1. Engenharia Social
INSTITUTO A VOZ DO MESTRE
PROGRAMA DE PÓS-GRADUAÇÃO EM
SEGURANÇA DE REDES DE COMPUTADORES
DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de Segurança da
Informação
Ribeirão Preto – SP
2012
INSTITUTO A VOZ DO MESTRE
DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de Segurança da
Informação
Monografia apresentada ao Instituto A Voz do Mestre, como
requisito parcial para a obtenção do título de Especialista em
Segurança de Redes de Computadores.
Orientador: Prof. MSc Robson do Nascimento
Ribeirão Preto – SP
2012

2. DAVIES NASSARO
Engenharia Social -
Explorando o Fator Humano dos Sistemas de
Segurança da Informação
Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção do
título de Especialista em Segurança de Redes de Computadores.
Orientador: Prof. MSc Robson do Nascimento
APROVADO EM ____/____/____
Ribeirão Preto – SP
2012
BANCA EXAMINADORA
______________________________________________________________
ROBSON DO NASCIMENTO – ORIENTADOR E PRESIDENTE DA BANCA
______________________________________________________________
NOME DO PROFESSOR – EXAMINADOR
______________________________________________________________
NOME DO PROFESSOR – EXAMINADOR
Ribeirão Preto – SP
2012

3. DEDICATÓRIA
A todos aqueles que passaram noites e noites em
claro embalados pelo sonho de tornar a existência
humana mais digna e justa.
AGRADECIMENTOS
Agradeço, acima de tudo, a meus pais, por me
ensinarem que quando se trata de honestidade, não
existe meio termo.
Agraço também a minha esposa, que, mesmo
grávida de nosso primeiro filho, sempre me apoiou e
esteve ao meu lado.
“Numa época de mentiras universais, dizer a verdade
é um ato revolucionário.”
George Orwell
“Experiência não é o que acontece com um homem;
é o que um homem faz com o que lhe acontece.”
Aldous Huxley

4. RESUMO
O presente trabalho traz um relato sobre a definição de Engenharia
Social e os principais métodos utilizados pelos Engenheiros Sociais
para burlar os sistemas de segurança das empresas. São
demonstrados também os motivos que fazem esse tipo de golpe ser
tão aplicado, os prejuízos por ele causados e porque as pessoas são
tão suscetíveis a ele. Finalizando são apresentadas formas de defesa
contra esses ataques e como manter a empresa em operação caso
um desastre de grandes proporções ocorra.
Palavras-Chave: Segurança da Informação, Engenharia Social,
Hackers, Continuidade do Negócio.
ABSTRACT
This paper presents an account of the definition of Social Engineering
and the main methods used by Social Engineers to bypass systems
enterprise security. It also demonstrated the reasons that make this
type of scam be so applied, the damage caused by it and why people
are so susceptible to it. Finally are presented forms of defense against
these attacks and how to keep the business running if a major disaster
occurs.
Keywords: Information Security, Social Engineering,
Hackers, Business Continuity.
LISTA DE ABREVIATURAS E SIGLAS
ABNT – Associação Brasileira de Normas Técnicas
Apacs – Association for Payment Clearing Services
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança no Brasil
CGI.br – Comitê Gestor da Internet no Brasil
CIO – Chief Information Officer
CISO – Chief of Information Security Officer
CSO – Chief Security Officers
IEC – International Electrotechnical Commission
ISO – InternationalOrganization for Standardization
NBR – Norma Brasileira
SIGEO – Sistema de Gerenciamento Orçamentário do Estado de São
Paulo
TCC – Trabalho de Conclusão de Curso
TI – Tecnologia da Informação

5. SUMÁRIO
RESUMO 08
ABSTRACT 09
LISTA DE ABREVIATURAS E SIGLAS 10
1 INTRODUÇÃO 13
1.1 Objetivos 14
1.1.1 Objetivos Gerais 14
1.1.2 Objetivos Específicos 14
1.2 Procedimentos Metodológicos 14
1.3 Estrutura do Trabalho 14
2 REFERENCIAL TEÓRICO 16
2.1 Ameaças às Informações 16
2.2 Engenharia Social 17
2.2.1 Entendendo a Engenharia Social 17
2.2.2 As Vulnerabilidades Humanas 19
2.3 Segurança da Informação 21
3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA
SOCIAL 25
3.1 Principais Técnicas de Ataque da Engenharia Social 25
3.2 Fatores Motivadores da Engenharia Social 26
3.3Análise dos Ataques e dos Fatores Motivadores 29
4 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA
SOCIAL 32
4.1 Crimes de Difícil Apuração 32
4.2 Números do Phishing 33
5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 35
5.1 Políticas de Segurança da Informação e sua Importância 35
5.2 Sucesso da Política de Segurança da Informação 37
5.3 O Responsável pela Política de Segurança da Informação39
5.4 Desenvolvendo uma Política de Segurança da Informação 41
6 SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA
SOCIAL 45
6.1 Segurança da Informação Focada na Engenharia Social 45
7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE
49
7.1 PCN – Plano de Continuidade do Negócio 49
7.2 Elaboração do PCN 50
7.2.1 Estratégias de Contingência 52
7.3 Avaliando o PCN 54
7.4 Outra Abordagem Para Elaboração do PCN 55
8 CONSIDERAÇÕES FINAIS 57
REFERÊNCIAS BIBLIOGRÁFICAS 60

6. 1 INTRODUÇÃO
Diferentemente do que muitas pessoas acreditam, inclusive as
entendidas em assuntos tecnológicos e de segurança, muitas falhas
nos sistemas de defesa das informações das empresas ocorrem por
irregularidades cometidas por funcionários e colaboradores dessas
próprias organizações, ou seja, seres humanos, e não por brechas
nesses sistemas, que contam com uma parafernália cada vez mais
complexa para a preservação das informações, como firewalls, proxy,
antivírus, senhas criptografadas e controle de acesso, entre outros.
Mitnick1
e Simon (2003) explicam que:
À medida que os especialistas contribuem para o desenvolvimento contínuo de
melhores tecnologias de segurança, tornando ainda mais difícil a exploração de
vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a
exploração do elemento humano. Quebrar a ―firewall humana‖ quase sempre é
fácil, não exige nenhum investimento além do custo de uma ligação telefônica e
envolve um risco mínimo.
Por essa razão é vital que as empresas estejam preparadas para os
crimes focados em explorar as falhas humanas, como os crimes de
Engenharia Social, e busquem formas mais eficazes de garantir a
segurança de suas próprias informações e as informações que são a
elas confiadas.
Buscando contribuir para o combate dessa prática criminosa, o
trabalho desvenda o mundo da Engenharia Social, descrevendo o seu
significado, suas principais técnicas de abordagem, os fatores que
motivam os criminosos a optarem por esse tipo de ataque e porque o
ser humano é, e sempre será, o elo mais vulnerável nessa intricada
cadeia de meios e métodos que visam proteger as informações
confidencias das empresas.
Para apoiar as ideias descritas acima, além de vasta pesquisa
bibliográfica, será mostrada uma análise dos impactos estimados
causados por esses tipos de ataques e, para finalizar, serão
apresentados meios de se criar um Programa de Segurança da
Informação e um Plano de Continuidade do Negócio, visando sempre
salvaguardar as Informações dentro dos limites das empresas.
1.1 Objetivos
1.1.1 Objetivos Gerais
Entender o que é Engenharia Social, estudar suas técnicas e seus
reflexos nas questões relacionadas com a Segurança da Informação,
mostrar mecanismos de defesa para as Informações empresariais e
como manter a organização em atividade, mesmo após a ocorrência
de desastres que afetem seu funcionamento.
1.1.2 Objetivos Específicos
Apresentar as principais técnicas de Engenharia Social;
Estudar as vulnerabilidades humanas sujeitas a essas técnicas;
Identificar as necessidades de educação do usuário; e

7. Relacionar as principais medidas de segurança contra esse tipo de
crime e que garantam a estabilidade das informações e a continuidade
do negócio da empresa.
1.2 Procedimentos Metodológicos
Este trabalho foi elaborado a partir de pesquisas bibliográficas e
documentais, apoiando-se em fontes primárias e secundárias, além de
páginas de internet e artigos, pois são essas as principais fontes de
materiais relacionados ao estudo. A referência cronológica parte de
publicações selecionadas a partir da década de 90, pois, se tratando
de Tecnologia da Informação (TI) e essa sendo uma área onde as
mudanças ocorrem muito rapidamente, ficaria um tanto obsoleto
mencionar práticas realizadas antes desse período, apesar de a
Engenharia Social ter se iniciado há décadas atrás, antes mesmo até
da disseminação dos computadores.
1.3 Estrutura do Trabalho
Este Trabalho de Conclusão de Curso (TCC) esta elaborado da
seguinte maneira:
O segundo capítulo apresenta o Referencial Teórico, contendo os
principais conceitos sobre Segurança da Informação, Engenharia
Social e Vulnerabilidade Humana.
O terceiro capítulo apresenta as principais técnicas de ataque de
Engenharia Social e seus fatores motivadores.
O quarto capítulo estuda os impactos causados por essa arte
criminosa.
O quinto capítulo identifica as necessidades de educação do usuário e
apresenta a importância de uma Política de Segurança da Informação
e como elaborá-la.
O sexto capítulo relaciona as principais medidas de segurança contra
as técnicas de Engenharia Social.
O capitulo sétimo mostra como criar um Plano de continuidade do
Negócio, demonstrando como manter a empresa em operação após
esta ser vitima de algum desastre.
O oitavo capítulo apresenta as considerações finais, concluindo com
um aparato geral do que foi exposto, reforçando a atenção que deve
ser disponibilizada para com a segurança das informações no âmbito
empresarial e, em particular, para com as técnicas de Engenharia
Social e propõem ainda uma sugestão para trabalhos futuros que
contribuam ainda mais para o combate a essa técnica de roubo de
informações.
2 REFERENCIAL TEÓRICO
2.1 Ameaças às Informações
Para Sêmola (2011),ameaça é ―algo que pode agir voluntária ou
involuntariamente em prejuízo de alguém ou alguma coisa‖. Sendo
assim, essa possibilidade de algo causar dano também afeta às
informações, que estão continuamente expostas à ameaças oriundas

8. de vários fatores. Peixoto (2006) ainda aponta o conceito de
vulnerabilidade, reforçando que uma ameaça não implica
necessariamente em uma vulnerabilidade, ou seja, uma
vulnerabilidade é uma brecha onde uma ameaça pode causar dano.
No que se referem às informações, as ameaças exploram as
vulnerabilidades existentes nos processos a elas integrados, isto é, de
acordo com Peixoto (2006), as ameaças, muitas vezes, são
decorrentes de vulnerabilidades existentes, provocando nas
informações perda da confidencialidade, integridade e disponibilidade
e podem ser agrupados em três categorias distintas:
Ameaças naturais: fenômenos da natureza;
Ameaças involuntárias: decorrentes do desconhecimento de normas,
padrões ou operação, acidentes e erros;
Ameaças voluntárias: são amaças causadas propositalmente por
pessoas.
Ainda continuando com as definições de Peixoto (2005), as
vulnerabilidades são frutos de ameaças generalizadas, afetando assim
a segurança da informação e podem ser assim classificadas:
Físicas: salas de CPD mal planejadas, estrutura de segurança fora
dos padrões exigidos;
Naturais: falta de energia, incêndios, aumento de umidade;
Hardware: Desgastes de equipamentos, equipamentos obsoletos;
Software: má instalação e configuração;
Mídias: Perda ou dano das mídias de armazenamento de informações;
Comunicação: acesso não autorizado ou perda da mesma;
Humana: Falhas de atenção, treinamento de funcionários inadequado
e as decorrentes de práticas de Engenharia Social.
Como pôde ser constatado, as informações estão expostas
continuamente a inúmeros tipos de ameaças que buscam explorar as
suas muitas vulnerabilidades, que podem ser naturais, falhas de
projeto ou até mesmo humanas, e os sistemas de segurança da
informação têm que estar aptos a lidarem com todas essas questões.
Dentre essas ameaças generalizadas contra as informações, as
referentes à Engenharia Social são uma classe que merecem especial
atenção, pois, como será definido adiante, exploram as falhas
existentes na personalidade humana e são de difícil prevenção.
2.2 Engenharia Social
2.2.1 Entendendo a Engenharia Social
Entre as principais ameaças à segurança dos sistemas de informação
está a Engenharia Social. Esta ―está inserida como um dos desafios
(senão o maior deles) mais complexos no âmbito das vulnerabilidades
encontradas na gestão da segurança da informação‖. (PEIXOTO,
2006).
Segundo Mitnick e Simon (2003), a Engenharia Social pode ser
definida como o uso da influência e da persuasão para enganar as

9. pessoas e convencê-las de que o Engenheiro Social é alguém que na
verdade ele não é. O Engenheiro Social fica então caracterizado como
alguém que se utilizada das técnicas de Engenharia Social e em geral
é citado como o atacante ou criminoso.
Outra forma de descrever a Engenharia Social seria como o
encontrado na Cartilha de Segurança Para a Internet, disponibilizada
pelo Comitê Gestor da Internet no Brasil (CGI.br):
um método de ataque, onde alguém faz uso da persuasão, muitas vezes
abusando da ingenuidade ou confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou
informações.(CGI.br 2006)
A Engenheira Social, portanto, fica evidenciada pela ação de um
indivíduo ou indivíduos, que através de técnicas de persuasão,
intimidação e pressão psicológicas, conseguem obter acesso a
informações confidenciais de empresas e pessoas para fins ilícitos.
Esses ataques conseguem sucesso porque o criminoso que se utiliza
dessas técnicas explora vulnerabilidades na personalidade humana
que proporcionam alto grau de sucesso nesses ataques. Como citado
por Mitnick e Simon (2003):
amaioria das pessoas supõe que não será enganada, com base na crença de
que a probabilidade de ser enganada é muito baixa; o atacante, entendendo
isso como uma crença comum, faz a sua solicitação soar tão razoável que não
levanta suspeita enquanto explora a confiança da vítima.
Diferentemente de outras formas de crimes ligados a Sistemas de
Informação, como invasão de sistemas ou destruição de Informações,
cometidos por Hackers2
e Crackers3
, que possuem como motivador a
autopromoção, o desafio e a chance de quebrar regras, a Engenharia
Social sempre esteve relacionada com as relações interpessoais e,
mais recentemente, com a tentativa de burlar os sistemas de
segurança das corporações para obtenção de informações sigilosas e
seu principal objetivo é o ganho financeiro obtido com a divulgação ou
uso de tais informações.
Conforme pesquisa realizada pela empresa de softwares de
Segurança Check Point e publicada no site cio.uol4
, cujo tema foi
segurança da informação, foram entrevistados 850 profissionais de
segurança em TI de várias partes do mundo e a maioria dos
entrevistados, 51%, responderam que o ganho financeiro é o principal
fator motivador para crimes de Engenharia Social.
Para conseguir esse retorno financeiro, o Engenheiro Social apoia-se
na falta de capacitação para o trato de informações empresariais e
pessoais por parte dos indivíduos e sua inclinação para cometer atos
ilícitos quando utilizando sistemas de informação. Laureano (2005)
salienta que para preservar os segredos da empresa, além do
investimento em softwares de segurança é muito importante investir

10. em treinamento de funcionários, pois não são poucas as ocorrências
referentes à espionagem industrial (forma de Engenharia Social).
É interessante salientar que as técnicas de Engenharia Social podem
ser verificadas em vários aspectos da sociedade e em diferentes
épocas, não se restringindo apenas a Tecnologia da Informação. Até
mesmo a Bíblia, através da conhecida história do encontro de Adão e
Eva com a Serpente, já fazia alusão ao assunto (PEIXOTO, 2006).
Portanto, o uso de técnicas de Engenharia Social é muito diversificado
e antigo, precedendo até mesmo os computadores.
2.2.2 As Vulnerabilidades Humanas
Como distinguido no item 2.1, intitulado ―Ameaças às Informações‖, o
que acarreta a quebra de segurança de um sistema de informação são
suas vulnerabilidades, que passam a ser exploradas por ameaças até
que as falhas ocorram. O termo vulnerabilidade, segundo o dicionário
on-line Aurélio5
significa ―Caráter ou qualidade de vulnerável‖. Logo se
faz necessário a compreensão da palavra vulnerável para darmos
entendimento ao termo. Vulnerável, segundo essa mesma fonte, quer
dizer ―Suscetível de ser ferido, ofendido ou tocado‖. Portanto uma
vulnerabilidade é uma característica que torna algo vulnerável, ou
seja, passível de sofrer dano.
Entre as muitas vulnerabilidades encontradas em um sistema de
informação, as relacionadas com o fator humano estão entre as de
trato e solução mais difíceis, conforme discutido anteriormente. São
essas vulnerabilidades que tornam as pessoas tão suscetíveis aos
ataques de Engenharia Social, pois:
o engenheiro social trabalha como ninguém os pontos relativos à psicologia
humana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza a
simpatia para tentar convencer. Ou até mesmo a culpa [...]. (PEIXOTO, 2006).
Um atacante procura entender essas características vulneráveis do
comportamento humano a fim de explorá-las com seu portfólio de
truques para conseguir maior sucesso nos seus ataques.
Para Mitnick e Simon (2003), as principais vulnerabilidades humanas
que podem ser exploradas por um ataque de Engenharia Social são:
• O respeito à autoridade: quando um ataque faz uma requisição
demonstrando autoridade, a chance de ela ser atendida é muito
grande;
• A afabilidade: uma pessoal que demonstra ser agradável consegue
que as pessoas atendam seu pedido mais facilmente;
• A reciprocidade: essa vulnerabilidade faz as pessoas terem uma
inclinação natural a retribuir um pedido de ajuda feito por alguém que
já fez algo por você. Nesse caso os Engenheiros Sociais procuram
causar algum problema para as vitimas e depois o solucionam,
deixando a pessoa com a obrigação da retribuição;
• A consistência: os atacantes induzem as pessoas a fazerem um
comprometimento público ou então ludibriam essas pessoas com o

11. argumento que esse pedido será favorável a alguma causa comum a
vitima;
• Validação social: ocorre quando o criminoso faz uma solicitação que
vai de encontro com o que outras pessoas estão fazendo, tornando
essa ação das outras pessoas uma validação para o comportamento
em questão;
• Escassez: quando a solicitação é por algo escasso ou esse algo esta
disponível por curto período de tempo.
Outra falha muito comum referentes às pessoas, mas ocorridas no
âmbito profissional, é a falta de interesse ou desatenção para com as
informações que são disponibilizadas a terceiros por parte dos
funcionários das empresas. Como descrito por Peixoto (2006):
Se todo funcionário fosse tão questionador como uma criança, demonstrando
interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a
tudo a sua volta, e principalmente fazendo o uso dos poderosos ―por quês‖,
com certeza as empresas transformariam os frágeis cadeados em legítimos
dispositivos dificultantes de segurança da informação.
Mais uma vulnerabilidade que pode ser explorada com relação à
segurança das informações empresariais reside nos funcionários que
não receberam treinamento adequado em práticas de segurança e
não foram alertados em como as informações da empresa devem ser
tratadas. Também vale lembrar que a segurança é um processo
continuo e os pontos de verificação das políticas e os treinamentos
devem ser reciclados de tempos em tempos.
Peixoto (2006) define que:
Como chefe de segurança das informações de uma empresa [...], nada mais
coerente do que fazer com que os funcionários desta empresa estejam aptos a
entender o quanto é importante a preservação consciente das informações que
cada um manipula em seu dia-a-dia.
Outro grupo de funcionários que merecem atenção são os
funcionários descontentes, que por algum motivo qualquer, podem
usar informações confidenciais da empresa para prejudicar a própria
organização, no caso do funcionário tiver algum ressentimento com a
companhia, ou fazer uso dessas informações para vendê-las a
concorrentes, com o intuito de levantar quantias financeiras com essas
venda. Essa vulnerabilidade está mais associada a falta de caráter do
funcionário e a sua inclinação por desenvolver um sentimento de
vingança em relação a empresa onde atuou.
Quando um engenheiro social sabe como as coisas funcionam dentro da
empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança
junto aos empregados. As empresas precisam estar preparadas para os
ataques da engenharia social vindos de empregados atuais ou ex-empregados,
que podem ter um motivo de descontentamento. (MITNICK E SIMON, 2003).
Esses pontos vulneráveis destacados fazem parte do comportamento
humano e são, na maioria das vezes, respostas comuns a estímulos
provocados por situações diversas. O grande problema desse

12. comportamento falho esta na sua exploração por parte de pessoas
mal-intencionadas, ocasionado com isso quebra nos sistemas de
segurança das organizações e ameaçando suas informações.
A vantagem de se conhecer esses pontos da personalidade humana
reside numa possibilidade de se desenvolver Políticas de Segurança
da Informação mais adequadas com a realidade dos funcionários e
alinhadas com os objetivos da empresa, inibindo assim os ataques de
Engenharia Social e garantindo uma maior segurança para com as
informações.
2.3 Segurança da Informação
As informações pertinentes a uma empresa, como seu catálogo de
projetos, carteira de clientes, fornecedores e colaboradores,
estratégias de marketing e campanhas publicitárias, contas a pagar e
receber, manuais de utilização de equipamentos e sistemas,
organogramas e fluxogramas, documentos detalhados da topologia de
rede e configuração de servidores, entre outros, constituem um artigo
de vital importância para a sobrevivência da mesma, pois, conforme
menciona Laureano (2005, apud KATZAM, 1977):
Vivemos em uma sociedade que se baseia em informações e que exibe uma
crescente propensão para coletar e armazenar informações e o uso efetivo da
informação permite que uma organização aumente a eficiência de suas
operações.
Sendo essas informações um ativo tão importante para as
organizações, elas necessitam de um sistema eficaz de proteção
contra os diversos tipos de ameaças que possam corrompê-las e
comprometer sua segurança, acarretando assim enormes danos para
as empresas como um todo.
Para um sistema de informação ser considerado seguro ele deve ter
preservado os seguintes aspectos: integridade, disponibilidade, não
repúdio,autenticidade e confidencialidade. Para Filho (2004), estes
aspectos são considerados essenciais para que o sistema em questão
possa ser confiável e integro.
A fim de garantir a preservação dessas características, recomenda-se
a utilização de um Sistema de Segurança da Informação, que, de uma
forma genérica e sem adentrarmos nos domínios de como colocar em
prática essas medidas de segurança, domínios esses que serão
tratados posteriormente nesse trabalho, é caracterizado, segundo
definição da NBR ISO/IEC 27002 (2005), pela ―proteção da
informação contra vários tipos de ameaças para garantir a
continuidade do negócio, maximizar o retorno sobre os investimentos
e as oportunidades de negócio‖.
A base para qualquer projeto de segurança da informação consiste em
se definir primeiramente dois fatores primordiais: quem são os
proprietários dessas informações e qual o seu grau de importância

13. para a organização. Conforme relatado por Silva, P., Carvalho e
Torres (2003) esses dois pontos podem assim ser definidos:
Proprietário da Informação – para que um sistema de Segurança da
Informação possa ser posto em prática é necessário, primeiramente,
identificar os proprietários da informação. Ao se definir esses
proprietários, é possível determinar mais claramente as necessidades
reais de segurança dessa informação.
Classificação das Informações – uma vez definidos os responsáveis
pela informação, esta poderá mais facilmente ser classificada de
acordo com sua sensibilidade e, posteriormente, protegida de acordo
com essa classificação. Deve-se notar que a classificação não
constitui um fim em si mesmo, mas antes um meio que permite definir
procedimentos para a gestão da informação, como por exemplo, a sua
destruição, armazenamento ou transporte.
Os autores reforçam também que:
Este esforço de classificação permite desenvolver níveis de proteção idênticos
para informação com os mesmos requisitos de segurança, permitindo a sua
concentração, o que irá maximizar o efeito dos esforços de proteção. Nos
casos em que não seja possível agrupar a informação com as mesmas
necessidades de segurança, a classificação permite definir padrões de
proteção, claros e inequívocos, para as várias categorias de classificação.
(SILVA, P., CARVALHO E TORRES, 2003)
Quando se define o proprietário de uma informação e quem a ela será
dado acesso, fica mais fácil definir uma política para tratar sua
proteção, definindo com isso, formas de compartilhamento, restrições
de acesso e auditorias.
Com relação à classificação da informação, a sua tarefa é separar as
informações em grupos homogêneos, para que esses grupos recebam
o mesmo grau de proteção, onde será definido se essa informação é
confidencial ou não, o tempo necessário que essa informação poderá
ficar indisponível, a forma como será realizado seu
backup6
(diariamente, semanalmente, etc..), onde o backup será
armazenado, como e quando essa informação deverá ser destruída,
entre outras definições.
Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 2011)
apoiam que o correto é classificar as informações em níveis de
prioridade, respeitando sempre as necessidades das empresas, assim
como a importância da classe da informação para a manutenção da
empresa. Segundo eles, as informações podem ser assim
classificadas:
Pública: quando a informação pode vir a público sem consequências
mais sérias ao funcionamento normal da empresa, e cuja integridade
não é vital.
Interna: quando o acesso livre a este tipo de informação deve ser
evitado, mesmo não sendo muito sérias as consequências oriundas de

14. uso não autorizado. Sua integridade não é considerada vital, mas
muito importante.
Confidencial: quando a informação se restringe aos limites da
empresa e sua divulgação ou perda pode causar uma falha no
equilíbrio operacional e perdas financeiras ou quebra da confiança por
parte dos clientes externos.
Secreta: quando a informação é considerada crítica para as atividades
da empresa. Sua integridade deve ser preservada a qualquer custo e
seu acesso deve ser restrito a um número reduzido de pessoas. Sua
segurança é vital para a organização.
A partir da correta separação das informações, pode-se definir
mecanismos para garantir sua segurança, como Políticas de
Segurança da Informação acompanhadas de processos de
treinamento e conscientização de funcionários, especificando o que
cada tipo de informação implica para a empresa e definindo punições
diferentes em caso de divulgação não autorizada dessas informações.
Após a correta classificação das informações parte-se para a definição
do Sistema de Segurança da Informação e a melhor maneira de
implantar esse sistema é através de uma Política de Segurança da
Informação bem definida. Esta consiste em documentos descrevendo
a forma como a informação deverá ser tratada pela instituição.
Maneiras de se desenvolver uma Política de Segurança de Informação
e como treinar funcionários em boas práticas de segurança serão
detalhadas em capítulos posteriores. O importante de se frisar até aqui
é que as informações, por serem algo de muito valor para qualquer
instituição, necessitam serem protegidas de uma forma pensada e de
maneira a entender as ameaças que podem afetá-las.
3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA
SOCIAL
3.1 Principais Técnicas de Ataque da Engenharia Social
Os Engenheiros Sociais utilizam inúmeras técnicas e truques para
conseguir a colaboração de pessoas, que muitas vezes são vítimas
inocentes, para que estas disponibilizem informações confidencias,
sejam elas pessoais ou empresarias, para poderem fazer uso dessas
informações para fins ilícitos. Como principal meio de conseguir essa
colaboração está à exploração da reação comum das pessoas a
pedidos de ajuda e solicitação de informações, que, primeiramente,
pensam em ajudar ao solicitante e somente posteriormente se
preocupam com a importância da informação fornecida.
De acordo com Mitnick e Simon (2003), ―[...] como seres humanos,
somos todos sujeitos a sermos enganados, porque a confiança das
pessoas pode ser usada de forma errada se for manipulada de
determinadas maneiras‖. O Engenheiro Social conhece ou consegue
perceber essa confiança que lhe é depositada e, a partir dai,

15. desenvolve técnicas que buscam focar principalmente esse desejo
dos homens de ajudarem aos seus pares.
Entre as principais técnicas de Engenharia Social temos, conforme
relatado por Peixoto (2006):
Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridade
proporcionada pelo uso do telefone, garantindo sua difícil
identificação, tenta se passar por alguém que ele não é e solicita
informações ou ações ao atendente;
Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicar
em links maliciosos que poderão executar aplicativos de captura de
senhas e sequestro de computadores, tornando seus PCs zumbis,
entre outras coisas;
Chats de internet: onde, como no telefonema, o atacante pode se
passar muito facilmente por qualquer pessoa;
Fax: o criminoso envia formulários, pedidos de requisição, entre outros
documentos, solicitando que sejam respondidos e enviados para
endereços falsificados;
Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim de
encontrar dados sigilosos que possam ajudar a burlar os sistemas de
segurança dos mesmos;
Surfar sobre os ombros: o atacante posiciona-se atrás das vitimas no
momento que estas vão digitar suas senhas em terminais eletrônicos
de bancos, computadores pessoais e coisas do tipo;
Pessoalmente: constitui uma visita in loco7
por parte do transgressor
para levantamento de informações ou para execução de ações. Talvez
seja o menos utilizado, pois o que atrai um Engenheiro Social é a
obscuridade que essa técnica fornece. Mas, apesar do risco, às vezes
essa é única alternativa que resta aos criminosos.
Além das técnicas clássicas mencionadas acima, a Engenharia Social
vêm se aprimorando com o passar do tempo e com o advento de
novas tecnologias, criando formas inovadoras de obtenção de
informações sigilosas constantemente. Entre essas formas mais
modernas de ataques esta o Phishing, que é inspirado no clássico
Fakemail, porém mais aprimorado. Segundo o a empresa Symantec8
,
respeitável empresa do ramo de segurança e antivírus, o Phishing é
uma técnica de falsificação on-line que consiste na utilização de
websites falsificados e e-mails fraudulentos com o intuito de induzir as
vitimas a clicarem em links adulterados onde serão persuadidos a
passarem informações pessoais e seus criadores não passam de
falsários e ladrões de identidade.
Portanto a Engenharia Social não é uma técnica de obtenção de
informações estagnada e passa ainda por grandes transformações,
resultado da criatividade dos criminosos adeptos dessa classe de
golpes que exploram as muitas vulnerabilidades humanas.
3.2 Fatores Motivadores da Engenharia Social

16. A obtenção de lucro é o que mais motiva um criminoso a buscar
informações sigilosas de forma ilícita através de técnicas de
Engenharia Social9
. Mas também existe uma grande quantidade de
atrativos secundários que motivam esses atacantes a adotarem essa
família de fraudes para conseguirem ganho financeiro. Entre esses
atrativos podemos citar:
Facilidade para conseguir informações confidenciais: através das
inúmeras técnicas de ataques já discutidas anteriormente, os
Engenheiros Sociais conseguem obter informações sigilosas com
incrível facilidade. Santos (2004) comenta que:
muitos acreditam que os Engenheiros Sociais utilizam ataques com mentiras
elaboradas bastante complexas, porem, muitos ataques são diretos, rápidos e
muito simples, onde eles simplesmente pedem a informação desejada.
Mitnick e Simon (2006) ainda reforçam que as pessoas possuem uma
inclinação para ajudar seus pares e os Engenheiros Sociais possuem
várias maneiras para tirar proveito disso.
Alto índice de sucesso nos ataques: como resultado dessa facilidade
de conseguir informações sigilosas, temos um elevado grau de êxito
nas empreitadas que envolvem a Engenharia Social. Como não
existem dados concretos e confiáveis sobre esse tipo de golpe, as
conclusões tomadas são baseadas em documentos disponibilizados
por empresas que realizaram testes de penetração de segurança.
Essas instituições ressaltam, de acordo com Mitnick e Simon (2003),
que suas ações para invasão de sistemas computacionais de
empresas clientes utilizando técnicas de Engenharia Social
conseguem alcançar 100 % de sucesso.
A não necessidade de aparatos tecnológicos para realização de
ataques: algumas ações criminosas se vêm dificultadas pelo obstáculo
imposto por aparatos tecnológicos e também pela própria tecnologia
em si. Em muitas ocasiões o atacante não possui o equipamento
necessário para empreender a ação ou não possui o conhecimento
sobre o equipamento que terá que manusear ou atacar,
principalmente por se tratar de TI, onde as tecnologias são, cada vez
mais, complexas e de difícil domínio, e em outras, os próprios
mecanismos tecnológicos de segurança são as barreiras para impedir
tais ataques.
Com o uso da Engenharia Social, os atacantes conseguem burlar toda
essa parte tecnológica e atacar a suas vítimas sem intermédios de
meios de defesa. Mitnick e Simon (2003) reforçam que:
o atacante hábil que usa a arte de enganar como uma das armas de seu kit de
ferramentas procura explorar as melhores qualidades da natureza humana: a
tendência natural de ajudar, dar apoio, ser educado, participante de uma
equipe e o desejo de realizar um trabalho.

17. Apenas com uma simples conversa ou vasculhando uma lata de lixo
um Engenheiro Social consegue obter informações sigilosas e usá-las
para fins não lícitos.
As inúmeras vulnerabilidades humanas: em geral, as pessoas
possuem uma forma comum de reagir a situações diversas, entre elas
a solicitação de ajuda e informações que, na grande maioria das
vezes, são respondidas positivamente e sem uma analise mais
criteriosa por parte das vitimas. Compreendendo essas nuances da
personalidade humana, os Engenheiros Sociais as exploram a fim de
alcançar seus objetivos.
Os engenheiros sociais sabem como explorar o desejo natural das pessoas de
ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano
positivo para enganar empregados desavisados para que executem ações que
o coloquem mais perto do seu objetivo. É importante entender esse conceito
simples para que você reconheça quando outra pessoa está tentando
manipulá-lo. (MITNICK E SIMON, 2003).
Estrutura virtual sem fronteiras: as diferenças regionais, incluindo suas
culturas, tecnologias e legislações, tornam o ambiente virtual,
representado principalmente pela internet, um estado independente e
sem políticas unificadas. Agravando esse cenário temos o amplo
alcance da rede mundial de computadores, que torna possível a
comunicação e a interligação de computadores espalhados ao redor
do mundo.
Para Popper e Brignoli (2002) ―[...] a rede não respeita fronteiras entre
países, o que dificulta administrar as diferenças culturais ou aplicar
leis nacionais‖. Se aproveitando dessa possibilidade de acesso
irrestrito e sem fronteiras e das diferenças regionais existentes, um
atacante pode, através do uso de páginas de internet e e-mails,
cometer seus crimes em qualquer lugar do mundo, invadindo
computadores e roubando senha, tornando a tarefa de encontrá-lo
muito difícil.
Difícil punição dos criminosos: um fator muito atraente para quem
busca informações através das técnicas de Engenharia Social é a sua
difícil punição ou a até mesmo a falta dela. Conforme Popper e
Brignoli (2002) é muito difícil punir esse tipo de criminoso, pois alguns
desses ataques nem podem ser considerados delitos, e citam como
exemplo a procura de informações em sacos de lixo ou até mesmo
ouvir conversas em lugares públicos.
A falta de treinamento dos funcionários das empresas: a maioria das
empresas não investem ou investem muito pouco na segurança de
suas informações e quando investem, na maioria das vezes, investem
em dispositivos tecnológicos e se esquecem de se preocupar com o
treinamento de seus funcionários. De acordo com Silva, V. (2012a):
tal problemática [referindo-se a obtenção de informações sigilosas pelo
Engenheiro Social] está diretamente voltada à fraca abordagem desta questão

18. nas organizações, que na grande maioria das vezes não se preocupam como
deveriam com a necessidade de possuírem uma Política de Segurança robusta
que trate do tema [...].
Os crimes que envolvem a Engenharia Social são um ótimo atrativo
para os criminosos, pois, independentemente de seu objetivo principal,
que é o lucro, existe uma quantidade elevada de fatores que o tornam
possível. Junte-se a esse cenário a facilidade de se conseguir as
informações sigilosas que esse método proporciona e a quase
inexistência de punição para os criminosos e temos uma arte
criminosa das mais atraentes para os olhos de um criminoso
inteligente e perspicaz.
3.3Análise dos Ataques e dos Fatores Motivadores
Ao analisar as técnicas de Engenharia Social e os fatores que
impelem os seus ataques verificam-se três aspectos fundamentais que
estão intimamente relacionados e juntos formam uma maneira muito
eficaz de crime contra as informações: a facilidade de conseguir
informações, o alto índice de eficiência nos ataques e a difícil punição
dos atacantes.
Os dois primeiros, a facilidade de conseguir informações e o alto
índice de eficiência nos ataques, estão sincronizados com as
vulnerabilidades encontradas na personalidade humana.Essas
vulnerabilidades são as brechas por onde um Engenheiro Social
obtém sucesso com a aplicação de seus golpes, pois, conforme já
discutido e aqui reforçado por Salvo (2011), ―O elemento mais
vulnerável de qualquer sistema de segurança é o próprio indivíduo, ao
qual possui traços comportamentais e psicológicos que o torna
suscetível aos ataques de Engenharia Social‖.
Mesmo conhecendo esses traços falhos presentes nos seres
humanos, não é possível conceber um sistema tecnológico sem o
fator humano estar presente. Imamura (2007) lembra que a presença
humana é fundamental em pelo menos duas fases distintas de um
sistema computacional: a fase de criação e a fase de decisão e
ambas:
estão presentes em todos os momentos do emprego da tecnologia, pois a
seleção da tecnologia, a forma de emprego, os controles e a avaliação estão
diretamente associadas à dinâmica do avanço tecnológico e da vontade
humana. (IMAMURA, 2007).
Porém, de acordo com Filho (2004), há maneiras de se amenizar os
problemas relacionados com essas vulnerabilidades humanas,
diminuído com isso o alto índice de sucesso dos Engenheiros Sociais.
A principal delas seria a adoção de medidas, entre as empresas, para
atenuação da participação do componente humano nos processos de
segurança. Essas medidas, ainda com relação ao referenciado por
Filho (2004), compreendem quatro fatores: educação e treinamento

19. dos funcionários, segurança física da instituição, política de segurança
e controle de acesso.
É claro que o homem não pode ser excluído totalmente do processo
computacional, no entanto, quanto menor for sua participação nas
atividades relacionadas com o trato e segurança das informações e,
quando essa participação for indispensável, ela esteja respaldada por
um ambiente físico seguro e uma política de segurança consistente,
menores serão as chances de um criminoso obter sucesso em um
ataque contra as informações da instituição em questão.
Já a difícil punição dos criminosos configura-se como um grande
desafio para os responsáveis pela criação e aplicação de leis. O
sistema de leis, principalmente o brasileiro, encontra-se defasado em
relação às fraudes virtuais e muitas leis, que foram criadas para
emprego em outros crimes, diferentes dos digitais, tem que ser
enquadradas para trato dos crimes cibernéticos. Conforme defendido
por Eiras (2004), o sistema jurídico brasileiro ―mostra-se sobremaneira
obsoleto para enfrentar criminosos virtuais. Isto porque muitos meios
de prova que nos ajudariam a capturá-los, simplesmente não têm
validade em nosso Direito‖.
A forma mais contundente para tratar essa questão seria uma reforma
no regime de leis, tanto nacionais quanto internacionais, que envolva
especialistas em tecnologia e promova um debate em toda a
sociedade.
Atheniense (2012), advogado especialista em crimes de internet,
ressalta que:
[...] as soluções legais a serem buscadas deverão objetivar a circulação de
dados pela internet, controlando a privacidade do indivíduo sem cercear o
acesso à informação. Neste sentido é necessário aprimorar nossas leis de
proteção de dados, inclusive com a regulamentação da atividade dos
provedores que controlam a identificação do infrator, bem como um maior
aparelhamento das delegacias especializadas.
Seguindo esse panorama, o governo brasileiro esta trabalhando para
tipificar os crimes cometidos contra as informações. Conforme Aquino
(2011):
o governo está elaborando o marco civil para disciplinar a área de informática,
cuja ideia, segundo o ministro [referindo-se ao ministro da Justiça, José
Eduardo Cardozo], é estudar os projetos que já tramitam no Legislativo e que
preveem a tipificação para ver se há a necessidade de aperfeiçoar a parte
criminal.
Enquanto novas formas de leis que visam proteger as informações e
inibir crimes como os que envolvem a Engenharia Social não são
aprovadas, essa técnica mostra-se como um dos meios ilegais mais
seguros e vantajosos para os criminosos obterem informações
secretas e, consequentemente, ganhos financeiros, pois seus crimes
são de difícil diagnóstico, a punição aos responsáveis é muito difícil de

20. ocorrer e as vulnerabilidades humanas tornam os índices de sucesso
nos ataques muito altos.
4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA
SOCIAL
4.1 Crimes de Difícil Apuração
A Engenharia Social é uma prática de roubo de informações difícil de
ser descoberta e mais difícil ainda de ser enquadrada como um crime.
Essa difícil apuração dos delitos faz com a maioria das empresas nem
desconfiem que sofreram ataques dessa natureza contra suas
informações ou, na melhor das hipóteses, sabem que sofreram um
prejuízo, mesmo que não o consigam quantificar, mas não sabem
como esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que:
Parece que não há estatísticas sobre os ataques da engenharia social e, se
houvesse, os números seriam muito pouco confiáveis. Na maior parte dos
casos uma empresa nunca sabe quando um engenheiro social ―roubou‖ as
informações, de modo que muitos ataques não são notados nem relatados.
Reforçando esse contexto, Diniz (2008) relata que:
os possíveis prejuízos causados por ataques de Engenharia Social são
incalculáveis devido às ameaças (pessoas) estarem presentes em quase todos
os processos de uma empresa: Financeiros, Operacionais, Administrativos,
etc…
Quando as empresas descobrem que tiveram suas informações
sigilosas expostas por ataques criminosos, na maioria das vezes, já é
bastante tarde para alguma ação de defesa, elas então optam por
ocultar o corrido e não divulgam essas informações para as partes
competentes. Paschoal (2002) comenta que não se pode confiar muito
nos números referentes a invasões de sistemas informáticos, isso
porque as notificações são feitas pelos próprios invasores e as
empresas atingidas, com temor de ter as próprias falhas de segurança
expostas, evitam divulgar essas invasões sofridas.
O conjunto desses fatores faz com que as estatísticas a respeito dos
impactos causados pela ação da Engenharia Social sejam distantes
da realidade e os valores dos prejuízos provocados estejam muito
abaixo do que realmente são.
Peixoto (2006) reforça esse difícil levantamento dos impactos
provocados por ataques contra as informações empresariais:
31% [referindo-se as empresas brasileiras] não sabem dizer se sofreram
ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos
casos de ataque, as organizações não conseguiram detectar as causas e em
85% dos casos não souberam quantificar o prejuízo.
Apesar dessa dificuldade e dos dados não serem muito completos,
existem inúmeros levantamentos dos prejuízos causados por crimes
contra sistemas informáticos realizados por empresas sérias do ramo
da segurança da informação e dentre esses levantamentos encontra-
se informações sobre o Phishing, que, de conformidade com o
explanado no item 3.1 ―Principais Técnicas de Ataque da Engenharia

21. Social― é considerado uma técnica moderna de Engenharia Social. É
nesses dados que os levantamentos a seguir serão apoiados.
4.2 Números do Phishing
Como uma tentativa de mensurar os impactos causados por essa
prática, mesmo que ainda distante da realidade, serão abordados os
crimes relacionados com a prática do Phishing, pois, como são
difundidos através da rede mundial de computadores, esses crimes
são uns dos poucos entre o portfólio dos Engenheiros Sociais capazes
de serem identificados e quantificados pelas empresas de segurança
da informação.
Segundo Ikeda (2011), o Phishing ocupa a terceira posição nos
incidentes relacionados à segurança da informação no Brasil, com
11% dos casos. As Invasões a perfis em redes sociais, com 19%,
ficam em segundo lugar e os vírus de Computadores, com 68%,
aparecem no topo da lista.
Ikeda (2011) informa ainda as perdas financeiras causadas por esses
crimes no período de um ano. O montante chega a US$ 388 bilhões, e
no Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104
bilhões). Sendo o Phishing responsável por 11% das ocorrências,
pode-se estimar um prejuízo calculado aproximado de R$ 11,44
Bilhões (11% de 104 Bilhões de Reais).
Outra pesquisa, mas agora focada no Reino Unido e realizada pela
Apacs (2006)10
, entidade que pertence a Associação de Bancos
daquela região, aponta um aumento dos prejuízos causados pelo
Phishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo de
fraude tornou-se mais sofisticado e eficaz, fazendo com que os
prejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ou
seja, um aumento de 55%.
Já o instituto Gartner (2005)11
, respeitada instituição do ramo de
pesquisa e aconselhamento sobre tecnologia da informação, divulgou
um relatório sobre os prejuízos estimados ocorridos devido ao
Phishing nos Estados Unidos com cartões de crédito e débito.
Conforme o relatório, os ataques de Phishing já causaram prejuízos
estimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo ao
período de 2004 a 2005). O relatório é fruto de um estudo envolvendo
500 clientes de bancos americanos. O instituto Gartner estima que
cerca de três milhões de americanos perderam, cada um em
média, mais de US$ 900 durante o último ano.
Para termos uma ideia da expressividade dos números relatados
acima basta compará-los com os gastos com a segurança pública do
estado de São Paulo, o estado mais rico do país. Segundo dados do
SIGEO, levantados e divulgados por Junqueira (2012), temos:
[...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaram
R$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhão
para a Superintendência Técnico-Científica. Considerando-se a dotação

22. orçamentária total neste período, vê-se que, dos cerca de R$ 29 bilhões que a
pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para a
PM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$
608 milhões
Ao se analisar os números do Phishing, verifica-se que apenas em um
ano os prejuízos com esse golpe ultrapassaram os 11 bilhões de
reais, isso somente no Brasil. Esse montante é muito superior ao que
o estado de São Paulo gasta com sua rede de polícias (civil, militar e
científica). Isso nos mostra a real ameaça que são os crimes de
Engenharia Social e os grandes prejuízos financeiros que eles
provocam.
Uma única modalidade dessa arte criminosa e, ainda por cima, longe
de ter seus números levantados de forma exata e precisa e sempre
abaixo do que realmente são, demonstra o incrível potencial dessa
técnica como um todo, alertando para as empresas a importância que
elas devem dispor aos seus sistemas contra fraudes e mostrando
também que suas políticas de segurança devem ser revistas e
adaptadas aos ataques dessa natureza.
5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES
5.1 Políticas de Segurança da Informação e Sua Importância
Face às inúmeras ameaças existentes contras as informações, torna-
se indispensável para as empresas à implantação de um modelo
eficiente de Política de Segurança da Informação. Silva, V. (2012b)
ressalta que essas políticas são de extrema importância para evitar
que os ataques contra as informações, de qualquer natureza e não
somente os oriundos de Engenharia Social, consigam êxito em sua
empreitada contra as empresas.
Esse importantíssimo aspecto do escopo de segurança das
organizações é definido por LAUREANO (2005, apud DIAS, 2000)
como:
um mecanismo preventivo de proteção dos dados e processos importantes de
uma organização que define um padrão de segurança a ser seguido pelo corpo
técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para
definir as interfaces entre usuários, fornecedores e parceiros e para medir a
qualidade e a segurança dos sistemas atuais.
As Políticas de Segurança são um escopo de como as informações
devem ser protegidas dentro do âmbito da organização, ou seja, um
manual sobre os procedimentos em vigor para aquela organização
específica. Por esse motivo, são documentos que variam muito de
instituição para instituição e sua aplicação e métodos são muito
distintos.
D’Andrea (2004) ainda reforça que:
o valor e a efetividade da segurança da informação serão alcançados à medida
que as organizações façam o planejamento, o desenho e a gestão da
segurança considerando seus objetivos corporativos e de negócios.

23. Para as empresas conseguirem essa efetividade para com a
segurança de suas informações elas necessitam tratar essa questão
com um maior profissionalismo, implantando uma Política de
Segurança bem definida, que estipule normas e procedimentos a
serem seguidos por todos dentro da organização. Essas normas
precisam ainda estar em acordo com os objetivos empresarias da
empresa.
Um problema comum encontrado nas Políticas de Segurança em vigor
é que elas privilegiam por demais os aspectos técnicos dos sistemas
computacionais e esquecem o fator humano. Popper e Brignoli (2002)
enfatizam que a maior parte das empresas não aloca seus recursos
financeiros de uma forma equilibrada, elas preferem investir na
manutenção de sistemas e em novas tecnologias e se esquecem de
direcionar esses investimentos para combater a Engenharia Social.
Essa brecha nas Políticas de Segurança pode ser explorada pelos
Engenheiros Sociais, tornando todo o esquema de segurança das
empresas falho, pois, conforme salienta Peixoto (2006): ―[...] a
segurança das informações deve ser comparada a uma corrente, em
que o elo mais fraco representa exatamente o nível de resistência e
proteção‖.
Para que essas políticas sejam realmente seguras, bem balanceadas
e consigam lidar com as diferentes ameaças contra as informações, é
recomendável que elas sejam elaboradas, com relação ao Brasil,
seguindo os princípios da norma NBR ISO/IEC 27002/2005, norma
brasileira referência para gestão da segurança da informação. Sêmola
(2003), além de reforçar a necessidade da adoção dessa norma como
referência, ainda lembra que as organizações que possuem uma
política já definida deverão revê-las em conformidade também com a
ISO1779912
. Em geral essas normas estão embasadas nas leis
vigentes no país, garantindo, com isso, que as empresas não tenham
problemas com a legislação a que são subordinadas.
Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela
ABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo,
a partir desse momento, essa normal a principal referência em boas
práticas para a gestão da segurança da informação no Brasil (NBR
ISO/IEC 27002, 2005).
Em vista do que foi exposto, fica evidenciado que para tratar as suas
informações de forma segura, as empresas necessitam, primeiro,
implantar uma Política de Segurança da Informação respaldada por
uma norma que trate do assunto e esteja em acordo com a legislação
vigente do país onde resida, segundo, essa política deve estar focada
nos interesses da empresa e, terceiro, ela deve se preocupar tanto
com os aparatos tecnológicos como com os ativos humanos.
Um último ponto a ser abordado sobre as Políticas de Segurança da
Informação é que esta deve ser amplamente divulgada dentro do

24. ambiente empresarial e serem de fácil entendimento para as partes
envolvidas, conforme comentado por Silva, V. (2012b):
o grande problema enfrentado é que muitas políticas não são divulgadas, não
são confeccionadas utilizando termos de fácil entendimento, algumas possuem
palavras muito técnicas e, em meio a todas essas adversidades, a empresa
não realiza ações para conscientizar e educar seus colaboradores quanto à
importância de preservar a informação da empresa.
Essa boa divulgação das informações sobre as Políticas de
Segurança vigentes garantem um maior comprometimento por parte
dos funcionários com as questões de segurança, assegurando com
isso uma maior eficiência dessas políticas.
5.2 Sucesso da Política de Segurança da Informação
Um sistema de segurança da Informação precisa atender um grande
número de variáveis para que venha a ser executado com sucesso.
Esse sistema não pode se ater apenas a forma como as informações
serão tratadas ou armazenadas, se elas estarão disponíveis e integras
ou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002
(2005), para que um sistema de Segurança da Informação possa ser
implantado com sucesso, os seguintes aspectos precisam ser
colocados em prática:
Política de Segurança que reflita os interesses do negócio;
Uma abordagem consistente com a cultura organizacional;
Comprometimento e apoio de todos os níveis gerenciais;
Um bom entendimento dos requisitos da segurança da informação;
Divulgação das normas de segurança para todos que fazem parte do
escopo organizacional da empresa (funcionários, colaboradores,
parceiros, entre outros);
Provisão de recursos financeiros para as atividades de segurança;
Estabelecimento de um processo eficiente de gestão de incidentes da
segurança da informação;
Implementação de um sistema de avaliação e melhoria do sistema de
segurança da informação.
Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002
(2005) são bastante sucintos e genéricos, deixando a cargo da
empresa escolher os procedimentos que melhor se adequarão a sua
estrutura organizacional. Estes itens estão mais relacionados com a
maneira como o sistema será implantado, seu alinhamento com os
negócios da empresa, provisão de recursos financeiros para que o
mesmo se realize e posterior avaliação desses sistemas.
Os primeiros pontos, referentes ao alinhamento do sistema de
segurança aos interesses de negócio da organização e sua cultura,
apoio dos níveis gerencias e provisão de recursos, são essenciais
para que o plano traçado consiga sair do papel, ser colocado em
prática, ter seu desenvolvimento garantido financeiramente e seja

25. apoiado posteriormente pela administração da empresa. Conforme
explicado por Silva P., Carvalho e Torres (2003):
A Administração da empresa é quem define a estratégia do negócio e que
escolhe as iniciativas a realizar para a sua implementação. Desta forma, é a
este corpo administrativo que compete decidir ao mais alto nível as atividades
que se irão realizar na empresa, sendo a função do responsável pela
segurança dotar a Administração da informação necessária para que esta
possa optar.
Esses aspectos são conseguidos através da sinergia de todos os
setores administrativos que compõe a organização, que devem ter
suas expectativas expostas, discutidas e possam ser alinhadas com o
interesse geral dos negócios da corporação. Também se faz
necessário que a instituição, através de seu responsável pela
segurança da informação, tenha um bom conhecimento sobre as
questões de segurança e como aplicá-las em uma Política de
Segurança da Informação.
Outro traço importante da Política é a sua divulgação para todos os
funcionários e colaboradores da organização. Mitnick e Simon (2003)
defendem que o principal objetivo da divulgação de um modelo de
segurança da informação é o de ―influenciar as pessoas para que
mudem seu comportamento e suas atitudes motivando cada
empregado a querer entrar no programa e fazer a sua parte para
proteger os ativos de informações da organização‖. Com os
funcionários empenhados em seguir os procedimentos de segurança
corretamente as chances de sucesso são aumentadas
consideravelmente.
Além da divulgação da Política de Segurança, se faz necessário um
treinamento bem elaborado acompanhado de constantes programas
de reciclagem em segurança para que os funcionários estejam aptos a
lidar com diferentes tipos de ameaças, principalmente as relacionadas
com a Engenharia Social.
Finalizando os fatores que proporcionam sucesso ao Sistema de
Segurança está um esquema de avaliação do mesmo, que gere
informações para que melhorias possam ser implantadas no decorrer
do tempo.
É evidente que as questões técnicas de como proteger as informações
são o objeto central de um Sistema de Segurança da Informação e
seu maior fator de sucesso. Porem, sem a devida atenção aos
interesses da empresa, sua diretoria e funcionários, dificilmente esse
plano consiga ser consolidado, mesmo ele tendo seus aspectos
técnicos muito bem estruturados.
Por esse motivo se justifica a atenção aos quesitos apresentados,
como forma de garantir que o Programa de Segurança seja realmente
eficiente para a organização e consiga ser implantado com sucesso.
5.3 O Responsável pela Política de Segurança da Informação

26. Para iniciar o desenvolvimento de uma Política de Segurança da
Informação faz-se necessário definir o responsável ou os
responsáveis pela sua confecção, implantação, monitoramento e
possíveis ajustes que se façam necessários. Os materiais que são
referencias para as questões de segurança da informação e para
elaboração das suas políticas não especificam quem exatamente é
esse responsável/responsáveis, deixando essa decisão a cargo da
própria empresa, mas dão algumas dicas das características que esse
profissional deve possuir.
Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Política de
Segurança da Informação deve ―prover uma orientação e apoio da
direção para a segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações pertinentes‖. Percebe-se
ai que esse profissional necessita então conhecer a estrutura da
empresa em questão, para poder alinhar as Políticas de Segurança
com as necessidades de negócio da corporação, e necessita conhecer
também a regulamentação e leis vigentes, a fim de ter respaldo
jurídico para as determinações da política que será implantada.
Silva, P., Tavares e Torres (2003) também trazem a tona algumas
informações pertinentes. Segundo eles, a administração da empresa
em conjunto com os agentes por ela nomeados, são os responsáveis
pela informação usada na instituição, na sua relação com os clientes e
na produção e comercialização dos seus bens, portanto é essa
administração que decide o que irá ser feito com a informação. Silva,
P., Tavares e Torres (2003) ainda reforçam que essa postura da
administração tem, invariavelmente, repercussões na segurança e
―esta se encontra dependente tanto das suas decisões nesta matéria,
como do comportamento, mais ou menos seguro, dos utilizadores‖.
Apresentado esses pontos e antes que se possa definir o responsável
pelas políticas de segurança da empresa que se encaixe nas
informações disponibilizadas, faz-se necessário explanar quais os
cargos existentes atualmente ligados à Segurança das Informações
que podem assumir tal tarefa. Dentre estes, encontram-se dois que
merecem especial atenção: o Analista de Segurança da Informação e
o CSO ou CISO. Henrique (2011) define assim ambas as funções:
o CSO é um cargo exclusivamente executivo, voltado para a aplicação da
segurança da informação, suas normas, melhores práticas e experiência de
negócio. E quanto ao Analista de Segurança, além de estar envolvido em todos
os processos referentes à S.I., ele municia o CSO justamente com resultados e
informações diretamente das aplicações de práticas visando a segurança.
Ainda é essencial informar que, segundo Brenner (2009), a maioria
das empresas que possuem profissionais voltados para a gerência da
área de TI ainda repassam todas as tarefas dessa área, incluindo a
segurança da informação, ao CIO, que, a princípio, é o responsável

27. pela área de TI da empresa como um todo e pode não possuir uma
formação específica para a segurança da informação.
Com base nas informações coletadas pode-se concluir então que a
empresa deve possuir um profissional específico para ser responsável
pela sua Política de Segurança da Informação e é recomendável que
esse profissional faça parte de seu quadro de funcionários, a fim de
estar integrado com as necessidades de negócio da organização.
Esse profissional deve possuir um bom relacionamento com a alta
gerência e com todos os outros funcionários e ser conhecedor das
normas e leis vigentes.
Portanto o indicado é que esse profissional seja um CSO ou CISO e
tenha a assessoria de um CIO, para que este possa ajudar na
sincronização das normas de segurança com os interesses
empresariais e ser o elo com as demais áreas gerenciais, e, se
possível for e a empresa conseguir arcar com os custos, o apoio ainda
de um Analista de Segurança da Informação.
5.4 Desenvolvendo uma Política de Segurança da Informação
No desenrolar desse capítulo, algumas colocações se apresentarão
um tanto redundantes, fato esse que se faz necessário, visto que todo
o conteúdo exposto até o momento culmina com o desenvolvimento
de uma Política de Segurança sólida e que abranja todas as
necessidades de segurança que as informações possuem.
Por não se preocupar com todos os aspectos relacionados com a
segurança de uma instituição, como a segurança do perímetro do
estabelecimento, segurança de valores monetários, uso de câmeras
de monitoramento, uso de vigilantes, etc., a ―política de segurança da
informação pode ser parte de um documento de política geral‖ (NBR
ISO/IEC 27002, 2005). Esse documento, mais geral e abrangente,
torna-se necessário a fim de que possa ser contemplada a segurança
da empresa como um todo e nele devera então ter contido uma
Política de Segurança volta especificamente para a proteção das
Informações.
Ainda com base na NBR ISO/IEC 27002 (2005), verifica-se que ―se a
política de segurança da informação for distribuída fora da
organização, convém que sejam tomados cuidados para não revelar
informações sensíveis‖. Esses cuidados garantem uma atenção com
informações que serão repassados a terceiros, como prestadores de
serviços, parceiros e clientes da instituição.
Tomados esses cuidados, a organização que deseja implantar a
Política de Segurança da Informação deverá indicar um responsável
pela tarefa, que, conforme já apresentado, deverá ser um CSO ou
CISO. Esse responsável deverá elaborar a política em questão de
uma forma que esta esteja totalmente documentada e se atentar para
que, de acordo com a NBR ISO/IEC 27002 (2005), esse documento
reflita o comprometimento da direção da empresa e estabeleça o

28. enfoque da organização para gerenciar a informação. Outro aspecto a
ser ressaltado, e que é reforçado pela NBR ISO/IEC 27002 (2005), é
que a Política de Segurança da Informação deverá ser ―comunicada
através de toda a organização para os usuários de forma que seja
relevante, acessível e compreensível para o leitor em foco‖. (NBR
ISO/IEC 27002, 2005).
Com relação à forma com que a Política deve ser conduzida, Silva, P.,
Tavares e Torres (2003), salientam que ―as regras contidas neste
documento devem ser suficientemente genéricas para não
necessitarem de revisão‖. Isso garante que a política não fique
defasada demasiado cedo e não necessite ser alterada com
frequência, como, por exemplo, por motivos de inovações
tecnológicas.
Passando para um âmbito mais concreto da Política de Segurança da
Informação, Laureano (2005) defende que elas devem abranger os
seguintes conteúdos:
O que estamos protegendo: aqui se define as informações sensíveis
para a empresa e quais os níveis de segurança elas deverão possuir.
Isso significa agrupar as informações em grupo de prioridades;
Métodos de proteção: onde se decide como essas informações serão
protegidas;
Responsabilidades: onde são estipulados os privilégios de acesso às
informações para os usuários;
Uso adequado: escopo de como os usuários deverão usar os recursos
de redes;
Consequências: esclarecimento sobre as consequências que uma
quebra de segurança trará pra a empresa;
Penalidades – as penas a que estarão sujeitos os infratores dos
procedimentos descritos na Política de Segurança da Informação.
Essas questões auxiliam a direcionar a Política de Segurança e
segregar melhor os recursos disponíveis, pois ao se limitar as
informações que deveram ser mantidas em sigilo pode-se definir
melhor uma estratégia para sua proteção e dar-lhe um foco mais
direcionado. Isso vai de encontro ao definido na classificação das
informações, que objetivam justamente definir quais informações
necessitam proteção e qual o grau dessa proteção, resultando numa
definição de métodos de proteção mais eficazes. Ao se definir
responsabilidades, mostrar as consequências e informar as
penalidades, consegue-se um maior controle sobre os usuários e
embasamento para punições, caso seja necessário.
Agora, para a definição eficiente do que deve ser protegido e métodos
de proteção a serem adotados, faz-se necessário uma Analise de
Risco sobre as Informações da organização. Conforme Silva, P.,
Tavares e Torres (2003), a Análise de Risco se faz necessário para
que a Administração consiga formalizar um conjunto equilibrado e

29. completo de objetivos para a Segurança da Informação. Esse
procedimento deixa claro para a organização a quais riscos suas
informações estão expostas, a forma como mitigá-los e qual o tempo
para recuperação de cada grupo de informação já previamente
classificado. Por esse motivo, reforça-se mais uma vez a importância
de uma clara classificação das Informações em poder da empresa.
Com essas definições claras e os riscos calculados, a Política de
Segurança ganha já uma forma próxima da realidade e seus
procedimentos já possuem uma base para serem definidos.
A norma brasileira NBR ISO/IEC 27002 (2005) também especifica
pontos a serem contidos nas Políticas de Segurança que vão de
encontro com o ressaltado por Laureano (2005). Segundo ela, os
documentos das políticas devem conter declarações relativas aos
seguintes aspectos:
Uma definição da Segurança da Informação, suas metas globais,
escopo e importância da segurança da informação para o
compartilhamento da informação;
Uma declaração da direção apoiando essa Política e se submetendo a
ela;
Uma estrutura para estabelecer os objetivos de controle e controles;
Explanação das políticas, princípios, normas e requisitos de
conformidade da segurança da informação específicos para a
organização;
Definição das responsabilidades gerais e especificas pela segurança
da informação e registro de incidentes de segurança da informação;
Referência a documentação que possa apoiar as políticas, como, por
exemplo: regras de segurança que os usuários devam seguir;
Esses pontos abrangem, de uma forma ampla e genérica, os
principais aspectos que devem ser considerados para que as
Informações empresariais possam ser tratadas de uma forma segura.
Mas para garantir que a Política esteja consistente e possíveis novas
falhas possam ser descobertas, a NBR ISO/IEC 27002 (2005)
recomenda ainda que a Política de Segurança da Informação seja
criteriosamente analisada em períodos de tempo regulares,
planejados ou quando ocorrerem mudanças significativas. Isso
assegura a ―sua contínua pertinência, adequação e eficácia‖ (NBR
ISO/IEC 27002, 2005).
Para finalizar, a NBR ISO/IEC 27002 (2005) estabelece o uso de
controles, que são as formas pelas quais os objetivos estipulados
pelos procedimentos da Política serão alcançados, ou seja, a forma
como os riscos serão tratados, qual o nível de proteção será aplicado
a determinado grupo de informações e qual a indisponibilidade
aceitável para cada grupo.
Sendo a Política de Segurança da Informação um documento bastante
genérico e universal, que especifica quais os pontos a serem

30. verificados quanto à segurança das informações e como esta deve ser
tratada dentro da organização, mas não esclarecendo como isso deve
ser feito, cada empresa devera implantar procedimentos de acordo
com sua realidade e estabelecer os controles que melhor lhe convém
com base nas informações fornecidas principalmente pela NBR
ISO/IEC 27002 (2005) sobre boas práticas de segurança da
informação.
Uma política mais especifica e direcionada principalmente para a
questão da Engenharia Social será dada a seguir.
6. SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA
SOCIAL
6.1 Segurança da Informação Focada na Engenharia Social
Como o norte do presente trabalho é a Engenharia Social, suas
implicações e formas de combatê-la, torna-se necessário a
apresentação de um Programa de Segurança da Informação que se
preocupe com essa técnica criminosa e consiga eliminar, ou pelo
menos reduzir, os impactos por ela causados nas organizações.
O termo Programa de Segurança da Informação será adotado a partir
daqui, pois ele define algo que excede os limites das Políticas de
Segurança da Informação, carregando consigo um contexto mais
abrangente e levantando outros aspectos primordiais para a
segurança das organizações, como um conjunto de treinamentos e
conscientização dos funcionários, tornando o combate aos ataques de
Engenharia Social mais eficaz, visto que, de acordo com o
mencionado por Mitnick e Simon (2003):
o único meio verdadeiramente efetivo de amenizar a ameaça da Engenharia
Social é usar a conscientização para a segurança combinada a políticas de
segurança que definem as principais regras para o comportamento do
empregado, junto com sua educação e treinamento.
Portanto, a constante conscientização dos funcionários se apresenta
para os autores como a principal arma na luta contra a Engenharia
Social e deve ser incluída obrigatoriamente nos Programas de
Segurança da Informação.
Só existe uma maneira de manter seguros os seus planos de produto: ter uma
força de trabalho treinada e consciente. Isso envolve o treinamento nas
políticas e procedimentos, mas também — e provavelmente mais importante —
um programa constante de conscientização. Algumas autoridades recomendam
que 40% do orçamento geral para segurança da empresa seja aplicado no
treinamento da conscientização. (MITNICK E SIMON, 2003).
Sendo essas ferramentas, a constante conscientização e treinamento
dos funcionários, as mais eficazes no combate à Engenharia Social,
devem, pois, estarem sob o respaldo da Política de Segurança de
Informação da Instituição e necessitam contemplar os pontos
referentes às vulnerabilidades dos funcionários, quem são explorados

31. pelos Engenheiros Sociais, e as técnicas de ataque desses
criminosos.
Um escopo desses pontos vulneráveis da personalidade humana e
das formas de ataques utilizadas pelos Engenheiros Sociais já foram
apresentados anteriormente13
, mas, para reforçar a sua importância
em um Programa de Segurança da Informação voltado contra as
técnicas de Engenharia Social, serão revistos em formas de tópicos,
pois, como já dito, suas peculiaridades já foram discutidos em
oportunidade anterior.
Conforme explicado por Mitnick e Simon (2003), os principais pontos
vulneráveis da personalidade humana e explorados pelos Engenheiros
Sociais são:
O respeito à autoridade;
A afabilidade;
A reciprocidade;
A consistência;
Validação social;
Escassez;
Peixoto (2006) ainda destaca outros dois pontos importantes: a falta
de interesse ou desatenção para com as informações que são
disponibilizadas a terceiros por parte dos funcionários das empresas e
a falta de treinamento adequado em práticas de segurança da
informação por parte desses funcionários.
Com relação às técnicas de ataques, Peixoto (2006) lista os seguintes
itens:
Telefonemas;
Fakemail;
Chats de internet;
Fax;
Mergulho no lixo;
Surfar sobre os ombros e
Pessoalmente.
Outra forma de Engenharia Social que deve ser incorporada a essa
lista é o Phishing, uma moderna forma de Engenharia Social que
causa enormes prejuízos para as organizações segundo a empresa
Symantec14
.
Deste modo, um Programa de Segurança da Informação que seja
eficaz contra os golpes de Engenharia social deve abordar
necessariamente os pontos ressaltados acima e incluir esses aspectos
pertinentes aos ataques – as vulnerabilidades humanas e as formas
de ataques – nos assuntos que tangem tanto aos métodos de
proteção quanto ao treinamento dos funcionários.
O escopo de itens importantes a serem ressaltados nos treinamentos
de conscientização dos funcionários ainda deve compreender formas
de se checar a informação passada por terceiros no momento de

32. disponibilizar dados importantes. Para Peixoto (2006), ―a checagem da
informação é no mínimo necessária para qualquer corporação que
priva a segurança de seus clientes como de si própria‖. Essa
checagem deve tornar-se um padrão e ocorrer sempre que uma
solicitação de informação ou pedido para que uma ação seja tomada
fora dos padrões estipulados seja requerida.
Em Mitnick e Simon (2006) temos ainda que as empresas devem criar
seu próprio procedimento de verificação de identidades e de
autorizações de indivíduos que peçam informações ou ações e esse
processo dependera da confidencialidade das informações/ações
solicitadas.
O trato adequado do lixo dispensado pela empresa é mias um ponto
que merece atenção. Peixoto (2006) reforça esses cuidados e lembra
que o zelo serve para o lixo digital também. Para ele, essas sobras
empresariais contem informações muito valiosas para um Engenheiro
Social e seu descarte deve ser cercado por cuidados, como, por
exemplo, separar o lixo que possa conter essas informações e picotá-
lo ou quebrá-lo antes de despachá-lo. (PEIXOTO, 2006).
Um último ponto de atenção a ser relatado é com relação aos
funcionários demitidos. Veríssimo (2002) comenta que uma atenção
especial deve ser disponibilizada a eles, principalmente os que saíram
descontentes com a empresa e salienta que as informações sobre a
organização que esses funcionários possuem não podem ser
simplesmente anuladas de uma hora para outra. Por esse motivo
essa questão deve ser bem pensada no Programa de Segurança da
Informação.
Se o Programa de Segurança da Informação conseguir incorporar os
aspectos mencionados, ele será uma barreira valiosa na luta da
corporação contra as investidas dos Engenheiros Sociais. Entretanto,
Mitnick e Simon (2003) vão ainda um pouco mais adiante na questão
das táticas de treinamento e conscientização dos funcionários e
enfatizam que estes precisam estar comprometidos com a segurança
da informação enquanto funcionários de uma instituição e
recomendam que um método ativo e bem divulgado de recompensa
aos funcionários que se empenharem no cumprimento do Programa
de Segurança seja criado.
Esses treinamentos devem contemplar também processos de
reciclagem, onde novos exercícios para reforçar a questão da
segurança devem ser efetuados de tempos em tempos, Mitnick e
Simon (2003) estipulam que esses cursos de reciclagem sejam
realizados no máximo a cada 12 meses.
Após toda essa atenção na confecção e implantação dos Programas
de Segurança é importante que mecanismos de controle e melhorias
sejam realizados no seu decorrer, garantindo que o programa esteja
sempre evoluindo e melhorando com seus erros.

33. Esses controles, segundo Fonseca (2009), são compostos por testes
de penetração e avaliação de vulnerabilidade realizados com táticas
de Engenharia Social e tem o intuito de mostrar os pontos falhos do
treinamento ou a falta de cumprimento das políticas de segurança da
organização. Fonseca (2009) ainda lembra que ―antes de usar
qualquer tática de teste de penetração simulado, os empregados
devem ser avisados de que tais testes podem ocorrer de tempos em
tempos‖.
Agregando esses aspectos mencionados dentro de um Programa de
Segurança da Informação têm-se a certeza que este será uma
ferramenta de grande valia para a organização garantir a segurança
de suas informações contra os ataques de Engenharia Social.
Completando os processos para assegurar a segurança das
informações e, consequentemente, a continuidade dos negócios da
empresa, após o desenvolvimento, implantação e acompanhamento
do Programa de Segurança da Informação dentro da organização, faz-
se necessária a criação de um Plano de Continuidade do Negócio.
7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE
7.1 PCN – Plano de Continuidade do Negócio
Todos os esforços desempenhados até o momento para garantir a
preservação das informações empresariais demonstram a importância
destas para a vida das corporações e demonstram também que elas
não podem de maneira alguma tornar-se inacessíveis, pois, conforme
defendido por Laureano (2005), vivemos num mundo disputado de
negócios e as empresas não podem ficar indisponíveis para seus
clientes.
Essas possíveis indisponibilidades são ocasionadas por ameaças que
exploram as vulnerabilidades existentes no ambiente da corporação e
podem afetar tanto a sua estrutura física, com seus prédios e
construções, seu parque de equipamentos, que podem ser
relacionados com a TI ou não, e as informações. Como o acesso as
informações dependem de toda uma infraestrutura, como
disponibilidade de energia elétrica, links de acesso, cabeamento e
computadores, entre outros, o restabelecimento desses meios é
essencial para o acesso à informação e, consequentemente, para o
retorno das atividades da corporação.
As Políticas de Segurança da Informação15
tem o objetivo de erradicar
essas ameaças ou ao menos amenizá-las a um nível aceitável,
impedindo que elas se tornem um desastre. Acontece, porém, que
certas ameaças/desastres são impossíveis de serem tratados ou
amenizados, como, por exemplo, a queda de um avião ou uma
enchente na área da empresa, e mesmo as que podem ser
amenizadas, às vezes fogem ao controle e causam grandes prejuízos
ao quadro tecnológico. Laureano (2005) lembra também que esse
conceito de desastre, que era ligado às ocorrências geradas por

34. fatores naturais, evoluiu bastante e vem sendo substituído pelo
conceito de evento, que ―é a concretização de uma ameaça
previamente identificada, podendo ser seguido ou não de um
desastre‖. (LAUREANO, 2005).
O PCN (Plano de Continuidade do Negócio) trata então do combate a
essas indisponibilidades e se constitui de um documento bem amplo,
contendo práticas que objetivam ―não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos e assegurar sua retomada em
tempo hábil, se for o caso‖. (NBR ISO/IEC 27002, 2005).
De acordo com o BicBanco (2008)16
e Laureano (2005) o PCN deve
ser subdividido em três módulos complementares:
Plano de Administração de Crise – Este plano tem como meta definir
como será o trabalho das equipes responsáveis pelo acionamento da
contingência em qualquer momento do incidente, ou seja, antes,
durante ou depois deste e os métodos que devem ser cumpridos por
essa equipe no retorno a normalidade;
Plano de Continuidade Operacional – Objetiva definir os
procedimentos para controle dos mecanismos que suportam cada
etapa de negócio, visando diminuir a indisponibilidade e os prejuízos
potenciais ao negócio;
Plano de Recuperação de Desastres – Define um plano de
recuperação para a restauração das funcionalidades dos mecanismos
afetados que suportam os sistemas do negócio, a fim de restabelecer
o ambiente e as condições originais de operação.
Essa divisão objetiva segmentar o PCN, enquadrando cada momento
em um estágio diferente, facilitando a divisão de responsabilidades e
as medidas a serem tomadas em cada caso e são a base para o
entendimento dos processos envolvidos na continuidade do negócio e
para o planejamento e implantação de um PCN bem estruturado e
efetivo.
7.2 Elaboração Do PCN
Para início do planejamento do PCN faz-se necessário definir o
responsável por sua elaboração. Fagundes (2004) ressalta que a
responsabilidade desta tarefa deve ser distribuída entre toda a
organização e não ser responsabilidade apenas da área de
processamento de dados e salienta ainda que ―para se atingir um
planejamento eficaz é necessário que o pessoal sênior de sistemas de
informação e das áreas de negócios esteja envolvido durante todo o
projeto para o beneficio da organização‖. (FAGUNDES, 2004).
Portanto a tarefa de se pensar o PCN deve ser realizada pelos
responsáveis pela área tecnológica da empresa, geralmente
representada pelo CIO, em conjunto com o restante do seu corpo
gerencial, pois, ao se construir essa empreitada em conjunto, tem-se o
comprometimento de toda a organização com o que ficou estipulado e

35. consegue-se também garantir que nem uma área de atividade fique
descoberta em caso de desastre.
A parte responsável pela elaboração do PCN seleciona então, entre
os funcionários da empresa, os agentes que atuarão efetivamente no
Plano, definindo suas funções e responsabilidades. Essa nomeação
pode ser postergada para uma fase posterior, visto que as ações a
serem tomadas face ao desastre podem ainda não terem sido
estipuladas.
Com relação à escolha dos funcionários que farão parte da equipe de
continuidade do negócio, a NBR ISO/IEC 27002(2005) recomenda que
o PCN contenha uma ―designação das responsabilidades individuais,
descrevendo quem é responsável pela execução de que item do
plano‖ e reforça a necessidade de suplentes serem definidos quando
necessário. (NBR ISO/IEC 27002, 2005).
Tendo as partes envolvidas no PCN já identificadas, a Norma NBR
ISO/IEC 27002 (2005) aconselha ―identificar os eventos que podem
causar interrupção aos processos do negócio, junto à probabilidade e
impacto de tais interrupções e as consequências para a segurança da
informação‖. Esses eventos precisam então ser mapeados e
documentados para poderem ser incluídos no escopo do Plano, a fim
de se conseguir uma cobertura dos prejuízos por eles causados, sob o
risco de: ―se não houver Planejamento para Segurança e Contingência
adequados, alguns ou até todos requisitos estarão ameaçados e,
consequentemente, a empresa ameaçada‖. (LAUREANO, 2005).
A tarefa de avaliação e classificação dos eventos que podem afetar as
operações da organização deve ser analisada com cautela e ser
pensada mediante os riscos que podem acometer a organização de
uma maneira geral e suas informações em particular e qual a real
necessidade de recuperação dessa informação. Lembrando que
quanto mais crítica a informação, maior deve ser o nível de agilidade
em sua recuperação e maior será o investimento para tal façanha. O
tratamento e mitigação desses riscos e a forma como realizar esse
combate ao desastre é algo peculiar a cada organização, cabendo a
seus responsáveis decidirem as melhores práticas a serem tomadas,
com vistas às necessidades da empresa.
O importante é ter o conhecimento dos riscos a que a empresa esta
sujeita e como elaborar uma estratégia de restauração das atividades
caso esses riscos se concretizem.
7.2.1 Estratégias de Contingência
Após a avaliação dos eventos, Silva, P., Carvalho e Torres (2003)
orientam que é preciso pensar nas tarefas a serem executadas para
recuperação das atividades da corporação, os meios necessários e o
modo de realização dessas atividades. Para a definição das tarefas é
essencial que se defina as estratégias de contingencia que a empresa
necessita. Essas estratégias objetivam definir o grau de criticidade que

36. a empresa deseja, onde cada grau representa um menor tempo de
resposta e um custo mais elevado, e podem ser dividas por áreas
dentro da própria empresa, onde cada uma delas pode possuir uma
estratégia diferente, conforme suas necessidades.
De acordo com Laureano (2005), essas estratégias podem ser assim
classificadas:
Estratégia de Contingência Host-site: é a contingência de nível mais
crítico, onde as aplicações necessitam de alta prioridade e seu tempo
de resposta é imediato; como acesso ao banco de dados, por
exemplo;
Estratégia de Contingência Warm-site: aplicada em processos onde
sua paralisação possui uma maior tolerância, podendo ficar
indisponível por algum período de tempo, até o retorno operacional da
atividade, como o correio eletrônico, que apesar de ser importante,
não se caracteriza como uma aplicação vital para o funcionamento da
organização;
Estratégia de Contingência Cold-site: esta propõe uma alternativa de
contingência a partir de um ambiente com os recursos mínimos de
infraestrutura e telecomunicações, desprovido de recursos de
processamento de dados. Portanto, aplicável à situação com
tolerância de indisponibilidade ainda maior que a Warm-site;
Estratégia de Contingência de Realocação de Operação; esta
estratégia objetiva desviar a atividade atingida para outro ambiente
físico, equipamento ou link, pertencentes à mesma empresa. Para tal
façanha a empresa deve possuir recursos suficientes que possam ser
alocados em situações de crise;
Estratégia de Contingência Bureau de Serviços: Considera a
possibilidade de transferir a operacionalização da atividade atingida
para um ambiente terceirizado; portanto, fora dos domínios da
empresa;
Estratégia de Contingência Acordo de Reciprocidade: é recomendada
em atividades que demandariam um grau de investimento para
contingência inviável ou incompatível com a importância da mesma.
Ela propõe um acordo mutuo de reciprocidade com empresas com
características físicas, tecnológicas ou humanas semelhantes e
igualmente dispostas a possuir uma alternativa de continuidade
operacional, onde as empresas definem os procedimentos de
compartilhamento de recursos para alocar a atividade atingida no
ambiente da outra em caso de desastres;
Estratégia de Contingência Autossuficiência: é quando a empresa
decide que seus sistemas são autossuficientes e não dependentes de
fatores externos. Isso pode ocorrer quando a organização não possui
recursos para implementar uma das estratégias anteriores ou a sua
implantação não se justifica pelo nível operacional que a empresa
possui;

37. A empresa deve definir o grau de prioridade que seus sistemas
necessitam e se o custo para manter essa prioridade é justificável.
Feito essa analisa ela decide então qual estratégia ira adotar,
lembrando que essa estratégia pode ser segmentada por setores
dentro da corporação.
Laureano (2005) reforça ainda que os PCNs devem ser
‖desenvolvidos para cada ameaça considerada em cada um dos
processos do negócio pertencentes ao escopo, definindo em detalhes
os procedimentos a serem executados em estado de contingência‖.
Esse ponto destaca a importância de se customizar o PCN, definindo
uma forma de recuperação coerente para cada ameaça e para cada
nível de processo do negócio, garantindo uma alocação mais eficaz
dos recursos disponíveis e um melhor aproveitamento das
potencialidades que o PCN oferece.
Essas estratégias de contingência definem o PCN em si e são a
maneira como a empresa enfrentará o desastre. Dentro de cada
estratégia a empresa define então como realizara os processos de
recuperação de acordo com seus interesses.
7.3 Avaliando o PCN
Finalizando as etapas de elaboração do PCN temos a faze de
Avaliação ou Teste. Para a NBR ISO/IEC 27002 (2005) é conveniente
à inclusão desta etapa para que o plano seja testado e atualizado
regularmente, a fim de se garantir sua constante atualização e
efetividade. Essa atualização se faz necessário vista as mudanças
que podem ocorrer na estrutura da organização, tanto física como
lógica, exigindo que o programa se adeque as novas exigências dos
processos. Outro ponto bem reforçado pela NBR ISO/IEC 27002
(2005) é a preocupação com a efetividade do PCN, pois muitos
problemas podem ocorrer no momento de empregá-lo se esses
cuidados não forem tomados, colocando todo o trabalho a ele
dedicado em risco e, consequentemente, toda a empresa também.
A fase de Avaliação e Testes serve ainda para garantir que os
envolvidos no processo de continuidade do negócio estejam cientes
de suas obrigações e saibam o que fazer no momento que forem
acionados. A NBR ISO/IEC 27002 (2005) ratifica essa importância,
tratando assim o assunto:
Convém que os testes do plano de continuidade do negócio assegurem que
todos os membros da equipe de recuperação e outras pessoas relevantes
estejam conscientes dos planos e de suas responsabilidades para a
continuidade do negócio e a segurança da informação, e conheçam suas
atividades quando um plano for acionado.
E ainda continuando com o que estabelece a NBR ISO/IEC 27002
(2005) é relevante que o planejamento e a programação dos testes do
PCN ―indiquem como e quando cada elemento do plano seja testado‖
e ―os componentes isolados do(s) plano(s) sejam frequentemente

38. testados‖. Tendo um controle sobre a aplicação dos testes e
aplicando-os separadamente, em cada componente, consegue-se um
maior detalhamento dos resultados, conseguindo, com isso, uma
melhor mensuração da eficiência do Plano e caso seja necessário
ajustes, estes poderão ser feitos apenas nas zonas deficitárias do
projeto, não sendo necessário a sua total reformulação.
Essa etapa do PCN pode ser realizada pela própria organização, pois
esta sabe os pontos mais sensíveis de sua estrutura e os que
merecem maior atenção. Ao realizar uma boa bateria de testes a
organização assegura-se então que seu modelo de recuperação está
condizente com suas necessidades e terá a tranquilidade de saber
que, caso algum desastre de maiores proporções aconteça, ela estará
prevenida e pronta para continuar suas atividades.
7.4 Outra Abordagem para Elaboração do PCN
Outra forma de se planejar o PCN, mais detalhada que a explicada
anteriormente, seria dividindo esse planejamento em fases. Silva, P.,
Carvalho e Torres (2003) explicam que nesse formato, o planejamento
pode ser desmembrado em cinco etapas: fase de arranque, fase de
redução de riscos e avaliação do impacto, fase de desenvolvimento do
plano, fase de implementação do plano e fase de manutenção e
atualização.
Para os autores as fases são assim caracterizadas:
Arranque ou Início do Projeto – essa etapa inicial é caracterizada pelo
enquadramento do negócio da organização, definição dos objetivos do
plano, identificação dos pressupostos e terminologias bases. Nesta
fase também se define um modelo de gestão para todo o projeto.
Esta constitui a fase inicial do projeto, onde os alicerces para sua
elaboração e implantação são definidos: como os responsáveis pela
implantação do plano, os ativos mais importantes e o período que
esses ativos podem ficar indisponíveis, entre outros;
Redução de riscos e avaliação do impacto – para se conseguir a
efetiva recuperação de um desastre é necessária à implantação de
medidas que evitam a sua ocorrência e tentem amenizar os prejuízos
causados por este desastre.
O combate às ocorrências consiste na prevenção do incidente,
tentado evitar o desastre. Aqui se avalia as vulnerabilidades que a
empresa possui e melhor forma de combatê-las ou amenizá-las. Já a
repressão aos prejuízos ocorre tanto antes como depois do desastre,
requerendo o posicionamento antecipado de mecanismos e
procedimentos que permitam limitar o seu impacto. Estas medidas
podem ser tomadas em qualquer fase do plano, dependendo da
gravidade do incidente ocorrido;
Desenvolvimento do Plano – consiste no desenvolvimento do plano
propriamente dito, que deve ser constituído de um documento único,
composto por um conjunto de outros documentos, dependendo dos

39. objetivos da empresa e do escopo do plano, bem como da estrutura
da organização e da distribuição das funções críticas no seu seio.
Uma característica importante do plano deverá ser a sua flexibilidade
e independência, uma vez que um plano difícil de alterar, ou seja, com
um método muito particular, pode comprometer mais a situação. Por
esse motivo é necessário também à criação de um plano alternativo;
Implementação do Plano – Nessa etapa dá-se à integração dos
elementos necessários ao funcionamento dos procedimentos na
Empresa e se realiza o conjunto de medidas necessárias à divulgação
do plano, ao seu teste e à nomeação das equipes responsáveis pela
sua execução. Vale lembrar que esses responsáveis não são
necessariamente os mesmos ocupados do planejamento do plano,
visto que esses foram definidos na fase de arranque do projeto;
Manutenção e Atualização – A manutenção e atualização do PCN
requer o estabelecimento de um programa que suporte a sua
comunicação periódica a todas as pessoas envolvidas, tanto para
sensibilização como para o reforço da informação já anteriormente
veiculada. Este programa deve, também, contemplar a realização do
conjunto de atividades necessárias à introdução de alterações no
plano, de modo a garantir permanentemente a capacidade de
recuperação de um desastre.
Essas etapas vão de encontro com o que já foi estipulado, porém
contando com um grau maior de detalhamento das atividades,
colaborando para que a tarefa de planejamento do PCN seja mais fácil
e didática para as partes envolvidas. O importante para a organização
é ter claramente definidas suas necessidades sobre qual a prioridade
de restabelecimento de cada atividade do seu escopo, conseguindo
com isso um PCN mais eficaz e que abranja de maneira correta suas
expectativas.
8 CONSIDERAÇÕES FINAIS
As informações são, indiscutivelmente, o bem mais valioso de
qualquer corporação nos dias atuais. Um correto trato dessas
informações e um sistema competente de proteção para com elas
constituem um diferencial precioso e a instituição que o possuir tornar-
se-á mais eficiente nos seus negócios, garantindo uma enorme
vantagem competitiva que não pode ser desprezada ou negligenciada.
Porém, a maioria das empresas não investe na segurança de suas
informações e as que investem, investem muitas das vezes de forma
errônea e pouco confiável, preocupando-se por demais com os fatores
tecnológicos envolvidos nos processos informatizados e esquecendo-
se dos aspectos humanos, que são os principais responsáveis pelas
falhas de segurança e vazamento de informações dentro das
organizações.
O trabalho em questão apontou essa política errônea adotada pelas
corporações e trouxe a tona um fator de risco a segurança das