao claro com uma gama de estratgias de melhoria que proporcionem um retorno real sobre qualquer investimento de segurana. 3.4.5 Mapeando Personalidades De acordo com MANN (2011), o benefcio de mapear personalidades que possvel identificar essas variaes e depois permiti-las ao desenvolver melhores mecanismos de proteo contra a engenharia social. Com um conjunto de personalidades fortemente agrupado, podemos ter mais certeza da reao delas ao treinamento e como vo lidar com determinado ataque a engenharia social. Mann (2011), diz que quando vemos uma amplitude maior de personalidades, precisamos ser mais cuidadosos e planejar uma gama maior de

21 reaes a vetores de ataque especficos. 3.5 Sistemas de Proteo Segundo MANN (2011), provavelmente, o maior erro que as pessoas cometem quando pensam em proteo contra engenharia social pensar somente em termos de conscientizao da equipe.
Em nossa experincia, considerando-se que o estabelecimento de conscincia tende a fortalecer somente os processos conscientes, as melhorias sistmicas que so mais eficientes na proteo das informaes. (MANN, 2011, p. 167)

Muitas das melhorias sistmicas oferecem forte proteo contra a engenharia social. Para MANN (2011), em muitos casos, esses sistemas contero o ataque em que vrios indivduos foram persuadidos, pelo agressor com sucesso, a obedecer. O sistema evita que o usurio enganado cause uma violao. De acordo MANN (2011), melhorias sistmicas leva ainda a concluso de que elas tendem a oferecer uma camada mais forte e mais consistente de defesa do que simples atividades de conscientizao da equipe.
[] consideramos a conscientizao da equipe e a reao associada como a primeira e mais importante camada de defesa. Porm, supomos que essa camada seja violada, potencialmente de maneira regular, para a obteno de informaes valiosas. Portanto, confiar somente nesse mecanismo de proteo uma estratgia de alto risco, deixando suas informaes e sistemas vulnerveis ao ataque. (MANN, 2011, p. 176)

Portanto, para construir defesas eficazes, preciso combinar camadas de conscientizao da equipe com camadas de proteo sistmica. Presumimos que nenhuma das duas camadas impenetrvel. 3.6 Poltica de Segurana da Informao Com o propsito de fornecer orientao e apoio s aes de gesto de segurana, a poltica, segundo Smola (2003), tem papel fundamental. Uma poltica estabelece padres, responsabilidades e critrios para o manuseio, armazenamento, transporte e descarte das informaes dentro do nvel de segurana estabelecido sob medida pela e para a empresa; portanto, a mesma deve ser personalizada.

22 muito importante o envolvimento da alta direo, refletida pelo carter oficial com que a poltica comunicada e compartilhada junto aos funcionrios. Este instrumento deve expressar as preocupaes dos executivos e definir as linhas de ao que orientaro as atividades tticas e operacionais (SMOLA, 2003). Critrios normatizados para admisso e demisso de funcionrios; criao de manuteno de senhas; descarte de informao em mdia magntica; desenvolvimento e manuteno de sistemas; uso da internet; acesso remoto; uso de notebook; contratao de servios terceirizados; e classificao da informao so bons exemplos de normas de uma tpica poltica de segurana para Smola (2003). Pode-se perceber, portanto o quo complexo desenvolver e, principalmente, manter atualizada a poltica de segurana da informao com todos os seus componentes. Esta percepo torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnolgico de uma empresa, e, ainda, mudanas previsveis e imprevisveis que o negcio poder sofrer (SMOLA, 2003). 3.7 Medidas de defesas quanto as senhas Peixoto (2006) escreve sobre uma tcnica para burlar ataques de Engenheiros Sociais que querem obter senhas e usurios. Primeiramente, durante o cadastro por telefone, alm dos eventuais dados, pedir que o cliente faa uma pergunta pessoal e, obviamente, uma resposta que ficar armazenada no cadastro. Caso a resposta tambm seja correta, a informao poder ser passada. O autor frisa ser importante que tal pergunta seja de cunho pessoal e que no sobreponha nenhum dos dados. Muitas vezes muito confortvel para o cliente responder o CPF ou RG e a pergunta do que todos os dados do seu cadastro. 3.8 Medidas de defesas quanto ao lixo Como mostrado anteriormente, o lixo um dos meios utilizados para ataques dos Engenheiros Sociais. Mitnick e Simon (2003 apud PEIXOTO, 2006:) enumeram oito segredos para tratar o lixo com mais sabedoria:

23 Classificar todas as informaes confidenciais com base no grau de confidencialidade; Estabelecer procedimentos em toda a empresa para descartar as informaes confidenciais; Insistir para que todas as informaes confidenciais descartadas passem primeiro pela mquina cortadora de papel e fornecer um modo seguro de se livrar das informaes importantes em pedaos de papel que so pequenos demais e passam pela mquina. As mquinas no devem ser muito baratas, as quais resultam em tiras de papal que podem ser montadas novamente por um atacante determinado e com pacincia. Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a sada em polpa intil; Fornecer um modo de inutilizar ou apagar completamente a mdia de computador os disquetes, discos ZIP, CD's e DVD's usados para armazenar arquivos, fitas removveis ou unidades de disco rgido antigas e outras mdias de computador antes de descartla. Importante lembrar que os arquivos apagados no so realmente removidos; eles ainda podem ser recuperados; Manter um nvel de controle apropriado sobre a seleo das pessoas da sua equipe de limpeza usando a verificao de antecedentes, se for apropriado; Fazer com que os empregados pensem periodicamente na natureza do material que esto jogando no lixo; Trancar os contineres de lixo; Usar contineres separados para material confidencial e fazer com que os materiais dispensados sejam manuseados por uma empresa especializada nesse trabalho. 3.9 Suporte dos executivos e executivos seniores Dentro desta anlise, MANN (2011) diz que preciso um forte suporte das pessoas que esto no topo das organizaes para apoiar a segurana. Isso requer atividades consistentes para ajudar os executivos seniores a entender as ameaas e potenciais impactos de violaes de segurana da informao.
No pior caso, as polticas e os procedimentos para proteo de informaes so tratados pelos executivos sniores como um conjunto de regras vlido para as outras pessoas. Sendo to importantes e to inteligentes, eles no precisam ser tolhidos por essas regras inflexveis. No entanto, exatamente essa fraqueza que ser explorada pelo engenheiro social. (MANN, 2011, p.182)

24 Segundo MANN (2011), se a sua autoridade permite que voc drible regras, um agressor precisa somente assumir o mesmo nvel de autoridade e todas as pessoas permitem a ele o acesso necessrio para roubar suas informaes. Para MANN (2011), se um executivo snior forasse algum a enviar a ele um documento secreto contra as regras de segurana da informao, ele deveria ser punido. O comprometimento e responsabilidade desses profissionais ligados a alta gesto, com relao a gesto e segurana da informao deve ser total. No somente no aspecto de ataques externos que pode prejudicar a empresa, mas tambm por uma questo tica. Isso faz transparecer seu profissionalismo que conquista maior prestgio e confiana das pessoas com que trabalha. 3.10 Conscientizao e Treinamento em Segurana Seria um engano afirmar que as estratgias para o desenvolvimento de um programa de conscientizao parta quase exclusivamente do Setor de TI, envolvendo apenas tecnologias e estruturas fsicas. No podemos esquecer que o elemento mais importante de todos a considerar dentro de um plano de defesa o ser humano. Segundo MANN (2011), os objetivos com conscientizao e treinamento em segurana contra engenharia social so dois: 4) Promover a conscientizao sobre a ameaa do ataque de engenharia social, para aumentar a probabilidade de um ataque ser detectado e impedido. 5) Treinar os usurios para cumprir e apoiar as medidas defensivas de segurana sistmica que protegem as informaes e sistemas de ataque. Mann (2011), analisa algumas atividades de conscientizao praticadas em empresas: a) Treinamento de adequao elementos de conscientizao e treinamento para funcionrios novos, adequando-os ao seu novo ambiente de trabalho; b) Treinamentos presenciais direcionados a um grupo de funcionrios, de forma interativa; c) Boletins por e-mail mecanismo eficaz em termos de custo para passar mensagem de segurana da informao, porm com duas desvantagens: 1) o nmero de pessoas que realmente leem pode ser muito baixo; 2) pode-se estar abrindo vulnerabilidades de engenharia social d) Postagem de intranet a intranet um local eficaz para armazenar material de referncia

25 de uma forma facilmente acessvel. Quando existem grupos grandes de funcionrios que precisam ter acesso s informaes, ela pode ser til. Porm, a mesma preocupao existe em deixar que as pessoas a acessem, e rastrear as suas atividades pode ter suas limitaes. e) Treinamento online interativo pacotes de treinamento online interativos, voltados para a segurana da informao so teis para o treinamento de um grande nmero de funcionrios. f) Mensagens de login na tela apesar de no dar nenhuma garantia de quem vai l-las, se elas forem desenvolvidas para captar a ateno e se forem modificadas com alguma frequncia, podem ser eficazes. g) Psteres o potencial subliminar de mensagens de login na tela pode tambm ser duplicado com o uso de psteres ou outros displays12 na organizao. h) Testes e atividades relacionadas testes apropriados de segurana da informao, inclusive engenharia social, e outras atividades interativas esto entre os melhores mecanismos de conscientizao e treinamento. No entanto, como acontece com o treinamento presencial, eles podem ser intensivos em termos de recursos. Em situaes limitadas e direcionadas, eles podem proporcionar grandes ganhos. De acordo Mann (2011), desenvolver uma cultua eficaz, em que as informaes so compartilhadas somente quando for estritamente necessrio, um bom ponto de partida para manter os detalhes dos sistemas longe da ateno dos agressores. Smola (2003) apresenta algumas formas de iniciar a construo da cultura de segurana: a) Seminrios: O trabalho deve comear com seminrios abertos voltados a compartilhar a percepo dos riscos associados s atividades da empresa, os impactos potenciais no negcio e, principalmente, o comprometimento dos processos crticos se alguma ameaa se concretizar. b) Campanha e divulgao: Suas diretrizes devem ser conhecidas por todos, e suas normas, procedimentos e instrues especficas devem ser apresentados a cada grupo com perfil de atividade semelhante. Desta forma, cada membro percebe suas responsabilidades dentro de cada modelo de segurana nico, motivando-o a colaborar. Deve-se lembrar que os resultados efetivos de comprometimento ocorrem lentamente e, muitas vezes requerem aes complementares. Por conta disso, a campanha dever lanar mo de diversos artifcios para comunicar os padres, critrios e instrues operacionais. c) Carta ao Presidente: Como instrumento de oficializao dos interesses da empresa em
12 Um display (ou mostrador, em portugus) um dispositivo para a apresentao de informao, de modo visual ou tctil,
adquirida, armazenada ou transmitida sob vrias formas. Fonte: http://pt.wikipedia.org/wiki/Display

26 adequar o nvel de segurana de suas informaes a partir do envolvimento de todos os nveis hierrquicos conveniente que o presidente, CEO o CIO manifeste esta vontade oficialmente. A Carta ao Presidente tem esse papel e disponibilizada ou encaminhada a cada funcionrio, dando carter forma ao movimento. d) Termo de Responsabilidade e Confidencialidade: Tem o propsito de formalizar o compromisso e o entendimento do funcionrio diante de suas novas responsabilidades relacionadas proteo das informaes que manipula. Alm disso, este termo se encarrega de divulgar as punies cabveis por desvios de conduta e, ainda, esclarecer que a empresa o legtimo proprietrio dos ativos, incluindo as informaes, que fluem pelos processos de negcio e ora so temporariamente custodiadas pelas pessoas. e) Cursos de Capacitao e Certificao: Dentro do quadro de funcionrios, existem perfis profissionais que necessitam de maior domnio dos conceitos, mtodos e tcnicas de segurana, podendo inclusive, variar sua rea de interesse e profundidade. O Security Officer deve ter condies de definir, medir e avaliar os ndices e indicadores de segurana para subsidiar seus planos de gesto das aes e, principalmente alcanar os objetivos. Para todos esses casos no bastam os seminrios, campanhas de conscientizao ou a carta ao presidente. Eles precisam de capacitao formal atravs de cursos especializados, que propem uma certificao como instrumento de reconhecimento da competncia.

CONSIDERAES FINAIS Grande parte das empresas no dispem de meios para detectar o que deve ser preservado, o que pode ser preservado e o que vale pena ser preservado quando se trata de segurana da informao. Enquanto outras, mesmo dispondo de recursos para implementar estes meios, no se atentam adequadamente seriedade do assunto por consequncia do descaso da alta gesto. Observou-se, tambm, que um bom nmero de empresas acredita que a soluo, unicamente tcnica, garante a segurana dos seus sistemas. Em qualquer uma das situaes, sob qualquer natureza de interpretao ou observao, a negligncia e a indiferena seriam os termos mais adequados para rotular as deficincias encontradas no contexto da segurana da informao corporativa. No existe segurana total. O uso de tcnicas de Engenharia Social para enganar usurios no mais algo iminente, mas sim um fato comprovado de eficincia quando se trata

27 de posse indevida de informaes vitais continuidade do negcio. Mesmo no sendo definitiva, a forma mais eficiente ainda manter sob reformulao e reforo contnuo, as polticas elaboradas para a segurana, assim como conscientizar e educar constantemente os colaboradores, colocando-os sob punio quando regras de segurana forem quebradas ou desobedecidas. Entretanto, nada merece mais destaque neste assunto que o comportamento e a responsabilidade dos profissionais que compem a alta Gesto de uma Organizao. neste ponto que observamos a maior falha de segurana, pois, por se tratar de um profissional com papel estratgico dentro da empresa, este deveria dominar todo o fluxo de informaes que movem o negcio e, obviamente, ter a noo exata da gesto e a segurana destas informaes. Infelizmente neste aspecto manifesta-se na maioria das vezes uma postura obstinada de descaso e descomprometimento, pois, quando se trata de segurana da informao, a falta de engajamento facilmente observada no posicionamento de muitos profissionais ligados diretoria de uma empresa. Muitos ignoram o valor de suas informaes, a necessidade de manter a metodologia da segurana e at mesmo o investimento financeiro facilmente descartado por considerarem que estas despesas no traro retorno algum sobre o investimento. Lamentavelmente esta viso no contribui de forma nenhuma com a eficcia para a gesto do maior ativo organizacional: a informao. Dentro desta miopia o pessoal da informtica resolve tudo. E quando algo errado acontecer, eles tambm respondero. importante destacar que a posio estratgica do alto posto da cadeia hierrquica, requer postura e comprometimento para criar confiana nos demais subordinados. E diante desse posicionamento que surgem tambm os desafios ticos. As dimenses ticas devem ser consideradas pelas organizaes na elaborao e implementao da metodologia da segurana, atenuando os efeitos nocivos da TI, analisando os aspectos da segurana, e as vulnerabilidades existentes na estrutura tecnolgica dos sistemas de informao. Os gestores da alta administrao tem por obrigao entender o poder e o valor que as informaes possuem e no podem supor que a tecnologia a soluo definitiva. A tecnologia burra, a inteligncia est nas pessoas.

28 REFERNCIAS

COSTA JR, Josu. Engenharia Social A arte de trapacear. Artigo acadmico. Faculdade de Tecnologia e Cincias, 2011. FILHO, Antnio Mendes da Silva. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes in Revista Espao Acadmico no 43 dezembro 2004; Disponvel em: http://www.espacoacademico.com.br/043/43amsf.htm Acesso em: 21 dez. 2011. LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informao Gerenciais: administrando a empresa digital. 5a ed. So Paulo: Person Pretice Hall, 2004. MANN, IAN. Engenharia Social. So Paulo: Blucher, 2011 MITNICK, Kevin D.; SIMON, William L. Mitnick: A Arte de Enganar. So Paulo: Pearson Makron Books, 2003 PEIXOTO, Mrio Csar Pintaudi. Engenharia Social & Segurana da Informao na Gesto Corporativa. 1a ed. Rio de Janeiro: Brasport, 2006. ROESCH, A. M. S. Projeto de estgio e de pesquisa em administrao. 2. ed. So Paulo: Atlas,1999 apud CASTRO, F. F. Processo de comunicao nas organizaes virtuais: um estudo de caso na Escola Aberta Superior do Brasil. 2006. Monografia (Graduao). Universidade Federal de Viosa, Viosa, 2006. SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva da segurana da informao. 9a reimpresso. Rio de Janeiro: Elsevier, 2003 SIQUEIRA, Marcelo Costa. Gesto Estratgica da Informao. Rio de Janeiro: Brasport, 2005. TURBAN, Efaim; MCLEAN, Ephraim; WETHERBE, James; trad. Renate Schinke. Tecnologia da Informao para Gesto: transformando os negcios na economia digital. 3a ed. Porto Alegre: Bookman, 2004.