KW
Carregado porKurte Wagner
DOCX, PDF2,016 visualizações

Engenharia social

Este documento apresenta um resumo sobre engenharia social e como explora a vulnerabilidade humana nos sistemas de segurança da informação. Discute as principais técnicas de ataque de engenharia social, os fatores motivadores e os impactos causados. Também fornece orientações sobre como desenvolver políticas de segurança da informação e planos de continuidade de negócios para proteger melhor as informações e manter as operações em caso de desastres.

Incorporar apresentação

Baixado 60 vezes
Engenharia Social INSTITUTO A VOZ DO MESTRE PROGRAMA DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES DAVIES NASSARO Engenharia Social - Explorando o Fator Humano dos Sistemas de Segurança da Informação Ribeirão Preto – SP 2012 INSTITUTO A VOZ DO MESTRE DAVIES NASSARO Engenharia Social - Explorando o Fator Humano dos Sistemas de Segurança da Informação Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. MSc Robson do Nascimento Ribeirão Preto – SP 2012
DAVIES NASSARO Engenharia Social - Explorando o Fator Humano dos Sistemas de Segurança da Informação Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. MSc Robson do Nascimento APROVADO EM ____/____/____ Ribeirão Preto – SP 2012 BANCA EXAMINADORA ______________________________________________________________ ROBSON DO NASCIMENTO – ORIENTADOR E PRESIDENTE DA BANCA ______________________________________________________________ NOME DO PROFESSOR – EXAMINADOR ______________________________________________________________ NOME DO PROFESSOR – EXAMINADOR Ribeirão Preto – SP 2012
DEDICATÓRIA A todos aqueles que passaram noites e noites em claro embalados pelo sonho de tornar a existência humana mais digna e justa. AGRADECIMENTOS Agradeço, acima de tudo, a meus pais, por me ensinarem que quando se trata de honestidade, não existe meio termo. Agraço também a minha esposa, que, mesmo grávida de nosso primeiro filho, sempre me apoiou e esteve ao meu lado. “Numa época de mentiras universais, dizer a verdade é um ato revolucionário.” George Orwell “Experiência não é o que acontece com um homem; é o que um homem faz com o que lhe acontece.” Aldous Huxley
RESUMO O presente trabalho traz um relato sobre a definição de Engenharia Social e os principais métodos utilizados pelos Engenheiros Sociais para burlar os sistemas de segurança das empresas. São demonstrados também os motivos que fazem esse tipo de golpe ser tão aplicado, os prejuízos por ele causados e porque as pessoas são tão suscetíveis a ele. Finalizando são apresentadas formas de defesa contra esses ataques e como manter a empresa em operação caso um desastre de grandes proporções ocorra. Palavras-Chave: Segurança da Informação, Engenharia Social, Hackers, Continuidade do Negócio. ABSTRACT This paper presents an account of the definition of Social Engineering and the main methods used by Social Engineers to bypass systems enterprise security. It also demonstrated the reasons that make this type of scam be so applied, the damage caused by it and why people are so susceptible to it. Finally are presented forms of defense against these attacks and how to keep the business running if a major disaster occurs. Keywords: Information Security, Social Engineering, Hackers, Business Continuity. LISTA DE ABREVIATURAS E SIGLAS ABNT – Associação Brasileira de Normas Técnicas Apacs – Association for Payment Clearing Services CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CGI.br – Comitê Gestor da Internet no Brasil CIO – Chief Information Officer CISO – Chief of Information Security Officer CSO – Chief Security Officers IEC – International Electrotechnical Commission ISO – InternationalOrganization for Standardization NBR – Norma Brasileira SIGEO – Sistema de Gerenciamento Orçamentário do Estado de São Paulo TCC – Trabalho de Conclusão de Curso TI – Tecnologia da Informação
SUMÁRIO RESUMO 08 ABSTRACT 09 LISTA DE ABREVIATURAS E SIGLAS 10 1 INTRODUÇÃO 13 1.1 Objetivos 14 1.1.1 Objetivos Gerais 14 1.1.2 Objetivos Específicos 14 1.2 Procedimentos Metodológicos 14 1.3 Estrutura do Trabalho 14 2 REFERENCIAL TEÓRICO 16 2.1 Ameaças às Informações 16 2.2 Engenharia Social 17 2.2.1 Entendendo a Engenharia Social 17 2.2.2 As Vulnerabilidades Humanas 19 2.3 Segurança da Informação 21 3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 25 3.1 Principais Técnicas de Ataque da Engenharia Social 25 3.2 Fatores Motivadores da Engenharia Social 26 3.3Análise dos Ataques e dos Fatores Motivadores 29 4 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 32 4.1 Crimes de Difícil Apuração 32 4.2 Números do Phishing 33 5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 35 5.1 Políticas de Segurança da Informação e sua Importância 35 5.2 Sucesso da Política de Segurança da Informação 37 5.3 O Responsável pela Política de Segurança da Informação39 5.4 Desenvolvendo uma Política de Segurança da Informação 41 6 SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA SOCIAL 45 6.1 Segurança da Informação Focada na Engenharia Social 45 7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE 49 7.1 PCN – Plano de Continuidade do Negócio 49 7.2 Elaboração do PCN 50 7.2.1 Estratégias de Contingência 52 7.3 Avaliando o PCN 54 7.4 Outra Abordagem Para Elaboração do PCN 55 8 CONSIDERAÇÕES FINAIS 57 REFERÊNCIAS BIBLIOGRÁFICAS 60
1 INTRODUÇÃO Diferentemente do que muitas pessoas acreditam, inclusive as entendidas em assuntos tecnológicos e de segurança, muitas falhas nos sistemas de defesa das informações das empresas ocorrem por irregularidades cometidas por funcionários e colaboradores dessas próprias organizações, ou seja, seres humanos, e não por brechas nesses sistemas, que contam com uma parafernália cada vez mais complexa para a preservação das informações, como firewalls, proxy, antivírus, senhas criptografadas e controle de acesso, entre outros. Mitnick1 e Simon (2003) explicam que: À medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a ―firewall humana‖ quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo. Por essa razão é vital que as empresas estejam preparadas para os crimes focados em explorar as falhas humanas, como os crimes de Engenharia Social, e busquem formas mais eficazes de garantir a segurança de suas próprias informações e as informações que são a elas confiadas. Buscando contribuir para o combate dessa prática criminosa, o trabalho desvenda o mundo da Engenharia Social, descrevendo o seu significado, suas principais técnicas de abordagem, os fatores que motivam os criminosos a optarem por esse tipo de ataque e porque o ser humano é, e sempre será, o elo mais vulnerável nessa intricada cadeia de meios e métodos que visam proteger as informações confidencias das empresas. Para apoiar as ideias descritas acima, além de vasta pesquisa bibliográfica, será mostrada uma análise dos impactos estimados causados por esses tipos de ataques e, para finalizar, serão apresentados meios de se criar um Programa de Segurança da Informação e um Plano de Continuidade do Negócio, visando sempre salvaguardar as Informações dentro dos limites das empresas. 1.1 Objetivos 1.1.1 Objetivos Gerais Entender o que é Engenharia Social, estudar suas técnicas e seus reflexos nas questões relacionadas com a Segurança da Informação, mostrar mecanismos de defesa para as Informações empresariais e como manter a organização em atividade, mesmo após a ocorrência de desastres que afetem seu funcionamento. 1.1.2 Objetivos Específicos Apresentar as principais técnicas de Engenharia Social; Estudar as vulnerabilidades humanas sujeitas a essas técnicas; Identificar as necessidades de educação do usuário; e
Relacionar as principais medidas de segurança contra esse tipo de crime e que garantam a estabilidade das informações e a continuidade do negócio da empresa. 1.2 Procedimentos Metodológicos Este trabalho foi elaborado a partir de pesquisas bibliográficas e documentais, apoiando-se em fontes primárias e secundárias, além de páginas de internet e artigos, pois são essas as principais fontes de materiais relacionados ao estudo. A referência cronológica parte de publicações selecionadas a partir da década de 90, pois, se tratando de Tecnologia da Informação (TI) e essa sendo uma área onde as mudanças ocorrem muito rapidamente, ficaria um tanto obsoleto mencionar práticas realizadas antes desse período, apesar de a Engenharia Social ter se iniciado há décadas atrás, antes mesmo até da disseminação dos computadores. 1.3 Estrutura do Trabalho Este Trabalho de Conclusão de Curso (TCC) esta elaborado da seguinte maneira: O segundo capítulo apresenta o Referencial Teórico, contendo os principais conceitos sobre Segurança da Informação, Engenharia Social e Vulnerabilidade Humana. O terceiro capítulo apresenta as principais técnicas de ataque de Engenharia Social e seus fatores motivadores. O quarto capítulo estuda os impactos causados por essa arte criminosa. O quinto capítulo identifica as necessidades de educação do usuário e apresenta a importância de uma Política de Segurança da Informação e como elaborá-la. O sexto capítulo relaciona as principais medidas de segurança contra as técnicas de Engenharia Social. O capitulo sétimo mostra como criar um Plano de continuidade do Negócio, demonstrando como manter a empresa em operação após esta ser vitima de algum desastre. O oitavo capítulo apresenta as considerações finais, concluindo com um aparato geral do que foi exposto, reforçando a atenção que deve ser disponibilizada para com a segurança das informações no âmbito empresarial e, em particular, para com as técnicas de Engenharia Social e propõem ainda uma sugestão para trabalhos futuros que contribuam ainda mais para o combate a essa técnica de roubo de informações. 2 REFERENCIAL TEÓRICO 2.1 Ameaças às Informações Para Sêmola (2011),ameaça é ―algo que pode agir voluntária ou involuntariamente em prejuízo de alguém ou alguma coisa‖. Sendo assim, essa possibilidade de algo causar dano também afeta às informações, que estão continuamente expostas à ameaças oriundas
de vários fatores. Peixoto (2006) ainda aponta o conceito de vulnerabilidade, reforçando que uma ameaça não implica necessariamente em uma vulnerabilidade, ou seja, uma vulnerabilidade é uma brecha onde uma ameaça pode causar dano. No que se referem às informações, as ameaças exploram as vulnerabilidades existentes nos processos a elas integrados, isto é, de acordo com Peixoto (2006), as ameaças, muitas vezes, são decorrentes de vulnerabilidades existentes, provocando nas informações perda da confidencialidade, integridade e disponibilidade e podem ser agrupados em três categorias distintas: Ameaças naturais: fenômenos da natureza; Ameaças involuntárias: decorrentes do desconhecimento de normas, padrões ou operação, acidentes e erros; Ameaças voluntárias: são amaças causadas propositalmente por pessoas. Ainda continuando com as definições de Peixoto (2005), as vulnerabilidades são frutos de ameaças generalizadas, afetando assim a segurança da informação e podem ser assim classificadas: Físicas: salas de CPD mal planejadas, estrutura de segurança fora dos padrões exigidos; Naturais: falta de energia, incêndios, aumento de umidade; Hardware: Desgastes de equipamentos, equipamentos obsoletos; Software: má instalação e configuração; Mídias: Perda ou dano das mídias de armazenamento de informações; Comunicação: acesso não autorizado ou perda da mesma; Humana: Falhas de atenção, treinamento de funcionários inadequado e as decorrentes de práticas de Engenharia Social. Como pôde ser constatado, as informações estão expostas continuamente a inúmeros tipos de ameaças que buscam explorar as suas muitas vulnerabilidades, que podem ser naturais, falhas de projeto ou até mesmo humanas, e os sistemas de segurança da informação têm que estar aptos a lidarem com todas essas questões. Dentre essas ameaças generalizadas contra as informações, as referentes à Engenharia Social são uma classe que merecem especial atenção, pois, como será definido adiante, exploram as falhas existentes na personalidade humana e são de difícil prevenção. 2.2 Engenharia Social 2.2.1 Entendendo a Engenharia Social Entre as principais ameaças à segurança dos sistemas de informação está a Engenharia Social. Esta ―está inserida como um dos desafios (senão o maior deles) mais complexos no âmbito das vulnerabilidades encontradas na gestão da segurança da informação‖. (PEIXOTO, 2006). Segundo Mitnick e Simon (2003), a Engenharia Social pode ser definida como o uso da influência e da persuasão para enganar as
pessoas e convencê-las de que o Engenheiro Social é alguém que na verdade ele não é. O Engenheiro Social fica então caracterizado como alguém que se utilizada das técnicas de Engenharia Social e em geral é citado como o atacante ou criminoso. Outra forma de descrever a Engenharia Social seria como o encontrado na Cartilha de Segurança Para a Internet, disponibilizada pelo Comitê Gestor da Internet no Brasil (CGI.br): um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.(CGI.br 2006) A Engenheira Social, portanto, fica evidenciada pela ação de um indivíduo ou indivíduos, que através de técnicas de persuasão, intimidação e pressão psicológicas, conseguem obter acesso a informações confidenciais de empresas e pessoas para fins ilícitos. Esses ataques conseguem sucesso porque o criminoso que se utiliza dessas técnicas explora vulnerabilidades na personalidade humana que proporcionam alto grau de sucesso nesses ataques. Como citado por Mitnick e Simon (2003): amaioria das pessoas supõe que não será enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável que não levanta suspeita enquanto explora a confiança da vítima. Diferentemente de outras formas de crimes ligados a Sistemas de Informação, como invasão de sistemas ou destruição de Informações, cometidos por Hackers2 e Crackers3 , que possuem como motivador a autopromoção, o desafio e a chance de quebrar regras, a Engenharia Social sempre esteve relacionada com as relações interpessoais e, mais recentemente, com a tentativa de burlar os sistemas de segurança das corporações para obtenção de informações sigilosas e seu principal objetivo é o ganho financeiro obtido com a divulgação ou uso de tais informações. Conforme pesquisa realizada pela empresa de softwares de Segurança Check Point e publicada no site cio.uol4 , cujo tema foi segurança da informação, foram entrevistados 850 profissionais de segurança em TI de várias partes do mundo e a maioria dos entrevistados, 51%, responderam que o ganho financeiro é o principal fator motivador para crimes de Engenharia Social. Para conseguir esse retorno financeiro, o Engenheiro Social apoia-se na falta de capacitação para o trato de informações empresariais e pessoais por parte dos indivíduos e sua inclinação para cometer atos ilícitos quando utilizando sistemas de informação. Laureano (2005) salienta que para preservar os segredos da empresa, além do investimento em softwares de segurança é muito importante investir
em treinamento de funcionários, pois não são poucas as ocorrências referentes à espionagem industrial (forma de Engenharia Social). É interessante salientar que as técnicas de Engenharia Social podem ser verificadas em vários aspectos da sociedade e em diferentes épocas, não se restringindo apenas a Tecnologia da Informação. Até mesmo a Bíblia, através da conhecida história do encontro de Adão e Eva com a Serpente, já fazia alusão ao assunto (PEIXOTO, 2006). Portanto, o uso de técnicas de Engenharia Social é muito diversificado e antigo, precedendo até mesmo os computadores. 2.2.2 As Vulnerabilidades Humanas Como distinguido no item 2.1, intitulado ―Ameaças às Informações‖, o que acarreta a quebra de segurança de um sistema de informação são suas vulnerabilidades, que passam a ser exploradas por ameaças até que as falhas ocorram. O termo vulnerabilidade, segundo o dicionário on-line Aurélio5 significa ―Caráter ou qualidade de vulnerável‖. Logo se faz necessário a compreensão da palavra vulnerável para darmos entendimento ao termo. Vulnerável, segundo essa mesma fonte, quer dizer ―Suscetível de ser ferido, ofendido ou tocado‖. Portanto uma vulnerabilidade é uma característica que torna algo vulnerável, ou seja, passível de sofrer dano. Entre as muitas vulnerabilidades encontradas em um sistema de informação, as relacionadas com o fator humano estão entre as de trato e solução mais difíceis, conforme discutido anteriormente. São essas vulnerabilidades que tornam as pessoas tão suscetíveis aos ataques de Engenharia Social, pois: o engenheiro social trabalha como ninguém os pontos relativos à psicologia humana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza a simpatia para tentar convencer. Ou até mesmo a culpa [...]. (PEIXOTO, 2006). Um atacante procura entender essas características vulneráveis do comportamento humano a fim de explorá-las com seu portfólio de truques para conseguir maior sucesso nos seus ataques. Para Mitnick e Simon (2003), as principais vulnerabilidades humanas que podem ser exploradas por um ataque de Engenharia Social são: • O respeito à autoridade: quando um ataque faz uma requisição demonstrando autoridade, a chance de ela ser atendida é muito grande; • A afabilidade: uma pessoal que demonstra ser agradável consegue que as pessoas atendam seu pedido mais facilmente; • A reciprocidade: essa vulnerabilidade faz as pessoas terem uma inclinação natural a retribuir um pedido de ajuda feito por alguém que já fez algo por você. Nesse caso os Engenheiros Sociais procuram causar algum problema para as vitimas e depois o solucionam, deixando a pessoa com a obrigação da retribuição; • A consistência: os atacantes induzem as pessoas a fazerem um comprometimento público ou então ludibriam essas pessoas com o
argumento que esse pedido será favorável a alguma causa comum a vitima; • Validação social: ocorre quando o criminoso faz uma solicitação que vai de encontro com o que outras pessoas estão fazendo, tornando essa ação das outras pessoas uma validação para o comportamento em questão; • Escassez: quando a solicitação é por algo escasso ou esse algo esta disponível por curto período de tempo. Outra falha muito comum referentes às pessoas, mas ocorridas no âmbito profissional, é a falta de interesse ou desatenção para com as informações que são disponibilizadas a terceiros por parte dos funcionários das empresas. Como descrito por Peixoto (2006): Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo a sua volta, e principalmente fazendo o uso dos poderosos ―por quês‖, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação. Mais uma vulnerabilidade que pode ser explorada com relação à segurança das informações empresariais reside nos funcionários que não receberam treinamento adequado em práticas de segurança e não foram alertados em como as informações da empresa devem ser tratadas. Também vale lembrar que a segurança é um processo continuo e os pontos de verificação das políticas e os treinamentos devem ser reciclados de tempos em tempos. Peixoto (2006) define que: Como chefe de segurança das informações de uma empresa [...], nada mais coerente do que fazer com que os funcionários desta empresa estejam aptos a entender o quanto é importante a preservação consciente das informações que cada um manipula em seu dia-a-dia. Outro grupo de funcionários que merecem atenção são os funcionários descontentes, que por algum motivo qualquer, podem usar informações confidenciais da empresa para prejudicar a própria organização, no caso do funcionário tiver algum ressentimento com a companhia, ou fazer uso dessas informações para vendê-las a concorrentes, com o intuito de levantar quantias financeiras com essas venda. Essa vulnerabilidade está mais associada a falta de caráter do funcionário e a sua inclinação por desenvolver um sentimento de vingança em relação a empresa onde atuou. Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamento. (MITNICK E SIMON, 2003). Esses pontos vulneráveis destacados fazem parte do comportamento humano e são, na maioria das vezes, respostas comuns a estímulos provocados por situações diversas. O grande problema desse
comportamento falho esta na sua exploração por parte de pessoas mal-intencionadas, ocasionado com isso quebra nos sistemas de segurança das organizações e ameaçando suas informações. A vantagem de se conhecer esses pontos da personalidade humana reside numa possibilidade de se desenvolver Políticas de Segurança da Informação mais adequadas com a realidade dos funcionários e alinhadas com os objetivos da empresa, inibindo assim os ataques de Engenharia Social e garantindo uma maior segurança para com as informações. 2.3 Segurança da Informação As informações pertinentes a uma empresa, como seu catálogo de projetos, carteira de clientes, fornecedores e colaboradores, estratégias de marketing e campanhas publicitárias, contas a pagar e receber, manuais de utilização de equipamentos e sistemas, organogramas e fluxogramas, documentos detalhados da topologia de rede e configuração de servidores, entre outros, constituem um artigo de vital importância para a sobrevivência da mesma, pois, conforme menciona Laureano (2005, apud KATZAM, 1977): Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletar e armazenar informações e o uso efetivo da informação permite que uma organização aumente a eficiência de suas operações. Sendo essas informações um ativo tão importante para as organizações, elas necessitam de um sistema eficaz de proteção contra os diversos tipos de ameaças que possam corrompê-las e comprometer sua segurança, acarretando assim enormes danos para as empresas como um todo. Para um sistema de informação ser considerado seguro ele deve ter preservado os seguintes aspectos: integridade, disponibilidade, não repúdio,autenticidade e confidencialidade. Para Filho (2004), estes aspectos são considerados essenciais para que o sistema em questão possa ser confiável e integro. A fim de garantir a preservação dessas características, recomenda-se a utilização de um Sistema de Segurança da Informação, que, de uma forma genérica e sem adentrarmos nos domínios de como colocar em prática essas medidas de segurança, domínios esses que serão tratados posteriormente nesse trabalho, é caracterizado, segundo definição da NBR ISO/IEC 27002 (2005), pela ―proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio‖. A base para qualquer projeto de segurança da informação consiste em se definir primeiramente dois fatores primordiais: quem são os proprietários dessas informações e qual o seu grau de importância
para a organização. Conforme relatado por Silva, P., Carvalho e Torres (2003) esses dois pontos podem assim ser definidos: Proprietário da Informação – para que um sistema de Segurança da Informação possa ser posto em prática é necessário, primeiramente, identificar os proprietários da informação. Ao se definir esses proprietários, é possível determinar mais claramente as necessidades reais de segurança dessa informação. Classificação das Informações – uma vez definidos os responsáveis pela informação, esta poderá mais facilmente ser classificada de acordo com sua sensibilidade e, posteriormente, protegida de acordo com essa classificação. Deve-se notar que a classificação não constitui um fim em si mesmo, mas antes um meio que permite definir procedimentos para a gestão da informação, como por exemplo, a sua destruição, armazenamento ou transporte. Os autores reforçam também que: Este esforço de classificação permite desenvolver níveis de proteção idênticos para informação com os mesmos requisitos de segurança, permitindo a sua concentração, o que irá maximizar o efeito dos esforços de proteção. Nos casos em que não seja possível agrupar a informação com as mesmas necessidades de segurança, a classificação permite definir padrões de proteção, claros e inequívocos, para as várias categorias de classificação. (SILVA, P., CARVALHO E TORRES, 2003) Quando se define o proprietário de uma informação e quem a ela será dado acesso, fica mais fácil definir uma política para tratar sua proteção, definindo com isso, formas de compartilhamento, restrições de acesso e auditorias. Com relação à classificação da informação, a sua tarefa é separar as informações em grupos homogêneos, para que esses grupos recebam o mesmo grau de proteção, onde será definido se essa informação é confidencial ou não, o tempo necessário que essa informação poderá ficar indisponível, a forma como será realizado seu backup6 (diariamente, semanalmente, etc..), onde o backup será armazenado, como e quando essa informação deverá ser destruída, entre outras definições. Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 2011) apoiam que o correto é classificar as informações em níveis de prioridade, respeitando sempre as necessidades das empresas, assim como a importância da classe da informação para a manutenção da empresa. Segundo eles, as informações podem ser assim classificadas: Pública: quando a informação pode vir a público sem consequências mais sérias ao funcionamento normal da empresa, e cuja integridade não é vital. Interna: quando o acesso livre a este tipo de informação deve ser evitado, mesmo não sendo muito sérias as consequências oriundas de
uso não autorizado. Sua integridade não é considerada vital, mas muito importante. Confidencial: quando a informação se restringe aos limites da empresa e sua divulgação ou perda pode causar uma falha no equilíbrio operacional e perdas financeiras ou quebra da confiança por parte dos clientes externos. Secreta: quando a informação é considerada crítica para as atividades da empresa. Sua integridade deve ser preservada a qualquer custo e seu acesso deve ser restrito a um número reduzido de pessoas. Sua segurança é vital para a organização. A partir da correta separação das informações, pode-se definir mecanismos para garantir sua segurança, como Políticas de Segurança da Informação acompanhadas de processos de treinamento e conscientização de funcionários, especificando o que cada tipo de informação implica para a empresa e definindo punições diferentes em caso de divulgação não autorizada dessas informações. Após a correta classificação das informações parte-se para a definição do Sistema de Segurança da Informação e a melhor maneira de implantar esse sistema é através de uma Política de Segurança da Informação bem definida. Esta consiste em documentos descrevendo a forma como a informação deverá ser tratada pela instituição. Maneiras de se desenvolver uma Política de Segurança de Informação e como treinar funcionários em boas práticas de segurança serão detalhadas em capítulos posteriores. O importante de se frisar até aqui é que as informações, por serem algo de muito valor para qualquer instituição, necessitam serem protegidas de uma forma pensada e de maneira a entender as ameaças que podem afetá-las. 3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 3.1 Principais Técnicas de Ataque da Engenharia Social Os Engenheiros Sociais utilizam inúmeras técnicas e truques para conseguir a colaboração de pessoas, que muitas vezes são vítimas inocentes, para que estas disponibilizem informações confidencias, sejam elas pessoais ou empresarias, para poderem fazer uso dessas informações para fins ilícitos. Como principal meio de conseguir essa colaboração está à exploração da reação comum das pessoas a pedidos de ajuda e solicitação de informações, que, primeiramente, pensam em ajudar ao solicitante e somente posteriormente se preocupam com a importância da informação fornecida. De acordo com Mitnick e Simon (2003), ―[...] como seres humanos, somos todos sujeitos a sermos enganados, porque a confiança das pessoas pode ser usada de forma errada se for manipulada de determinadas maneiras‖. O Engenheiro Social conhece ou consegue perceber essa confiança que lhe é depositada e, a partir dai,
desenvolve técnicas que buscam focar principalmente esse desejo dos homens de ajudarem aos seus pares. Entre as principais técnicas de Engenharia Social temos, conforme relatado por Peixoto (2006): Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridade proporcionada pelo uso do telefone, garantindo sua difícil identificação, tenta se passar por alguém que ele não é e solicita informações ou ações ao atendente; Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicar em links maliciosos que poderão executar aplicativos de captura de senhas e sequestro de computadores, tornando seus PCs zumbis, entre outras coisas; Chats de internet: onde, como no telefonema, o atacante pode se passar muito facilmente por qualquer pessoa; Fax: o criminoso envia formulários, pedidos de requisição, entre outros documentos, solicitando que sejam respondidos e enviados para endereços falsificados; Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim de encontrar dados sigilosos que possam ajudar a burlar os sistemas de segurança dos mesmos; Surfar sobre os ombros: o atacante posiciona-se atrás das vitimas no momento que estas vão digitar suas senhas em terminais eletrônicos de bancos, computadores pessoais e coisas do tipo; Pessoalmente: constitui uma visita in loco7 por parte do transgressor para levantamento de informações ou para execução de ações. Talvez seja o menos utilizado, pois o que atrai um Engenheiro Social é a obscuridade que essa técnica fornece. Mas, apesar do risco, às vezes essa é única alternativa que resta aos criminosos. Além das técnicas clássicas mencionadas acima, a Engenharia Social vêm se aprimorando com o passar do tempo e com o advento de novas tecnologias, criando formas inovadoras de obtenção de informações sigilosas constantemente. Entre essas formas mais modernas de ataques esta o Phishing, que é inspirado no clássico Fakemail, porém mais aprimorado. Segundo o a empresa Symantec8 , respeitável empresa do ramo de segurança e antivírus, o Phishing é uma técnica de falsificação on-line que consiste na utilização de websites falsificados e e-mails fraudulentos com o intuito de induzir as vitimas a clicarem em links adulterados onde serão persuadidos a passarem informações pessoais e seus criadores não passam de falsários e ladrões de identidade. Portanto a Engenharia Social não é uma técnica de obtenção de informações estagnada e passa ainda por grandes transformações, resultado da criatividade dos criminosos adeptos dessa classe de golpes que exploram as muitas vulnerabilidades humanas. 3.2 Fatores Motivadores da Engenharia Social
A obtenção de lucro é o que mais motiva um criminoso a buscar informações sigilosas de forma ilícita através de técnicas de Engenharia Social9 . Mas também existe uma grande quantidade de atrativos secundários que motivam esses atacantes a adotarem essa família de fraudes para conseguirem ganho financeiro. Entre esses atrativos podemos citar: Facilidade para conseguir informações confidenciais: através das inúmeras técnicas de ataques já discutidas anteriormente, os Engenheiros Sociais conseguem obter informações sigilosas com incrível facilidade. Santos (2004) comenta que: muitos acreditam que os Engenheiros Sociais utilizam ataques com mentiras elaboradas bastante complexas, porem, muitos ataques são diretos, rápidos e muito simples, onde eles simplesmente pedem a informação desejada. Mitnick e Simon (2006) ainda reforçam que as pessoas possuem uma inclinação para ajudar seus pares e os Engenheiros Sociais possuem várias maneiras para tirar proveito disso. Alto índice de sucesso nos ataques: como resultado dessa facilidade de conseguir informações sigilosas, temos um elevado grau de êxito nas empreitadas que envolvem a Engenharia Social. Como não existem dados concretos e confiáveis sobre esse tipo de golpe, as conclusões tomadas são baseadas em documentos disponibilizados por empresas que realizaram testes de penetração de segurança. Essas instituições ressaltam, de acordo com Mitnick e Simon (2003), que suas ações para invasão de sistemas computacionais de empresas clientes utilizando técnicas de Engenharia Social conseguem alcançar 100 % de sucesso. A não necessidade de aparatos tecnológicos para realização de ataques: algumas ações criminosas se vêm dificultadas pelo obstáculo imposto por aparatos tecnológicos e também pela própria tecnologia em si. Em muitas ocasiões o atacante não possui o equipamento necessário para empreender a ação ou não possui o conhecimento sobre o equipamento que terá que manusear ou atacar, principalmente por se tratar de TI, onde as tecnologias são, cada vez mais, complexas e de difícil domínio, e em outras, os próprios mecanismos tecnológicos de segurança são as barreiras para impedir tais ataques. Com o uso da Engenharia Social, os atacantes conseguem burlar toda essa parte tecnológica e atacar a suas vítimas sem intermédios de meios de defesa. Mitnick e Simon (2003) reforçam que: o atacante hábil que usa a arte de enganar como uma das armas de seu kit de ferramentas procura explorar as melhores qualidades da natureza humana: a tendência natural de ajudar, dar apoio, ser educado, participante de uma equipe e o desejo de realizar um trabalho.
Apenas com uma simples conversa ou vasculhando uma lata de lixo um Engenheiro Social consegue obter informações sigilosas e usá-las para fins não lícitos. As inúmeras vulnerabilidades humanas: em geral, as pessoas possuem uma forma comum de reagir a situações diversas, entre elas a solicitação de ajuda e informações que, na grande maioria das vezes, são respondidas positivamente e sem uma analise mais criteriosa por parte das vitimas. Compreendendo essas nuances da personalidade humana, os Engenheiros Sociais as exploram a fim de alcançar seus objetivos. Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano positivo para enganar empregados desavisados para que executem ações que o coloquem mais perto do seu objetivo. É importante entender esse conceito simples para que você reconheça quando outra pessoa está tentando manipulá-lo. (MITNICK E SIMON, 2003). Estrutura virtual sem fronteiras: as diferenças regionais, incluindo suas culturas, tecnologias e legislações, tornam o ambiente virtual, representado principalmente pela internet, um estado independente e sem políticas unificadas. Agravando esse cenário temos o amplo alcance da rede mundial de computadores, que torna possível a comunicação e a interligação de computadores espalhados ao redor do mundo. Para Popper e Brignoli (2002) ―[...] a rede não respeita fronteiras entre países, o que dificulta administrar as diferenças culturais ou aplicar leis nacionais‖. Se aproveitando dessa possibilidade de acesso irrestrito e sem fronteiras e das diferenças regionais existentes, um atacante pode, através do uso de páginas de internet e e-mails, cometer seus crimes em qualquer lugar do mundo, invadindo computadores e roubando senha, tornando a tarefa de encontrá-lo muito difícil. Difícil punição dos criminosos: um fator muito atraente para quem busca informações através das técnicas de Engenharia Social é a sua difícil punição ou a até mesmo a falta dela. Conforme Popper e Brignoli (2002) é muito difícil punir esse tipo de criminoso, pois alguns desses ataques nem podem ser considerados delitos, e citam como exemplo a procura de informações em sacos de lixo ou até mesmo ouvir conversas em lugares públicos. A falta de treinamento dos funcionários das empresas: a maioria das empresas não investem ou investem muito pouco na segurança de suas informações e quando investem, na maioria das vezes, investem em dispositivos tecnológicos e se esquecem de se preocupar com o treinamento de seus funcionários. De acordo com Silva, V. (2012a): tal problemática [referindo-se a obtenção de informações sigilosas pelo Engenheiro Social] está diretamente voltada à fraca abordagem desta questão
nas organizações, que na grande maioria das vezes não se preocupam como deveriam com a necessidade de possuírem uma Política de Segurança robusta que trate do tema [...]. Os crimes que envolvem a Engenharia Social são um ótimo atrativo para os criminosos, pois, independentemente de seu objetivo principal, que é o lucro, existe uma quantidade elevada de fatores que o tornam possível. Junte-se a esse cenário a facilidade de se conseguir as informações sigilosas que esse método proporciona e a quase inexistência de punição para os criminosos e temos uma arte criminosa das mais atraentes para os olhos de um criminoso inteligente e perspicaz. 3.3Análise dos Ataques e dos Fatores Motivadores Ao analisar as técnicas de Engenharia Social e os fatores que impelem os seus ataques verificam-se três aspectos fundamentais que estão intimamente relacionados e juntos formam uma maneira muito eficaz de crime contra as informações: a facilidade de conseguir informações, o alto índice de eficiência nos ataques e a difícil punição dos atacantes. Os dois primeiros, a facilidade de conseguir informações e o alto índice de eficiência nos ataques, estão sincronizados com as vulnerabilidades encontradas na personalidade humana.Essas vulnerabilidades são as brechas por onde um Engenheiro Social obtém sucesso com a aplicação de seus golpes, pois, conforme já discutido e aqui reforçado por Salvo (2011), ―O elemento mais vulnerável de qualquer sistema de segurança é o próprio indivíduo, ao qual possui traços comportamentais e psicológicos que o torna suscetível aos ataques de Engenharia Social‖. Mesmo conhecendo esses traços falhos presentes nos seres humanos, não é possível conceber um sistema tecnológico sem o fator humano estar presente. Imamura (2007) lembra que a presença humana é fundamental em pelo menos duas fases distintas de um sistema computacional: a fase de criação e a fase de decisão e ambas: estão presentes em todos os momentos do emprego da tecnologia, pois a seleção da tecnologia, a forma de emprego, os controles e a avaliação estão diretamente associadas à dinâmica do avanço tecnológico e da vontade humana. (IMAMURA, 2007). Porém, de acordo com Filho (2004), há maneiras de se amenizar os problemas relacionados com essas vulnerabilidades humanas, diminuído com isso o alto índice de sucesso dos Engenheiros Sociais. A principal delas seria a adoção de medidas, entre as empresas, para atenuação da participação do componente humano nos processos de segurança. Essas medidas, ainda com relação ao referenciado por Filho (2004), compreendem quatro fatores: educação e treinamento
dos funcionários, segurança física da instituição, política de segurança e controle de acesso. É claro que o homem não pode ser excluído totalmente do processo computacional, no entanto, quanto menor for sua participação nas atividades relacionadas com o trato e segurança das informações e, quando essa participação for indispensável, ela esteja respaldada por um ambiente físico seguro e uma política de segurança consistente, menores serão as chances de um criminoso obter sucesso em um ataque contra as informações da instituição em questão. Já a difícil punição dos criminosos configura-se como um grande desafio para os responsáveis pela criação e aplicação de leis. O sistema de leis, principalmente o brasileiro, encontra-se defasado em relação às fraudes virtuais e muitas leis, que foram criadas para emprego em outros crimes, diferentes dos digitais, tem que ser enquadradas para trato dos crimes cibernéticos. Conforme defendido por Eiras (2004), o sistema jurídico brasileiro ―mostra-se sobremaneira obsoleto para enfrentar criminosos virtuais. Isto porque muitos meios de prova que nos ajudariam a capturá-los, simplesmente não têm validade em nosso Direito‖. A forma mais contundente para tratar essa questão seria uma reforma no regime de leis, tanto nacionais quanto internacionais, que envolva especialistas em tecnologia e promova um debate em toda a sociedade. Atheniense (2012), advogado especialista em crimes de internet, ressalta que: [...] as soluções legais a serem buscadas deverão objetivar a circulação de dados pela internet, controlando a privacidade do indivíduo sem cercear o acesso à informação. Neste sentido é necessário aprimorar nossas leis de proteção de dados, inclusive com a regulamentação da atividade dos provedores que controlam a identificação do infrator, bem como um maior aparelhamento das delegacias especializadas. Seguindo esse panorama, o governo brasileiro esta trabalhando para tipificar os crimes cometidos contra as informações. Conforme Aquino (2011): o governo está elaborando o marco civil para disciplinar a área de informática, cuja ideia, segundo o ministro [referindo-se ao ministro da Justiça, José Eduardo Cardozo], é estudar os projetos que já tramitam no Legislativo e que preveem a tipificação para ver se há a necessidade de aperfeiçoar a parte criminal. Enquanto novas formas de leis que visam proteger as informações e inibir crimes como os que envolvem a Engenharia Social não são aprovadas, essa técnica mostra-se como um dos meios ilegais mais seguros e vantajosos para os criminosos obterem informações secretas e, consequentemente, ganhos financeiros, pois seus crimes são de difícil diagnóstico, a punição aos responsáveis é muito difícil de
ocorrer e as vulnerabilidades humanas tornam os índices de sucesso nos ataques muito altos. 4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 4.1 Crimes de Difícil Apuração A Engenharia Social é uma prática de roubo de informações difícil de ser descoberta e mais difícil ainda de ser enquadrada como um crime. Essa difícil apuração dos delitos faz com a maioria das empresas nem desconfiem que sofreram ataques dessa natureza contra suas informações ou, na melhor das hipóteses, sabem que sofreram um prejuízo, mesmo que não o consigam quantificar, mas não sabem como esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que: Parece que não há estatísticas sobre os ataques da engenharia social e, se houvesse, os números seriam muito pouco confiáveis. Na maior parte dos casos uma empresa nunca sabe quando um engenheiro social ―roubou‖ as informações, de modo que muitos ataques não são notados nem relatados. Reforçando esse contexto, Diniz (2008) relata que: os possíveis prejuízos causados por ataques de Engenharia Social são incalculáveis devido às ameaças (pessoas) estarem presentes em quase todos os processos de uma empresa: Financeiros, Operacionais, Administrativos, etc… Quando as empresas descobrem que tiveram suas informações sigilosas expostas por ataques criminosos, na maioria das vezes, já é bastante tarde para alguma ação de defesa, elas então optam por ocultar o corrido e não divulgam essas informações para as partes competentes. Paschoal (2002) comenta que não se pode confiar muito nos números referentes a invasões de sistemas informáticos, isso porque as notificações são feitas pelos próprios invasores e as empresas atingidas, com temor de ter as próprias falhas de segurança expostas, evitam divulgar essas invasões sofridas. O conjunto desses fatores faz com que as estatísticas a respeito dos impactos causados pela ação da Engenharia Social sejam distantes da realidade e os valores dos prejuízos provocados estejam muito abaixo do que realmente são. Peixoto (2006) reforça esse difícil levantamento dos impactos provocados por ataques contra as informações empresariais: 31% [referindo-se as empresas brasileiras] não sabem dizer se sofreram ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de ataque, as organizações não conseguiram detectar as causas e em 85% dos casos não souberam quantificar o prejuízo. Apesar dessa dificuldade e dos dados não serem muito completos, existem inúmeros levantamentos dos prejuízos causados por crimes contra sistemas informáticos realizados por empresas sérias do ramo da segurança da informação e dentre esses levantamentos encontra- se informações sobre o Phishing, que, de conformidade com o explanado no item 3.1 ―Principais Técnicas de Ataque da Engenharia
Social― é considerado uma técnica moderna de Engenharia Social. É nesses dados que os levantamentos a seguir serão apoiados. 4.2 Números do Phishing Como uma tentativa de mensurar os impactos causados por essa prática, mesmo que ainda distante da realidade, serão abordados os crimes relacionados com a prática do Phishing, pois, como são difundidos através da rede mundial de computadores, esses crimes são uns dos poucos entre o portfólio dos Engenheiros Sociais capazes de serem identificados e quantificados pelas empresas de segurança da informação. Segundo Ikeda (2011), o Phishing ocupa a terceira posição nos incidentes relacionados à segurança da informação no Brasil, com 11% dos casos. As Invasões a perfis em redes sociais, com 19%, ficam em segundo lugar e os vírus de Computadores, com 68%, aparecem no topo da lista. Ikeda (2011) informa ainda as perdas financeiras causadas por esses crimes no período de um ano. O montante chega a US$ 388 bilhões, e no Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104 bilhões). Sendo o Phishing responsável por 11% das ocorrências, pode-se estimar um prejuízo calculado aproximado de R$ 11,44 Bilhões (11% de 104 Bilhões de Reais). Outra pesquisa, mas agora focada no Reino Unido e realizada pela Apacs (2006)10 , entidade que pertence a Associação de Bancos daquela região, aponta um aumento dos prejuízos causados pelo Phishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo de fraude tornou-se mais sofisticado e eficaz, fazendo com que os prejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ou seja, um aumento de 55%. Já o instituto Gartner (2005)11 , respeitada instituição do ramo de pesquisa e aconselhamento sobre tecnologia da informação, divulgou um relatório sobre os prejuízos estimados ocorridos devido ao Phishing nos Estados Unidos com cartões de crédito e débito. Conforme o relatório, os ataques de Phishing já causaram prejuízos estimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo ao período de 2004 a 2005). O relatório é fruto de um estudo envolvendo 500 clientes de bancos americanos. O instituto Gartner estima que cerca de três milhões de americanos perderam, cada um em média, mais de US$ 900 durante o último ano. Para termos uma ideia da expressividade dos números relatados acima basta compará-los com os gastos com a segurança pública do estado de São Paulo, o estado mais rico do país. Segundo dados do SIGEO, levantados e divulgados por Junqueira (2012), temos: [...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaram R$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhão para a Superintendência Técnico-Científica. Considerando-se a dotação
orçamentária total neste período, vê-se que, dos cerca de R$ 29 bilhões que a pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para a PM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$ 608 milhões Ao se analisar os números do Phishing, verifica-se que apenas em um ano os prejuízos com esse golpe ultrapassaram os 11 bilhões de reais, isso somente no Brasil. Esse montante é muito superior ao que o estado de São Paulo gasta com sua rede de polícias (civil, militar e científica). Isso nos mostra a real ameaça que são os crimes de Engenharia Social e os grandes prejuízos financeiros que eles provocam. Uma única modalidade dessa arte criminosa e, ainda por cima, longe de ter seus números levantados de forma exata e precisa e sempre abaixo do que realmente são, demonstra o incrível potencial dessa técnica como um todo, alertando para as empresas a importância que elas devem dispor aos seus sistemas contra fraudes e mostrando também que suas políticas de segurança devem ser revistas e adaptadas aos ataques dessa natureza. 5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 5.1 Políticas de Segurança da Informação e Sua Importância Face às inúmeras ameaças existentes contras as informações, torna- se indispensável para as empresas à implantação de um modelo eficiente de Política de Segurança da Informação. Silva, V. (2012b) ressalta que essas políticas são de extrema importância para evitar que os ataques contra as informações, de qualquer natureza e não somente os oriundos de Engenharia Social, consigam êxito em sua empreitada contra as empresas. Esse importantíssimo aspecto do escopo de segurança das organizações é definido por LAUREANO (2005, apud DIAS, 2000) como: um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. As Políticas de Segurança são um escopo de como as informações devem ser protegidas dentro do âmbito da organização, ou seja, um manual sobre os procedimentos em vigor para aquela organização específica. Por esse motivo, são documentos que variam muito de instituição para instituição e sua aplicação e métodos são muito distintos. D’Andrea (2004) ainda reforça que: o valor e a efetividade da segurança da informação serão alcançados à medida que as organizações façam o planejamento, o desenho e a gestão da segurança considerando seus objetivos corporativos e de negócios.
Para as empresas conseguirem essa efetividade para com a segurança de suas informações elas necessitam tratar essa questão com um maior profissionalismo, implantando uma Política de Segurança bem definida, que estipule normas e procedimentos a serem seguidos por todos dentro da organização. Essas normas precisam ainda estar em acordo com os objetivos empresarias da empresa. Um problema comum encontrado nas Políticas de Segurança em vigor é que elas privilegiam por demais os aspectos técnicos dos sistemas computacionais e esquecem o fator humano. Popper e Brignoli (2002) enfatizam que a maior parte das empresas não aloca seus recursos financeiros de uma forma equilibrada, elas preferem investir na manutenção de sistemas e em novas tecnologias e se esquecem de direcionar esses investimentos para combater a Engenharia Social. Essa brecha nas Políticas de Segurança pode ser explorada pelos Engenheiros Sociais, tornando todo o esquema de segurança das empresas falho, pois, conforme salienta Peixoto (2006): ―[...] a segurança das informações deve ser comparada a uma corrente, em que o elo mais fraco representa exatamente o nível de resistência e proteção‖. Para que essas políticas sejam realmente seguras, bem balanceadas e consigam lidar com as diferentes ameaças contra as informações, é recomendável que elas sejam elaboradas, com relação ao Brasil, seguindo os princípios da norma NBR ISO/IEC 27002/2005, norma brasileira referência para gestão da segurança da informação. Sêmola (2003), além de reforçar a necessidade da adoção dessa norma como referência, ainda lembra que as organizações que possuem uma política já definida deverão revê-las em conformidade também com a ISO1779912 . Em geral essas normas estão embasadas nas leis vigentes no país, garantindo, com isso, que as empresas não tenham problemas com a legislação a que são subordinadas. Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela ABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo, a partir desse momento, essa normal a principal referência em boas práticas para a gestão da segurança da informação no Brasil (NBR ISO/IEC 27002, 2005). Em vista do que foi exposto, fica evidenciado que para tratar as suas informações de forma segura, as empresas necessitam, primeiro, implantar uma Política de Segurança da Informação respaldada por uma norma que trate do assunto e esteja em acordo com a legislação vigente do país onde resida, segundo, essa política deve estar focada nos interesses da empresa e, terceiro, ela deve se preocupar tanto com os aparatos tecnológicos como com os ativos humanos. Um último ponto a ser abordado sobre as Políticas de Segurança da Informação é que esta deve ser amplamente divulgada dentro do
ambiente empresarial e serem de fácil entendimento para as partes envolvidas, conforme comentado por Silva, V. (2012b): o grande problema enfrentado é que muitas políticas não são divulgadas, não são confeccionadas utilizando termos de fácil entendimento, algumas possuem palavras muito técnicas e, em meio a todas essas adversidades, a empresa não realiza ações para conscientizar e educar seus colaboradores quanto à importância de preservar a informação da empresa. Essa boa divulgação das informações sobre as Políticas de Segurança vigentes garantem um maior comprometimento por parte dos funcionários com as questões de segurança, assegurando com isso uma maior eficiência dessas políticas. 5.2 Sucesso da Política de Segurança da Informação Um sistema de segurança da Informação precisa atender um grande número de variáveis para que venha a ser executado com sucesso. Esse sistema não pode se ater apenas a forma como as informações serão tratadas ou armazenadas, se elas estarão disponíveis e integras ou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002 (2005), para que um sistema de Segurança da Informação possa ser implantado com sucesso, os seguintes aspectos precisam ser colocados em prática: Política de Segurança que reflita os interesses do negócio; Uma abordagem consistente com a cultura organizacional; Comprometimento e apoio de todos os níveis gerenciais; Um bom entendimento dos requisitos da segurança da informação; Divulgação das normas de segurança para todos que fazem parte do escopo organizacional da empresa (funcionários, colaboradores, parceiros, entre outros); Provisão de recursos financeiros para as atividades de segurança; Estabelecimento de um processo eficiente de gestão de incidentes da segurança da informação; Implementação de um sistema de avaliação e melhoria do sistema de segurança da informação. Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002 (2005) são bastante sucintos e genéricos, deixando a cargo da empresa escolher os procedimentos que melhor se adequarão a sua estrutura organizacional. Estes itens estão mais relacionados com a maneira como o sistema será implantado, seu alinhamento com os negócios da empresa, provisão de recursos financeiros para que o mesmo se realize e posterior avaliação desses sistemas. Os primeiros pontos, referentes ao alinhamento do sistema de segurança aos interesses de negócio da organização e sua cultura, apoio dos níveis gerencias e provisão de recursos, são essenciais para que o plano traçado consiga sair do papel, ser colocado em prática, ter seu desenvolvimento garantido financeiramente e seja
apoiado posteriormente pela administração da empresa. Conforme explicado por Silva P., Carvalho e Torres (2003): A Administração da empresa é quem define a estratégia do negócio e que escolhe as iniciativas a realizar para a sua implementação. Desta forma, é a este corpo administrativo que compete decidir ao mais alto nível as atividades que se irão realizar na empresa, sendo a função do responsável pela segurança dotar a Administração da informação necessária para que esta possa optar. Esses aspectos são conseguidos através da sinergia de todos os setores administrativos que compõe a organização, que devem ter suas expectativas expostas, discutidas e possam ser alinhadas com o interesse geral dos negócios da corporação. Também se faz necessário que a instituição, através de seu responsável pela segurança da informação, tenha um bom conhecimento sobre as questões de segurança e como aplicá-las em uma Política de Segurança da Informação. Outro traço importante da Política é a sua divulgação para todos os funcionários e colaboradores da organização. Mitnick e Simon (2003) defendem que o principal objetivo da divulgação de um modelo de segurança da informação é o de ―influenciar as pessoas para que mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização‖. Com os funcionários empenhados em seguir os procedimentos de segurança corretamente as chances de sucesso são aumentadas consideravelmente. Além da divulgação da Política de Segurança, se faz necessário um treinamento bem elaborado acompanhado de constantes programas de reciclagem em segurança para que os funcionários estejam aptos a lidar com diferentes tipos de ameaças, principalmente as relacionadas com a Engenharia Social. Finalizando os fatores que proporcionam sucesso ao Sistema de Segurança está um esquema de avaliação do mesmo, que gere informações para que melhorias possam ser implantadas no decorrer do tempo. É evidente que as questões técnicas de como proteger as informações são o objeto central de um Sistema de Segurança da Informação e seu maior fator de sucesso. Porem, sem a devida atenção aos interesses da empresa, sua diretoria e funcionários, dificilmente esse plano consiga ser consolidado, mesmo ele tendo seus aspectos técnicos muito bem estruturados. Por esse motivo se justifica a atenção aos quesitos apresentados, como forma de garantir que o Programa de Segurança seja realmente eficiente para a organização e consiga ser implantado com sucesso. 5.3 O Responsável pela Política de Segurança da Informação
Para iniciar o desenvolvimento de uma Política de Segurança da Informação faz-se necessário definir o responsável ou os responsáveis pela sua confecção, implantação, monitoramento e possíveis ajustes que se façam necessários. Os materiais que são referencias para as questões de segurança da informação e para elaboração das suas políticas não especificam quem exatamente é esse responsável/responsáveis, deixando essa decisão a cargo da própria empresa, mas dão algumas dicas das características que esse profissional deve possuir. Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Política de Segurança da Informação deve ―prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes‖. Percebe-se ai que esse profissional necessita então conhecer a estrutura da empresa em questão, para poder alinhar as Políticas de Segurança com as necessidades de negócio da corporação, e necessita conhecer também a regulamentação e leis vigentes, a fim de ter respaldo jurídico para as determinações da política que será implantada. Silva, P., Tavares e Torres (2003) também trazem a tona algumas informações pertinentes. Segundo eles, a administração da empresa em conjunto com os agentes por ela nomeados, são os responsáveis pela informação usada na instituição, na sua relação com os clientes e na produção e comercialização dos seus bens, portanto é essa administração que decide o que irá ser feito com a informação. Silva, P., Tavares e Torres (2003) ainda reforçam que essa postura da administração tem, invariavelmente, repercussões na segurança e ―esta se encontra dependente tanto das suas decisões nesta matéria, como do comportamento, mais ou menos seguro, dos utilizadores‖. Apresentado esses pontos e antes que se possa definir o responsável pelas políticas de segurança da empresa que se encaixe nas informações disponibilizadas, faz-se necessário explanar quais os cargos existentes atualmente ligados à Segurança das Informações que podem assumir tal tarefa. Dentre estes, encontram-se dois que merecem especial atenção: o Analista de Segurança da Informação e o CSO ou CISO. Henrique (2011) define assim ambas as funções: o CSO é um cargo exclusivamente executivo, voltado para a aplicação da segurança da informação, suas normas, melhores práticas e experiência de negócio. E quanto ao Analista de Segurança, além de estar envolvido em todos os processos referentes à S.I., ele municia o CSO justamente com resultados e informações diretamente das aplicações de práticas visando a segurança. Ainda é essencial informar que, segundo Brenner (2009), a maioria das empresas que possuem profissionais voltados para a gerência da área de TI ainda repassam todas as tarefas dessa área, incluindo a segurança da informação, ao CIO, que, a princípio, é o responsável
pela área de TI da empresa como um todo e pode não possuir uma formação específica para a segurança da informação. Com base nas informações coletadas pode-se concluir então que a empresa deve possuir um profissional específico para ser responsável pela sua Política de Segurança da Informação e é recomendável que esse profissional faça parte de seu quadro de funcionários, a fim de estar integrado com as necessidades de negócio da organização. Esse profissional deve possuir um bom relacionamento com a alta gerência e com todos os outros funcionários e ser conhecedor das normas e leis vigentes. Portanto o indicado é que esse profissional seja um CSO ou CISO e tenha a assessoria de um CIO, para que este possa ajudar na sincronização das normas de segurança com os interesses empresariais e ser o elo com as demais áreas gerenciais, e, se possível for e a empresa conseguir arcar com os custos, o apoio ainda de um Analista de Segurança da Informação. 5.4 Desenvolvendo uma Política de Segurança da Informação No desenrolar desse capítulo, algumas colocações se apresentarão um tanto redundantes, fato esse que se faz necessário, visto que todo o conteúdo exposto até o momento culmina com o desenvolvimento de uma Política de Segurança sólida e que abranja todas as necessidades de segurança que as informações possuem. Por não se preocupar com todos os aspectos relacionados com a segurança de uma instituição, como a segurança do perímetro do estabelecimento, segurança de valores monetários, uso de câmeras de monitoramento, uso de vigilantes, etc., a ―política de segurança da informação pode ser parte de um documento de política geral‖ (NBR ISO/IEC 27002, 2005). Esse documento, mais geral e abrangente, torna-se necessário a fim de que possa ser contemplada a segurança da empresa como um todo e nele devera então ter contido uma Política de Segurança volta especificamente para a proteção das Informações. Ainda com base na NBR ISO/IEC 27002 (2005), verifica-se que ―se a política de segurança da informação for distribuída fora da organização, convém que sejam tomados cuidados para não revelar informações sensíveis‖. Esses cuidados garantem uma atenção com informações que serão repassados a terceiros, como prestadores de serviços, parceiros e clientes da instituição. Tomados esses cuidados, a organização que deseja implantar a Política de Segurança da Informação deverá indicar um responsável pela tarefa, que, conforme já apresentado, deverá ser um CSO ou CISO. Esse responsável deverá elaborar a política em questão de uma forma que esta esteja totalmente documentada e se atentar para que, de acordo com a NBR ISO/IEC 27002 (2005), esse documento reflita o comprometimento da direção da empresa e estabeleça o
enfoque da organização para gerenciar a informação. Outro aspecto a ser ressaltado, e que é reforçado pela NBR ISO/IEC 27002 (2005), é que a Política de Segurança da Informação deverá ser ―comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco‖. (NBR ISO/IEC 27002, 2005). Com relação à forma com que a Política deve ser conduzida, Silva, P., Tavares e Torres (2003), salientam que ―as regras contidas neste documento devem ser suficientemente genéricas para não necessitarem de revisão‖. Isso garante que a política não fique defasada demasiado cedo e não necessite ser alterada com frequência, como, por exemplo, por motivos de inovações tecnológicas. Passando para um âmbito mais concreto da Política de Segurança da Informação, Laureano (2005) defende que elas devem abranger os seguintes conteúdos: O que estamos protegendo: aqui se define as informações sensíveis para a empresa e quais os níveis de segurança elas deverão possuir. Isso significa agrupar as informações em grupo de prioridades; Métodos de proteção: onde se decide como essas informações serão protegidas; Responsabilidades: onde são estipulados os privilégios de acesso às informações para os usuários; Uso adequado: escopo de como os usuários deverão usar os recursos de redes; Consequências: esclarecimento sobre as consequências que uma quebra de segurança trará pra a empresa; Penalidades – as penas a que estarão sujeitos os infratores dos procedimentos descritos na Política de Segurança da Informação. Essas questões auxiliam a direcionar a Política de Segurança e segregar melhor os recursos disponíveis, pois ao se limitar as informações que deveram ser mantidas em sigilo pode-se definir melhor uma estratégia para sua proteção e dar-lhe um foco mais direcionado. Isso vai de encontro ao definido na classificação das informações, que objetivam justamente definir quais informações necessitam proteção e qual o grau dessa proteção, resultando numa definição de métodos de proteção mais eficazes. Ao se definir responsabilidades, mostrar as consequências e informar as penalidades, consegue-se um maior controle sobre os usuários e embasamento para punições, caso seja necessário. Agora, para a definição eficiente do que deve ser protegido e métodos de proteção a serem adotados, faz-se necessário uma Analise de Risco sobre as Informações da organização. Conforme Silva, P., Tavares e Torres (2003), a Análise de Risco se faz necessário para que a Administração consiga formalizar um conjunto equilibrado e
completo de objetivos para a Segurança da Informação. Esse procedimento deixa claro para a organização a quais riscos suas informações estão expostas, a forma como mitigá-los e qual o tempo para recuperação de cada grupo de informação já previamente classificado. Por esse motivo, reforça-se mais uma vez a importância de uma clara classificação das Informações em poder da empresa. Com essas definições claras e os riscos calculados, a Política de Segurança ganha já uma forma próxima da realidade e seus procedimentos já possuem uma base para serem definidos. A norma brasileira NBR ISO/IEC 27002 (2005) também especifica pontos a serem contidos nas Políticas de Segurança que vão de encontro com o ressaltado por Laureano (2005). Segundo ela, os documentos das políticas devem conter declarações relativas aos seguintes aspectos: Uma definição da Segurança da Informação, suas metas globais, escopo e importância da segurança da informação para o compartilhamento da informação; Uma declaração da direção apoiando essa Política e se submetendo a ela; Uma estrutura para estabelecer os objetivos de controle e controles; Explanação das políticas, princípios, normas e requisitos de conformidade da segurança da informação específicos para a organização; Definição das responsabilidades gerais e especificas pela segurança da informação e registro de incidentes de segurança da informação; Referência a documentação que possa apoiar as políticas, como, por exemplo: regras de segurança que os usuários devam seguir; Esses pontos abrangem, de uma forma ampla e genérica, os principais aspectos que devem ser considerados para que as Informações empresariais possam ser tratadas de uma forma segura. Mas para garantir que a Política esteja consistente e possíveis novas falhas possam ser descobertas, a NBR ISO/IEC 27002 (2005) recomenda ainda que a Política de Segurança da Informação seja criteriosamente analisada em períodos de tempo regulares, planejados ou quando ocorrerem mudanças significativas. Isso assegura a ―sua contínua pertinência, adequação e eficácia‖ (NBR ISO/IEC 27002, 2005). Para finalizar, a NBR ISO/IEC 27002 (2005) estabelece o uso de controles, que são as formas pelas quais os objetivos estipulados pelos procedimentos da Política serão alcançados, ou seja, a forma como os riscos serão tratados, qual o nível de proteção será aplicado a determinado grupo de informações e qual a indisponibilidade aceitável para cada grupo. Sendo a Política de Segurança da Informação um documento bastante genérico e universal, que especifica quais os pontos a serem
verificados quanto à segurança das informações e como esta deve ser tratada dentro da organização, mas não esclarecendo como isso deve ser feito, cada empresa devera implantar procedimentos de acordo com sua realidade e estabelecer os controles que melhor lhe convém com base nas informações fornecidas principalmente pela NBR ISO/IEC 27002 (2005) sobre boas práticas de segurança da informação. Uma política mais especifica e direcionada principalmente para a questão da Engenharia Social será dada a seguir. 6. SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA SOCIAL 6.1 Segurança da Informação Focada na Engenharia Social Como o norte do presente trabalho é a Engenharia Social, suas implicações e formas de combatê-la, torna-se necessário a apresentação de um Programa de Segurança da Informação que se preocupe com essa técnica criminosa e consiga eliminar, ou pelo menos reduzir, os impactos por ela causados nas organizações. O termo Programa de Segurança da Informação será adotado a partir daqui, pois ele define algo que excede os limites das Políticas de Segurança da Informação, carregando consigo um contexto mais abrangente e levantando outros aspectos primordiais para a segurança das organizações, como um conjunto de treinamentos e conscientização dos funcionários, tornando o combate aos ataques de Engenharia Social mais eficaz, visto que, de acordo com o mencionado por Mitnick e Simon (2003): o único meio verdadeiramente efetivo de amenizar a ameaça da Engenharia Social é usar a conscientização para a segurança combinada a políticas de segurança que definem as principais regras para o comportamento do empregado, junto com sua educação e treinamento. Portanto, a constante conscientização dos funcionários se apresenta para os autores como a principal arma na luta contra a Engenharia Social e deve ser incluída obrigatoriamente nos Programas de Segurança da Informação. Só existe uma maneira de manter seguros os seus planos de produto: ter uma força de trabalho treinada e consciente. Isso envolve o treinamento nas políticas e procedimentos, mas também — e provavelmente mais importante — um programa constante de conscientização. Algumas autoridades recomendam que 40% do orçamento geral para segurança da empresa seja aplicado no treinamento da conscientização. (MITNICK E SIMON, 2003). Sendo essas ferramentas, a constante conscientização e treinamento dos funcionários, as mais eficazes no combate à Engenharia Social, devem, pois, estarem sob o respaldo da Política de Segurança de Informação da Instituição e necessitam contemplar os pontos referentes às vulnerabilidades dos funcionários, quem são explorados
pelos Engenheiros Sociais, e as técnicas de ataque desses criminosos. Um escopo desses pontos vulneráveis da personalidade humana e das formas de ataques utilizadas pelos Engenheiros Sociais já foram apresentados anteriormente13 , mas, para reforçar a sua importância em um Programa de Segurança da Informação voltado contra as técnicas de Engenharia Social, serão revistos em formas de tópicos, pois, como já dito, suas peculiaridades já foram discutidos em oportunidade anterior. Conforme explicado por Mitnick e Simon (2003), os principais pontos vulneráveis da personalidade humana e explorados pelos Engenheiros Sociais são: O respeito à autoridade; A afabilidade; A reciprocidade; A consistência; Validação social; Escassez; Peixoto (2006) ainda destaca outros dois pontos importantes: a falta de interesse ou desatenção para com as informações que são disponibilizadas a terceiros por parte dos funcionários das empresas e a falta de treinamento adequado em práticas de segurança da informação por parte desses funcionários. Com relação às técnicas de ataques, Peixoto (2006) lista os seguintes itens: Telefonemas; Fakemail; Chats de internet; Fax; Mergulho no lixo; Surfar sobre os ombros e Pessoalmente. Outra forma de Engenharia Social que deve ser incorporada a essa lista é o Phishing, uma moderna forma de Engenharia Social que causa enormes prejuízos para as organizações segundo a empresa Symantec14 . Deste modo, um Programa de Segurança da Informação que seja eficaz contra os golpes de Engenharia social deve abordar necessariamente os pontos ressaltados acima e incluir esses aspectos pertinentes aos ataques – as vulnerabilidades humanas e as formas de ataques – nos assuntos que tangem tanto aos métodos de proteção quanto ao treinamento dos funcionários. O escopo de itens importantes a serem ressaltados nos treinamentos de conscientização dos funcionários ainda deve compreender formas de se checar a informação passada por terceiros no momento de
disponibilizar dados importantes. Para Peixoto (2006), ―a checagem da informação é no mínimo necessária para qualquer corporação que priva a segurança de seus clientes como de si própria‖. Essa checagem deve tornar-se um padrão e ocorrer sempre que uma solicitação de informação ou pedido para que uma ação seja tomada fora dos padrões estipulados seja requerida. Em Mitnick e Simon (2006) temos ainda que as empresas devem criar seu próprio procedimento de verificação de identidades e de autorizações de indivíduos que peçam informações ou ações e esse processo dependera da confidencialidade das informações/ações solicitadas. O trato adequado do lixo dispensado pela empresa é mias um ponto que merece atenção. Peixoto (2006) reforça esses cuidados e lembra que o zelo serve para o lixo digital também. Para ele, essas sobras empresariais contem informações muito valiosas para um Engenheiro Social e seu descarte deve ser cercado por cuidados, como, por exemplo, separar o lixo que possa conter essas informações e picotá- lo ou quebrá-lo antes de despachá-lo. (PEIXOTO, 2006). Um último ponto de atenção a ser relatado é com relação aos funcionários demitidos. Veríssimo (2002) comenta que uma atenção especial deve ser disponibilizada a eles, principalmente os que saíram descontentes com a empresa e salienta que as informações sobre a organização que esses funcionários possuem não podem ser simplesmente anuladas de uma hora para outra. Por esse motivo essa questão deve ser bem pensada no Programa de Segurança da Informação. Se o Programa de Segurança da Informação conseguir incorporar os aspectos mencionados, ele será uma barreira valiosa na luta da corporação contra as investidas dos Engenheiros Sociais. Entretanto, Mitnick e Simon (2003) vão ainda um pouco mais adiante na questão das táticas de treinamento e conscientização dos funcionários e enfatizam que estes precisam estar comprometidos com a segurança da informação enquanto funcionários de uma instituição e recomendam que um método ativo e bem divulgado de recompensa aos funcionários que se empenharem no cumprimento do Programa de Segurança seja criado. Esses treinamentos devem contemplar também processos de reciclagem, onde novos exercícios para reforçar a questão da segurança devem ser efetuados de tempos em tempos, Mitnick e Simon (2003) estipulam que esses cursos de reciclagem sejam realizados no máximo a cada 12 meses. Após toda essa atenção na confecção e implantação dos Programas de Segurança é importante que mecanismos de controle e melhorias sejam realizados no seu decorrer, garantindo que o programa esteja sempre evoluindo e melhorando com seus erros.
Esses controles, segundo Fonseca (2009), são compostos por testes de penetração e avaliação de vulnerabilidade realizados com táticas de Engenharia Social e tem o intuito de mostrar os pontos falhos do treinamento ou a falta de cumprimento das políticas de segurança da organização. Fonseca (2009) ainda lembra que ―antes de usar qualquer tática de teste de penetração simulado, os empregados devem ser avisados de que tais testes podem ocorrer de tempos em tempos‖. Agregando esses aspectos mencionados dentro de um Programa de Segurança da Informação têm-se a certeza que este será uma ferramenta de grande valia para a organização garantir a segurança de suas informações contra os ataques de Engenharia Social. Completando os processos para assegurar a segurança das informações e, consequentemente, a continuidade dos negócios da empresa, após o desenvolvimento, implantação e acompanhamento do Programa de Segurança da Informação dentro da organização, faz- se necessária a criação de um Plano de Continuidade do Negócio. 7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE 7.1 PCN – Plano de Continuidade do Negócio Todos os esforços desempenhados até o momento para garantir a preservação das informações empresariais demonstram a importância destas para a vida das corporações e demonstram também que elas não podem de maneira alguma tornar-se inacessíveis, pois, conforme defendido por Laureano (2005), vivemos num mundo disputado de negócios e as empresas não podem ficar indisponíveis para seus clientes. Essas possíveis indisponibilidades são ocasionadas por ameaças que exploram as vulnerabilidades existentes no ambiente da corporação e podem afetar tanto a sua estrutura física, com seus prédios e construções, seu parque de equipamentos, que podem ser relacionados com a TI ou não, e as informações. Como o acesso as informações dependem de toda uma infraestrutura, como disponibilidade de energia elétrica, links de acesso, cabeamento e computadores, entre outros, o restabelecimento desses meios é essencial para o acesso à informação e, consequentemente, para o retorno das atividades da corporação. As Políticas de Segurança da Informação15 tem o objetivo de erradicar essas ameaças ou ao menos amenizá-las a um nível aceitável, impedindo que elas se tornem um desastre. Acontece, porém, que certas ameaças/desastres são impossíveis de serem tratados ou amenizados, como, por exemplo, a queda de um avião ou uma enchente na área da empresa, e mesmo as que podem ser amenizadas, às vezes fogem ao controle e causam grandes prejuízos ao quadro tecnológico. Laureano (2005) lembra também que esse conceito de desastre, que era ligado às ocorrências geradas por
fatores naturais, evoluiu bastante e vem sendo substituído pelo conceito de evento, que ―é a concretização de uma ameaça previamente identificada, podendo ser seguido ou não de um desastre‖. (LAUREANO, 2005). O PCN (Plano de Continuidade do Negócio) trata então do combate a essas indisponibilidades e se constitui de um documento bem amplo, contendo práticas que objetivam ―não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar sua retomada em tempo hábil, se for o caso‖. (NBR ISO/IEC 27002, 2005). De acordo com o BicBanco (2008)16 e Laureano (2005) o PCN deve ser subdividido em três módulos complementares: Plano de Administração de Crise – Este plano tem como meta definir como será o trabalho das equipes responsáveis pelo acionamento da contingência em qualquer momento do incidente, ou seja, antes, durante ou depois deste e os métodos que devem ser cumpridos por essa equipe no retorno a normalidade; Plano de Continuidade Operacional – Objetiva definir os procedimentos para controle dos mecanismos que suportam cada etapa de negócio, visando diminuir a indisponibilidade e os prejuízos potenciais ao negócio; Plano de Recuperação de Desastres – Define um plano de recuperação para a restauração das funcionalidades dos mecanismos afetados que suportam os sistemas do negócio, a fim de restabelecer o ambiente e as condições originais de operação. Essa divisão objetiva segmentar o PCN, enquadrando cada momento em um estágio diferente, facilitando a divisão de responsabilidades e as medidas a serem tomadas em cada caso e são a base para o entendimento dos processos envolvidos na continuidade do negócio e para o planejamento e implantação de um PCN bem estruturado e efetivo. 7.2 Elaboração Do PCN Para início do planejamento do PCN faz-se necessário definir o responsável por sua elaboração. Fagundes (2004) ressalta que a responsabilidade desta tarefa deve ser distribuída entre toda a organização e não ser responsabilidade apenas da área de processamento de dados e salienta ainda que ―para se atingir um planejamento eficaz é necessário que o pessoal sênior de sistemas de informação e das áreas de negócios esteja envolvido durante todo o projeto para o beneficio da organização‖. (FAGUNDES, 2004). Portanto a tarefa de se pensar o PCN deve ser realizada pelos responsáveis pela área tecnológica da empresa, geralmente representada pelo CIO, em conjunto com o restante do seu corpo gerencial, pois, ao se construir essa empreitada em conjunto, tem-se o comprometimento de toda a organização com o que ficou estipulado e
consegue-se também garantir que nem uma área de atividade fique descoberta em caso de desastre. A parte responsável pela elaboração do PCN seleciona então, entre os funcionários da empresa, os agentes que atuarão efetivamente no Plano, definindo suas funções e responsabilidades. Essa nomeação pode ser postergada para uma fase posterior, visto que as ações a serem tomadas face ao desastre podem ainda não terem sido estipuladas. Com relação à escolha dos funcionários que farão parte da equipe de continuidade do negócio, a NBR ISO/IEC 27002(2005) recomenda que o PCN contenha uma ―designação das responsabilidades individuais, descrevendo quem é responsável pela execução de que item do plano‖ e reforça a necessidade de suplentes serem definidos quando necessário. (NBR ISO/IEC 27002, 2005). Tendo as partes envolvidas no PCN já identificadas, a Norma NBR ISO/IEC 27002 (2005) aconselha ―identificar os eventos que podem causar interrupção aos processos do negócio, junto à probabilidade e impacto de tais interrupções e as consequências para a segurança da informação‖. Esses eventos precisam então ser mapeados e documentados para poderem ser incluídos no escopo do Plano, a fim de se conseguir uma cobertura dos prejuízos por eles causados, sob o risco de: ―se não houver Planejamento para Segurança e Contingência adequados, alguns ou até todos requisitos estarão ameaçados e, consequentemente, a empresa ameaçada‖. (LAUREANO, 2005). A tarefa de avaliação e classificação dos eventos que podem afetar as operações da organização deve ser analisada com cautela e ser pensada mediante os riscos que podem acometer a organização de uma maneira geral e suas informações em particular e qual a real necessidade de recuperação dessa informação. Lembrando que quanto mais crítica a informação, maior deve ser o nível de agilidade em sua recuperação e maior será o investimento para tal façanha. O tratamento e mitigação desses riscos e a forma como realizar esse combate ao desastre é algo peculiar a cada organização, cabendo a seus responsáveis decidirem as melhores práticas a serem tomadas, com vistas às necessidades da empresa. O importante é ter o conhecimento dos riscos a que a empresa esta sujeita e como elaborar uma estratégia de restauração das atividades caso esses riscos se concretizem. 7.2.1 Estratégias de Contingência Após a avaliação dos eventos, Silva, P., Carvalho e Torres (2003) orientam que é preciso pensar nas tarefas a serem executadas para recuperação das atividades da corporação, os meios necessários e o modo de realização dessas atividades. Para a definição das tarefas é essencial que se defina as estratégias de contingencia que a empresa necessita. Essas estratégias objetivam definir o grau de criticidade que
a empresa deseja, onde cada grau representa um menor tempo de resposta e um custo mais elevado, e podem ser dividas por áreas dentro da própria empresa, onde cada uma delas pode possuir uma estratégia diferente, conforme suas necessidades. De acordo com Laureano (2005), essas estratégias podem ser assim classificadas: Estratégia de Contingência Host-site: é a contingência de nível mais crítico, onde as aplicações necessitam de alta prioridade e seu tempo de resposta é imediato; como acesso ao banco de dados, por exemplo; Estratégia de Contingência Warm-site: aplicada em processos onde sua paralisação possui uma maior tolerância, podendo ficar indisponível por algum período de tempo, até o retorno operacional da atividade, como o correio eletrônico, que apesar de ser importante, não se caracteriza como uma aplicação vital para o funcionamento da organização; Estratégia de Contingência Cold-site: esta propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados. Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior que a Warm-site; Estratégia de Contingência de Realocação de Operação; esta estratégia objetiva desviar a atividade atingida para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Para tal façanha a empresa deve possuir recursos suficientes que possam ser alocados em situações de crise; Estratégia de Contingência Bureau de Serviços: Considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado; portanto, fora dos domínios da empresa; Estratégia de Contingência Acordo de Reciprocidade: é recomendada em atividades que demandariam um grau de investimento para contingência inviável ou incompatível com a importância da mesma. Ela propõe um acordo mutuo de reciprocidade com empresas com características físicas, tecnológicas ou humanas semelhantes e igualmente dispostas a possuir uma alternativa de continuidade operacional, onde as empresas definem os procedimentos de compartilhamento de recursos para alocar a atividade atingida no ambiente da outra em caso de desastres; Estratégia de Contingência Autossuficiência: é quando a empresa decide que seus sistemas são autossuficientes e não dependentes de fatores externos. Isso pode ocorrer quando a organização não possui recursos para implementar uma das estratégias anteriores ou a sua implantação não se justifica pelo nível operacional que a empresa possui;
A empresa deve definir o grau de prioridade que seus sistemas necessitam e se o custo para manter essa prioridade é justificável. Feito essa analisa ela decide então qual estratégia ira adotar, lembrando que essa estratégia pode ser segmentada por setores dentro da corporação. Laureano (2005) reforça ainda que os PCNs devem ser ‖desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência‖. Esse ponto destaca a importância de se customizar o PCN, definindo uma forma de recuperação coerente para cada ameaça e para cada nível de processo do negócio, garantindo uma alocação mais eficaz dos recursos disponíveis e um melhor aproveitamento das potencialidades que o PCN oferece. Essas estratégias de contingência definem o PCN em si e são a maneira como a empresa enfrentará o desastre. Dentro de cada estratégia a empresa define então como realizara os processos de recuperação de acordo com seus interesses. 7.3 Avaliando o PCN Finalizando as etapas de elaboração do PCN temos a faze de Avaliação ou Teste. Para a NBR ISO/IEC 27002 (2005) é conveniente à inclusão desta etapa para que o plano seja testado e atualizado regularmente, a fim de se garantir sua constante atualização e efetividade. Essa atualização se faz necessário vista as mudanças que podem ocorrer na estrutura da organização, tanto física como lógica, exigindo que o programa se adeque as novas exigências dos processos. Outro ponto bem reforçado pela NBR ISO/IEC 27002 (2005) é a preocupação com a efetividade do PCN, pois muitos problemas podem ocorrer no momento de empregá-lo se esses cuidados não forem tomados, colocando todo o trabalho a ele dedicado em risco e, consequentemente, toda a empresa também. A fase de Avaliação e Testes serve ainda para garantir que os envolvidos no processo de continuidade do negócio estejam cientes de suas obrigações e saibam o que fazer no momento que forem acionados. A NBR ISO/IEC 27002 (2005) ratifica essa importância, tratando assim o assunto: Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam suas atividades quando um plano for acionado. E ainda continuando com o que estabelece a NBR ISO/IEC 27002 (2005) é relevante que o planejamento e a programação dos testes do PCN ―indiquem como e quando cada elemento do plano seja testado‖ e ―os componentes isolados do(s) plano(s) sejam frequentemente
testados‖. Tendo um controle sobre a aplicação dos testes e aplicando-os separadamente, em cada componente, consegue-se um maior detalhamento dos resultados, conseguindo, com isso, uma melhor mensuração da eficiência do Plano e caso seja necessário ajustes, estes poderão ser feitos apenas nas zonas deficitárias do projeto, não sendo necessário a sua total reformulação. Essa etapa do PCN pode ser realizada pela própria organização, pois esta sabe os pontos mais sensíveis de sua estrutura e os que merecem maior atenção. Ao realizar uma boa bateria de testes a organização assegura-se então que seu modelo de recuperação está condizente com suas necessidades e terá a tranquilidade de saber que, caso algum desastre de maiores proporções aconteça, ela estará prevenida e pronta para continuar suas atividades. 7.4 Outra Abordagem para Elaboração do PCN Outra forma de se planejar o PCN, mais detalhada que a explicada anteriormente, seria dividindo esse planejamento em fases. Silva, P., Carvalho e Torres (2003) explicam que nesse formato, o planejamento pode ser desmembrado em cinco etapas: fase de arranque, fase de redução de riscos e avaliação do impacto, fase de desenvolvimento do plano, fase de implementação do plano e fase de manutenção e atualização. Para os autores as fases são assim caracterizadas: Arranque ou Início do Projeto – essa etapa inicial é caracterizada pelo enquadramento do negócio da organização, definição dos objetivos do plano, identificação dos pressupostos e terminologias bases. Nesta fase também se define um modelo de gestão para todo o projeto. Esta constitui a fase inicial do projeto, onde os alicerces para sua elaboração e implantação são definidos: como os responsáveis pela implantação do plano, os ativos mais importantes e o período que esses ativos podem ficar indisponíveis, entre outros; Redução de riscos e avaliação do impacto – para se conseguir a efetiva recuperação de um desastre é necessária à implantação de medidas que evitam a sua ocorrência e tentem amenizar os prejuízos causados por este desastre. O combate às ocorrências consiste na prevenção do incidente, tentado evitar o desastre. Aqui se avalia as vulnerabilidades que a empresa possui e melhor forma de combatê-las ou amenizá-las. Já a repressão aos prejuízos ocorre tanto antes como depois do desastre, requerendo o posicionamento antecipado de mecanismos e procedimentos que permitam limitar o seu impacto. Estas medidas podem ser tomadas em qualquer fase do plano, dependendo da gravidade do incidente ocorrido; Desenvolvimento do Plano – consiste no desenvolvimento do plano propriamente dito, que deve ser constituído de um documento único, composto por um conjunto de outros documentos, dependendo dos
objetivos da empresa e do escopo do plano, bem como da estrutura da organização e da distribuição das funções críticas no seu seio. Uma característica importante do plano deverá ser a sua flexibilidade e independência, uma vez que um plano difícil de alterar, ou seja, com um método muito particular, pode comprometer mais a situação. Por esse motivo é necessário também à criação de um plano alternativo; Implementação do Plano – Nessa etapa dá-se à integração dos elementos necessários ao funcionamento dos procedimentos na Empresa e se realiza o conjunto de medidas necessárias à divulgação do plano, ao seu teste e à nomeação das equipes responsáveis pela sua execução. Vale lembrar que esses responsáveis não são necessariamente os mesmos ocupados do planejamento do plano, visto que esses foram definidos na fase de arranque do projeto; Manutenção e Atualização – A manutenção e atualização do PCN requer o estabelecimento de um programa que suporte a sua comunicação periódica a todas as pessoas envolvidas, tanto para sensibilização como para o reforço da informação já anteriormente veiculada. Este programa deve, também, contemplar a realização do conjunto de atividades necessárias à introdução de alterações no plano, de modo a garantir permanentemente a capacidade de recuperação de um desastre. Essas etapas vão de encontro com o que já foi estipulado, porém contando com um grau maior de detalhamento das atividades, colaborando para que a tarefa de planejamento do PCN seja mais fácil e didática para as partes envolvidas. O importante para a organização é ter claramente definidas suas necessidades sobre qual a prioridade de restabelecimento de cada atividade do seu escopo, conseguindo com isso um PCN mais eficaz e que abranja de maneira correta suas expectativas. 8 CONSIDERAÇÕES FINAIS As informações são, indiscutivelmente, o bem mais valioso de qualquer corporação nos dias atuais. Um correto trato dessas informações e um sistema competente de proteção para com elas constituem um diferencial precioso e a instituição que o possuir tornar- se-á mais eficiente nos seus negócios, garantindo uma enorme vantagem competitiva que não pode ser desprezada ou negligenciada. Porém, a maioria das empresas não investe na segurança de suas informações e as que investem, investem muitas das vezes de forma errônea e pouco confiável, preocupando-se por demais com os fatores tecnológicos envolvidos nos processos informatizados e esquecendo- se dos aspectos humanos, que são os principais responsáveis pelas falhas de segurança e vazamento de informações dentro das organizações. O trabalho em questão apontou essa política errônea adotada pelas corporações e trouxe a tona um fator de risco a segurança das
informações muito desprezado ou pouco conhecido: a Engenharia Social. Dando a conhecer o que é essa técnica criminosa, suas formas de atuação e as vulnerabilidades humanas exploradas pelos seus atacantes, os Engenheiros Sociais. Ao caracterizar essa arte de roubo de informações e suas formas de ataque, mostrou-se o quanto as informações estão expostas e como essa exposição é empregada pelos criminosos. Explorando esse descuido com o trato da segurança das informações, o presente artigo conseguiu demonstrar também como esses crimes são atrativos para seus praticantes e o tamanho extraordinário dos prejuízos causados por eles. A partir do entendimento de todos esses fatores ligados à Engenharia Social, foi proposto um Programa de Segurança da Informação voltado para o ambiente empresarial que garanta um maior grau de segurança para as informações e que aborde meios para enfrentar as técnicas dessa arte. Esse programa reforçou a importância de se treinar os funcionários em assuntos relacionados com a Engenharia Social, demonstrando que essa é a melhor maneira de combatê-la ou pelo menos amenizá-la. Com base em trabalhos de renomados especialistas, entre eles antigos Engenheiros Sociais, com destaque para o trabalho de Kevin Mitnick, e pesquisas em normas de reconhecimento nacional e internacional, que tratam exclusivamente da segurança da informação, desenvolveu-se uma Política de Segurança da Informação sólida e coerente, podendo ser implantada em empresas de setores diversos, contribuindo com formas seguras de tratar as informações e em especial, formas de se combater a Engenharia Social e os prejuízos por ela causados. Para finalizar, e nem por isso menos importante, foi demonstrado a importância de se desenvolver um Plano de Continuidade do Negócio e como implantá-lo dentro da organização. Esses planos são alternativas confiáveis de se garantir a continuidade do negócio da empresa caso algum desastre de grandes proporções acontece e vença a barreiras imposta pelas Políticas de Segurança. Todo esse conhecimento trazido vem demonstrar que a Engenharia Social deve ser tratada com especial atenção dentro dos programas de segurança empresarias e demonstra também como as empresas podem planejar e implantar esses programas, tornando a segurança das suas informações algo mais profissional e que tenha respaldo de regras internacionais, garantindo, com isso, confidencialidade nos seus processos e a certeza de que suas informações não serão expostas para uso de possíveis concorrentes ou criminosos. Esses conceitos vêm a se somar com outras práticas já existentes para garantir que as empresas possam se preocupar com seus negócios, podendo explorar as suas potencialidades e progredirem
continuamente, pois, com a aplicação de tais conhecimentos, suas informações estarão dentro de um grau satisfatório de proteção. O trabalho ainda mostrou como a tecnologia pode ser uma aliada nos negócios empresarias e não apenas um empecilho no compartilhamento das informações. Para dar prosseguimento no que foi demonstrado neste relato, fica a sugestão do desenvolvimento e implantação de um Programa de Segurança da Informação baseado nas ideias aqui propostas, que, além dos aspectos triviais da Segurança, seja preparado para lidar com os ataques de Engenharia Social e tenha como meta ser um modelo de gestão da Segurança da Informação no combate a essa prática. O intuito é acompanhar todo o programa de perto, desde sua fase de concepção, passando pela implantação, pelos monitoramentos e testes de segurança e possíveis melhorias futuras. Esse acompanhamento se encarregará de averiguar se a política proposta esta sendo implantada de forma correta, se existem falhas no seu escopo e se os resultados obtidos com ela são realmente satisfatórios e dignos de serem transformados em práticas de segurança. Ainda dentro do escopo do acompanhamento da política, podem-se averiguar meios de registrar as tentativas de golpes ocorridos no âmbito da organização e criar um banco de dados para possíveis pesquisas estatísticas sobre o tema. Com essa proposta busca-se avançar na obtenção de conhecimentos inerentes a Engenharia Social, contribuindo ainda mais com a difusão de maneiras seguras de encarar esses ataques e fortalecendo meios de se desenvolver Políticas de Segurança da Informação cada vez mais eficazes no trato aos criminosos adeptos dessa arte tão antiga, simples e muito eficiente. REFERÊNCIAS BIBLIOGRÁFICAS AQUINO, Y. Governo quer tipificar logo crimes na internet, diz ministro, 2011. Disponível em <http://exame.abril.com.br/tecnologia/noticias/governo-quer-tipificar- logo-crimes-na-internet-diz-ministro>. Acesso em Out. de 2011. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005. Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005. ATHENIENSE, A. R. Crimes Virtuais, Soluções e Projetos de Lei. Universo Jurídico, Juiz de Fora, ano XI, 2008. Disponível em <http://uj.novaprolink.com.br/doutrina/5317/Crimes_Virtuais_Solucoes _e_Projetos_de_Lei05/01/12>. Acesso em: 12 jan. 2012.
BICBANCO. Gestão de Risco Operacional, 2008. Disponível em <http://www5.bicbanco.com.br/port/governanca/Estrutura_de_Risco_O peracional.pdf&gt;. Acesso em: 24 fev. 2012. BRENNER, B. Papel dos gestores de segurança da informação começa a se definir, 2009. Disponível em <http://idgnow.uol.com.br/carreira/2009/09/09/papel-dos-gestores-de- seguranca-da-informacao-comeca-a-se-definir/&gt;. Acesso em: 16 nov. 2011. CERT.br. Cartilha de Segurança para Internet. Versão 3.1. São Paulo: Comitê Gestor da Internet no Brasil, 2006. D’ANDREA, E. Pesquisa. Os desafios da Segurança da Informação no Brasil. Revista CEO Brasil. Ano 1, No 2, out/dez 2004. Disponível em <http://www.pwc.com.br/pt/publicacoes/assets/ceo-brasil- 02.pdf&gt;. Acesso em: 02 fev. 2012. DICIONÁRIO do Aurélio, 2011. Disponível em <http://www.dicionariodoaurelio.com/&gt;. Acesso em: 27 dez. 2011. DINIZ, B. G. Engenharia Social – O que é? Como se proteger?, 2008. Disponível em <http://www.datasec.com.br/portal/index.php?option=com_content&vie w=article&id=65:engenharia-social-o-que-e-como-se- proteger&catid=38:bruno-diniz&Itemid=86&gt;. Acesso em: 14 jan. 2011. EIRAS, M. C. Engenharia Social e Estelionato Eletrônico. Monografia (Graduação ―Lato Sensu‖ Segurança de Informações na Internet) – IBPI. [S.I], 2004. FAGUNDES, E. M. Disaster Recovery Plan (DRP), 2004. Disponível em <http://www.efagundes.com/artigos/Disaster_Recovery_Plan.htm&gt;. Acesso em: 25 jan. 2012. FILHO, A. M. da S. Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações. Revista Espaço Acadêmico, n. 42. nov. 2004. Disponível em <http://www.espacoacademico.com.br/042/42amsf.htm&gt;. Acesso em: 06 dez. 2011. ——.Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Revista Espaço Acadêmico, n. 43. dez. 2004. Disponível em <http://www.espacoacademico.com.br/043/43amsf.htm&gt;. Acesso em: 19 nov. 2011. FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano.(Curso de Pós Graduação em Redes e Segurança de Computadores da Pontifícia Universidade Católica do Paraná) – Universidade Católica do Paraná. Curitiba, 2009. GOODCHILD, J. Novos funcionários estão mais propensos a ataques de engenharia social, 2011. Disponível em
<http://cio.uol.com.br/noticias/2011/09/21/novos-funcionarios-estao- mais-propensos-a-ataques-de-engenharia-social/>. Acesso em 20 nov. 2011. HENRIQUE, F. [Profissão: TI] Analista de Segurança da Informação,2011. Disponível em <http://dominioti.wordpress.com/2011/03/19/profissao-ti-analista-de- seguranca-da-informacao/&gt;. Acesso em: 03 nov. 2011. IKEDA, A. Crimes cibernéticos atingem diariamente 77 mil brasileiros; prejuízo anual é de R$ 104 bi, 2011. Disponível em <http://tecnologia.uol.com.br/ultimas- noticias/redacao/2011/09/20/crimes-ciberneticos-atingem-77-mil- brasileiros-diariamente-prejuizo-e-de-r-104-bilhoes.jhtm#album&gt;. Acesso em: 06 set. 2011. IMAMURA, O. C. Tecnologia da informação e da comunicação: A busca de uma visão ampla e estruturada. In. OLIVEIRA, F. B. (org). São Paulo: Pearson Prentice Hall. 2007. JUNQUEIRA, C. Gastos com Segurança Pública crescem 70%, 2012. Disponível em <http://www.observatoriodeseguranca.org/dados/custos/seguranca+pu blica&gt;. Acesso em:19 jan. 2012. LAUREANO, M. A. P. Apostila: Gestão de Segurança da Informação,2005. Disponível <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf &gt;. Acesso em: 11 dez. 2011. ______; Moraes, P. E. S. Segurança Como Estratégia De Gestão Da Informação. Revista Economia & Tecnologia. Vol. 8. Fascículo 3, P. 38 – 44, 2005. Disponível em <http://www.mlaureano.org/projects/seguranca/economia_tecnologia_s eguranca.pdf&gt;. Acesso em: 09 Jan. 2012. MITNICK, K. D.; SIMON, W. L. A arte de Engana: Ataques de Hackers: Controlando o fator humano na segurança da Informação. São Paulo: Pearson Education, 2003. ______. A arte de invadir: Histórias por trás das Ações de Hackers, Intrusos e Criminosos. São Paulo: Pearson Prentice Hall, 2006. Módulo Security News.Phishing impulsiona prejuízos de fraudes bancárias na Web no Reino Unido, 2006. Disponível em<http://www.htmlstaff.org/ver.php?id=3064&gt;. Acesso em: 23 nov. 2011. PASCHOAL, G. Hackers: entre a ideologia libertária e o crime,2002. Disponível em <http://www.comciencia.br/reportagens/internet/net10.htm&gt; Acesso em: 01 jan. 2012. PEIXOTO, M. C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
PHISHERS causam prejuízos de bilhões de dólares, 2005. Disponível em < http://www.baboo.com.br/conteudo/modelos/Phishers- causam-prejuizos-de-bilhoes-de-dolares_a17310_z0.aspx&gt;. Acesso em: 01 dez. 2011. POPPER, A. M.; BRIGNOLI, J. T. ENGENHARIA SOCIAL – Um Perigo Eminente – Instituto Catarinense de Pós-Graduação – ICPG Gestão Empresarial e Estratégias de Informática. Santa Catarina, 2002. Disponível em <http://fabricio.unis.edu.br/SI/Eng_Social.pdf&gt;. Acesso em: 28 set. 2011. SANTOS, L. A. L. O impacto da Engenharia Social na Segurança da Informação. Monografia (Pós Graduação em Redes de Computadores) – Universidade Tiradentes, Aracaju, 2004. SALVO, R. Engenharia Social, 2011. Disponível em <http://www.ti- redes.com/engenharia-social/&gt;. Acesso em: 05 Jan. 2012. SÊMOLA, M. Gestão de Riscos, 2011. Disponível em:<http://www.semola.com.br/conceitos.html&gt;. Acesso em: 10 out. 2011. ______. Perspectiva 2003 para o mercado de segurança da informação. Coluna Firewall, 2003. Disponível em <http://www.semola.com.br/disco/Coluna_IDGNow_45.pdf&gt;. Acesso em: 03 nov. 2011. SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança Dos Sistemas De Informação – Gestão Estratégica da Segurança Empresarial. Portugal: Centro Atlântico, 2003. SILVA, V. L. da. Engenharia Social: uma breve introdução, 2012a. Disponível em <http://www.brasiladmin.com/index.php?option=com_content&view=art icle&id=129:engenharia-social-voce-sabe-o-que- e&catid=111:seguranca-da- informacao&Itemid=81#ixzz1hrRZ1Nym&gt;. Acesso em: 03 out. 2011. ______. O Papel da Política de Segurança e dos Programas de Conscientização e Treinamento, 2012b. Disponível em <http://www.brasiladmin.com/index.php?option=com_content&view=art icle&id=130:o-papel-da-politica-de-seguranca-e-dos-programas-de- conscientizacao-e-treinamento&catid=111:seguranca-da- informacao&Itemid=81&gt;. Acesso em: 30 out. 2011. SYMANTEC Relata Aumento De Roubo De Dados, Vazamento De Dados E Ataques Direcionados De Hackers Com Objetivo De Ganho Financeiro, 2007. Disponível em: <http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=2 0070322_01&gt; Acesso em: 18 dez. 2011. VERÍSSIMO, F. Segurança em redes sem fio. Monografia (Curso de Tópicos Especiais em Redes Integradas Faixa Larga). Instituto Alberto Luiz Coimbra de Pós Graduação e Pesquisa de Engenharia. Programa
de Engenharia de Sistema e Computação. Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2002.

Mais conteúdo relacionado

PDF
Boas Práticas em Segurança da Informação
porRodrigo Bueno Santa Maria, BS, MBA
 
PPT
Engenharia Social
porelliando dias
 
PPTX
Engenharia social senai - ppt
porCarlos Melo
 
PPTX
Palestra Sobre Engenharia Social
porDavi Rodrigues
 
PPTX
Engenharia social
porMarlos Cesar
 
PDF
Engenharia Social UNAES Campo Grande MS
porBruno Alexandre
 
PDF
Segurança da Informação e Políticas de Segurança
porGilberto Sudre
 
PDF
Cibersegurança na Internet das Coisas
porRuy De Queiroz
 
Boas Práticas em Segurança da Informação
porRodrigo Bueno Santa Maria, BS, MBA
 
Engenharia Social
porelliando dias
 
Engenharia social senai - ppt
porCarlos Melo
 
Palestra Sobre Engenharia Social
porDavi Rodrigues
 
Engenharia social
porMarlos Cesar
 
Engenharia Social UNAES Campo Grande MS
porBruno Alexandre
 
Segurança da Informação e Políticas de Segurança
porGilberto Sudre
 
Cibersegurança na Internet das Coisas
porRuy De Queiroz
 

Mais procurados

PPTX
Segurança dos sistemas de informação
porRodrigo Gomes da Silva
 
PPTX
Segurança dos sistemas de informação parte 2
porRodrigo Gomes da Silva
 
PPTX
Engenharia Social
porLuis Guilherme Rodrigues
 
PPT
Engenharia Social - A arte de enganar
porAnderson Zardo
 
PPTX
Segurança da Informação: Proteção no ambiente Virtual
porBruno Felipe
 
PPT
Engenharia Social
porData Security
 
PDF
Seguranca da Informação - Introdução - Novo
porLuiz Arthur
 
PPTX
Ameaças e riscos da internet -Segurança da informação
porSthefanie Vieira
 
PPTX
Trabalho de Segurança da Informação
porAnderson Zardo
 
PPTX
Conceitos TI
porSthefanie Vieira
 
PPTX
Palestra Segurança da Informação e Servidores
porCesar Augusto Pinheiro Vitor
 
PDF
Engenharia social
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Hackeando Mentes - Engenharia Social
porBruno Alexandre
 
PPTX
Segurança informática: contexto, conceitos e desafios
porLuis Borges Gouveia
 
PPTX
Segurança da informação golpes, ataques e riscos
porGleiner Pelluzzi
 
PPT
Segurança da Informação
porMarco Mendes
 
PPTX
Segurança dos sistemas de informação
porRodrigo Gomes da Silva
 
PDF
Segurança nas redes e internet - baixar slides
porAna Lúcia Albano
 
PPTX
Palestra - Segurança da informação: proteção ou transtorno?
porEdkallenn Lima
 
PPT
9º ano Portagem
porPaula Morgado
 
Segurança dos sistemas de informação
porRodrigo Gomes da Silva
 
Segurança dos sistemas de informação parte 2
porRodrigo Gomes da Silva
 
Engenharia Social
porLuis Guilherme Rodrigues
 
Engenharia Social - A arte de enganar
porAnderson Zardo
 
Segurança da Informação: Proteção no ambiente Virtual
porBruno Felipe
 
Engenharia Social
porData Security
 
Seguranca da Informação - Introdução - Novo
porLuiz Arthur
 
Ameaças e riscos da internet -Segurança da informação
porSthefanie Vieira
 
Trabalho de Segurança da Informação
porAnderson Zardo
 
Conceitos TI
porSthefanie Vieira
 
Palestra Segurança da Informação e Servidores
porCesar Augusto Pinheiro Vitor
 
Engenharia social
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Hackeando Mentes - Engenharia Social
porBruno Alexandre
 
Segurança informática: contexto, conceitos e desafios
porLuis Borges Gouveia
 
Segurança da informação golpes, ataques e riscos
porGleiner Pelluzzi
 
Segurança da Informação
porMarco Mendes
 
Segurança dos sistemas de informação
porRodrigo Gomes da Silva
 
Segurança nas redes e internet - baixar slides
porAna Lúcia Albano
 
Palestra - Segurança da informação: proteção ou transtorno?
porEdkallenn Lima
 
9º ano Portagem
porPaula Morgado
 

Destaque

PDF
Engenharia Social: A Doce Arte de Hackear Mentes
porRafael Jaques
 
PDF
Caracteristicas genericas da engenharia social
porUniversidade de Coimbra
 
PDF
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
porTchelinux
 
PDF
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
porDiego Souza
 
PDF
Hackeando Mentes - Engenharia social
porAbraão Állysson
 
PPTX
Segurança em redes sociais
porDanielison Willian Barbam
 
PPTX
Segurança da informação nas redes sociais
porMilena Gonçalves
 
PDF
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
porRafael Jaques
 
PDF
Entendendo a Engenharia Social
porDaniel Marques
 
PDF
Engenharia Social
porCassio Ramos
 
PPS
Como Lidar com a Mente
porDora Guiseline
 
PDF
Mentalismo multiplo
porPaulo Deghi Deghi
 
PPTX
Como iniciar e manter conversas com pessoas desconhecidas
porAres_Bruno
 
PDF
Gatilhos Mentais: o que são e como aplicar
porMateada
 
PPTX
25 maneiras de influenciar pessoas
porConsultor de Marketing
 
PDF
10 Estratégias de Manipulação
porUniversidade Estácio de Sá
 
Engenharia Social: A Doce Arte de Hackear Mentes
porRafael Jaques
 
Caracteristicas genericas da engenharia social
porUniversidade de Coimbra
 
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
porTchelinux
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
porDiego Souza
 
Hackeando Mentes - Engenharia social
porAbraão Állysson
 
Segurança em redes sociais
porDanielison Willian Barbam
 
Segurança da informação nas redes sociais
porMilena Gonçalves
 
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
porRafael Jaques
 
Entendendo a Engenharia Social
porDaniel Marques
 
Engenharia Social
porCassio Ramos
 
Como Lidar com a Mente
porDora Guiseline
 
Mentalismo multiplo
porPaulo Deghi Deghi
 
Como iniciar e manter conversas com pessoas desconhecidas
porAres_Bruno
 
Gatilhos Mentais: o que são e como aplicar
porMateada
 
25 maneiras de influenciar pessoas
porConsultor de Marketing
 
10 Estratégias de Manipulação
porUniversidade Estácio de Sá
 

Semelhante a Engenharia social

PDF
Engenharia Social: Explorando a Vulnerabilidade Humana
porRafael Magri Gedra
 
DOCX
Engenharia Social.docx
porThaisCristina656020
 
PDF
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
porHelenaReis48
 
PPTX
FIREWALL 04.pptx
porADASVIEIRAArmazmPara
 
PDF
O impacto da engenharia social na segurança da informaçao
porSoftD Abreu
 
PDF
O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO
porSoftD Abreu
 
PPTX
Academy-Conference-2023-Engenharia-Social-Layer-8-PPT-Academy-2023.pptx
pormaylaalessandra2018
 
PDF
O "erro humano" e a engenharia social
porRicardo Cavalcante
 
PDF
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
porUniversity of North Carolina at Chapel Hill Balloni
 
PDF
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
porUniversity of North Carolina at Chapel Hill
 
PDF
Engenharia social
porcavalherepcdf
 
PPT
Modelo
porDe Sá Sites
 
PDF
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
porCleyton Kano
 
PDF
Sac 2017
porRicardo Cavalcante
 
PDF
Segurança da informação - Forense Computacional
porJefferson Costa
 
PDF
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill Balloni
 
PDF
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill
 
PDF
Compreender os principais elementos associados e vulnerabilidades.pdf
porAlexsandroArajoSousa
 
PPTX
segurança em redes.pptx
porcasa46
 
PDF
Sistemas de seguranca
porRigo Rodrigues
 
Engenharia Social: Explorando a Vulnerabilidade Humana
porRafael Magri Gedra
 
Engenharia Social.docx
porThaisCristina656020
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
porHelenaReis48
 
FIREWALL 04.pptx
porADASVIEIRAArmazmPara
 
O impacto da engenharia social na segurança da informaçao
porSoftD Abreu
 
O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO
porSoftD Abreu
 
Academy-Conference-2023-Engenharia-Social-Layer-8-PPT-Academy-2023.pptx
pormaylaalessandra2018
 
O "erro humano" e a engenharia social
porRicardo Cavalcante
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
porUniversity of North Carolina at Chapel Hill Balloni
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
porUniversity of North Carolina at Chapel Hill
 
Engenharia social
porcavalherepcdf
 
Modelo
porDe Sá Sites
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
porCleyton Kano
 
Sac 2017
porRicardo Cavalcante
 
Segurança da informação - Forense Computacional
porJefferson Costa
 
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill Balloni
 
Gesiti seguranca,inovacao-e-sociedade abipti
porUniversity of North Carolina at Chapel Hill
 
Compreender os principais elementos associados e vulnerabilidades.pdf
porAlexsandroArajoSousa
 
segurança em redes.pptx
porcasa46
 
Sistemas de seguranca
porRigo Rodrigues
 

Engenharia social

  • 1.
    Engenharia Social INSTITUTO AVOZ DO MESTRE PROGRAMA DE PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES DAVIES NASSARO Engenharia Social - Explorando o Fator Humano dos Sistemas de Segurança da Informação Ribeirão Preto – SP 2012 INSTITUTO A VOZ DO MESTRE DAVIES NASSARO Engenharia Social - Explorando o Fator Humano dos Sistemas de Segurança da Informação Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. MSc Robson do Nascimento Ribeirão Preto – SP 2012
  • 2.
    DAVIES NASSARO Engenharia Social- Explorando o Fator Humano dos Sistemas de Segurança da Informação Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. MSc Robson do Nascimento APROVADO EM ____/____/____ Ribeirão Preto – SP 2012 BANCA EXAMINADORA ______________________________________________________________ ROBSON DO NASCIMENTO – ORIENTADOR E PRESIDENTE DA BANCA ______________________________________________________________ NOME DO PROFESSOR – EXAMINADOR ______________________________________________________________ NOME DO PROFESSOR – EXAMINADOR Ribeirão Preto – SP 2012
  • 3.
    DEDICATÓRIA A todos aquelesque passaram noites e noites em claro embalados pelo sonho de tornar a existência humana mais digna e justa. AGRADECIMENTOS Agradeço, acima de tudo, a meus pais, por me ensinarem que quando se trata de honestidade, não existe meio termo. Agraço também a minha esposa, que, mesmo grávida de nosso primeiro filho, sempre me apoiou e esteve ao meu lado. “Numa época de mentiras universais, dizer a verdade é um ato revolucionário.” George Orwell “Experiência não é o que acontece com um homem; é o que um homem faz com o que lhe acontece.” Aldous Huxley
  • 4.
    RESUMO O presente trabalhotraz um relato sobre a definição de Engenharia Social e os principais métodos utilizados pelos Engenheiros Sociais para burlar os sistemas de segurança das empresas. São demonstrados também os motivos que fazem esse tipo de golpe ser tão aplicado, os prejuízos por ele causados e porque as pessoas são tão suscetíveis a ele. Finalizando são apresentadas formas de defesa contra esses ataques e como manter a empresa em operação caso um desastre de grandes proporções ocorra. Palavras-Chave: Segurança da Informação, Engenharia Social, Hackers, Continuidade do Negócio. ABSTRACT This paper presents an account of the definition of Social Engineering and the main methods used by Social Engineers to bypass systems enterprise security. It also demonstrated the reasons that make this type of scam be so applied, the damage caused by it and why people are so susceptible to it. Finally are presented forms of defense against these attacks and how to keep the business running if a major disaster occurs. Keywords: Information Security, Social Engineering, Hackers, Business Continuity. LISTA DE ABREVIATURAS E SIGLAS ABNT – Associação Brasileira de Normas Técnicas Apacs – Association for Payment Clearing Services CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CGI.br – Comitê Gestor da Internet no Brasil CIO – Chief Information Officer CISO – Chief of Information Security Officer CSO – Chief Security Officers IEC – International Electrotechnical Commission ISO – InternationalOrganization for Standardization NBR – Norma Brasileira SIGEO – Sistema de Gerenciamento Orçamentário do Estado de São Paulo TCC – Trabalho de Conclusão de Curso TI – Tecnologia da Informação
  • 5.
    SUMÁRIO RESUMO 08 ABSTRACT 09 LISTADE ABREVIATURAS E SIGLAS 10 1 INTRODUÇÃO 13 1.1 Objetivos 14 1.1.1 Objetivos Gerais 14 1.1.2 Objetivos Específicos 14 1.2 Procedimentos Metodológicos 14 1.3 Estrutura do Trabalho 14 2 REFERENCIAL TEÓRICO 16 2.1 Ameaças às Informações 16 2.2 Engenharia Social 17 2.2.1 Entendendo a Engenharia Social 17 2.2.2 As Vulnerabilidades Humanas 19 2.3 Segurança da Informação 21 3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 25 3.1 Principais Técnicas de Ataque da Engenharia Social 25 3.2 Fatores Motivadores da Engenharia Social 26 3.3Análise dos Ataques e dos Fatores Motivadores 29 4 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 32 4.1 Crimes de Difícil Apuração 32 4.2 Números do Phishing 33 5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 35 5.1 Políticas de Segurança da Informação e sua Importância 35 5.2 Sucesso da Política de Segurança da Informação 37 5.3 O Responsável pela Política de Segurança da Informação39 5.4 Desenvolvendo uma Política de Segurança da Informação 41 6 SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA SOCIAL 45 6.1 Segurança da Informação Focada na Engenharia Social 45 7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE 49 7.1 PCN – Plano de Continuidade do Negócio 49 7.2 Elaboração do PCN 50 7.2.1 Estratégias de Contingência 52 7.3 Avaliando o PCN 54 7.4 Outra Abordagem Para Elaboração do PCN 55 8 CONSIDERAÇÕES FINAIS 57 REFERÊNCIAS BIBLIOGRÁFICAS 60
  • 6.
    1 INTRODUÇÃO Diferentemente doque muitas pessoas acreditam, inclusive as entendidas em assuntos tecnológicos e de segurança, muitas falhas nos sistemas de defesa das informações das empresas ocorrem por irregularidades cometidas por funcionários e colaboradores dessas próprias organizações, ou seja, seres humanos, e não por brechas nesses sistemas, que contam com uma parafernália cada vez mais complexa para a preservação das informações, como firewalls, proxy, antivírus, senhas criptografadas e controle de acesso, entre outros. Mitnick1 e Simon (2003) explicam que: À medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a ―firewall humana‖ quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo. Por essa razão é vital que as empresas estejam preparadas para os crimes focados em explorar as falhas humanas, como os crimes de Engenharia Social, e busquem formas mais eficazes de garantir a segurança de suas próprias informações e as informações que são a elas confiadas. Buscando contribuir para o combate dessa prática criminosa, o trabalho desvenda o mundo da Engenharia Social, descrevendo o seu significado, suas principais técnicas de abordagem, os fatores que motivam os criminosos a optarem por esse tipo de ataque e porque o ser humano é, e sempre será, o elo mais vulnerável nessa intricada cadeia de meios e métodos que visam proteger as informações confidencias das empresas. Para apoiar as ideias descritas acima, além de vasta pesquisa bibliográfica, será mostrada uma análise dos impactos estimados causados por esses tipos de ataques e, para finalizar, serão apresentados meios de se criar um Programa de Segurança da Informação e um Plano de Continuidade do Negócio, visando sempre salvaguardar as Informações dentro dos limites das empresas. 1.1 Objetivos 1.1.1 Objetivos Gerais Entender o que é Engenharia Social, estudar suas técnicas e seus reflexos nas questões relacionadas com a Segurança da Informação, mostrar mecanismos de defesa para as Informações empresariais e como manter a organização em atividade, mesmo após a ocorrência de desastres que afetem seu funcionamento. 1.1.2 Objetivos Específicos Apresentar as principais técnicas de Engenharia Social; Estudar as vulnerabilidades humanas sujeitas a essas técnicas; Identificar as necessidades de educação do usuário; e
  • 7.
    Relacionar as principaismedidas de segurança contra esse tipo de crime e que garantam a estabilidade das informações e a continuidade do negócio da empresa. 1.2 Procedimentos Metodológicos Este trabalho foi elaborado a partir de pesquisas bibliográficas e documentais, apoiando-se em fontes primárias e secundárias, além de páginas de internet e artigos, pois são essas as principais fontes de materiais relacionados ao estudo. A referência cronológica parte de publicações selecionadas a partir da década de 90, pois, se tratando de Tecnologia da Informação (TI) e essa sendo uma área onde as mudanças ocorrem muito rapidamente, ficaria um tanto obsoleto mencionar práticas realizadas antes desse período, apesar de a Engenharia Social ter se iniciado há décadas atrás, antes mesmo até da disseminação dos computadores. 1.3 Estrutura do Trabalho Este Trabalho de Conclusão de Curso (TCC) esta elaborado da seguinte maneira: O segundo capítulo apresenta o Referencial Teórico, contendo os principais conceitos sobre Segurança da Informação, Engenharia Social e Vulnerabilidade Humana. O terceiro capítulo apresenta as principais técnicas de ataque de Engenharia Social e seus fatores motivadores. O quarto capítulo estuda os impactos causados por essa arte criminosa. O quinto capítulo identifica as necessidades de educação do usuário e apresenta a importância de uma Política de Segurança da Informação e como elaborá-la. O sexto capítulo relaciona as principais medidas de segurança contra as técnicas de Engenharia Social. O capitulo sétimo mostra como criar um Plano de continuidade do Negócio, demonstrando como manter a empresa em operação após esta ser vitima de algum desastre. O oitavo capítulo apresenta as considerações finais, concluindo com um aparato geral do que foi exposto, reforçando a atenção que deve ser disponibilizada para com a segurança das informações no âmbito empresarial e, em particular, para com as técnicas de Engenharia Social e propõem ainda uma sugestão para trabalhos futuros que contribuam ainda mais para o combate a essa técnica de roubo de informações. 2 REFERENCIAL TEÓRICO 2.1 Ameaças às Informações Para Sêmola (2011),ameaça é ―algo que pode agir voluntária ou involuntariamente em prejuízo de alguém ou alguma coisa‖. Sendo assim, essa possibilidade de algo causar dano também afeta às informações, que estão continuamente expostas à ameaças oriundas
  • 8.
    de vários fatores.Peixoto (2006) ainda aponta o conceito de vulnerabilidade, reforçando que uma ameaça não implica necessariamente em uma vulnerabilidade, ou seja, uma vulnerabilidade é uma brecha onde uma ameaça pode causar dano. No que se referem às informações, as ameaças exploram as vulnerabilidades existentes nos processos a elas integrados, isto é, de acordo com Peixoto (2006), as ameaças, muitas vezes, são decorrentes de vulnerabilidades existentes, provocando nas informações perda da confidencialidade, integridade e disponibilidade e podem ser agrupados em três categorias distintas: Ameaças naturais: fenômenos da natureza; Ameaças involuntárias: decorrentes do desconhecimento de normas, padrões ou operação, acidentes e erros; Ameaças voluntárias: são amaças causadas propositalmente por pessoas. Ainda continuando com as definições de Peixoto (2005), as vulnerabilidades são frutos de ameaças generalizadas, afetando assim a segurança da informação e podem ser assim classificadas: Físicas: salas de CPD mal planejadas, estrutura de segurança fora dos padrões exigidos; Naturais: falta de energia, incêndios, aumento de umidade; Hardware: Desgastes de equipamentos, equipamentos obsoletos; Software: má instalação e configuração; Mídias: Perda ou dano das mídias de armazenamento de informações; Comunicação: acesso não autorizado ou perda da mesma; Humana: Falhas de atenção, treinamento de funcionários inadequado e as decorrentes de práticas de Engenharia Social. Como pôde ser constatado, as informações estão expostas continuamente a inúmeros tipos de ameaças que buscam explorar as suas muitas vulnerabilidades, que podem ser naturais, falhas de projeto ou até mesmo humanas, e os sistemas de segurança da informação têm que estar aptos a lidarem com todas essas questões. Dentre essas ameaças generalizadas contra as informações, as referentes à Engenharia Social são uma classe que merecem especial atenção, pois, como será definido adiante, exploram as falhas existentes na personalidade humana e são de difícil prevenção. 2.2 Engenharia Social 2.2.1 Entendendo a Engenharia Social Entre as principais ameaças à segurança dos sistemas de informação está a Engenharia Social. Esta ―está inserida como um dos desafios (senão o maior deles) mais complexos no âmbito das vulnerabilidades encontradas na gestão da segurança da informação‖. (PEIXOTO, 2006). Segundo Mitnick e Simon (2003), a Engenharia Social pode ser definida como o uso da influência e da persuasão para enganar as
  • 9.
    pessoas e convencê-lasde que o Engenheiro Social é alguém que na verdade ele não é. O Engenheiro Social fica então caracterizado como alguém que se utilizada das técnicas de Engenharia Social e em geral é citado como o atacante ou criminoso. Outra forma de descrever a Engenharia Social seria como o encontrado na Cartilha de Segurança Para a Internet, disponibilizada pelo Comitê Gestor da Internet no Brasil (CGI.br): um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.(CGI.br 2006) A Engenheira Social, portanto, fica evidenciada pela ação de um indivíduo ou indivíduos, que através de técnicas de persuasão, intimidação e pressão psicológicas, conseguem obter acesso a informações confidenciais de empresas e pessoas para fins ilícitos. Esses ataques conseguem sucesso porque o criminoso que se utiliza dessas técnicas explora vulnerabilidades na personalidade humana que proporcionam alto grau de sucesso nesses ataques. Como citado por Mitnick e Simon (2003): amaioria das pessoas supõe que não será enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável que não levanta suspeita enquanto explora a confiança da vítima. Diferentemente de outras formas de crimes ligados a Sistemas de Informação, como invasão de sistemas ou destruição de Informações, cometidos por Hackers2 e Crackers3 , que possuem como motivador a autopromoção, o desafio e a chance de quebrar regras, a Engenharia Social sempre esteve relacionada com as relações interpessoais e, mais recentemente, com a tentativa de burlar os sistemas de segurança das corporações para obtenção de informações sigilosas e seu principal objetivo é o ganho financeiro obtido com a divulgação ou uso de tais informações. Conforme pesquisa realizada pela empresa de softwares de Segurança Check Point e publicada no site cio.uol4 , cujo tema foi segurança da informação, foram entrevistados 850 profissionais de segurança em TI de várias partes do mundo e a maioria dos entrevistados, 51%, responderam que o ganho financeiro é o principal fator motivador para crimes de Engenharia Social. Para conseguir esse retorno financeiro, o Engenheiro Social apoia-se na falta de capacitação para o trato de informações empresariais e pessoais por parte dos indivíduos e sua inclinação para cometer atos ilícitos quando utilizando sistemas de informação. Laureano (2005) salienta que para preservar os segredos da empresa, além do investimento em softwares de segurança é muito importante investir
  • 10.
    em treinamento defuncionários, pois não são poucas as ocorrências referentes à espionagem industrial (forma de Engenharia Social). É interessante salientar que as técnicas de Engenharia Social podem ser verificadas em vários aspectos da sociedade e em diferentes épocas, não se restringindo apenas a Tecnologia da Informação. Até mesmo a Bíblia, através da conhecida história do encontro de Adão e Eva com a Serpente, já fazia alusão ao assunto (PEIXOTO, 2006). Portanto, o uso de técnicas de Engenharia Social é muito diversificado e antigo, precedendo até mesmo os computadores. 2.2.2 As Vulnerabilidades Humanas Como distinguido no item 2.1, intitulado ―Ameaças às Informações‖, o que acarreta a quebra de segurança de um sistema de informação são suas vulnerabilidades, que passam a ser exploradas por ameaças até que as falhas ocorram. O termo vulnerabilidade, segundo o dicionário on-line Aurélio5 significa ―Caráter ou qualidade de vulnerável‖. Logo se faz necessário a compreensão da palavra vulnerável para darmos entendimento ao termo. Vulnerável, segundo essa mesma fonte, quer dizer ―Suscetível de ser ferido, ofendido ou tocado‖. Portanto uma vulnerabilidade é uma característica que torna algo vulnerável, ou seja, passível de sofrer dano. Entre as muitas vulnerabilidades encontradas em um sistema de informação, as relacionadas com o fator humano estão entre as de trato e solução mais difíceis, conforme discutido anteriormente. São essas vulnerabilidades que tornam as pessoas tão suscetíveis aos ataques de Engenharia Social, pois: o engenheiro social trabalha como ninguém os pontos relativos à psicologia humana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza a simpatia para tentar convencer. Ou até mesmo a culpa [...]. (PEIXOTO, 2006). Um atacante procura entender essas características vulneráveis do comportamento humano a fim de explorá-las com seu portfólio de truques para conseguir maior sucesso nos seus ataques. Para Mitnick e Simon (2003), as principais vulnerabilidades humanas que podem ser exploradas por um ataque de Engenharia Social são: • O respeito à autoridade: quando um ataque faz uma requisição demonstrando autoridade, a chance de ela ser atendida é muito grande; • A afabilidade: uma pessoal que demonstra ser agradável consegue que as pessoas atendam seu pedido mais facilmente; • A reciprocidade: essa vulnerabilidade faz as pessoas terem uma inclinação natural a retribuir um pedido de ajuda feito por alguém que já fez algo por você. Nesse caso os Engenheiros Sociais procuram causar algum problema para as vitimas e depois o solucionam, deixando a pessoa com a obrigação da retribuição; • A consistência: os atacantes induzem as pessoas a fazerem um comprometimento público ou então ludibriam essas pessoas com o
  • 11.
    argumento que essepedido será favorável a alguma causa comum a vitima; • Validação social: ocorre quando o criminoso faz uma solicitação que vai de encontro com o que outras pessoas estão fazendo, tornando essa ação das outras pessoas uma validação para o comportamento em questão; • Escassez: quando a solicitação é por algo escasso ou esse algo esta disponível por curto período de tempo. Outra falha muito comum referentes às pessoas, mas ocorridas no âmbito profissional, é a falta de interesse ou desatenção para com as informações que são disponibilizadas a terceiros por parte dos funcionários das empresas. Como descrito por Peixoto (2006): Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo a sua volta, e principalmente fazendo o uso dos poderosos ―por quês‖, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação. Mais uma vulnerabilidade que pode ser explorada com relação à segurança das informações empresariais reside nos funcionários que não receberam treinamento adequado em práticas de segurança e não foram alertados em como as informações da empresa devem ser tratadas. Também vale lembrar que a segurança é um processo continuo e os pontos de verificação das políticas e os treinamentos devem ser reciclados de tempos em tempos. Peixoto (2006) define que: Como chefe de segurança das informações de uma empresa [...], nada mais coerente do que fazer com que os funcionários desta empresa estejam aptos a entender o quanto é importante a preservação consciente das informações que cada um manipula em seu dia-a-dia. Outro grupo de funcionários que merecem atenção são os funcionários descontentes, que por algum motivo qualquer, podem usar informações confidenciais da empresa para prejudicar a própria organização, no caso do funcionário tiver algum ressentimento com a companhia, ou fazer uso dessas informações para vendê-las a concorrentes, com o intuito de levantar quantias financeiras com essas venda. Essa vulnerabilidade está mais associada a falta de caráter do funcionário e a sua inclinação por desenvolver um sentimento de vingança em relação a empresa onde atuou. Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamento. (MITNICK E SIMON, 2003). Esses pontos vulneráveis destacados fazem parte do comportamento humano e são, na maioria das vezes, respostas comuns a estímulos provocados por situações diversas. O grande problema desse
  • 12.
    comportamento falho estana sua exploração por parte de pessoas mal-intencionadas, ocasionado com isso quebra nos sistemas de segurança das organizações e ameaçando suas informações. A vantagem de se conhecer esses pontos da personalidade humana reside numa possibilidade de se desenvolver Políticas de Segurança da Informação mais adequadas com a realidade dos funcionários e alinhadas com os objetivos da empresa, inibindo assim os ataques de Engenharia Social e garantindo uma maior segurança para com as informações. 2.3 Segurança da Informação As informações pertinentes a uma empresa, como seu catálogo de projetos, carteira de clientes, fornecedores e colaboradores, estratégias de marketing e campanhas publicitárias, contas a pagar e receber, manuais de utilização de equipamentos e sistemas, organogramas e fluxogramas, documentos detalhados da topologia de rede e configuração de servidores, entre outros, constituem um artigo de vital importância para a sobrevivência da mesma, pois, conforme menciona Laureano (2005, apud KATZAM, 1977): Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletar e armazenar informações e o uso efetivo da informação permite que uma organização aumente a eficiência de suas operações. Sendo essas informações um ativo tão importante para as organizações, elas necessitam de um sistema eficaz de proteção contra os diversos tipos de ameaças que possam corrompê-las e comprometer sua segurança, acarretando assim enormes danos para as empresas como um todo. Para um sistema de informação ser considerado seguro ele deve ter preservado os seguintes aspectos: integridade, disponibilidade, não repúdio,autenticidade e confidencialidade. Para Filho (2004), estes aspectos são considerados essenciais para que o sistema em questão possa ser confiável e integro. A fim de garantir a preservação dessas características, recomenda-se a utilização de um Sistema de Segurança da Informação, que, de uma forma genérica e sem adentrarmos nos domínios de como colocar em prática essas medidas de segurança, domínios esses que serão tratados posteriormente nesse trabalho, é caracterizado, segundo definição da NBR ISO/IEC 27002 (2005), pela ―proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio‖. A base para qualquer projeto de segurança da informação consiste em se definir primeiramente dois fatores primordiais: quem são os proprietários dessas informações e qual o seu grau de importância
  • 13.
    para a organização.Conforme relatado por Silva, P., Carvalho e Torres (2003) esses dois pontos podem assim ser definidos: Proprietário da Informação – para que um sistema de Segurança da Informação possa ser posto em prática é necessário, primeiramente, identificar os proprietários da informação. Ao se definir esses proprietários, é possível determinar mais claramente as necessidades reais de segurança dessa informação. Classificação das Informações – uma vez definidos os responsáveis pela informação, esta poderá mais facilmente ser classificada de acordo com sua sensibilidade e, posteriormente, protegida de acordo com essa classificação. Deve-se notar que a classificação não constitui um fim em si mesmo, mas antes um meio que permite definir procedimentos para a gestão da informação, como por exemplo, a sua destruição, armazenamento ou transporte. Os autores reforçam também que: Este esforço de classificação permite desenvolver níveis de proteção idênticos para informação com os mesmos requisitos de segurança, permitindo a sua concentração, o que irá maximizar o efeito dos esforços de proteção. Nos casos em que não seja possível agrupar a informação com as mesmas necessidades de segurança, a classificação permite definir padrões de proteção, claros e inequívocos, para as várias categorias de classificação. (SILVA, P., CARVALHO E TORRES, 2003) Quando se define o proprietário de uma informação e quem a ela será dado acesso, fica mais fácil definir uma política para tratar sua proteção, definindo com isso, formas de compartilhamento, restrições de acesso e auditorias. Com relação à classificação da informação, a sua tarefa é separar as informações em grupos homogêneos, para que esses grupos recebam o mesmo grau de proteção, onde será definido se essa informação é confidencial ou não, o tempo necessário que essa informação poderá ficar indisponível, a forma como será realizado seu backup6 (diariamente, semanalmente, etc..), onde o backup será armazenado, como e quando essa informação deverá ser destruída, entre outras definições. Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 2011) apoiam que o correto é classificar as informações em níveis de prioridade, respeitando sempre as necessidades das empresas, assim como a importância da classe da informação para a manutenção da empresa. Segundo eles, as informações podem ser assim classificadas: Pública: quando a informação pode vir a público sem consequências mais sérias ao funcionamento normal da empresa, e cuja integridade não é vital. Interna: quando o acesso livre a este tipo de informação deve ser evitado, mesmo não sendo muito sérias as consequências oriundas de
  • 14.
    uso não autorizado.Sua integridade não é considerada vital, mas muito importante. Confidencial: quando a informação se restringe aos limites da empresa e sua divulgação ou perda pode causar uma falha no equilíbrio operacional e perdas financeiras ou quebra da confiança por parte dos clientes externos. Secreta: quando a informação é considerada crítica para as atividades da empresa. Sua integridade deve ser preservada a qualquer custo e seu acesso deve ser restrito a um número reduzido de pessoas. Sua segurança é vital para a organização. A partir da correta separação das informações, pode-se definir mecanismos para garantir sua segurança, como Políticas de Segurança da Informação acompanhadas de processos de treinamento e conscientização de funcionários, especificando o que cada tipo de informação implica para a empresa e definindo punições diferentes em caso de divulgação não autorizada dessas informações. Após a correta classificação das informações parte-se para a definição do Sistema de Segurança da Informação e a melhor maneira de implantar esse sistema é através de uma Política de Segurança da Informação bem definida. Esta consiste em documentos descrevendo a forma como a informação deverá ser tratada pela instituição. Maneiras de se desenvolver uma Política de Segurança de Informação e como treinar funcionários em boas práticas de segurança serão detalhadas em capítulos posteriores. O importante de se frisar até aqui é que as informações, por serem algo de muito valor para qualquer instituição, necessitam serem protegidas de uma forma pensada e de maneira a entender as ameaças que podem afetá-las. 3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 3.1 Principais Técnicas de Ataque da Engenharia Social Os Engenheiros Sociais utilizam inúmeras técnicas e truques para conseguir a colaboração de pessoas, que muitas vezes são vítimas inocentes, para que estas disponibilizem informações confidencias, sejam elas pessoais ou empresarias, para poderem fazer uso dessas informações para fins ilícitos. Como principal meio de conseguir essa colaboração está à exploração da reação comum das pessoas a pedidos de ajuda e solicitação de informações, que, primeiramente, pensam em ajudar ao solicitante e somente posteriormente se preocupam com a importância da informação fornecida. De acordo com Mitnick e Simon (2003), ―[...] como seres humanos, somos todos sujeitos a sermos enganados, porque a confiança das pessoas pode ser usada de forma errada se for manipulada de determinadas maneiras‖. O Engenheiro Social conhece ou consegue perceber essa confiança que lhe é depositada e, a partir dai,
  • 15.
    desenvolve técnicas quebuscam focar principalmente esse desejo dos homens de ajudarem aos seus pares. Entre as principais técnicas de Engenharia Social temos, conforme relatado por Peixoto (2006): Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridade proporcionada pelo uso do telefone, garantindo sua difícil identificação, tenta se passar por alguém que ele não é e solicita informações ou ações ao atendente; Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicar em links maliciosos que poderão executar aplicativos de captura de senhas e sequestro de computadores, tornando seus PCs zumbis, entre outras coisas; Chats de internet: onde, como no telefonema, o atacante pode se passar muito facilmente por qualquer pessoa; Fax: o criminoso envia formulários, pedidos de requisição, entre outros documentos, solicitando que sejam respondidos e enviados para endereços falsificados; Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim de encontrar dados sigilosos que possam ajudar a burlar os sistemas de segurança dos mesmos; Surfar sobre os ombros: o atacante posiciona-se atrás das vitimas no momento que estas vão digitar suas senhas em terminais eletrônicos de bancos, computadores pessoais e coisas do tipo; Pessoalmente: constitui uma visita in loco7 por parte do transgressor para levantamento de informações ou para execução de ações. Talvez seja o menos utilizado, pois o que atrai um Engenheiro Social é a obscuridade que essa técnica fornece. Mas, apesar do risco, às vezes essa é única alternativa que resta aos criminosos. Além das técnicas clássicas mencionadas acima, a Engenharia Social vêm se aprimorando com o passar do tempo e com o advento de novas tecnologias, criando formas inovadoras de obtenção de informações sigilosas constantemente. Entre essas formas mais modernas de ataques esta o Phishing, que é inspirado no clássico Fakemail, porém mais aprimorado. Segundo o a empresa Symantec8 , respeitável empresa do ramo de segurança e antivírus, o Phishing é uma técnica de falsificação on-line que consiste na utilização de websites falsificados e e-mails fraudulentos com o intuito de induzir as vitimas a clicarem em links adulterados onde serão persuadidos a passarem informações pessoais e seus criadores não passam de falsários e ladrões de identidade. Portanto a Engenharia Social não é uma técnica de obtenção de informações estagnada e passa ainda por grandes transformações, resultado da criatividade dos criminosos adeptos dessa classe de golpes que exploram as muitas vulnerabilidades humanas. 3.2 Fatores Motivadores da Engenharia Social
  • 16.
    A obtenção delucro é o que mais motiva um criminoso a buscar informações sigilosas de forma ilícita através de técnicas de Engenharia Social9 . Mas também existe uma grande quantidade de atrativos secundários que motivam esses atacantes a adotarem essa família de fraudes para conseguirem ganho financeiro. Entre esses atrativos podemos citar: Facilidade para conseguir informações confidenciais: através das inúmeras técnicas de ataques já discutidas anteriormente, os Engenheiros Sociais conseguem obter informações sigilosas com incrível facilidade. Santos (2004) comenta que: muitos acreditam que os Engenheiros Sociais utilizam ataques com mentiras elaboradas bastante complexas, porem, muitos ataques são diretos, rápidos e muito simples, onde eles simplesmente pedem a informação desejada. Mitnick e Simon (2006) ainda reforçam que as pessoas possuem uma inclinação para ajudar seus pares e os Engenheiros Sociais possuem várias maneiras para tirar proveito disso. Alto índice de sucesso nos ataques: como resultado dessa facilidade de conseguir informações sigilosas, temos um elevado grau de êxito nas empreitadas que envolvem a Engenharia Social. Como não existem dados concretos e confiáveis sobre esse tipo de golpe, as conclusões tomadas são baseadas em documentos disponibilizados por empresas que realizaram testes de penetração de segurança. Essas instituições ressaltam, de acordo com Mitnick e Simon (2003), que suas ações para invasão de sistemas computacionais de empresas clientes utilizando técnicas de Engenharia Social conseguem alcançar 100 % de sucesso. A não necessidade de aparatos tecnológicos para realização de ataques: algumas ações criminosas se vêm dificultadas pelo obstáculo imposto por aparatos tecnológicos e também pela própria tecnologia em si. Em muitas ocasiões o atacante não possui o equipamento necessário para empreender a ação ou não possui o conhecimento sobre o equipamento que terá que manusear ou atacar, principalmente por se tratar de TI, onde as tecnologias são, cada vez mais, complexas e de difícil domínio, e em outras, os próprios mecanismos tecnológicos de segurança são as barreiras para impedir tais ataques. Com o uso da Engenharia Social, os atacantes conseguem burlar toda essa parte tecnológica e atacar a suas vítimas sem intermédios de meios de defesa. Mitnick e Simon (2003) reforçam que: o atacante hábil que usa a arte de enganar como uma das armas de seu kit de ferramentas procura explorar as melhores qualidades da natureza humana: a tendência natural de ajudar, dar apoio, ser educado, participante de uma equipe e o desejo de realizar um trabalho.
  • 17.
    Apenas com umasimples conversa ou vasculhando uma lata de lixo um Engenheiro Social consegue obter informações sigilosas e usá-las para fins não lícitos. As inúmeras vulnerabilidades humanas: em geral, as pessoas possuem uma forma comum de reagir a situações diversas, entre elas a solicitação de ajuda e informações que, na grande maioria das vezes, são respondidas positivamente e sem uma analise mais criteriosa por parte das vitimas. Compreendendo essas nuances da personalidade humana, os Engenheiros Sociais as exploram a fim de alcançar seus objetivos. Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano positivo para enganar empregados desavisados para que executem ações que o coloquem mais perto do seu objetivo. É importante entender esse conceito simples para que você reconheça quando outra pessoa está tentando manipulá-lo. (MITNICK E SIMON, 2003). Estrutura virtual sem fronteiras: as diferenças regionais, incluindo suas culturas, tecnologias e legislações, tornam o ambiente virtual, representado principalmente pela internet, um estado independente e sem políticas unificadas. Agravando esse cenário temos o amplo alcance da rede mundial de computadores, que torna possível a comunicação e a interligação de computadores espalhados ao redor do mundo. Para Popper e Brignoli (2002) ―[...] a rede não respeita fronteiras entre países, o que dificulta administrar as diferenças culturais ou aplicar leis nacionais‖. Se aproveitando dessa possibilidade de acesso irrestrito e sem fronteiras e das diferenças regionais existentes, um atacante pode, através do uso de páginas de internet e e-mails, cometer seus crimes em qualquer lugar do mundo, invadindo computadores e roubando senha, tornando a tarefa de encontrá-lo muito difícil. Difícil punição dos criminosos: um fator muito atraente para quem busca informações através das técnicas de Engenharia Social é a sua difícil punição ou a até mesmo a falta dela. Conforme Popper e Brignoli (2002) é muito difícil punir esse tipo de criminoso, pois alguns desses ataques nem podem ser considerados delitos, e citam como exemplo a procura de informações em sacos de lixo ou até mesmo ouvir conversas em lugares públicos. A falta de treinamento dos funcionários das empresas: a maioria das empresas não investem ou investem muito pouco na segurança de suas informações e quando investem, na maioria das vezes, investem em dispositivos tecnológicos e se esquecem de se preocupar com o treinamento de seus funcionários. De acordo com Silva, V. (2012a): tal problemática [referindo-se a obtenção de informações sigilosas pelo Engenheiro Social] está diretamente voltada à fraca abordagem desta questão
  • 18.
    nas organizações, quena grande maioria das vezes não se preocupam como deveriam com a necessidade de possuírem uma Política de Segurança robusta que trate do tema [...]. Os crimes que envolvem a Engenharia Social são um ótimo atrativo para os criminosos, pois, independentemente de seu objetivo principal, que é o lucro, existe uma quantidade elevada de fatores que o tornam possível. Junte-se a esse cenário a facilidade de se conseguir as informações sigilosas que esse método proporciona e a quase inexistência de punição para os criminosos e temos uma arte criminosa das mais atraentes para os olhos de um criminoso inteligente e perspicaz. 3.3Análise dos Ataques e dos Fatores Motivadores Ao analisar as técnicas de Engenharia Social e os fatores que impelem os seus ataques verificam-se três aspectos fundamentais que estão intimamente relacionados e juntos formam uma maneira muito eficaz de crime contra as informações: a facilidade de conseguir informações, o alto índice de eficiência nos ataques e a difícil punição dos atacantes. Os dois primeiros, a facilidade de conseguir informações e o alto índice de eficiência nos ataques, estão sincronizados com as vulnerabilidades encontradas na personalidade humana.Essas vulnerabilidades são as brechas por onde um Engenheiro Social obtém sucesso com a aplicação de seus golpes, pois, conforme já discutido e aqui reforçado por Salvo (2011), ―O elemento mais vulnerável de qualquer sistema de segurança é o próprio indivíduo, ao qual possui traços comportamentais e psicológicos que o torna suscetível aos ataques de Engenharia Social‖. Mesmo conhecendo esses traços falhos presentes nos seres humanos, não é possível conceber um sistema tecnológico sem o fator humano estar presente. Imamura (2007) lembra que a presença humana é fundamental em pelo menos duas fases distintas de um sistema computacional: a fase de criação e a fase de decisão e ambas: estão presentes em todos os momentos do emprego da tecnologia, pois a seleção da tecnologia, a forma de emprego, os controles e a avaliação estão diretamente associadas à dinâmica do avanço tecnológico e da vontade humana. (IMAMURA, 2007). Porém, de acordo com Filho (2004), há maneiras de se amenizar os problemas relacionados com essas vulnerabilidades humanas, diminuído com isso o alto índice de sucesso dos Engenheiros Sociais. A principal delas seria a adoção de medidas, entre as empresas, para atenuação da participação do componente humano nos processos de segurança. Essas medidas, ainda com relação ao referenciado por Filho (2004), compreendem quatro fatores: educação e treinamento
  • 19.
    dos funcionários, segurançafísica da instituição, política de segurança e controle de acesso. É claro que o homem não pode ser excluído totalmente do processo computacional, no entanto, quanto menor for sua participação nas atividades relacionadas com o trato e segurança das informações e, quando essa participação for indispensável, ela esteja respaldada por um ambiente físico seguro e uma política de segurança consistente, menores serão as chances de um criminoso obter sucesso em um ataque contra as informações da instituição em questão. Já a difícil punição dos criminosos configura-se como um grande desafio para os responsáveis pela criação e aplicação de leis. O sistema de leis, principalmente o brasileiro, encontra-se defasado em relação às fraudes virtuais e muitas leis, que foram criadas para emprego em outros crimes, diferentes dos digitais, tem que ser enquadradas para trato dos crimes cibernéticos. Conforme defendido por Eiras (2004), o sistema jurídico brasileiro ―mostra-se sobremaneira obsoleto para enfrentar criminosos virtuais. Isto porque muitos meios de prova que nos ajudariam a capturá-los, simplesmente não têm validade em nosso Direito‖. A forma mais contundente para tratar essa questão seria uma reforma no regime de leis, tanto nacionais quanto internacionais, que envolva especialistas em tecnologia e promova um debate em toda a sociedade. Atheniense (2012), advogado especialista em crimes de internet, ressalta que: [...] as soluções legais a serem buscadas deverão objetivar a circulação de dados pela internet, controlando a privacidade do indivíduo sem cercear o acesso à informação. Neste sentido é necessário aprimorar nossas leis de proteção de dados, inclusive com a regulamentação da atividade dos provedores que controlam a identificação do infrator, bem como um maior aparelhamento das delegacias especializadas. Seguindo esse panorama, o governo brasileiro esta trabalhando para tipificar os crimes cometidos contra as informações. Conforme Aquino (2011): o governo está elaborando o marco civil para disciplinar a área de informática, cuja ideia, segundo o ministro [referindo-se ao ministro da Justiça, José Eduardo Cardozo], é estudar os projetos que já tramitam no Legislativo e que preveem a tipificação para ver se há a necessidade de aperfeiçoar a parte criminal. Enquanto novas formas de leis que visam proteger as informações e inibir crimes como os que envolvem a Engenharia Social não são aprovadas, essa técnica mostra-se como um dos meios ilegais mais seguros e vantajosos para os criminosos obterem informações secretas e, consequentemente, ganhos financeiros, pois seus crimes são de difícil diagnóstico, a punição aos responsáveis é muito difícil de
  • 20.
    ocorrer e asvulnerabilidades humanas tornam os índices de sucesso nos ataques muito altos. 4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 4.1 Crimes de Difícil Apuração A Engenharia Social é uma prática de roubo de informações difícil de ser descoberta e mais difícil ainda de ser enquadrada como um crime. Essa difícil apuração dos delitos faz com a maioria das empresas nem desconfiem que sofreram ataques dessa natureza contra suas informações ou, na melhor das hipóteses, sabem que sofreram um prejuízo, mesmo que não o consigam quantificar, mas não sabem como esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que: Parece que não há estatísticas sobre os ataques da engenharia social e, se houvesse, os números seriam muito pouco confiáveis. Na maior parte dos casos uma empresa nunca sabe quando um engenheiro social ―roubou‖ as informações, de modo que muitos ataques não são notados nem relatados. Reforçando esse contexto, Diniz (2008) relata que: os possíveis prejuízos causados por ataques de Engenharia Social são incalculáveis devido às ameaças (pessoas) estarem presentes em quase todos os processos de uma empresa: Financeiros, Operacionais, Administrativos, etc… Quando as empresas descobrem que tiveram suas informações sigilosas expostas por ataques criminosos, na maioria das vezes, já é bastante tarde para alguma ação de defesa, elas então optam por ocultar o corrido e não divulgam essas informações para as partes competentes. Paschoal (2002) comenta que não se pode confiar muito nos números referentes a invasões de sistemas informáticos, isso porque as notificações são feitas pelos próprios invasores e as empresas atingidas, com temor de ter as próprias falhas de segurança expostas, evitam divulgar essas invasões sofridas. O conjunto desses fatores faz com que as estatísticas a respeito dos impactos causados pela ação da Engenharia Social sejam distantes da realidade e os valores dos prejuízos provocados estejam muito abaixo do que realmente são. Peixoto (2006) reforça esse difícil levantamento dos impactos provocados por ataques contra as informações empresariais: 31% [referindo-se as empresas brasileiras] não sabem dizer se sofreram ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de ataque, as organizações não conseguiram detectar as causas e em 85% dos casos não souberam quantificar o prejuízo. Apesar dessa dificuldade e dos dados não serem muito completos, existem inúmeros levantamentos dos prejuízos causados por crimes contra sistemas informáticos realizados por empresas sérias do ramo da segurança da informação e dentre esses levantamentos encontra- se informações sobre o Phishing, que, de conformidade com o explanado no item 3.1 ―Principais Técnicas de Ataque da Engenharia
  • 21.
    Social― é consideradouma técnica moderna de Engenharia Social. É nesses dados que os levantamentos a seguir serão apoiados. 4.2 Números do Phishing Como uma tentativa de mensurar os impactos causados por essa prática, mesmo que ainda distante da realidade, serão abordados os crimes relacionados com a prática do Phishing, pois, como são difundidos através da rede mundial de computadores, esses crimes são uns dos poucos entre o portfólio dos Engenheiros Sociais capazes de serem identificados e quantificados pelas empresas de segurança da informação. Segundo Ikeda (2011), o Phishing ocupa a terceira posição nos incidentes relacionados à segurança da informação no Brasil, com 11% dos casos. As Invasões a perfis em redes sociais, com 19%, ficam em segundo lugar e os vírus de Computadores, com 68%, aparecem no topo da lista. Ikeda (2011) informa ainda as perdas financeiras causadas por esses crimes no período de um ano. O montante chega a US$ 388 bilhões, e no Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104 bilhões). Sendo o Phishing responsável por 11% das ocorrências, pode-se estimar um prejuízo calculado aproximado de R$ 11,44 Bilhões (11% de 104 Bilhões de Reais). Outra pesquisa, mas agora focada no Reino Unido e realizada pela Apacs (2006)10 , entidade que pertence a Associação de Bancos daquela região, aponta um aumento dos prejuízos causados pelo Phishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo de fraude tornou-se mais sofisticado e eficaz, fazendo com que os prejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ou seja, um aumento de 55%. Já o instituto Gartner (2005)11 , respeitada instituição do ramo de pesquisa e aconselhamento sobre tecnologia da informação, divulgou um relatório sobre os prejuízos estimados ocorridos devido ao Phishing nos Estados Unidos com cartões de crédito e débito. Conforme o relatório, os ataques de Phishing já causaram prejuízos estimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo ao período de 2004 a 2005). O relatório é fruto de um estudo envolvendo 500 clientes de bancos americanos. O instituto Gartner estima que cerca de três milhões de americanos perderam, cada um em média, mais de US$ 900 durante o último ano. Para termos uma ideia da expressividade dos números relatados acima basta compará-los com os gastos com a segurança pública do estado de São Paulo, o estado mais rico do país. Segundo dados do SIGEO, levantados e divulgados por Junqueira (2012), temos: [...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaram R$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhão para a Superintendência Técnico-Científica. Considerando-se a dotação
  • 22.
    orçamentária total nesteperíodo, vê-se que, dos cerca de R$ 29 bilhões que a pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para a PM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$ 608 milhões Ao se analisar os números do Phishing, verifica-se que apenas em um ano os prejuízos com esse golpe ultrapassaram os 11 bilhões de reais, isso somente no Brasil. Esse montante é muito superior ao que o estado de São Paulo gasta com sua rede de polícias (civil, militar e científica). Isso nos mostra a real ameaça que são os crimes de Engenharia Social e os grandes prejuízos financeiros que eles provocam. Uma única modalidade dessa arte criminosa e, ainda por cima, longe de ter seus números levantados de forma exata e precisa e sempre abaixo do que realmente são, demonstra o incrível potencial dessa técnica como um todo, alertando para as empresas a importância que elas devem dispor aos seus sistemas contra fraudes e mostrando também que suas políticas de segurança devem ser revistas e adaptadas aos ataques dessa natureza. 5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 5.1 Políticas de Segurança da Informação e Sua Importância Face às inúmeras ameaças existentes contras as informações, torna- se indispensável para as empresas à implantação de um modelo eficiente de Política de Segurança da Informação. Silva, V. (2012b) ressalta que essas políticas são de extrema importância para evitar que os ataques contra as informações, de qualquer natureza e não somente os oriundos de Engenharia Social, consigam êxito em sua empreitada contra as empresas. Esse importantíssimo aspecto do escopo de segurança das organizações é definido por LAUREANO (2005, apud DIAS, 2000) como: um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. As Políticas de Segurança são um escopo de como as informações devem ser protegidas dentro do âmbito da organização, ou seja, um manual sobre os procedimentos em vigor para aquela organização específica. Por esse motivo, são documentos que variam muito de instituição para instituição e sua aplicação e métodos são muito distintos. D’Andrea (2004) ainda reforça que: o valor e a efetividade da segurança da informação serão alcançados à medida que as organizações façam o planejamento, o desenho e a gestão da segurança considerando seus objetivos corporativos e de negócios.
  • 23.
    Para as empresasconseguirem essa efetividade para com a segurança de suas informações elas necessitam tratar essa questão com um maior profissionalismo, implantando uma Política de Segurança bem definida, que estipule normas e procedimentos a serem seguidos por todos dentro da organização. Essas normas precisam ainda estar em acordo com os objetivos empresarias da empresa. Um problema comum encontrado nas Políticas de Segurança em vigor é que elas privilegiam por demais os aspectos técnicos dos sistemas computacionais e esquecem o fator humano. Popper e Brignoli (2002) enfatizam que a maior parte das empresas não aloca seus recursos financeiros de uma forma equilibrada, elas preferem investir na manutenção de sistemas e em novas tecnologias e se esquecem de direcionar esses investimentos para combater a Engenharia Social. Essa brecha nas Políticas de Segurança pode ser explorada pelos Engenheiros Sociais, tornando todo o esquema de segurança das empresas falho, pois, conforme salienta Peixoto (2006): ―[...] a segurança das informações deve ser comparada a uma corrente, em que o elo mais fraco representa exatamente o nível de resistência e proteção‖. Para que essas políticas sejam realmente seguras, bem balanceadas e consigam lidar com as diferentes ameaças contra as informações, é recomendável que elas sejam elaboradas, com relação ao Brasil, seguindo os princípios da norma NBR ISO/IEC 27002/2005, norma brasileira referência para gestão da segurança da informação. Sêmola (2003), além de reforçar a necessidade da adoção dessa norma como referência, ainda lembra que as organizações que possuem uma política já definida deverão revê-las em conformidade também com a ISO1779912 . Em geral essas normas estão embasadas nas leis vigentes no país, garantindo, com isso, que as empresas não tenham problemas com a legislação a que são subordinadas. Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela ABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo, a partir desse momento, essa normal a principal referência em boas práticas para a gestão da segurança da informação no Brasil (NBR ISO/IEC 27002, 2005). Em vista do que foi exposto, fica evidenciado que para tratar as suas informações de forma segura, as empresas necessitam, primeiro, implantar uma Política de Segurança da Informação respaldada por uma norma que trate do assunto e esteja em acordo com a legislação vigente do país onde resida, segundo, essa política deve estar focada nos interesses da empresa e, terceiro, ela deve se preocupar tanto com os aparatos tecnológicos como com os ativos humanos. Um último ponto a ser abordado sobre as Políticas de Segurança da Informação é que esta deve ser amplamente divulgada dentro do
  • 24.
    ambiente empresarial eserem de fácil entendimento para as partes envolvidas, conforme comentado por Silva, V. (2012b): o grande problema enfrentado é que muitas políticas não são divulgadas, não são confeccionadas utilizando termos de fácil entendimento, algumas possuem palavras muito técnicas e, em meio a todas essas adversidades, a empresa não realiza ações para conscientizar e educar seus colaboradores quanto à importância de preservar a informação da empresa. Essa boa divulgação das informações sobre as Políticas de Segurança vigentes garantem um maior comprometimento por parte dos funcionários com as questões de segurança, assegurando com isso uma maior eficiência dessas políticas. 5.2 Sucesso da Política de Segurança da Informação Um sistema de segurança da Informação precisa atender um grande número de variáveis para que venha a ser executado com sucesso. Esse sistema não pode se ater apenas a forma como as informações serão tratadas ou armazenadas, se elas estarão disponíveis e integras ou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002 (2005), para que um sistema de Segurança da Informação possa ser implantado com sucesso, os seguintes aspectos precisam ser colocados em prática: Política de Segurança que reflita os interesses do negócio; Uma abordagem consistente com a cultura organizacional; Comprometimento e apoio de todos os níveis gerenciais; Um bom entendimento dos requisitos da segurança da informação; Divulgação das normas de segurança para todos que fazem parte do escopo organizacional da empresa (funcionários, colaboradores, parceiros, entre outros); Provisão de recursos financeiros para as atividades de segurança; Estabelecimento de um processo eficiente de gestão de incidentes da segurança da informação; Implementação de um sistema de avaliação e melhoria do sistema de segurança da informação. Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002 (2005) são bastante sucintos e genéricos, deixando a cargo da empresa escolher os procedimentos que melhor se adequarão a sua estrutura organizacional. Estes itens estão mais relacionados com a maneira como o sistema será implantado, seu alinhamento com os negócios da empresa, provisão de recursos financeiros para que o mesmo se realize e posterior avaliação desses sistemas. Os primeiros pontos, referentes ao alinhamento do sistema de segurança aos interesses de negócio da organização e sua cultura, apoio dos níveis gerencias e provisão de recursos, são essenciais para que o plano traçado consiga sair do papel, ser colocado em prática, ter seu desenvolvimento garantido financeiramente e seja
  • 25.
    apoiado posteriormente pelaadministração da empresa. Conforme explicado por Silva P., Carvalho e Torres (2003): A Administração da empresa é quem define a estratégia do negócio e que escolhe as iniciativas a realizar para a sua implementação. Desta forma, é a este corpo administrativo que compete decidir ao mais alto nível as atividades que se irão realizar na empresa, sendo a função do responsável pela segurança dotar a Administração da informação necessária para que esta possa optar. Esses aspectos são conseguidos através da sinergia de todos os setores administrativos que compõe a organização, que devem ter suas expectativas expostas, discutidas e possam ser alinhadas com o interesse geral dos negócios da corporação. Também se faz necessário que a instituição, através de seu responsável pela segurança da informação, tenha um bom conhecimento sobre as questões de segurança e como aplicá-las em uma Política de Segurança da Informação. Outro traço importante da Política é a sua divulgação para todos os funcionários e colaboradores da organização. Mitnick e Simon (2003) defendem que o principal objetivo da divulgação de um modelo de segurança da informação é o de ―influenciar as pessoas para que mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização‖. Com os funcionários empenhados em seguir os procedimentos de segurança corretamente as chances de sucesso são aumentadas consideravelmente. Além da divulgação da Política de Segurança, se faz necessário um treinamento bem elaborado acompanhado de constantes programas de reciclagem em segurança para que os funcionários estejam aptos a lidar com diferentes tipos de ameaças, principalmente as relacionadas com a Engenharia Social. Finalizando os fatores que proporcionam sucesso ao Sistema de Segurança está um esquema de avaliação do mesmo, que gere informações para que melhorias possam ser implantadas no decorrer do tempo. É evidente que as questões técnicas de como proteger as informações são o objeto central de um Sistema de Segurança da Informação e seu maior fator de sucesso. Porem, sem a devida atenção aos interesses da empresa, sua diretoria e funcionários, dificilmente esse plano consiga ser consolidado, mesmo ele tendo seus aspectos técnicos muito bem estruturados. Por esse motivo se justifica a atenção aos quesitos apresentados, como forma de garantir que o Programa de Segurança seja realmente eficiente para a organização e consiga ser implantado com sucesso. 5.3 O Responsável pela Política de Segurança da Informação
  • 26.
    Para iniciar odesenvolvimento de uma Política de Segurança da Informação faz-se necessário definir o responsável ou os responsáveis pela sua confecção, implantação, monitoramento e possíveis ajustes que se façam necessários. Os materiais que são referencias para as questões de segurança da informação e para elaboração das suas políticas não especificam quem exatamente é esse responsável/responsáveis, deixando essa decisão a cargo da própria empresa, mas dão algumas dicas das características que esse profissional deve possuir. Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Política de Segurança da Informação deve ―prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes‖. Percebe-se ai que esse profissional necessita então conhecer a estrutura da empresa em questão, para poder alinhar as Políticas de Segurança com as necessidades de negócio da corporação, e necessita conhecer também a regulamentação e leis vigentes, a fim de ter respaldo jurídico para as determinações da política que será implantada. Silva, P., Tavares e Torres (2003) também trazem a tona algumas informações pertinentes. Segundo eles, a administração da empresa em conjunto com os agentes por ela nomeados, são os responsáveis pela informação usada na instituição, na sua relação com os clientes e na produção e comercialização dos seus bens, portanto é essa administração que decide o que irá ser feito com a informação. Silva, P., Tavares e Torres (2003) ainda reforçam que essa postura da administração tem, invariavelmente, repercussões na segurança e ―esta se encontra dependente tanto das suas decisões nesta matéria, como do comportamento, mais ou menos seguro, dos utilizadores‖. Apresentado esses pontos e antes que se possa definir o responsável pelas políticas de segurança da empresa que se encaixe nas informações disponibilizadas, faz-se necessário explanar quais os cargos existentes atualmente ligados à Segurança das Informações que podem assumir tal tarefa. Dentre estes, encontram-se dois que merecem especial atenção: o Analista de Segurança da Informação e o CSO ou CISO. Henrique (2011) define assim ambas as funções: o CSO é um cargo exclusivamente executivo, voltado para a aplicação da segurança da informação, suas normas, melhores práticas e experiência de negócio. E quanto ao Analista de Segurança, além de estar envolvido em todos os processos referentes à S.I., ele municia o CSO justamente com resultados e informações diretamente das aplicações de práticas visando a segurança. Ainda é essencial informar que, segundo Brenner (2009), a maioria das empresas que possuem profissionais voltados para a gerência da área de TI ainda repassam todas as tarefas dessa área, incluindo a segurança da informação, ao CIO, que, a princípio, é o responsável
  • 27.
    pela área deTI da empresa como um todo e pode não possuir uma formação específica para a segurança da informação. Com base nas informações coletadas pode-se concluir então que a empresa deve possuir um profissional específico para ser responsável pela sua Política de Segurança da Informação e é recomendável que esse profissional faça parte de seu quadro de funcionários, a fim de estar integrado com as necessidades de negócio da organização. Esse profissional deve possuir um bom relacionamento com a alta gerência e com todos os outros funcionários e ser conhecedor das normas e leis vigentes. Portanto o indicado é que esse profissional seja um CSO ou CISO e tenha a assessoria de um CIO, para que este possa ajudar na sincronização das normas de segurança com os interesses empresariais e ser o elo com as demais áreas gerenciais, e, se possível for e a empresa conseguir arcar com os custos, o apoio ainda de um Analista de Segurança da Informação. 5.4 Desenvolvendo uma Política de Segurança da Informação No desenrolar desse capítulo, algumas colocações se apresentarão um tanto redundantes, fato esse que se faz necessário, visto que todo o conteúdo exposto até o momento culmina com o desenvolvimento de uma Política de Segurança sólida e que abranja todas as necessidades de segurança que as informações possuem. Por não se preocupar com todos os aspectos relacionados com a segurança de uma instituição, como a segurança do perímetro do estabelecimento, segurança de valores monetários, uso de câmeras de monitoramento, uso de vigilantes, etc., a ―política de segurança da informação pode ser parte de um documento de política geral‖ (NBR ISO/IEC 27002, 2005). Esse documento, mais geral e abrangente, torna-se necessário a fim de que possa ser contemplada a segurança da empresa como um todo e nele devera então ter contido uma Política de Segurança volta especificamente para a proteção das Informações. Ainda com base na NBR ISO/IEC 27002 (2005), verifica-se que ―se a política de segurança da informação for distribuída fora da organização, convém que sejam tomados cuidados para não revelar informações sensíveis‖. Esses cuidados garantem uma atenção com informações que serão repassados a terceiros, como prestadores de serviços, parceiros e clientes da instituição. Tomados esses cuidados, a organização que deseja implantar a Política de Segurança da Informação deverá indicar um responsável pela tarefa, que, conforme já apresentado, deverá ser um CSO ou CISO. Esse responsável deverá elaborar a política em questão de uma forma que esta esteja totalmente documentada e se atentar para que, de acordo com a NBR ISO/IEC 27002 (2005), esse documento reflita o comprometimento da direção da empresa e estabeleça o
  • 28.
    enfoque da organizaçãopara gerenciar a informação. Outro aspecto a ser ressaltado, e que é reforçado pela NBR ISO/IEC 27002 (2005), é que a Política de Segurança da Informação deverá ser ―comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco‖. (NBR ISO/IEC 27002, 2005). Com relação à forma com que a Política deve ser conduzida, Silva, P., Tavares e Torres (2003), salientam que ―as regras contidas neste documento devem ser suficientemente genéricas para não necessitarem de revisão‖. Isso garante que a política não fique defasada demasiado cedo e não necessite ser alterada com frequência, como, por exemplo, por motivos de inovações tecnológicas. Passando para um âmbito mais concreto da Política de Segurança da Informação, Laureano (2005) defende que elas devem abranger os seguintes conteúdos: O que estamos protegendo: aqui se define as informações sensíveis para a empresa e quais os níveis de segurança elas deverão possuir. Isso significa agrupar as informações em grupo de prioridades; Métodos de proteção: onde se decide como essas informações serão protegidas; Responsabilidades: onde são estipulados os privilégios de acesso às informações para os usuários; Uso adequado: escopo de como os usuários deverão usar os recursos de redes; Consequências: esclarecimento sobre as consequências que uma quebra de segurança trará pra a empresa; Penalidades – as penas a que estarão sujeitos os infratores dos procedimentos descritos na Política de Segurança da Informação. Essas questões auxiliam a direcionar a Política de Segurança e segregar melhor os recursos disponíveis, pois ao se limitar as informações que deveram ser mantidas em sigilo pode-se definir melhor uma estratégia para sua proteção e dar-lhe um foco mais direcionado. Isso vai de encontro ao definido na classificação das informações, que objetivam justamente definir quais informações necessitam proteção e qual o grau dessa proteção, resultando numa definição de métodos de proteção mais eficazes. Ao se definir responsabilidades, mostrar as consequências e informar as penalidades, consegue-se um maior controle sobre os usuários e embasamento para punições, caso seja necessário. Agora, para a definição eficiente do que deve ser protegido e métodos de proteção a serem adotados, faz-se necessário uma Analise de Risco sobre as Informações da organização. Conforme Silva, P., Tavares e Torres (2003), a Análise de Risco se faz necessário para que a Administração consiga formalizar um conjunto equilibrado e
  • 29.
    completo de objetivospara a Segurança da Informação. Esse procedimento deixa claro para a organização a quais riscos suas informações estão expostas, a forma como mitigá-los e qual o tempo para recuperação de cada grupo de informação já previamente classificado. Por esse motivo, reforça-se mais uma vez a importância de uma clara classificação das Informações em poder da empresa. Com essas definições claras e os riscos calculados, a Política de Segurança ganha já uma forma próxima da realidade e seus procedimentos já possuem uma base para serem definidos. A norma brasileira NBR ISO/IEC 27002 (2005) também especifica pontos a serem contidos nas Políticas de Segurança que vão de encontro com o ressaltado por Laureano (2005). Segundo ela, os documentos das políticas devem conter declarações relativas aos seguintes aspectos: Uma definição da Segurança da Informação, suas metas globais, escopo e importância da segurança da informação para o compartilhamento da informação; Uma declaração da direção apoiando essa Política e se submetendo a ela; Uma estrutura para estabelecer os objetivos de controle e controles; Explanação das políticas, princípios, normas e requisitos de conformidade da segurança da informação específicos para a organização; Definição das responsabilidades gerais e especificas pela segurança da informação e registro de incidentes de segurança da informação; Referência a documentação que possa apoiar as políticas, como, por exemplo: regras de segurança que os usuários devam seguir; Esses pontos abrangem, de uma forma ampla e genérica, os principais aspectos que devem ser considerados para que as Informações empresariais possam ser tratadas de uma forma segura. Mas para garantir que a Política esteja consistente e possíveis novas falhas possam ser descobertas, a NBR ISO/IEC 27002 (2005) recomenda ainda que a Política de Segurança da Informação seja criteriosamente analisada em períodos de tempo regulares, planejados ou quando ocorrerem mudanças significativas. Isso assegura a ―sua contínua pertinência, adequação e eficácia‖ (NBR ISO/IEC 27002, 2005). Para finalizar, a NBR ISO/IEC 27002 (2005) estabelece o uso de controles, que são as formas pelas quais os objetivos estipulados pelos procedimentos da Política serão alcançados, ou seja, a forma como os riscos serão tratados, qual o nível de proteção será aplicado a determinado grupo de informações e qual a indisponibilidade aceitável para cada grupo. Sendo a Política de Segurança da Informação um documento bastante genérico e universal, que especifica quais os pontos a serem
  • 30.
    verificados quanto àsegurança das informações e como esta deve ser tratada dentro da organização, mas não esclarecendo como isso deve ser feito, cada empresa devera implantar procedimentos de acordo com sua realidade e estabelecer os controles que melhor lhe convém com base nas informações fornecidas principalmente pela NBR ISO/IEC 27002 (2005) sobre boas práticas de segurança da informação. Uma política mais especifica e direcionada principalmente para a questão da Engenharia Social será dada a seguir. 6. SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA SOCIAL 6.1 Segurança da Informação Focada na Engenharia Social Como o norte do presente trabalho é a Engenharia Social, suas implicações e formas de combatê-la, torna-se necessário a apresentação de um Programa de Segurança da Informação que se preocupe com essa técnica criminosa e consiga eliminar, ou pelo menos reduzir, os impactos por ela causados nas organizações. O termo Programa de Segurança da Informação será adotado a partir daqui, pois ele define algo que excede os limites das Políticas de Segurança da Informação, carregando consigo um contexto mais abrangente e levantando outros aspectos primordiais para a segurança das organizações, como um conjunto de treinamentos e conscientização dos funcionários, tornando o combate aos ataques de Engenharia Social mais eficaz, visto que, de acordo com o mencionado por Mitnick e Simon (2003): o único meio verdadeiramente efetivo de amenizar a ameaça da Engenharia Social é usar a conscientização para a segurança combinada a políticas de segurança que definem as principais regras para o comportamento do empregado, junto com sua educação e treinamento. Portanto, a constante conscientização dos funcionários se apresenta para os autores como a principal arma na luta contra a Engenharia Social e deve ser incluída obrigatoriamente nos Programas de Segurança da Informação. Só existe uma maneira de manter seguros os seus planos de produto: ter uma força de trabalho treinada e consciente. Isso envolve o treinamento nas políticas e procedimentos, mas também — e provavelmente mais importante — um programa constante de conscientização. Algumas autoridades recomendam que 40% do orçamento geral para segurança da empresa seja aplicado no treinamento da conscientização. (MITNICK E SIMON, 2003). Sendo essas ferramentas, a constante conscientização e treinamento dos funcionários, as mais eficazes no combate à Engenharia Social, devem, pois, estarem sob o respaldo da Política de Segurança de Informação da Instituição e necessitam contemplar os pontos referentes às vulnerabilidades dos funcionários, quem são explorados
  • 31.
    pelos Engenheiros Sociais,e as técnicas de ataque desses criminosos. Um escopo desses pontos vulneráveis da personalidade humana e das formas de ataques utilizadas pelos Engenheiros Sociais já foram apresentados anteriormente13 , mas, para reforçar a sua importância em um Programa de Segurança da Informação voltado contra as técnicas de Engenharia Social, serão revistos em formas de tópicos, pois, como já dito, suas peculiaridades já foram discutidos em oportunidade anterior. Conforme explicado por Mitnick e Simon (2003), os principais pontos vulneráveis da personalidade humana e explorados pelos Engenheiros Sociais são: O respeito à autoridade; A afabilidade; A reciprocidade; A consistência; Validação social; Escassez; Peixoto (2006) ainda destaca outros dois pontos importantes: a falta de interesse ou desatenção para com as informações que são disponibilizadas a terceiros por parte dos funcionários das empresas e a falta de treinamento adequado em práticas de segurança da informação por parte desses funcionários. Com relação às técnicas de ataques, Peixoto (2006) lista os seguintes itens: Telefonemas; Fakemail; Chats de internet; Fax; Mergulho no lixo; Surfar sobre os ombros e Pessoalmente. Outra forma de Engenharia Social que deve ser incorporada a essa lista é o Phishing, uma moderna forma de Engenharia Social que causa enormes prejuízos para as organizações segundo a empresa Symantec14 . Deste modo, um Programa de Segurança da Informação que seja eficaz contra os golpes de Engenharia social deve abordar necessariamente os pontos ressaltados acima e incluir esses aspectos pertinentes aos ataques – as vulnerabilidades humanas e as formas de ataques – nos assuntos que tangem tanto aos métodos de proteção quanto ao treinamento dos funcionários. O escopo de itens importantes a serem ressaltados nos treinamentos de conscientização dos funcionários ainda deve compreender formas de se checar a informação passada por terceiros no momento de
  • 32.
    disponibilizar dados importantes.Para Peixoto (2006), ―a checagem da informação é no mínimo necessária para qualquer corporação que priva a segurança de seus clientes como de si própria‖. Essa checagem deve tornar-se um padrão e ocorrer sempre que uma solicitação de informação ou pedido para que uma ação seja tomada fora dos padrões estipulados seja requerida. Em Mitnick e Simon (2006) temos ainda que as empresas devem criar seu próprio procedimento de verificação de identidades e de autorizações de indivíduos que peçam informações ou ações e esse processo dependera da confidencialidade das informações/ações solicitadas. O trato adequado do lixo dispensado pela empresa é mias um ponto que merece atenção. Peixoto (2006) reforça esses cuidados e lembra que o zelo serve para o lixo digital também. Para ele, essas sobras empresariais contem informações muito valiosas para um Engenheiro Social e seu descarte deve ser cercado por cuidados, como, por exemplo, separar o lixo que possa conter essas informações e picotá- lo ou quebrá-lo antes de despachá-lo. (PEIXOTO, 2006). Um último ponto de atenção a ser relatado é com relação aos funcionários demitidos. Veríssimo (2002) comenta que uma atenção especial deve ser disponibilizada a eles, principalmente os que saíram descontentes com a empresa e salienta que as informações sobre a organização que esses funcionários possuem não podem ser simplesmente anuladas de uma hora para outra. Por esse motivo essa questão deve ser bem pensada no Programa de Segurança da Informação. Se o Programa de Segurança da Informação conseguir incorporar os aspectos mencionados, ele será uma barreira valiosa na luta da corporação contra as investidas dos Engenheiros Sociais. Entretanto, Mitnick e Simon (2003) vão ainda um pouco mais adiante na questão das táticas de treinamento e conscientização dos funcionários e enfatizam que estes precisam estar comprometidos com a segurança da informação enquanto funcionários de uma instituição e recomendam que um método ativo e bem divulgado de recompensa aos funcionários que se empenharem no cumprimento do Programa de Segurança seja criado. Esses treinamentos devem contemplar também processos de reciclagem, onde novos exercícios para reforçar a questão da segurança devem ser efetuados de tempos em tempos, Mitnick e Simon (2003) estipulam que esses cursos de reciclagem sejam realizados no máximo a cada 12 meses. Após toda essa atenção na confecção e implantação dos Programas de Segurança é importante que mecanismos de controle e melhorias sejam realizados no seu decorrer, garantindo que o programa esteja sempre evoluindo e melhorando com seus erros.
  • 33.
    Esses controles, segundoFonseca (2009), são compostos por testes de penetração e avaliação de vulnerabilidade realizados com táticas de Engenharia Social e tem o intuito de mostrar os pontos falhos do treinamento ou a falta de cumprimento das políticas de segurança da organização. Fonseca (2009) ainda lembra que ―antes de usar qualquer tática de teste de penetração simulado, os empregados devem ser avisados de que tais testes podem ocorrer de tempos em tempos‖. Agregando esses aspectos mencionados dentro de um Programa de Segurança da Informação têm-se a certeza que este será uma ferramenta de grande valia para a organização garantir a segurança de suas informações contra os ataques de Engenharia Social. Completando os processos para assegurar a segurança das informações e, consequentemente, a continuidade dos negócios da empresa, após o desenvolvimento, implantação e acompanhamento do Programa de Segurança da Informação dentro da organização, faz- se necessária a criação de um Plano de Continuidade do Negócio. 7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE 7.1 PCN – Plano de Continuidade do Negócio Todos os esforços desempenhados até o momento para garantir a preservação das informações empresariais demonstram a importância destas para a vida das corporações e demonstram também que elas não podem de maneira alguma tornar-se inacessíveis, pois, conforme defendido por Laureano (2005), vivemos num mundo disputado de negócios e as empresas não podem ficar indisponíveis para seus clientes. Essas possíveis indisponibilidades são ocasionadas por ameaças que exploram as vulnerabilidades existentes no ambiente da corporação e podem afetar tanto a sua estrutura física, com seus prédios e construções, seu parque de equipamentos, que podem ser relacionados com a TI ou não, e as informações. Como o acesso as informações dependem de toda uma infraestrutura, como disponibilidade de energia elétrica, links de acesso, cabeamento e computadores, entre outros, o restabelecimento desses meios é essencial para o acesso à informação e, consequentemente, para o retorno das atividades da corporação. As Políticas de Segurança da Informação15 tem o objetivo de erradicar essas ameaças ou ao menos amenizá-las a um nível aceitável, impedindo que elas se tornem um desastre. Acontece, porém, que certas ameaças/desastres são impossíveis de serem tratados ou amenizados, como, por exemplo, a queda de um avião ou uma enchente na área da empresa, e mesmo as que podem ser amenizadas, às vezes fogem ao controle e causam grandes prejuízos ao quadro tecnológico. Laureano (2005) lembra também que esse conceito de desastre, que era ligado às ocorrências geradas por
  • 34.
    fatores naturais, evoluiubastante e vem sendo substituído pelo conceito de evento, que ―é a concretização de uma ameaça previamente identificada, podendo ser seguido ou não de um desastre‖. (LAUREANO, 2005). O PCN (Plano de Continuidade do Negócio) trata então do combate a essas indisponibilidades e se constitui de um documento bem amplo, contendo práticas que objetivam ―não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar sua retomada em tempo hábil, se for o caso‖. (NBR ISO/IEC 27002, 2005). De acordo com o BicBanco (2008)16 e Laureano (2005) o PCN deve ser subdividido em três módulos complementares: Plano de Administração de Crise – Este plano tem como meta definir como será o trabalho das equipes responsáveis pelo acionamento da contingência em qualquer momento do incidente, ou seja, antes, durante ou depois deste e os métodos que devem ser cumpridos por essa equipe no retorno a normalidade; Plano de Continuidade Operacional – Objetiva definir os procedimentos para controle dos mecanismos que suportam cada etapa de negócio, visando diminuir a indisponibilidade e os prejuízos potenciais ao negócio; Plano de Recuperação de Desastres – Define um plano de recuperação para a restauração das funcionalidades dos mecanismos afetados que suportam os sistemas do negócio, a fim de restabelecer o ambiente e as condições originais de operação. Essa divisão objetiva segmentar o PCN, enquadrando cada momento em um estágio diferente, facilitando a divisão de responsabilidades e as medidas a serem tomadas em cada caso e são a base para o entendimento dos processos envolvidos na continuidade do negócio e para o planejamento e implantação de um PCN bem estruturado e efetivo. 7.2 Elaboração Do PCN Para início do planejamento do PCN faz-se necessário definir o responsável por sua elaboração. Fagundes (2004) ressalta que a responsabilidade desta tarefa deve ser distribuída entre toda a organização e não ser responsabilidade apenas da área de processamento de dados e salienta ainda que ―para se atingir um planejamento eficaz é necessário que o pessoal sênior de sistemas de informação e das áreas de negócios esteja envolvido durante todo o projeto para o beneficio da organização‖. (FAGUNDES, 2004). Portanto a tarefa de se pensar o PCN deve ser realizada pelos responsáveis pela área tecnológica da empresa, geralmente representada pelo CIO, em conjunto com o restante do seu corpo gerencial, pois, ao se construir essa empreitada em conjunto, tem-se o comprometimento de toda a organização com o que ficou estipulado e
  • 35.
    consegue-se também garantirque nem uma área de atividade fique descoberta em caso de desastre. A parte responsável pela elaboração do PCN seleciona então, entre os funcionários da empresa, os agentes que atuarão efetivamente no Plano, definindo suas funções e responsabilidades. Essa nomeação pode ser postergada para uma fase posterior, visto que as ações a serem tomadas face ao desastre podem ainda não terem sido estipuladas. Com relação à escolha dos funcionários que farão parte da equipe de continuidade do negócio, a NBR ISO/IEC 27002(2005) recomenda que o PCN contenha uma ―designação das responsabilidades individuais, descrevendo quem é responsável pela execução de que item do plano‖ e reforça a necessidade de suplentes serem definidos quando necessário. (NBR ISO/IEC 27002, 2005). Tendo as partes envolvidas no PCN já identificadas, a Norma NBR ISO/IEC 27002 (2005) aconselha ―identificar os eventos que podem causar interrupção aos processos do negócio, junto à probabilidade e impacto de tais interrupções e as consequências para a segurança da informação‖. Esses eventos precisam então ser mapeados e documentados para poderem ser incluídos no escopo do Plano, a fim de se conseguir uma cobertura dos prejuízos por eles causados, sob o risco de: ―se não houver Planejamento para Segurança e Contingência adequados, alguns ou até todos requisitos estarão ameaçados e, consequentemente, a empresa ameaçada‖. (LAUREANO, 2005). A tarefa de avaliação e classificação dos eventos que podem afetar as operações da organização deve ser analisada com cautela e ser pensada mediante os riscos que podem acometer a organização de uma maneira geral e suas informações em particular e qual a real necessidade de recuperação dessa informação. Lembrando que quanto mais crítica a informação, maior deve ser o nível de agilidade em sua recuperação e maior será o investimento para tal façanha. O tratamento e mitigação desses riscos e a forma como realizar esse combate ao desastre é algo peculiar a cada organização, cabendo a seus responsáveis decidirem as melhores práticas a serem tomadas, com vistas às necessidades da empresa. O importante é ter o conhecimento dos riscos a que a empresa esta sujeita e como elaborar uma estratégia de restauração das atividades caso esses riscos se concretizem. 7.2.1 Estratégias de Contingência Após a avaliação dos eventos, Silva, P., Carvalho e Torres (2003) orientam que é preciso pensar nas tarefas a serem executadas para recuperação das atividades da corporação, os meios necessários e o modo de realização dessas atividades. Para a definição das tarefas é essencial que se defina as estratégias de contingencia que a empresa necessita. Essas estratégias objetivam definir o grau de criticidade que
  • 36.
    a empresa deseja,onde cada grau representa um menor tempo de resposta e um custo mais elevado, e podem ser dividas por áreas dentro da própria empresa, onde cada uma delas pode possuir uma estratégia diferente, conforme suas necessidades. De acordo com Laureano (2005), essas estratégias podem ser assim classificadas: Estratégia de Contingência Host-site: é a contingência de nível mais crítico, onde as aplicações necessitam de alta prioridade e seu tempo de resposta é imediato; como acesso ao banco de dados, por exemplo; Estratégia de Contingência Warm-site: aplicada em processos onde sua paralisação possui uma maior tolerância, podendo ficar indisponível por algum período de tempo, até o retorno operacional da atividade, como o correio eletrônico, que apesar de ser importante, não se caracteriza como uma aplicação vital para o funcionamento da organização; Estratégia de Contingência Cold-site: esta propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados. Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior que a Warm-site; Estratégia de Contingência de Realocação de Operação; esta estratégia objetiva desviar a atividade atingida para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Para tal façanha a empresa deve possuir recursos suficientes que possam ser alocados em situações de crise; Estratégia de Contingência Bureau de Serviços: Considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado; portanto, fora dos domínios da empresa; Estratégia de Contingência Acordo de Reciprocidade: é recomendada em atividades que demandariam um grau de investimento para contingência inviável ou incompatível com a importância da mesma. Ela propõe um acordo mutuo de reciprocidade com empresas com características físicas, tecnológicas ou humanas semelhantes e igualmente dispostas a possuir uma alternativa de continuidade operacional, onde as empresas definem os procedimentos de compartilhamento de recursos para alocar a atividade atingida no ambiente da outra em caso de desastres; Estratégia de Contingência Autossuficiência: é quando a empresa decide que seus sistemas são autossuficientes e não dependentes de fatores externos. Isso pode ocorrer quando a organização não possui recursos para implementar uma das estratégias anteriores ou a sua implantação não se justifica pelo nível operacional que a empresa possui;
  • 37.
    A empresa devedefinir o grau de prioridade que seus sistemas necessitam e se o custo para manter essa prioridade é justificável. Feito essa analisa ela decide então qual estratégia ira adotar, lembrando que essa estratégia pode ser segmentada por setores dentro da corporação. Laureano (2005) reforça ainda que os PCNs devem ser ‖desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência‖. Esse ponto destaca a importância de se customizar o PCN, definindo uma forma de recuperação coerente para cada ameaça e para cada nível de processo do negócio, garantindo uma alocação mais eficaz dos recursos disponíveis e um melhor aproveitamento das potencialidades que o PCN oferece. Essas estratégias de contingência definem o PCN em si e são a maneira como a empresa enfrentará o desastre. Dentro de cada estratégia a empresa define então como realizara os processos de recuperação de acordo com seus interesses. 7.3 Avaliando o PCN Finalizando as etapas de elaboração do PCN temos a faze de Avaliação ou Teste. Para a NBR ISO/IEC 27002 (2005) é conveniente à inclusão desta etapa para que o plano seja testado e atualizado regularmente, a fim de se garantir sua constante atualização e efetividade. Essa atualização se faz necessário vista as mudanças que podem ocorrer na estrutura da organização, tanto física como lógica, exigindo que o programa se adeque as novas exigências dos processos. Outro ponto bem reforçado pela NBR ISO/IEC 27002 (2005) é a preocupação com a efetividade do PCN, pois muitos problemas podem ocorrer no momento de empregá-lo se esses cuidados não forem tomados, colocando todo o trabalho a ele dedicado em risco e, consequentemente, toda a empresa também. A fase de Avaliação e Testes serve ainda para garantir que os envolvidos no processo de continuidade do negócio estejam cientes de suas obrigações e saibam o que fazer no momento que forem acionados. A NBR ISO/IEC 27002 (2005) ratifica essa importância, tratando assim o assunto: Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam suas atividades quando um plano for acionado. E ainda continuando com o que estabelece a NBR ISO/IEC 27002 (2005) é relevante que o planejamento e a programação dos testes do PCN ―indiquem como e quando cada elemento do plano seja testado‖ e ―os componentes isolados do(s) plano(s) sejam frequentemente
  • 38.
    testados‖. Tendo umcontrole sobre a aplicação dos testes e aplicando-os separadamente, em cada componente, consegue-se um maior detalhamento dos resultados, conseguindo, com isso, uma melhor mensuração da eficiência do Plano e caso seja necessário ajustes, estes poderão ser feitos apenas nas zonas deficitárias do projeto, não sendo necessário a sua total reformulação. Essa etapa do PCN pode ser realizada pela própria organização, pois esta sabe os pontos mais sensíveis de sua estrutura e os que merecem maior atenção. Ao realizar uma boa bateria de testes a organização assegura-se então que seu modelo de recuperação está condizente com suas necessidades e terá a tranquilidade de saber que, caso algum desastre de maiores proporções aconteça, ela estará prevenida e pronta para continuar suas atividades. 7.4 Outra Abordagem para Elaboração do PCN Outra forma de se planejar o PCN, mais detalhada que a explicada anteriormente, seria dividindo esse planejamento em fases. Silva, P., Carvalho e Torres (2003) explicam que nesse formato, o planejamento pode ser desmembrado em cinco etapas: fase de arranque, fase de redução de riscos e avaliação do impacto, fase de desenvolvimento do plano, fase de implementação do plano e fase de manutenção e atualização. Para os autores as fases são assim caracterizadas: Arranque ou Início do Projeto – essa etapa inicial é caracterizada pelo enquadramento do negócio da organização, definição dos objetivos do plano, identificação dos pressupostos e terminologias bases. Nesta fase também se define um modelo de gestão para todo o projeto. Esta constitui a fase inicial do projeto, onde os alicerces para sua elaboração e implantação são definidos: como os responsáveis pela implantação do plano, os ativos mais importantes e o período que esses ativos podem ficar indisponíveis, entre outros; Redução de riscos e avaliação do impacto – para se conseguir a efetiva recuperação de um desastre é necessária à implantação de medidas que evitam a sua ocorrência e tentem amenizar os prejuízos causados por este desastre. O combate às ocorrências consiste na prevenção do incidente, tentado evitar o desastre. Aqui se avalia as vulnerabilidades que a empresa possui e melhor forma de combatê-las ou amenizá-las. Já a repressão aos prejuízos ocorre tanto antes como depois do desastre, requerendo o posicionamento antecipado de mecanismos e procedimentos que permitam limitar o seu impacto. Estas medidas podem ser tomadas em qualquer fase do plano, dependendo da gravidade do incidente ocorrido; Desenvolvimento do Plano – consiste no desenvolvimento do plano propriamente dito, que deve ser constituído de um documento único, composto por um conjunto de outros documentos, dependendo dos
  • 39.
    objetivos da empresae do escopo do plano, bem como da estrutura da organização e da distribuição das funções críticas no seu seio. Uma característica importante do plano deverá ser a sua flexibilidade e independência, uma vez que um plano difícil de alterar, ou seja, com um método muito particular, pode comprometer mais a situação. Por esse motivo é necessário também à criação de um plano alternativo; Implementação do Plano – Nessa etapa dá-se à integração dos elementos necessários ao funcionamento dos procedimentos na Empresa e se realiza o conjunto de medidas necessárias à divulgação do plano, ao seu teste e à nomeação das equipes responsáveis pela sua execução. Vale lembrar que esses responsáveis não são necessariamente os mesmos ocupados do planejamento do plano, visto que esses foram definidos na fase de arranque do projeto; Manutenção e Atualização – A manutenção e atualização do PCN requer o estabelecimento de um programa que suporte a sua comunicação periódica a todas as pessoas envolvidas, tanto para sensibilização como para o reforço da informação já anteriormente veiculada. Este programa deve, também, contemplar a realização do conjunto de atividades necessárias à introdução de alterações no plano, de modo a garantir permanentemente a capacidade de recuperação de um desastre. Essas etapas vão de encontro com o que já foi estipulado, porém contando com um grau maior de detalhamento das atividades, colaborando para que a tarefa de planejamento do PCN seja mais fácil e didática para as partes envolvidas. O importante para a organização é ter claramente definidas suas necessidades sobre qual a prioridade de restabelecimento de cada atividade do seu escopo, conseguindo com isso um PCN mais eficaz e que abranja de maneira correta suas expectativas. 8 CONSIDERAÇÕES FINAIS As informações são, indiscutivelmente, o bem mais valioso de qualquer corporação nos dias atuais. Um correto trato dessas informações e um sistema competente de proteção para com elas constituem um diferencial precioso e a instituição que o possuir tornar- se-á mais eficiente nos seus negócios, garantindo uma enorme vantagem competitiva que não pode ser desprezada ou negligenciada. Porém, a maioria das empresas não investe na segurança de suas informações e as que investem, investem muitas das vezes de forma errônea e pouco confiável, preocupando-se por demais com os fatores tecnológicos envolvidos nos processos informatizados e esquecendo- se dos aspectos humanos, que são os principais responsáveis pelas falhas de segurança e vazamento de informações dentro das organizações. O trabalho em questão apontou essa política errônea adotada pelas corporações e trouxe a tona um fator de risco a segurança das
  • 40.
    informações muito desprezadoou pouco conhecido: a Engenharia Social. Dando a conhecer o que é essa técnica criminosa, suas formas de atuação e as vulnerabilidades humanas exploradas pelos seus atacantes, os Engenheiros Sociais. Ao caracterizar essa arte de roubo de informações e suas formas de ataque, mostrou-se o quanto as informações estão expostas e como essa exposição é empregada pelos criminosos. Explorando esse descuido com o trato da segurança das informações, o presente artigo conseguiu demonstrar também como esses crimes são atrativos para seus praticantes e o tamanho extraordinário dos prejuízos causados por eles. A partir do entendimento de todos esses fatores ligados à Engenharia Social, foi proposto um Programa de Segurança da Informação voltado para o ambiente empresarial que garanta um maior grau de segurança para as informações e que aborde meios para enfrentar as técnicas dessa arte. Esse programa reforçou a importância de se treinar os funcionários em assuntos relacionados com a Engenharia Social, demonstrando que essa é a melhor maneira de combatê-la ou pelo menos amenizá-la. Com base em trabalhos de renomados especialistas, entre eles antigos Engenheiros Sociais, com destaque para o trabalho de Kevin Mitnick, e pesquisas em normas de reconhecimento nacional e internacional, que tratam exclusivamente da segurança da informação, desenvolveu-se uma Política de Segurança da Informação sólida e coerente, podendo ser implantada em empresas de setores diversos, contribuindo com formas seguras de tratar as informações e em especial, formas de se combater a Engenharia Social e os prejuízos por ela causados. Para finalizar, e nem por isso menos importante, foi demonstrado a importância de se desenvolver um Plano de Continuidade do Negócio e como implantá-lo dentro da organização. Esses planos são alternativas confiáveis de se garantir a continuidade do negócio da empresa caso algum desastre de grandes proporções acontece e vença a barreiras imposta pelas Políticas de Segurança. Todo esse conhecimento trazido vem demonstrar que a Engenharia Social deve ser tratada com especial atenção dentro dos programas de segurança empresarias e demonstra também como as empresas podem planejar e implantar esses programas, tornando a segurança das suas informações algo mais profissional e que tenha respaldo de regras internacionais, garantindo, com isso, confidencialidade nos seus processos e a certeza de que suas informações não serão expostas para uso de possíveis concorrentes ou criminosos. Esses conceitos vêm a se somar com outras práticas já existentes para garantir que as empresas possam se preocupar com seus negócios, podendo explorar as suas potencialidades e progredirem
  • 41.
    continuamente, pois, coma aplicação de tais conhecimentos, suas informações estarão dentro de um grau satisfatório de proteção. O trabalho ainda mostrou como a tecnologia pode ser uma aliada nos negócios empresarias e não apenas um empecilho no compartilhamento das informações. Para dar prosseguimento no que foi demonstrado neste relato, fica a sugestão do desenvolvimento e implantação de um Programa de Segurança da Informação baseado nas ideias aqui propostas, que, além dos aspectos triviais da Segurança, seja preparado para lidar com os ataques de Engenharia Social e tenha como meta ser um modelo de gestão da Segurança da Informação no combate a essa prática. O intuito é acompanhar todo o programa de perto, desde sua fase de concepção, passando pela implantação, pelos monitoramentos e testes de segurança e possíveis melhorias futuras. Esse acompanhamento se encarregará de averiguar se a política proposta esta sendo implantada de forma correta, se existem falhas no seu escopo e se os resultados obtidos com ela são realmente satisfatórios e dignos de serem transformados em práticas de segurança. Ainda dentro do escopo do acompanhamento da política, podem-se averiguar meios de registrar as tentativas de golpes ocorridos no âmbito da organização e criar um banco de dados para possíveis pesquisas estatísticas sobre o tema. Com essa proposta busca-se avançar na obtenção de conhecimentos inerentes a Engenharia Social, contribuindo ainda mais com a difusão de maneiras seguras de encarar esses ataques e fortalecendo meios de se desenvolver Políticas de Segurança da Informação cada vez mais eficazes no trato aos criminosos adeptos dessa arte tão antiga, simples e muito eficiente. REFERÊNCIAS BIBLIOGRÁFICAS AQUINO, Y. Governo quer tipificar logo crimes na internet, diz ministro, 2011. Disponível em <http://exame.abril.com.br/tecnologia/noticias/governo-quer-tipificar- logo-crimes-na-internet-diz-ministro>. Acesso em Out. de 2011. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005. Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005. ATHENIENSE, A. R. Crimes Virtuais, Soluções e Projetos de Lei. Universo Jurídico, Juiz de Fora, ano XI, 2008. Disponível em <http://uj.novaprolink.com.br/doutrina/5317/Crimes_Virtuais_Solucoes _e_Projetos_de_Lei05/01/12>. Acesso em: 12 jan. 2012.
  • 42.
    BICBANCO. Gestão deRisco Operacional, 2008. Disponível em <http://www5.bicbanco.com.br/port/governanca/Estrutura_de_Risco_O peracional.pdf&gt;. Acesso em: 24 fev. 2012. BRENNER, B. Papel dos gestores de segurança da informação começa a se definir, 2009. Disponível em <http://idgnow.uol.com.br/carreira/2009/09/09/papel-dos-gestores-de- seguranca-da-informacao-comeca-a-se-definir/&gt;. Acesso em: 16 nov. 2011. CERT.br. Cartilha de Segurança para Internet. Versão 3.1. São Paulo: Comitê Gestor da Internet no Brasil, 2006. D’ANDREA, E. Pesquisa. Os desafios da Segurança da Informação no Brasil. Revista CEO Brasil. Ano 1, No 2, out/dez 2004. Disponível em <http://www.pwc.com.br/pt/publicacoes/assets/ceo-brasil- 02.pdf&gt;. Acesso em: 02 fev. 2012. DICIONÁRIO do Aurélio, 2011. Disponível em <http://www.dicionariodoaurelio.com/&gt;. Acesso em: 27 dez. 2011. DINIZ, B. G. Engenharia Social – O que é? Como se proteger?, 2008. Disponível em <http://www.datasec.com.br/portal/index.php?option=com_content&vie w=article&id=65:engenharia-social-o-que-e-como-se- proteger&catid=38:bruno-diniz&Itemid=86&gt;. Acesso em: 14 jan. 2011. EIRAS, M. C. Engenharia Social e Estelionato Eletrônico. Monografia (Graduação ―Lato Sensu‖ Segurança de Informações na Internet) – IBPI. [S.I], 2004. FAGUNDES, E. M. Disaster Recovery Plan (DRP), 2004. Disponível em <http://www.efagundes.com/artigos/Disaster_Recovery_Plan.htm&gt;. Acesso em: 25 jan. 2012. FILHO, A. M. da S. Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações. Revista Espaço Acadêmico, n. 42. nov. 2004. Disponível em <http://www.espacoacademico.com.br/042/42amsf.htm&gt;. Acesso em: 06 dez. 2011. ——.Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Revista Espaço Acadêmico, n. 43. dez. 2004. Disponível em <http://www.espacoacademico.com.br/043/43amsf.htm&gt;. Acesso em: 19 nov. 2011. FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano.(Curso de Pós Graduação em Redes e Segurança de Computadores da Pontifícia Universidade Católica do Paraná) – Universidade Católica do Paraná. Curitiba, 2009. GOODCHILD, J. Novos funcionários estão mais propensos a ataques de engenharia social, 2011. Disponível em
  • 43.
    <http://cio.uol.com.br/noticias/2011/09/21/novos-funcionarios-estao- mais-propensos-a-ataques-de-engenharia-social/>. Acesso em20 nov. 2011. HENRIQUE, F. [Profissão: TI] Analista de Segurança da Informação,2011. Disponível em <http://dominioti.wordpress.com/2011/03/19/profissao-ti-analista-de- seguranca-da-informacao/&gt;. Acesso em: 03 nov. 2011. IKEDA, A. Crimes cibernéticos atingem diariamente 77 mil brasileiros; prejuízo anual é de R$ 104 bi, 2011. Disponível em <http://tecnologia.uol.com.br/ultimas- noticias/redacao/2011/09/20/crimes-ciberneticos-atingem-77-mil- brasileiros-diariamente-prejuizo-e-de-r-104-bilhoes.jhtm#album&gt;. Acesso em: 06 set. 2011. IMAMURA, O. C. Tecnologia da informação e da comunicação: A busca de uma visão ampla e estruturada. In. OLIVEIRA, F. B. (org). São Paulo: Pearson Prentice Hall. 2007. JUNQUEIRA, C. Gastos com Segurança Pública crescem 70%, 2012. Disponível em <http://www.observatoriodeseguranca.org/dados/custos/seguranca+pu blica&gt;. Acesso em:19 jan. 2012. LAUREANO, M. A. P. Apostila: Gestão de Segurança da Informação,2005. Disponível <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf &gt;. Acesso em: 11 dez. 2011. ______; Moraes, P. E. S. Segurança Como Estratégia De Gestão Da Informação. Revista Economia & Tecnologia. Vol. 8. Fascículo 3, P. 38 – 44, 2005. Disponível em <http://www.mlaureano.org/projects/seguranca/economia_tecnologia_s eguranca.pdf&gt;. Acesso em: 09 Jan. 2012. MITNICK, K. D.; SIMON, W. L. A arte de Engana: Ataques de Hackers: Controlando o fator humano na segurança da Informação. São Paulo: Pearson Education, 2003. ______. A arte de invadir: Histórias por trás das Ações de Hackers, Intrusos e Criminosos. São Paulo: Pearson Prentice Hall, 2006. Módulo Security News.Phishing impulsiona prejuízos de fraudes bancárias na Web no Reino Unido, 2006. Disponível em<http://www.htmlstaff.org/ver.php?id=3064&gt;. Acesso em: 23 nov. 2011. PASCHOAL, G. Hackers: entre a ideologia libertária e o crime,2002. Disponível em <http://www.comciencia.br/reportagens/internet/net10.htm&gt; Acesso em: 01 jan. 2012. PEIXOTO, M. C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
  • 44.
    PHISHERS causam prejuízosde bilhões de dólares, 2005. Disponível em < http://www.baboo.com.br/conteudo/modelos/Phishers- causam-prejuizos-de-bilhoes-de-dolares_a17310_z0.aspx&gt;. Acesso em: 01 dez. 2011. POPPER, A. M.; BRIGNOLI, J. T. ENGENHARIA SOCIAL – Um Perigo Eminente – Instituto Catarinense de Pós-Graduação – ICPG Gestão Empresarial e Estratégias de Informática. Santa Catarina, 2002. Disponível em <http://fabricio.unis.edu.br/SI/Eng_Social.pdf&gt;. Acesso em: 28 set. 2011. SANTOS, L. A. L. O impacto da Engenharia Social na Segurança da Informação. Monografia (Pós Graduação em Redes de Computadores) – Universidade Tiradentes, Aracaju, 2004. SALVO, R. Engenharia Social, 2011. Disponível em <http://www.ti- redes.com/engenharia-social/&gt;. Acesso em: 05 Jan. 2012. SÊMOLA, M. Gestão de Riscos, 2011. Disponível em:<http://www.semola.com.br/conceitos.html&gt;. Acesso em: 10 out. 2011. ______. Perspectiva 2003 para o mercado de segurança da informação. Coluna Firewall, 2003. Disponível em <http://www.semola.com.br/disco/Coluna_IDGNow_45.pdf&gt;. Acesso em: 03 nov. 2011. SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança Dos Sistemas De Informação – Gestão Estratégica da Segurança Empresarial. Portugal: Centro Atlântico, 2003. SILVA, V. L. da. Engenharia Social: uma breve introdução, 2012a. Disponível em <http://www.brasiladmin.com/index.php?option=com_content&view=art icle&id=129:engenharia-social-voce-sabe-o-que- e&catid=111:seguranca-da- informacao&Itemid=81#ixzz1hrRZ1Nym&gt;. Acesso em: 03 out. 2011. ______. O Papel da Política de Segurança e dos Programas de Conscientização e Treinamento, 2012b. Disponível em <http://www.brasiladmin.com/index.php?option=com_content&view=art icle&id=130:o-papel-da-politica-de-seguranca-e-dos-programas-de- conscientizacao-e-treinamento&catid=111:seguranca-da- informacao&Itemid=81&gt;. Acesso em: 30 out. 2011. SYMANTEC Relata Aumento De Roubo De Dados, Vazamento De Dados E Ataques Direcionados De Hackers Com Objetivo De Ganho Financeiro, 2007. Disponível em: <http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=2 0070322_01&gt; Acesso em: 18 dez. 2011. VERÍSSIMO, F. Segurança em redes sem fio. Monografia (Curso de Tópicos Especiais em Redes Integradas Faixa Larga). Instituto Alberto Luiz Coimbra de Pós Graduação e Pesquisa de Engenharia. Programa
  • 45.
    de Engenharia deSistema e Computação. Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2002.