SlideShare uma empresa Scribd logo

O "erro humano" e a engenharia social

R
Ricardo Cavalcante

O documento discute como o erro humano e a engenharia social são grandes vulnerabilidades nos sistemas de segurança da informação. Apresenta técnicas comuns de engenharia social como análise de lixo, phishing e contato telefônico. Também fornece dicas para proteger sistemas, como classificar dados, restringir acesso e analisar como dados sensíveis são transmitidos.

Apresentações e oratória
1 de 30
Baixar para ler offline
O “erro humano” e a engenharia social
Hello! Ricardo Cavalcante Sou membro do projeto de extensão RSI (residência em segurança da informação) da UFC.
Introdução Grande parte das vulnerabilidade nos sistemas de corporações ou sistemas de uso pessoal provém de erros humanos. Tais vulnerabilidades ,atualmente, são muito utilizadas por pessoas más intencionadas para fins de diversas formas ,desde simples acessos a dados pessoais até roubo de dados sigilosos de multinacionais. Esta apresentação tem o intuito de mostrar a eficiência e a incrível capacidade que técnicas simples de manipulação de indivíduos para o ganho de privilégios em sistemas ou acesso a informações sigilosas. Além disso , algumas dicas serão dadas para que você mesmo consiga proteger seus dados de forma a dificultar possíveis tentativas por parte de pessoas más intencionadas.
Introdução segundo a edição 2014 do Network Barometer Report, da Dimension Data ,apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionam com questões como erro humano, falhas de comunicação ou questões ambientais. Mais 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados.
Atualmente, grande parte dos usuários finais e das organizações que usufruem dos mecanismos e ferramentas oferecidos pela internet e por computadores reconhecem os possíveis riscos de um uso desprotegido da tecnologia. No entanto buscam apenas investir em “blindar” duas máquinas e esquecem de se policiar e preparar a si mesmos ou os seus empregados ao uso de tais sistemas de forma segura. Por que?
Além disso o uso da engenharia social é uma ferramenta muito importante para o levantamento de informações sobre um alvo e , consequentemente, se torna um amplificador e facilitador dos outros setores , como o forense e o pen test. Por que?
This is a slide title
O erro humano O erro invisivel 1
◇ O ser humano é sucessível tem por si só o instinto de ajudar o próximo caso ache necessário ou agir de forma despretensiosa e desatenta às consequências, e algumas técnicas funcionam como gatilhos para uma maior manipulação como: ■ Vaidade pessoal e/ou profissional ■ Autoconfiança ■ Vontade de ser útil ■ Busca por novas amizades ■ Propagação de responsabilidade ■ Persuasão
A engenharia social A arte de enganar 2
“ “Engenharia social é a hábil manipulação da tendência humana de confiar”
“ “A engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual”
◇ Na engenharia social algumas técnicas são mais praticadas e garantem um taxa de sucesso considerável ,tendo em vista a ausência de preparo dos funcionários e na negligência de algumas etapas importantes. Tais técnicas são: ■ Análise do Lixo ■ Internet e Redes Sociais ■ Contato Telefônico ■ Abordagem Pessoal ■ Phishing
eps1.4_3xpl0its.wmv
Invasores nenhum sistema está a salvo
Invasores nenhum sistema está a salvo
Solução Simples ,mas não definitiva 3
◇ Conhecimento das ameaças ◇ Quanto menos conteúdo público melhor ◇ O pessoal e o profissional não devem se relacionar ◇ Todos são suspeitos ◇ Prevenir é melhor que remediar Técnicas gerais
Ao contrário do que se imagina, os ataques que exploram o erro humano são os mais ocorrentes e seus danos podem atingir sua vida diretamente. No entanto , com atenção e com um constante policiamento das suas ações durante o uso da internet , por exemplo, tais ataques podem ser identificados e evitados. Técnicas pessoais
Atenção à url
Downloads ◇ Observe as extensões dos arquivos ◇ Baixe de fontes confiáveis ◇ Verifica nas propriedades do programa, a extensão do arquivo
◇ Classificar e restringir o acesso aos dados. ◇ Além de restringir o acesso aos dados sensíveis, implementar processos e ferramentas de autenticação para acesso aos dados. ◇ Analisar como são transmitidos internamente os dados sensíveis de clientes ou financeiros ◇ Criar uma política de interna de segurança da informação Técnicas para a gestão
A política interna Abrangência , cautela e busca pela eficiência 4
Na gestão , diminuir tal fator é um desafio para os profissionais encarregados devido alguns fatores: ◇ Lidar com os empregados ◇ Distribuir o conhecimento ◇ Garantia de cumprimento das normas O desafio do “erro humano”
◇ Reforço da importância ◇ Incentivo ◇ Tornar fácil e universal o acesso às normas ◇ Constante atualização das normas ◇ Constante auto analise mediante a testes de penetração utilizando as técnicas da engenharia social Possíveis soluções
Bibliografia ◇ Engenharia social (segurança da informação) Adailton, Alancarv, Diotti, Dtavares, Filipedumont, GOE,GabrielOPadoan, Hermógenes Teixeira Pinto Filho, Joaodp, Lechatjaune, Marcio Benvenuto de Lima, Mfigbr, Nuno Tavares, Pedropaulovc, Radaway, Rei-artur, Rodrigo Bragança, TXiKi, Villarinho, Webcruiser, 44 edições anónimas ◇ https://www.profissionaisti.com.br/2011/02/seguranca-alem-das-permissoes-de-acesso s/ ◇ http://www.diegomacedo.com.br/erro-humano-e-a-maior-causa-de-incidentes-em-servi cos-de-ti/ ◇ https://www.youtube.com/channel/UCGObNjkNjo1OUPLlm8BTb3A ◇

Recomendados

Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Felipe Soares
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Sc aula 03 12-03-13
Sc aula 03 12-03-13Sc aula 03 12-03-13
Sc aula 03 12-03-13Eduardo Júnior
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 

Recomendados

Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Felipe Soares
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Sc aula 03 12-03-13
Sc aula 03 12-03-13Sc aula 03 12-03-13
Sc aula 03 12-03-13Eduardo Júnior
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Edkallenn Lima
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWSbibliotecafacigsp bibliotecafacigsp
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Redecarbgarcia
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Ppt Imd
Ppt ImdPpt Imd
Ppt ImdPaulo Cristelo
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 

Mais conteúdo relacionado

Mais procurados

Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Edkallenn Lima
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Redecarbgarcia
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 

Mais procurados (20)

Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWS
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembro
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Rede
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 

Semelhante a O "erro humano" e a engenharia social

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 

Semelhante a O "erro humano" e a engenharia social (20)

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade Humana
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docx
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Direito digital com enfoque na gestão de rh
Direito digital com enfoque na gestão de rhDireito digital com enfoque na gestão de rh
Direito digital com enfoque na gestão de rh
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 

Mais de Ricardo Cavalcante

Apresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSIApresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSIRicardo Cavalcante
 
Segurança da informação no mercado
Segurança da informação no mercadoSegurança da informação no mercado
Segurança da informação no mercadoRicardo Cavalcante
 

Mais de Ricardo Cavalcante (7)

Sac 2017
Sac 2017Sac 2017
Sac 2017
 
RSI centros
RSI centrosRSI centros
RSI centros
 
Apresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSIApresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSI
 
Wannacry
WannacryWannacry
Wannacry
 
Cine debate apresentação
Cine debate apresentaçãoCine debate apresentação
Cine debate apresentação
 
Apresentação include
Apresentação includeApresentação include
Apresentação include
 
Segurança da informação no mercado
Segurança da informação no mercadoSegurança da informação no mercado
Segurança da informação no mercado
 

O "erro humano" e a engenharia social

  • 1. O “erro humano” e a engenharia social
  • 2. Hello! Ricardo Cavalcante Sou membro do projeto de extensão RSI (residência em segurança da informação) da UFC.
  • 3. Introdução Grande parte das vulnerabilidade nos sistemas de corporações ou sistemas de uso pessoal provém de erros humanos. Tais vulnerabilidades ,atualmente, são muito utilizadas por pessoas más intencionadas para fins de diversas formas ,desde simples acessos a dados pessoais até roubo de dados sigilosos de multinacionais. Esta apresentação tem o intuito de mostrar a eficiência e a incrível capacidade que técnicas simples de manipulação de indivíduos para o ganho de privilégios em sistemas ou acesso a informações sigilosas. Além disso , algumas dicas serão dadas para que você mesmo consiga proteger seus dados de forma a dificultar possíveis tentativas por parte de pessoas más intencionadas.
  • 4. Introdução segundo a edição 2014 do Network Barometer Report, da Dimension Data ,apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionam com questões como erro humano, falhas de comunicação ou questões ambientais. Mais 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados.
  • 5. Atualmente, grande parte dos usuários finais e das organizações que usufruem dos mecanismos e ferramentas oferecidos pela internet e por computadores reconhecem os possíveis riscos de um uso desprotegido da tecnologia. No entanto buscam apenas investir em “blindar” duas máquinas e esquecem de se policiar e preparar a si mesmos ou os seus empregados ao uso de tais sistemas de forma segura. Por que?
  • 6.
  • 7. Além disso o uso da engenharia social é uma ferramenta muito importante para o levantamento de informações sobre um alvo e , consequentemente, se torna um amplificador e facilitador dos outros setores , como o forense e o pen test. Por que?
  • 8. This is a slide title
  • 9. O erro humano O erro invisivel 1
  • 10. ◇ O ser humano é sucessível tem por si só o instinto de ajudar o próximo caso ache necessário ou agir de forma despretensiosa e desatenta às consequências, e algumas técnicas funcionam como gatilhos para uma maior manipulação como: ■ Vaidade pessoal e/ou profissional ■ Autoconfiança ■ Vontade de ser útil ■ Busca por novas amizades ■ Propagação de responsabilidade ■ Persuasão
  • 11. A engenharia social A arte de enganar 2
  • 12. “ “Engenharia social é a hábil manipulação da tendência humana de confiar”
  • 13. “ “A engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual”
  • 14. ◇ Na engenharia social algumas técnicas são mais praticadas e garantem um taxa de sucesso considerável ,tendo em vista a ausência de preparo dos funcionários e na negligência de algumas etapas importantes. Tais técnicas são: ■ Análise do Lixo ■ Internet e Redes Sociais ■ Contato Telefônico ■ Abordagem Pessoal ■ Phishing
  • 19. ◇ Conhecimento das ameaças ◇ Quanto menos conteúdo público melhor ◇ O pessoal e o profissional não devem se relacionar ◇ Todos são suspeitos ◇ Prevenir é melhor que remediar Técnicas gerais
  • 20. Ao contrário do que se imagina, os ataques que exploram o erro humano são os mais ocorrentes e seus danos podem atingir sua vida diretamente. No entanto , com atenção e com um constante policiamento das suas ações durante o uso da internet , por exemplo, tais ataques podem ser identificados e evitados. Técnicas pessoais
  • 22.
  • 23.
  • 24.
  • 25. Downloads ◇ Observe as extensões dos arquivos ◇ Baixe de fontes confiáveis ◇ Verifica nas propriedades do programa, a extensão do arquivo
  • 26. ◇ Classificar e restringir o acesso aos dados. ◇ Além de restringir o acesso aos dados sensíveis, implementar processos e ferramentas de autenticação para acesso aos dados. ◇ Analisar como são transmitidos internamente os dados sensíveis de clientes ou financeiros ◇ Criar uma política de interna de segurança da informação Técnicas para a gestão
  • 27. A política interna Abrangência , cautela e busca pela eficiência 4
  • 28. Na gestão , diminuir tal fator é um desafio para os profissionais encarregados devido alguns fatores: ◇ Lidar com os empregados ◇ Distribuir o conhecimento ◇ Garantia de cumprimento das normas O desafio do “erro humano”
  • 29. ◇ Reforço da importância ◇ Incentivo ◇ Tornar fácil e universal o acesso às normas ◇ Constante atualização das normas ◇ Constante auto analise mediante a testes de penetração utilizando as técnicas da engenharia social Possíveis soluções
  • 30. Bibliografia ◇ Engenharia social (segurança da informação) Adailton, Alancarv, Diotti, Dtavares, Filipedumont, GOE,GabrielOPadoan, Hermógenes Teixeira Pinto Filho, Joaodp, Lechatjaune, Marcio Benvenuto de Lima, Mfigbr, Nuno Tavares, Pedropaulovc, Radaway, Rei-artur, Rodrigo Bragança, TXiKi, Villarinho, Webcruiser, 44 edições anónimas ◇ https://www.profissionaisti.com.br/2011/02/seguranca-alem-das-permissoes-de-acesso s/ ◇ http://www.diegomacedo.com.br/erro-humano-e-a-maior-causa-de-incidentes-em-servi cos-de-ti/ ◇ https://www.youtube.com/channel/UCGObNjkNjo1OUPLlm8BTb3A ◇