Vulnerabilidade Humana

Prévia do material em texto

UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA 
FACULDADE DE CIÊNCIAS APLICADAS DE MINAS 
Autorizada pela Portaria no 577/2000 – MEC, de 03/05/2000 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
 
A VULNERABILIDADE HUMANA 
NA SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
EDUARDO EDSON DE ARAUJO 
 
 
 
 
 
 
 
 
 
 
UBERLÂNDIA - MG 
2005 
 
 
�
�
�
�
 
EDUARDO EDSON DE ARAUJO 
 
 
 
 
 
A VULNERABILIDADE HUMANA 
NA SEGURANÇA DA INFORMAÇÃO 
 
 
Trabalho de Final de curso submetido à 
UNIMINAS como parte dos requisitos para 
a obtenção do grau de Bacharel em 
Sistemas de Informação. 
 
 
Orientador: Prof. Esp. Flamaryon Guerin 
Gomes Borges 
 
 
 
 
 
UBERLÂNDIA - MG 
2005 
 
 
EDUARDO EDSON DE ARAUJO 
 
 
 
A VULNERABILIDADE HUMANA 
NA SEGURANÇA DA INFORMAÇÃO 
 
Trabalho de Final de curso submetido à 
UNIMINAS como parte dos requisitos para 
a obtenção do grau de Bacharel em 
Sistemas de Informação. 
 
 
Orientador: Prof. Esp. Flamaryon Guerin 
Gomes Borges 
 
 
Banca Examinadora: 
Uberlândia, 17 de Dezembro de 2005. 
 
Prof. Esp. Flamaryon Guerin Gomes Borges (Orientador) 
 
Prof. Dr. Mauro Hemerly Gazzani 
 
Prof. MSc Gilson Marques Silva 
 
 
 
UBERLÂNDIA - MG 
2005 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
�
�
� �����������	
���
������������������� ��	���������������� ��� �������������
�
� �� ��	���� ��	�������������������������	���
�� ������������������
��
��������
���
�����
��	�
�� ����	������� ��	����
�������� �
�����
���
������������� ��������
���������� ��� ��������������������	��������
� ������
���������
�����	�������������
	�������� ���	�
������������	
������� �� ������� ������ ��� ����� �� ��	���
�������� ��	����������������������
�� ���� �
�������
������������
����������� ����
�� ��
	��	������
���
�	��������	������� �
�������������
������
�����
� �� ����
!������ �����
�����������
�������� ������
�	�
���
���������"������ ������������
#� ��������
���� �������� �
����$� �
��� %���
�	����������"���������
���� �
�����
�� ��
	�
�������	���
�������
������
���� �� ������	������
 
 
 
AGRADECIMENTOS 
 
Ao meu orientador, Prof. Esp. Flamaryon braço amigo de todas as 
etapas deste trabalho (valeu bichão). 
 
A toda a minha família, pela confiança, incentivo e motivação ao longo 
dessa realização. 
 
A minha namorada Miriam, pela paciência, a compreensão, amor e 
principalmente por entender a importância da minha dedicação e esteve presente 
em todas as etapas desse aprimoramento. 
 
Aos amigos que me incentivaram e sempre me deram força para que 
eu pudesse vencer esse desafio. 
 
As minhas funcionárias que sempre acreditaram na minha capacidade 
e conseguiram abrir os meus olhos para a importância dessa graduação. 
 
A todos os professores do curso de Sistemas de Informação que foram 
fundamentais para o meu aprendizado e formação profissional. 
 
A todos os colegas de sala que infelizmente somente no final do curso 
é que resolveram se unir e curtir esse grande momento que é a formação 
acadêmica. 
 
 
 
RESUMO 
 
 
Este trabalho consiste em contribuir para os profissionais que lidam 
com a Segurança da Informação, principalmente os da área de TI (Tecnologia da 
Informação) que terão como responsabilidade desenvolver, melhorar ou aplicar uma 
Política de Segurança da Informação, reforçar principalmente a importância de se 
ter um programa de conscientização para todos os colaboradores de uma 
organização e que não há como garantir a Segurança da Informação nas 
organizações somente investindo em equipamentos e recursos de TI, como 
firewalls, sistemas de detecção de intrusos, antivírus, etc. Com base em avaliações 
executadas em um ambiente corporativo e estudos em vários conceitos voltados 
para a Segurança da Informação, o trabalho apresenta as melhores práticas e 
recomendações a serem tomadas no desenvolvimento de um programa de 
conscientização. Para isso o trabalho foi dividido em duas etapas: a pesquisa 
bibliográfica para um nivelamento de conceitos, definindo o que vem a ser 
informação e engenharia social e como ela funciona e qual o papel do usuário na 
segurança da informação, e uma pesquisa nos processos de conscientização e os 
procedimentos e cuidados utilizados por uma grande Corporação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ABSTRACT 
 
This work consists in contributing with the professionals who deals with 
Security Information principally on IT (Technologic Information) area will have as 
responsibilities the development, enhancement or application of a Security 
Information Policy, mainly reinforcing the importance of having an education 
program for all collaborators of an organization and that there is not a way of 
guaranteeing the Security of the Information at the organizations by only investing in 
equipments and IT resources such as firewalls, intruder detector systems, anti-virus 
etc. Based on experiences executed in a corporative environment and studies in 
various concepts about Security Information, the work presents the best practices 
and recommendations to be taken in the development of an educational program. 
For this, the work was divided into two phases: a bibliographical research to level the 
concepts, defining what comes to be information Social Engineering and how it 
works and its role in the Security Information, and a research in the educational 
process and the procedures and cares taken by a big corporation. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
LISTA DE FIGURAS 
 
Figura 1 - Adequação a Legislação (MODULO, 2003)________________________2 
Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) _________3 
Figura 3 - Prejuízos contabilizados (MODULO, 2003) ________________________4 
Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) ________________4 
Figura 5 - Principais ameaças (MODULO, 2003)____________________________5 
Figura 6 - Utilização de Política de Segurança (MODULO, 2003) _______________5 
Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) _________6 
Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) _________16 
Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) ____________23 
Figura 10 - Os três pólos da Segurança__________________________________24 
Figura 11 - Fórmula de Marcos Sêmola __________________________________25 
Figura 12 - Estrutura de Ataque ________________________________________42 
Figura 13 - Dinâmica de entrega de informações___________________________44 
Figura 14 - Os quatro domínios do COBIT (MODULO, 2005) _________________52 
Figura 15 - TI como Habilitador do Negócio (MODULO, 2005) ________________53 
Figura 16 - Gráfico COBIT (MODULO, 2005)______________________________56 
Figura 17 - O elo mais fraco (MODULO, 2003) ____________________________59 
Figura 18 - Certificado do treinamento Security Awareness Training____________72 
 
 
 
 
 
 
 
 
 
 
 
 
LISTA DE ABREVIATURAS E SÍMBOLOS 
 
1 ABNT - Associação Brasileira de Normas Técnicas 
2 ISO - International Standartization Organization 
3 COBIT - Control Objectives for Information and Related Technology 
4 TI - Tecnologia da Informação 
5 CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança 
no Brasil 
6 Malware - Malicious software 
7 CAIS - Centro de Atendimento a Incidentes de Segurança 
8 CSO - Chief Security Officer 
9 COSO - Committee of Sponsoring Organizations 
10 ISACF - The Information System Audit and Control Foundation 
11 ITIL - The IT Infrastructure Library 
12 RH - Recursos Humanos 
13 CEO - Chief Executive Officer 
14 CD - Compact Disc 
15 HD - Hard Disc 
16 DVD - Digital Video Player 
17 CPD - Centro de Processamento de Dados 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
1 INTRODUÇÃO.....................................................................................................2 
1.1 CENÁRIO DA SEGURANÇA NAS CORPORAÇÕES ......................................................21.2 IDENTIFICAÇÃO DO PROBLEMA .............................................................................4 
1.3 OBJETIVOS DO TRABALHO....................................................................................6 
1.4 JUSTIFICATIVA PARA A PESQUISA..........................................................................7 
1.5 ORGANIZAÇÃO DO TRABALHO ..............................................................................9 
2 A IMPORTÂNCIA DA INFORMAÇÃO ..............................................................11 
2.1 DADO, INFORMAÇÃO E CONHECIMENTO ..............................................................11 
2.2 A INFORMAÇÃO COMO RECURSO DA ORGANIZAÇÃO .............................................12 
2.3 CLASSIFICAÇÃO DE INFORMAÇÕES......................................................................14 
2.4 O QUE É SEGURANÇA DA INFORMAÇÃO? .............................................................15 
2.4.1 As tríplices da Segurança da Informação................................................16 
2.4.2 Objetivos da Segurança de Informação ..................................................17 
2.4.3 Política de Segurança .............................................................................19 
2.4.4 Desenvolvimento de uma Política de Segurança ....................................20 
2.5 O QUE É UMA VULNERABILIDADE?.......................................................................20 
2.5.1 Diferenciando Ameaça de Vulnerabilidade..............................................21 
2.5.2 Teste com “O JOGO DA SEGURANÇA”.................................................22 
2.6 ASPECTOS DA SEGURANÇA................................................................................23 
2.6.1 Risco de Segurança ................................................................................24 
2.7 SECURITY OFFICER ...........................................................................................25 
3 ENGENHARIA SOCIAL.....................................................................................26 
3.1 PERFIL DO ENGENHEIRO SOCIAL ........................................................................27 
3.1.1 As ferramentas do Engenheiro Social .....................................................28 
3.2 A ARTE DO ENGENHEIRO SOCIAL E SUAS TÉCNICAS..............................................29 
3.2.1 Informações inofensivas x valiosas .........................................................29 
3.2.2 Criando a confiança.................................................................................30 
3.2.3 Simplesmente pedindo ............................................................................31 
3.2.4 Técnica do “Posso Ajudar ?” ...................................................................32 
3.2.5 Técnica do “Você pode me ajudar ?”.......................................................32 
 
 
3.3 A ENGENHARIA SOCIAL NA INTERNET..................................................................33 
3.3.1 Internet Banking ......................................................................................36 
3.4 PONTOS FRACOS EXPLORADOS PELO ENGENHEIRO SOCIAL ..................................37 
3.4.1 Checando o lixo.......................................................................................39 
3.5 ESTRUTURA DIAGRAMÁTICA E OBJETIVA DO PROCESSO DE ATAQUE DO ENGENHEIRO 
SOCIAL....................................................................................................................41 
3.6 DINÂMICA DE COMO EVITAR OU DIFICULTAR A ENTREGA DE INFORMAÇÕES..............43 
4 ENGENHEIRO SOCIAL VERSUS SECURITY OFFICER .................................46 
4.1 SEGURANÇA É ADMINISTRAR RISCOS .................................................................47 
4.2 PROPOSTAS DE UM SECURITY OFFICE ................................................................48 
4.3 DIFICULTANDO A VIDA DO ENGENHEIRO SOCIAL ...................................................49 
4.4 O COBIT COMO REFERÊNCIA PARA UMA GESTÃO DE SEGURANÇA........................51 
4.4.1 O COBIT – Modelos e Componentes......................................................52 
4.4.2 O COBIT – Objetivos e Benefícios ..........................................................54 
4.4.3 O COBIT – Público Alvo ..........................................................................56 
4.4.4 O COBIT – Referências para Auxílio no dia-a-dia ...................................57 
4.4.5 Aplicando o COBIT..................................................................................57 
5 A IMPORTÂNCIA DA CONSCIENTIZAÇÃO ....................................................59 
5.1 PLANO DE TREINAMENTO CONTRA O ENGENHEIRO SOCIAL ...................................62 
5.1.1 Exemplos para Reforçar a Conscientização............................................63 
5.1.2 Estudo de Caso: A Conscientização na American Express ....................65 
6 CONCLUSÕES E TRABALHOS FUTUROS.....................................................75 
6.1 CONCLUSÕES ...................................................................................................76 
6.2 TRABALHOS FUTUROS .......................................................................................79 
7 GLOSSÁRIO......................................................................................................81 
8 REFERÊNCIAS BIBLIOGRÁFICAS..................................................................83 
 
 
2 
1 INTRODUÇÃO 
1.1 Cenário da Segurança nas Corporações 
 
 
Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º 
semestre de 2003 (MODULO, 2003), pode-se afirmar que o ano de 2003 foi de 
grande importância para a Segurança da Informação e pode-se dizer que ele marca 
o início da fase madura do setor. As equipes de segurança das empresas 
encontram-se estruturadas ou em fase avançada de estruturação. 
Um dos mais importantes resultados desta 9º pesquisa é referente à 
adequação com legislação, regulamentação e normas. Este estudo mostra que por 
um lado a ISO 17799 tem sido adotada fortemente como referência técnica pelas 
equipes de Segurança, seguida pelo COBIT, muitas vezes em conjunto, mas, por 
outro lado, cada segmento tem também adotado as regulamentações específicas 
como, por exemplo, resoluções do Banco Central (conforme Figura 1) e decretos do 
Governo Federal. 
 
Figura 1 - Adequação a Legislação (MODULO, 2003) 
Esta tendência de uso de normas e regulamentações é fortalecida com 
o novo Código Civil, que traz maior responsabilidade para os administradores das 
empresas e autoridades do Governo. Tudo isso têm se destacado como uma 
grande oportunidade para os profissionais de Segurança da Informação nos 
 
 
3 
próximos anos, uma vez que a matéria se aproxima a cada dia da sua atividade 
principal e dos executivos da organização. 
Outro aspecto importante da pesquisa mostra que o profissional está 
interagindo cada vez mais com os departamentos de sua organização e que, a cada 
dia, deixa de se relacionar apenas com TI e Auditoria, e passa a ser interlocutor de 
departamentos como Jurídico, RH e Comunicação. 
Departamentos que interagem no dia a dia: 
 
 
 
 
 
 
 Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) 
Em temos técnicos, a pesquisa ratifica os desafios principais de hoje: 
• A preocupação com vírus, funcionários insatisfeitos e senhas como principais 
ameaças. 
• O aumento do uso da Internet como meio de fraudes e vazamento de 
informações, acompanhando o desenvolvimento dos negócios eletrônicos. 
• O desafio de conscientizar os executivos, motivar os usuários e capacitar a 
equipe, assim como demonstrar o retorno sobre o investimento da segurança. 
• A necessidade de realizar análise de riscos e revisar periodicamente a política 
de segurança. 
• O crescimento dos problemas de segurança a cada ano, acompanhando o 
crescimento dos ataques, a evolução da tecnologia e o aumento dos 
investimentos no setor.4 
1.2 Identificação do Problema 
 
Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º 
semestre de 2003 (Modulo, 2003), afirma-se que os ataques deverão aumentar em 
2004 e que 42% das empresas tiveram problemas com Segurança da Informação 
nos seis meses anteriores à pesquisa. 
Nota-se também que: 
• 35% das empresas reconhecem que tiveram perdas financeiras. Já o 
percentual de empresas que não conseguiram quantificar essas perdas 
diminuiu de 72% em 2002, para 65%, em 2003. 
 
 
 
 
 
 
Figura 3 - Prejuízos contabilizados (MODULO, 2003) 
• O percentual de empresas que afirmam ter sofrido ataques e invasões subiu 
de 43%, em 2002, para 77%, em 2003. 
 
 
 
Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) 
• Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), 
acessos indevidos (49%) e vazamento de informações (47%) foram 
apontados como as cinco principais ameaças à segurança das informações 
nas empresas. 
 
 
 
5 
 
 
 
 
 
 
 
Figura 5 - Principais ameaças (MODULO, 2003) 
• 60% das empresas indicam a Internet como principal ponto de invasão em 
seus sistemas. 
• 63,5% dos entrevistados adotam a ISSO 17799 como a principal norma que 
norteia suas empresas. 
• Política de Segurança já é realidade em 68% das organizações. 
 
 
 
 
 
 Figura 6 - Utilização de Política de Segurança (MODULO, 2003) 
Comparando as informações retiradas da 9º Pesquisa Nacional de 
Segurança da Informação, pode-se afirmar que o fator humano é o principal desafio 
para se ter uma boa e segura conduta de Segurança da Informação, pois mesmo 
tendo 68% de empresas que possuem uma Política de Segurança, os ataques 
continuam subindo comparando 2002 com 2003 e ainda afirmam que os ataques 
poderiam subir em 2004. 
A parte técnica da segurança da informação nas grandes corporações 
está em um bom caminho comparando os dados da 9º pesquisa. Softwares de 
antivírus melhores, instalações de firewall, implementações de Política de 
Segurança e capacitação técnica se estruturando a cada dia. 
 
 
6 
 
 
 
 
 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) 
As cinco principais ameaças à segurança das informações nas 
empresas estão relacionadas à vulnerabilidade humana. 
Vale reforçar que o elo mais fraco da segurança é o fator humano. O 
cientista mais respeitado do mundo no século XX, Albert Einstein, disse certa vez: 
“Apenas duas coisas são infinitas: o universo e a estupidez humana, E eu não tenho 
certeza se isso é verdadeiro para o primeiro”. 
 
1.3 Objetivos do Trabalho 
 
Este trabalho propõe a realização de um estudo e de uma pesquisa, 
analisando de forma exploratória, práticas relacionadas à gestão de conscientização 
sobre a Segurança da Informação, e fornecendo contribuições ao estudo do 
assunto, através da caracterização de um cenário sobre o programa de 
conscientização da American Express do Brasil, localizada em Uberlândia. 
O objetivo desse trabalho é analisar os modelos para a gestão de 
conscientização em uso na organização, propondo um modelo mais eficaz e 
obtendo dicas importantes sobre como conduzir um programa de conscientização. 
O foco do trabalho é reforçar a importância de se ter um programa de 
conscientização e as melhores formas de conduzi-lo. 
Dada à existência de vários arranjos nos programas de 
conscientização, busca-se também identificar relações que influenciem a escolha de 
um determinado modelo de gestão. 
Mais especificamente, considera-se possível a existência de relações 
 
 
7 
entre a escolha do modelo de gestão e determinados objetivos estratégicos da 
organização, assim como também com fatores econômicos da organização, por 
exemplo, custos de produção e disponibilidade financeira. 
Por fim, o trabalho também procura identificar determinadas 
características dos modelos adotados que tiveram uma maior adesão e participação 
do público alvo, os colaboradores e executivos das organizações. 
 
1.4 Justificativa para a Pesquisa 
 
A Segurança da Informação para o ambiente corporativo atual é vital 
para manter não só a visão como também a missão da mesma, pois no ramo de 
cartão de crédito toda e qualquer informação pertencente a um associado, deve 
manter um alto nível de segurança, não só os dados cadastrais como também 
informações relativas aos gastos dos mesmos. 
As normas e procedimentos devem fornecer claramente todas as 
orientações necessárias para a condução segura dos negócios da organização. É 
importante que elas sejam estruturadas de forma a proteger os ativos de 
informação. 
Convém dizer que a definição, os procedimentos e os motivos para 
cada usuário ou grupo de usuários possuírem qualquer tipo de acesso à informação 
devem estar especificados no documento corporativo Política de Segurança da 
Informação. Nele estão definidas, pelo principal executivo da organização, todas as 
regras de controle de acesso em vigor, treinamento, conscientização e os 
procedimentos para a classificação das informações (uso interno, pública, ou 
confidencial). Todo este esforço visa controlar e evitar os acessos não autorizados 
aos recursos de TI. 
Os executivos que, pelo menos, contemplarem adequadamente em 
suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a 
sua criação e correta classificação até sua definitiva exclusão, podem minimizar os 
custos com sua proteção. 
A garantia de que uma organização possuirá um grau de segurança 
 
 
8 
razoável está diretamente relacionado ao nível de conscientização de seus 
colaboradores, ou seja, a segurança somente será eficaz se todos tiverem pleno 
conhecimento do que lhes é esperado e de suas responsabilidades. Eles devem 
saber por que são utilizadas diversas medidas de segurança (como portas sempre 
trancadas e uso de identificadores pessoais) e as devidas sanções caso sejam 
violadas. 
É necessário investir na conscientização de todos (colaboradores e 
executivos) que devem ter em mente que as informações por eles manuseadas têm 
valor e podem causar grandes prejuízos para a organização em que trabalham, 
tendo até seus empregos ameaçados devido à impossibilidade da organização 
realizar seus negócios e se perpetuar no tempo. 
O treinamento e a conscientização em segurança são considerados 
controles preventivos. Por meio deste processo, todos tomam ciência de suas 
responsabilidades em preservar a segurança física e lógica da organização. Não 
obstante, pode-se dizer que o treinamento e conscientização também são controles 
detectivos, uma vez que, ele encoraja os colaboradores a identificar e reportar as 
possíveis violações de segurança. 
O treinamento deve começar com a orientação do novo colaborador. A 
constante conscientização (dele e de todos) pode ser alcançada utilizando-se 
boletins informativos ou campanhas elaboradas pela área de marketing, realizando 
provas periódicas ou entrevistas para avaliar o grau de conhecimento atingido. 
Vale lembrar que a comunicação é um fator crítico de sucesso para a 
correta disseminação das políticas corporativas, já que esta provoca alterações no 
status quo de praticamente todos os colaboradores. Conseqüentemente obriga a 
mudança na forma de trabalho e qualquer mudança gera resistência, sendo a 
comunicação, a melhor maneira de reduzir os conflitos inerentes à mudança. 
Desse modo este trabalho irá avaliar e demonstrar as grandes 
dificuldades que as empresas passam no dia a dia com relação à comunicação e a 
conscientização de seus colaboradores. 
 
 
 
9 
1.5 Organização do Trabalho 
 
O capítulo dois apresenta a fundamentação teórica usada para o 
desenvolvimento do estudo e da pesquisa, baseada em uma revisão da bibliografia 
existente sobre dado, informação e conhecimento, a informação como recurso da 
organização, o que é segurança da informação, como a informação pode ser 
classificada, os objetivos da segurança da informação, política de segurança, como 
desenvolver uma política de segurança,o que é uma vulnerabilidade, diferenciação 
entre ameaça e vulnerabilidade, os aspectos da Segurança e seus riscos. Neste 
capítulo refere-se também os aspectos de como administrar a segurança da 
informação bem como o papel dos responsáveis pelas normas e Políticas de 
Segurança. 
O capítulo três discorre sobre a Engenharia Social, mostrando como 
ela está presente em nosso cotidiano, com o objetivo de alertar que o elo mais fraco 
que rege em todas as empresas de qualquer setor é o fator humano. A pesquisa 
realizada sobre este tema é baseada em uma revisão bibliográfica existente sobre 
perfil do engenheiro social, as ferramentas do engenheiro social, a arte do 
engenheiro social e suas técnicas, pontos fracos explorados pelo engenheiro social, 
checando o lixo e uma dinâmica de como evitar ou dificultar a entrega de 
informações. 
No capítulo quatro será feita uma “junção” da Engenharia Social com a 
Segurança da Informação, destacando as vulnerabilidades e ameaças existentes 
que a engenharia social traz consigo, afetando assim a segurança das informações, 
perante a “luta” propriamente dita entre Engenharia Social versus Security Office e a 
utilização do COBIT como uma referência na gestão da Segurança da Informação. 
O capítulo cinco trata do estudo realizado no modelo de 
conscientização existente em uma das grandes corporações da Uberlândia: A 
American Express, com o intuito de levantar algumas oportunidades encontradas 
para auxiliar a qualquer desenvolvedor de um programa de conscientização, 
contribuindo para um melhor resultado, tendo o objetivo de atingir os três públicos: 
auditivo, visual e o sinestésico. 
Estes diversos assuntos são apresentados e discutidos por serem 
 
 
10 
elementos indispensáveis para a criação de um quadro de referência, que permita a 
compreensão dos vários aspectos envolvendo o problema de pesquisa. 
Por fim no capítulo seis, será apresentada a conclusão do trabalho 
desenvolvido. 
 
 
 
 
11 
2 A IMPORTÂNCIA DA INFORMAÇÃO 
Desde os tempos primitivos o ato de se comunicar por mais arcaico 
que fosse, era um meio de transmitir informação. Hoje não há mais a necessidade 
de olhar nos olhos para transmitir uma informação íntegra confidencial e disponível. 
Muita coisa mudou e com a acelerada transformação de recursos, idéias e ideais o 
homem percebeu e está descobrindo cada vez mais que a informação é como o ar 
que respiramos: essencial. 
A informação de uma empresa é o seu principal patrimônio. O Código 
de prática para a gestão da segurança da informação diz que: 
“A informação é um ativo que, como qualquer outro, importante para 
os negócios, tem um valor para a organização. A segurança da 
informação da informação protege a informação de diversos tipos de 
ameaças para garantir a continuidade dos negócios, minimizar os 
danos ao negócio e maximizar o retorno dos investimentos e as 
oportunidades de negócios”. (NBR ISSO/IEC 17799:2001, pág.2). 
A informação é mais um dos recursos a serem administrados pela 
organização. Neste sentido, aborda-se a seguir aspectos relevantes sobre a 
informação e seu valor para as organizações. 
 
2.1 Dado, Informação e Conhecimento 
 
Para definir informação, diversos autores buscam discernir os termos, 
dado, informação e conhecimento. Esta distinção entre os termos é difícil, mas, mesmo 
imprecisa, é necessária para a compreensão do tema. 
Durante anos, as pessoas se referiram a dados como informação; agora 
vêem-se obrigadas a lançar mão de conhecimento para falar sobre a informação. Em 
seguida é apresento de modo sintético o significado de cada termo. 
1) DADO: Simples observações sobre o estado do mundo, é facilmente 
estruturado, facilmente obtido por máquinas, freqüentemente quantificado e facilmente 
transferível. 
2) INFORMAÇÃO: Dados dotados de relevância, requer unidade de 
 
 
12 
análise, exigem consenso em relação ao significado e exige necessariamente a 
mediação humana. Informação vem da palavra latina informare, que significa ‘dar 
forma’. Os filósofos antigos usaram esta palavra por acreditar que a mente humana 
é que dá forma aos dados para criar a informação e o conhecimento. Essa 
concepção permanece até hoje na cultura ocidental. 
Convém definir informação como “o conjunto de dados aos quais seres 
humanos deram forma para torná-los significativos e úteis”, e conhecimento como 
“o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos 
para criar, colecionar, armazenar e compartilhar a informação”. 
3) CONHECIMENTO: Informação valiosa da mente humana. Inclui 
reflexão, síntese e contexto. De difícil estruturação, difícil captura em máquinas, 
freqüentemente tácito e de difícil transferência. 
Observa-se que os conceitos apresentados convergem no sentido de 
caracterizar os dados como elemento bruto, que precisam da intervenção humana 
para transformar-se em informação. Ao contrário dos dados, apenas a informação e 
o conhecimento têm condições de interferir ou modificar o comportamento de uma 
organização. 
A nossa sociedade contemporânea, uma sociedade de caráter pós-
industrial, refere-se freqüentemente como sendo uma “Economia da Informação”, 
ou a uma “Era da Informação”. Em nível mais simplista, isso significa que, mais e 
mais, o que as pessoas produzem está ligado à informação do que aos bens físicos 
(Davenport e Prusak, 2000, p.18). 
 
2.2 A Informação como Recurso da Organização 
 
É preciso entender as organizações como sistemas. Os recursos de 
que a organização dispõe são elementos desse sistema que serão processados e 
transformados em produtos ou serviços. São eles: recursos financeiros, recursos 
materiais, recursos humanos e recursos de informação. 
A informação é um recurso que não se deteriora nem se deprecia; é 
infinitamente reutilizável e tem seu valor determinado exclusivamente pelo usuário. 
 
 
13 
A Informação é o único recurso que não se perde com o uso ou com a 
disseminação. A informação só se perde quando se torna obsoleta. É um tipo 
especial de recurso útil às organizações e que precisa ser administrado. 
O propósito básico da informação é o de habilitar a empresa a 
alcançar seus objetivos pelo uso eficiente dos recursos disponíveis, nos quais se 
inserem pessoas, materiais, equipamentos, tecnologia, dinheiro, além da própria 
informação. 
Mediante o quadro crítico que se encontra todo tipo de organização ao 
tratar suas informações sejam elas confidenciais ou não, torna-se fundamental não 
tão somente ao profissional da área de Tecnologia da Informação, mas também os 
demais responsáveis por algum tipo de informação que comprometa a empresa, 
serem orientados, instruídos e comprometidos ao melhor tratamento e cuidados 
com as informações. (Rangel, 2003). 
Na época em que as informações eram armazenadas em papel, a 
segurança era relativamente simples. Com as mudanças tecnológicas e o uso do 
mainframe, a estrutura de segurança ficou mais sofisticada, possuindo controles 
centralizados. Com a chegada dos computadores pessoais e das redes que 
conectam o mundo inteiro, os aspectos de segurança atingiram tamanha 
complexidade, que há a necessidade do desenvolvimento de equipes cada vez 
mais especializadas para sua implementação e gerenciamento. 
Para garantir a segurança da informação de qualquer empresa é 
necessário que haja Normas e Procedimentos claros, que deverão ser seguidos por 
todos os usuários da empresa. A maior dificuldade das grandes empresas é garantir 
que todos os usuários conheçam e sigam as normas e procedimentos da mesma e 
entendam a sua importância. 
A utilização de controles de segurança para garantir o adequado 
acesso a programas, arquivos de dados, aplicações e redes deve ser 
cuidadosamente tratada pelos gestores de todas as áreas da organização e, 
principalmente, pela Alta Administração em função das leis em vigor impostas por 
órgãos regulatórios e políticas internas. 
Os executivos que, ao menos, contemplarem adequadamente em 
suas políticas todas as fasesdo ciclo de vida de uma informação, que vai desde a 
 
 
14 
sua criação e correta classificação até sua definitiva exclusão, podem minimizar os 
custos com sua proteção (Modulo, 2005). 
 
2.3 Classificação de Informações 
 
De acordo com POLÍTICA... (2002, p.2)[4], todo tipo de documento de 
uma corporação deve exibir, de maneira clara, o respectivo grau de acessibilidade, 
ou seja, seu grau de sigilo, o que requer classificar todas as informações segundo o 
seu grau de criticidade e âmbito de acesso: 
1) Informações Confidenciais: só podem ser disseminadas para 
empregados previamente nomeados. 
2) Informações Corporativas: sua divulgação restringe-se ao âmbito da 
Empresa. 
3) Informações Públicas: podem ser disseminadas dentro e fora da 
Empresa. 
Convém que informações e resultados de sistemas que processam 
dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade 
para a organização. Também pode ser apropriado rotular a informação em termos 
quão crítica ela é para a organização como, por exemplo, em termos de integridade 
e disponibilidade. A informação freqüentemente deixa de ser sensível ou crítica 
após certo período de tempo, por exemplo, quando a informação se torna pública. 
Sugere-se que estes aspectos sejam levados em consideração, pois uma 
classificação, superestimada pode levar à custos adicionais desnecessários. 
Pede-se que as regras de classificação previnam e alertem para o fato 
de que um determinado item de informação não tem necessariamente uma 
classificação fixa, podendo sofrer modificação de acordo com alguma política 
predeterminada. 
 
 
 
 
15 
2.4 O que é Segurança da Informação? 
 
Segundo alguns conceitos básicos publicados pela Modulo Security e 
para fundamentação do trabalho, a Segurança da Informação é o conjunto de 
dados, imagens, textos e outras formas de representação usadas para os valores 
da Companhia, associados ao seu funcionamento ou manutenção das suas 
vantagens competitivas. 
Conforme POLÍTICA... (2002, p. 1-4)[4], os conceitos podem ser 
definidos como: 
1) Recursos de informação: são todos os meios usados para 
obtenção, geração, armazenamento e transporte das informações. Inclui: os 
recursos do ambiente de tecnologia da informação (instalações e equipamentos e 
informática e telecomunicações, sistemas operacionais, aplicativos e sistemas de 
informações usados nesses equipamentos) e outros recursos convencionais 
(arquivos, papel, microfilme, mapas, etc.). 
2) Sistema de Informação: é um conjunto de processos e recursos do 
ambiente de tecnologia da informação organizados para prover, de modo 
sistemático, informações para a Companhia. 
3) Órgão Proprietário da Informação: é o órgão da empresa 
responsável pelas informações de uma determinada área de atividade da 
Companhia. 
4) Proprietário da Informação: empregado, designado pelo Órgão 
Proprietário da Informação, para responder perante a Companhia pela classificação 
das informações e definição das suas necessidades de segurança. 
5) Comitê de Segurança de Informações: é o comitê constituído pela 
Diretoria Executiva da empresa com a finalidade de implantar e garantir o 
cumprimento da Política de Segurança da Informação no âmbito da Companhia. 
6) Gerente de Segurança de Informações do Órgão: empregado 
designado pelo órgão da Companhia, como responsável pelo cumprimento da 
Política de Segurança de Informações no âmbito do órgão, servindo de interface 
entre gerentes, proprietários, usuários, custodiantes, Gerência de Tecnologia da 
 
 
16 
Informação do Órgão e o Comitê de Segurança de Informações. 
 
2.4.1 As tríplices da Segurança da Informação 
 
A segurança das informações jamais será alcançada se a tríplice PPT 
- Pessoas, Processos e Tecnologias – não for aplicada à estratégia de segurança. A 
Figura 8 ilustra a forma tridimensional (uma variação) que a estratégia de segurança 
deve ter para que seja efetiva. 
 
 
 
 
 
 
 
 Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) 
O ponto de equilíbrio mostrado na Figura 8 poderá, ou deverá variar 
de empresa para empresa, ou até mesmo de um processo de negócio para outro 
dentro da mesma empresa. O que não deve ser acontecer jamais é este ponto ficar 
sobre um dos eixos cartesianos, ou tendendo a zero, pois não estaria contemplando 
uma das partes da tríplice, e consequentemente tornando a estratégia falha. 
Explorando um pouco mais esta tríplice teremos: 
1) Pessoas: educação – o que fazer; treinamento – como fazer e 
conscientização – por que fazer. Já virou jargão no ramo da segurança: o elo mais 
fraco da corrente da segurança são as pessoas. É nas pessoas que começa e 
termina a segurança, basta que uma, na cadeia de processos, não esteja preparada 
para que o risco de incidente aumente consideravelmente. 
2) Processos: estes devem ser flexíveis até o ponto que não afete a 
segurança das informações, a partir daí devem ser tratados de forma rígida e 
 
 
17 
metódica. Processos não podem ser engessados pelos controles e tecnologias, pois 
acabaria por causar a perda da agilidade e dinâmica da empresa, mas esta não 
deve ser mantida em detrimento da segurança. O equilíbrio deve ser buscado 
sempre. 
3) Tecnologias: A tecnologia só deverá ser aplicada onde puder 
suportar a Política de Segurança das Informações, as Normas e os Processos 
definidos para cumprimento da estratégia de segurança, e para reforçar o elo mais 
fraco da corrente, as pessoas. Se a norma diz que a estação de trabalho deve ser 
bloqueada na ausência do usuário, aplica-se a tecnologia para que o bloqueio seja 
automático em caso de falha humana (esquecimento do Ctrl+Alt+Del – Bloquear 
Computador), por exemplo. 
Qualquer estratégia de segurança que não complete esta tríplice, não 
assegurará o nível necessário de segurança das informações, assim como a 
dosagem errada de cada parte também não o fará. 
Este é um dos verdadeiros desafios do Security Officer: dosar e aplicar 
cada parte desta tríplice, buscando investimentos, quebrando paradigmas, 
derrubando as resistências às mudanças e formando um exército de usuários 
colaboradores, para que a tão esperada segurança seja efetiva. 
 
2.4.2 Objetivos da Segurança de Informação 
 
Quando se pensa em Segurança da Informação, a primeira idéia que 
nos vem à mente é a proteção da mesma não importando onde ela esteja. Um 
sistema computacional é considerado seguro se houver uma garantia do que é 
capaz de atuar exatamente como esperado. Porém, segurança é um conceito que 
vai muito além disso. Espera-se que a informação armazenada em um sistema 
computacional permaneça lá, sem que pessoas não tenham acesso a seu 
conteúdo, ou seja, é expectativa de qualquer usuário que as informações estejam 
em local adequado, disponíveis no momento desejado, que sejam confiáveis, 
corretas e permaneçam protegidas contra acessos indesejados. Essas expectativas 
correspondem aos objetivos da segurança. 
 
 
18 
Destacam-se entre os objetivos da segurança, SEGURANÇA DA 
TECNOLOGIA... (2002): 
1) Confidencialidade ou privacidade: proteger as informações contra 
acesso de qualquer pessoa não autorizada pelo gestor da informação. Este objetivo 
envolve medidas como controle de acesso e criptografia. 
2) Integridade dos dados: evitar que dados sejam apagados, ou 
alterados sem a permissão do gestor da informação. 
3) Legalidade: estado legal da informação, em conformidade com os 
preceitos da legislação em vigor. 
4) Disponibilidade: garantir o provimento do serviço de informática, 
sob demanda, sempre que necessário aos usuários autorizados. As medidas 
relacionadas a esse objetivo podem ser duplicações de equipamentos/sistemas e 
backup. Um bom exemplo de ataque contra disponibilidade é a sobrecarga 
provocada por usuários ao enviar enormes quantidades de solicitação de conexão 
com o intuito de provocar pane nos sistemas. 
5) Consistência: certificar-se de que o sistema atua de acordo com a 
expectativa dos usuários. 
6)Isolamento ou uso legítimo: controlar o acesso ao sistema. Garantir 
que somente usuários autorizados possuam acesso ao sistema. 
7) Auditoria: proteger os sistemas contra erros e atos cometidos por 
usuários autorizados. Para identificar autores e ações, são utilizadas trilhas de 
auditorias e logs, que registram o que foi executado o sistema, por quem e quando. 
8) Confiabilidade: – garantir que, mesmo em condições adversas, o 
sistema atuará conforme esperado. 
Antes de implementar um programa de segurança de informações, é 
aconselhável responder às seguintes questões: 
a) O que proteger? 
b) Contra que ou quem? 
c) Quais as ameaças mais prováveis? 
d) Qual a importância de cada recurso? 
e) Qual o grau de proteção desejado? 
 
 
19 
f) Quanto tempo, recursos humanos e financeiros se pretendem gastar para 
atingir os objetivos de segurança desejados? 
g) Quais as expectativas dos usuários e clientes em relação à segurança de 
informações? 
h) Quais as conseqüências para a instituição se seus sistemas e informações 
forem violadas ou roubadas? 
 
Tendo a resposta a essas perguntas, é definida a Política de 
Segurança da Informação e analisadas as ameaças, fazendo-se uma análise de 
riscos. A tecnologia de segurança a ser implantadas deve atender aos requisitos da 
política. Por fim, para administrar os sistemas, é necessário implantar uma gerência 
de segurança. 
Segurança de Informação é a conjugação de uma estratégia e de 
ferramentas específicas que atendam as necessidades corporativas para a 
manutenção de um ambiente saudável. Considerada um item vivo, a política de 
segurança nunca está acabada e deve ser desenvolvida e atualizada durante toda a 
vida da empresa (COLTRO, 2002, p.26). 
 
2.4.3 Política de Segurança 
 
Uma política de segurança é um conjunto de regras e práticas que 
regulam como uma organização gerência, protege e distribui suas informações e 
recursos. 
As políticas devem fornecer claramente todas as orientações 
necessárias para a condução segura dos negócios da organização. É importante 
que elas sejam estruturadas de forma a proteger os ativos de informação. 
A Política de Segurança deve incluir regras detalhadas, definindo 
como as informações e os recursos da organização devem ser manipulados. Deve 
definir, também, o que é o e que não é permitido em termos de segurança, durante 
a operação de um dado sistema. 
Existem dois tipos de políticas: 
 
 
20 
1) Política baseada em regras: as regras deste tipo de política utilizam 
os rótulos dos recursos e processos para determinar o tipo de acesso que pode ser 
efetuado. No caso de uma rede de computadores, os dispositivos que implementam 
os canais de comunicação, quando é permitido transmitir dados nesses canais, etc. 
2) Política baseada em segurança: o objetivo deste tipo de política é 
permitir a implementação de um esquema de controle de acesso que possibilite 
especificar o que cada indivíduo pode ler, modificar ou usar para desempenhar suas 
funções na organização. 
 
2.4.4 Desenvolvimento de uma Política de Segurança 
 
• Pesquisar o conteúdo que terá a política. 
• Minutar o texto que descreve a política. 
• Obter a aprovação dos altos escalões da administração da organização. 
• Disseminar a política de segurança em todos os escalões da organização. 
 
Todo esforço de criação de uma Política de Segurança é evitar ou 
tratar qualquer vulnerabilidade. 
 
2.5 O que é uma Vulnerabilidade? 
 
Uma vulnerabilidade é considerada uma falha que expõe o sistema 
sob algum dos aspectos da segurança. Uma vulnerabilidade pode comprometer um 
sistema como um todo ou parte dele. Uma vulnerabilidade torna-se um risco em 
potencial. Existem vários tipos de vulnerabilidades, a que será tratada neste 
trabalho será: 
 
 
 
 
 
21 
Vulnerabilidade Humana: 
• Falta de treinamento. 
• Compartilhamento de informações confidenciais. 
• Desobediência ou não execução de rotinas de segurança. 
• Falta de comprometimento dos funcionários. 
 
2.5.1 Diferenciando Ameaça de Vulnerabilidade 
 
Para conseguir um melhor entendimento sobre tal diferença, imagine o 
seguinte: Quando você se sente ameaçado seja por qualquer tipo de fator ou 
circunstância, não necessariamente você se sente vulnerável. Mas quando você se 
considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou 
se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que 
se diz respeito as informações. 
As ameaças são muitas das vezes conseqüências das 
vulnerabilidades existentes, provocando assim perdas de confidencialidade, 
integridade e disponibilidade. E podem ser divididas em: 
1) Ameaças naturais: fenômenos da natureza. 
2) Ameaças involuntárias: ocorre mais devido o desconhecimento, ou 
acidentes, erros dentre outros. 
3) Ameaças voluntárias: a que mais se relaciona com a Engenharia 
Social. Causadas por hacker, invasões, espiões, disseminadores de vírus de 
computador. São ameaças propositais, de ocorrência humana. 
As vulnerabilidades são frutos também de ameaças generalizadas e 
exploradas afetando assim a segurança das informações. As vulnerabilidades 
podem ser: 
1) Físicas: salas de CPD mal planejadas, estrutura de segurança fora 
dos padrões exigidos. 
2) Naturais: computadores são propensos a sofrerem danos naturais, 
como tempestades, incêndio, além, por exemplo, de falta de energia, acúmulo de 
poeira, aumento da umidade e temperatura. 
 
 
22 
3) Hardware: desgaste do equipamento, obsolescência ou má 
utilização. 
4) Software: má instalação, erros de configuração, vazamento de 
informações dependendo do caso, perda de dados ou indisponibilidade de recursos. 
5) Mídias: disquetes, CDs podem ser perdidos ou danificados, onde a 
radiação eletromagnética pode causar danos as vezes irreparáveis nas mídias. 
6) Comunicação: acessos não autorizados ou perda de comunicação. 
7) Humanas: que serão tratadas nos próximos capítulos, como por 
exemplo, das técnicas de engenharia social, as vulnerabilidades referindo-se ao 
fator humano, como falta de treinamento, conscientização e o não seguimento das 
políticas de segurança. 
 
2.5.2 Teste com “O JOGO DA SEGURANÇA” 
 
A empresa Módulo Security Solutions líder em Segurança da 
Informação na América Latina, trouxe inúmeros outros artigos que sempre divulga 
em seu portal, um também muito interessante e bastante didático desenvolvido pelo 
Módulo Education Center, relativo à Segurança da Informação, no ambiente 
corporativo. Que é: “O jogo da segurança”. 
Na Figura 9 apresentada a seguir, faz uma demonstração de um 
ambiente de trabalho, ainda muito presente nos dias de hoje, onde se encontra 
inúmeras falhas de segurança no âmbito físico, técnico e humano, reforçando o que 
já foi relatado neste capítulo. 
Detectaram-se algumas falhas agravantes, como também simples de 
serem resolvidas, seguindo políticas de segurança e condutas educativas por parte 
dos funcionários da empresa. 
 
 
 
 
 
 
23 
 
 
 
 
 
 
 
 
 Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) 
Como percebido na Figura 9, realmente muitas medidas deverão ser 
tomadas para se não resolver todas, ao menos minimizar tamanha desordem, 
imprudência e insegurança. 
2.6 Aspectos da Segurança 
 
Deve-se ter em mente que o alicerce que assegura os princípios 
básicos da segurança da informação (confidencialidade/integridade/disponibilidade) 
tange como principais questionamentos quando da ocorrência de alguma ameaça 
surgida, três aspectos: Segurança Física; Segurança Tecnológica; Segurança 
Humana. 
Sendo esta última citada como o fator que se deve dar uma atenção 
especial. Pois se cobrindo de cuidados perante ela, pode evitar com que as outras 
duas venham ser evitadas ou diminuir a probabilidade de ocorrência. 
Um esboço claro do ciclo de vida das informações diante os processos 
decorrentes ao negócio da empresa, transparecendo a ocorrência de ameaças, 
perante os três aspectos citados acima, é mostrada naFigura 10. 
 
 
24 
 
 
 
 
 
 
 
 
 
 
 
Figura 10 - Os três pólos da Segurança 
2.6.1 Risco de Segurança 
 
A existência da insegurança é fato. E a inexistência da segurança é 
preocupante! A verdade é que, medidas de segurança devem realmente ser 
inseridas como quesito básico e primordial a toda empresa. Sabendo-se que o risco 
não é literalmente levado a zero. O risco de segurança tenderá sempre a zero, ou 
seja, coerente com que já foi mencionado acima, onde 100% seguro não estará, 
mas ao menos deixar em um nível baixo de insegurança isso é possível. 
A figura abaixo mostra uma fórmula que exemplifica bem o que seria 
esse risco de segurança tendendo a zero, segundo Marcos Sêmola (SÊMOLA, 
Marcos, 2003): 
 
 
 
 
25 
 
 
 
 
Figura 11 - Fórmula de Marcos Sêmola 
2.7 Security Officer 
 
Resumidamente, o papel do Security Officer é ser responsável pela 
coordenação dos processos inerentes à segurança da Informação. Onde este chefe 
de segurança junto com um plano diretor de segurança tomará os devidos cuidados 
quanto ao tratamento de dispor e descartar informações baseando-se nas políticas 
de segurança impostas e estruturadas conforme as necessidades que cada 
organização tem em particular. 
Muito importante ressaltar que o Security Officer estará respeitando 
todas as características peculiares de cada nível que será inserida as condutas de 
segurança da informação (nível Executivo, nível Tático e nível Operacional), 
passando pelas chamadas fases para aplicabilidade de atividades que são: 
1) Planejar: onde se definirá os planos de segurança e negócios 
assim como as políticas a serem seguidas. 
2) Analisar: verificam-se vulnerabilidades, ameaça e impactos 
existentes, que podem comprometer o negócio da empresa. (Analise de riscos e 
testes de invasão). 
3) Implementar: fase que materializa as ações tidas como necessárias 
no diagnóstico e organizadas pelo planejamento, fazendo a implementação, por 
exemplo, dos controles de segurança assim como o treinamento e sensibilização 
em segurança por parte dos funcionários. 
4) Coordenar: nada mais é que a fase de gerir tudo o que foi feito com 
os três itens citados anteriormente, administrando ou monitorando todas as ações 
de segurança, percebendo mudanças em âmbito físico, tecnológico e humano com 
uma equipe para respostas e incidentes. 
 
 
26 
3 ENGENHARIA SOCIAL 
Com o crescimento da inclusão digital em toda parte do mundo, o 
acesso à informação está mais fácil. O reflexo deste novo panorama traduz-se em 
episódios cada vez mais freqüentes de saques eletrônicos indevidos; clonagem de 
cartões de crédito; acesso a bases de dados confidenciais, dentre inúmeras outras 
ameaças. A segurança da informação vem sendo tema de grande debate neste 
novo milênio. As organizações estão buscando soluções práticas e efetivas, que 
possam trazer otimização de suas atividades, mas ao mesmo tempo segurança em 
operar seus mecanismos de trabalho. A forma como a organização deverá gerir 
este desafio, irá se deparar em duas frentes: a segurança da informação em âmbito 
físico e técnico. Mas abstendo-se quase que somente a preocupar-se com a 
tecnologia e toda a estrutura a ser empregada, esquecem do elo mais fraco que 
rege em todas as empresas de qualquer setor: O FATOR HUMANO. A chamada 
engenharia social. Agora além dos hackers e vírus, o funcionário insatisfeito e o 
vazamento de informações indevidas, passam a fazer parte do rol de preocupações. 
A engenharia social em si, propriamente dita, está inserida como um dos desafios 
(se não o maior deles), mais complexos no âmbito das vulnerabilidades 
encontradas na gestão da Segurança da Informação. 
O sucesso no ataque de engenharia social ocorre geralmente quando 
os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as 
melhores práticas de segurança. 
De acordo com a cartilha de segurança do CERT/BR (Centro de 
Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), a 
engenharia social é “um método de ataque onde alguém faz uso da persuasão, 
muitas vezes abusando da ingenuidade ou confiança do usuário, para obter 
informações que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações”. Fernando Nicolau Freitas Ferreira (MODULO, 2005) 
Levando-se em conta o significado das palavras supostamente 
separadas, têm-se: 
1) Engenharia: arte de aplicar conhecimentos científicos e empíricos e 
certas habilitações específicas à criação de estruturas, dispositivos e processos que 
 
 
27 
se utilizam para converter recursos naturais em formas adequadas ao atendimento 
das necessidades humanas. 
2) Social: da sociedade, ou relativo a ela. Sociável. Que interessa à 
sociedade. 
Muitos são os significados e interpretações dadas a “Engenharia 
Social”, Mas uma das melhores encontradas segundo a Konsultex Informática, 
empresa de software especializada em gerenciamento de projetos, é a seguinte: 
Engenharia Social é a ciência que estuda como o conhecimento do 
comportamento humano pode ser utilizado para induzir uma pessoa 
a atuar segundo seu desejo. Não se trata de hipnose ou controle da 
mente, as técnicas de Engenharia Social são amplamente utilizadas 
por detetives (para obter informação), e magistrados (para comprovar 
se um declarante fala a verdade). Também é utilizada para lograr 
todo tipo de fraudes, inclusive invasão de sistemas eletrônicos. 
(KONSULTEX, 2003) 
 Ou segundo um dos maiores especialistas na arte da engenharia social, 
Kevin Mitnick: “É um termo�diferente�para�definir�o uso de persuasão para influenciar as 
pessoas a concordar com um pedido” (MITNICK, 2003). 
 
3.1 Perfil do Engenheiro Social 
 
Geralmente o engenheiro social é um tipo de pessoa agradável. Ou 
seja, uma pessoa educada, simpática, carismática. Mas, sobretudo criativa, flexível 
e dinâmica. Possuindo uma conversa bastante envolvente. 
Embora existam inúmeros “engenheiros sociais” espalhados pelo 
mundo, exercendo propositalmente esta arte para o bem ou para o mal, assim como 
pessoas que mesmo sem o conhecimento prévio desta designação, já cometeram o 
ato de engenharia social, de alguma forma ocasionalmente em suas rotinas diárias; 
dois personagens merecem destaques relevantes no contexto da engenharia social: 
Frank Abagnale W. Jr e Kevin D. Mitnick. 
 
 
 
28 
3.1.1 As ferramentas do Engenheiro Social 
 
Como principais ferramentas utilizadas pelo praticante de engenharia 
social têm-se: 
• Telefone - (se passar por alguém que não é, seria um dos típicos ataques de 
engenharia social, como na personificação – help-desk). 
• Internet - (coleta de informações – como, por exemplo, sites que fornecem id 
e passwords default, sites clonados etc,). 
• E-mail - (Fakemail, e-mail falsos). 
• Pessoalmente - (poder de persuasão, habilidade em saber conversar, tipo de 
ataque mais raro). 
• Chats (bate papo) – assim como no telefone, fazer-se passar por alguém que 
na verdade não é, fica muito mais fácil pelos canais de bate-papo. Pois além 
de tudo, mandar fotos fica bem mais atrativo e seduz mais facilmente a 
conseguir informações que deseja. 
• Cartas/correspondência – não é o meio mais moderno sem dúvida, mas 
acredite e um recurso poderoso que faz como uma das maiores vítimas, 
pessoas mais velhas. Não somente idosos, mas principalmente aquelas que 
têm certa resistência à tecnologia. É muito fácil hoje elaborar cartas – 
documentos com logomarcas e tudo mais, dando-se a impressão de que se 
trata realmente daquela origem. 
• Spyware – software especializado usado para monitorar de modo oculto as 
atividades do computador de um alvo. 
• Mergulho no lixo – (várias coisas que são descartadas para o lixo, muita das 
vezes contem informações essenciais ao suposto engenheiro social). 
• Surfar sobre os ombros – é o ato de observar uma pessoa digitando no 
teclado do computador para descobrir e roubar sua senha ou outras 
informações de usuário. 
 
 
 
 
 
 
 
 
 
29 
3.2 Aarte do Engenheiro Social e suas técnicas 
 
As técnicas utilizadas por um engenheiro social estão em constante 
evolução. Procuram sempre buscar algo inovador, diferente do tradicional para 
conseguir atingir seus objetivos. Mas mesmo perante tais transformações e 
mudanças no segmento da arte de enganar, modificando ou incrementando seus 
ataques, o engenheiro social utiliza-se sempre de alguns aspectos clássicos de 
ataque, que serão vistos a seguir. 
 
3.2.1 Informações inofensivas x valiosas 
 
Quando as informações não são inofensivas? Pergunta difícil de ser 
respondida partindo-se do ponto de vista “funcionário despreparado”. 
Como um jogo de quebra-cabeça, as informações são postas como 
“pedaços” importantes, que se juntando aos outros “pedaços” formarão o resultado 
final do que se espera. Assim, informações que parecem ser irrelevantes ou tão 
pouco consideradas como importantes, quando juntadas a outras também assim 
consideradas tomam forma diferente daquilo que imaginávamos ser inofensivo. E 
passa a ser a chave que o engenheiro social precisava para abrir o “reino 
encantado” e ter acesso a informações que até então eram confidenciais. Fica a 
atenção que deve prevalecer a qualquer tipo de informação que for repassada. O 
funcionário deve pensar antes se realmente aquilo que lhe foi pedido é inofensivo 
ou não. 
 Vale a seguinte regra: Não dê nenhuma informação pessoal ou interna 
da empresa, nem identificadores para ninguém, a menos que a sua voz seja conhecida 
e o solicitante tenha necessidade de saber a informação. 
 Segundo Kevin Mitnick: 
Como diz o ditado: até mesmo os verdadeiros paranóicos 
provavelmente têm inimigos. Devemos assumir que cada empresa 
também tem os seus – os atacantes que visam à infra-estrutura da 
rede para comprometer os segredos da empresa. Não acabe sendo 
uma estatística nos crimes de computadores; está mais do que na 
hora de armazenar as defesas necessárias implementando controles 
adequados por meio de políticas de segurança e procedimentos bem 
planejados.(MITNICK, 2003) 
 
 
30 
Portanto, neuroses e paranóias a parte, nunca é demais prevenir, 
educar e estar cada vez mais atento. Pois aquelas informações que você acha 
aparentar serem inofensivas podem ser as chaves para os segredos mais valiosos 
que a empresa guarda. 
 
3.2.2 Criando a confiança 
 
Pode parecer estranho acreditar que praticamente todas as pessoas 
estão sujeitas a serem enganadas a qualquer momento em qualquer lugar. 
Segurança parece estar muito próximo da confiança. O que realmente 
é uma verdade. Segundo Yamagishi: 
“... a confiança generalizada é a expectativa básica de um 
comportamento não-explorador da contraparte, até prova em 
contrário”. (LUDASEN, 2002). 
Confiança não é transitiva: Eu confio em Maria, e Maria confia em 
João, não significa que eu confio em João. 
Por exemplo, Maria pode acessar dados secretos para o seu trabalho; 
então ela pode copiá-los para a sua área e dar a João acesso a eles! Agora João 
tem acesso a dados secretos (uma cópia deles pelo menos!). 
O problema, porém, foi causado por Maria, que era a depositária da 
nossa confiança, e “nos traiu”. Seria desejável que este tipo de vazamento pudesse 
ser contido. 
O que o engenheiro social nada mais faz é simplesmente adquirir 
primeiro esta confiança para que depois de reforçado esse “vínculo” de amizade 
criado, possa então atacar e conseguir as informações. Ele prepara toda a teia de 
situações que pode vir a ocorrer, como questionamentos e perguntas das quais ele 
possa ter que responder no ato, sem gaguejar ou demonstrar insegurança, a ponto 
da vitima não ter motivo de desconfiar de algo estranho nessa conversa. 
A princípio é que quando as pessoas não têm um determinado motivo 
para suspeitar, é onde o engenheiro social ganha a confiança mais facilmente. O 
hábito de aprendermos a nos educar cada vez mais a observar, pensar e questionar 
 
 
31 
a autoridade que aparenta ser no momento é de fundamental importância para ao 
menos dificultar a entrega de informações preciosas, ou até mesmo de informações 
que achamos não ser importantes serem compartilhadas. 
O cuidado que se deve tomar vale para todos os aspectos e situações 
inerentes ao tipo de atacante que venha a nos persuadir. Quando éramos crianças, 
nossos pais nos ensinavam a não confiar em estranhos. Talvez todos devessem 
adotar esse antigo princípio no ambiente de trabalho. 
 
3.2.3 Simplesmente pedindo 
 
Considerada literalmente a técnica mais simples de se conseguir 
informação. Quando você tem alguma dúvida ou quer saber alguma informação, o 
que você faz naturalmente é pedir. Então nada mais prático e simples é solicitar o 
pedido da informação interessada para a suposta vítima. 
Sem dúvida alguma, o engenheiro social tem truques fabulosos a 
ponto de conseguir absorver da mais simples a suposta impossível fonte de 
informações que uma determinada empresa guarda. Mas pode acreditar que este 
simples e dito ataque de pedir as informações funciona. 
Primeiramente o engenheiro social deve sim ter ao menos 
conhecimento de alguns jargões comumente utilizados naquele ambiente que se 
pretende o ataque. O saber da linguagem de uma empresa e de sua estrutura 
corporativa, bem como os departamentos ali existentes e suas funções, fazem parte 
da bagagem essencial de truques que um engenheiro social bem sucedido deve ter 
consigo. 
Após ter em mãos tais conhecimentos fica mais fácil ter a confiança da 
pessoa que disponibilizará a informação. Segundo Kevin Mitnick em sua entrevista 
aqui no Brasil para a Information Week Brasil (revista especializada em assuntos 
tecnológicos), existem seis características do comportamento humano que podem 
ser explorados pelo engenheiro social, onde duas delas é destaque neste contexto 
da técnica do ‘simplesmente pedindo’. Que são: a autoridade e o medo. 
Autoridade, devido o que fora mencionado anteriormente com relação 
à credibilidade. Ou seja, após ter conhecimento suficiente para demonstrar que 
 
 
32 
sabe do que está falando além da confiança com quem está falando (na mesma 
linguagem transposta os jargões comuns utilizados) e, sobretudo aonde que chegar, 
manipulando de forma segura e convicta, faz com que a vítima seja quase sufocada 
a dispor a informação requisitada. Levando-se em conta também o fator 
conseqüente da outra característica do comportamento humano: o medo. 
 
3.2.4 Técnica do “Posso Ajudar ?” 
 
Dispondo-se desta técnica do “posso ajudar?” o atacante (engenheiro 
social) com sua habilidade nata de persuasão conseguem criar um problema para 
você. E aproveitando desse eventual problema criado, o engenheiro social, passa a 
ser definitivamente a solução exata destes seus problemas. Aí é onde mora o 
perigo. Um dos pratos prediletos do engenheiro social é justamente conseguir as 
informações partindo da gratidão imposta pelo favor executado por ele. 
“O atacante cria uma teia para convencer o alvo de que ele tem um 
problema que na verdade não existe – ou, como neste caso, de um problema que 
ainda não aconteceu, mas que o atacante sabe que acontecerá porque ele vai 
causá-lo”. Em seguida, ele se apresenta como a pessoa que pode fornecer a 
solução (MITNICK, 2003). 
Esse tipo de ataque, ou esta técnica utilizada, conhecida como 
engenharia social inversa, é extremamente poderosa. Pois parte-se da premissa de 
que o engenheiro social tem absoluta credibilidade para conseguir as informações 
que deseja. 
Portanto caso alguém venha lhe fazer um favor e mais tarde vier pedir 
outro em troca, não vá imediatamente retribuir, sem ao menos pensar 
cuidadosamente as conseqüências daquilo que lhe pediu, possa vir a trazer no 
presente momento, ou futuramente se transtornos às vezes irreparáveis. 
 
3.2.5 Técnica do “Você pode me ajudar ?” 
 
Parecido com a técnica do “simplesmente pedindo”, pois se baseia no 
fato de estar também solicitando um pedido de informação. Uma das diferenças é a 
 
 
33 
questão da utilização da dramaticidadejuntamente com a humildade pela qual o 
atacante (engenheiro social) faz o pedido. 
Sem dúvida, um dos métodos mais poderosos utilizados pelos 
engenheiros sociais é o golpe simples de fingir que precisa de ajuda. Levando-se 
em conta que o funcionário novo ou velho de casa vendo a necessidade simplória 
de poder ajudar um “companheiro de trabalho”, que acabara de requisitar uma 
informação, não hesitara em cooperar e assim fornecer o que deseja. 
Deve-se então ficar atento que no ensejo desta boa vontade de poder 
ajudar o próximo, fica a grande chance de o engenheiro social poder explorar esse 
tipo de vulnerabilidade, aproveitando assim essa disposição de ajudar, para então 
conseguir atingir seu objetivo. 
 
3.3 A Engenharia Social na Internet 
 
Sem sombra de dúvidas a Internet é um excelente recurso para coleta 
de informações assim como para “incrementar” a finalização de um ataque de 
engenharia social. Armadilhas como sites clonados, mensagens enganosas que 
chegam a nosso correio eletrônico – fakemail (e-mails falsos) com anexos 
aparentemente inofensivos, chats (bate-papos), são ferramentas freqüentemente 
utilizadas pelo engenheiro social. 
Os aparentes “programinhas inofensivos”, mas muito maldosos que 
são inseridos nos computadores, na maioria das vezes por nós mesmos 
persuadidos ou induzidos por alguém (engenheiro social) ou por algum motivo 
(anúncios atraentes de algo que nos interessa, via e-mail) são exemplos de 
transtornos que podem surgir, se não ficar atento e assim prevenir que qualquer tipo 
do chamado malware – abreviação de Malicious software seja executada dando 
acesso total ao seu computador, como se o atacante estivesse sentado em frente a 
sua máquina usando seu teclado. 
Mensagens de e-mails com títulos familiares, podem fazer com que 
você acredite ser de alguém que na verdade não é. Portanto, muita atenção ao sair 
abrindo anexos e clicando em links sem o prévio cuidado necessário de segurança. 
“Chorar o leite derramado” não vai fazer com que volte o tempo e previna-se do 
 
 
34 
acontecido. Lembre-se sempre: Na dúvida não faça nada! Pare, pense e se 
necessário confirme a procedência de alguma forma, ao ponto de lhe dar a firme 
segurança de poder abrir ou executar o que fora recebido. 
Links que lhe direcionam para determinada página que na verdade 
não é a original, é outro ponto a ser destacado de vital importância neste contexto 
na arte de enganar. Esteja atento para onde está sendo redirecionado o link que 
você clicou. Se realmente está coerente ao domínio ao qual pertence o hiperlink 
acessado. 
Sempre que estiver navegando, ou seja, visitando algum site, verifique 
se a conexão está autenticada e criptografada. Não vá clicando diretamente em 
“Sim” em nenhuma caixa de diálogo que possa indicar uma questão de segurança, 
como por exemplo, um certificado digital inválido ou vencido. Muito cuidado quanto 
a isso, pois um site Web que não usa um protocolo seguro, não se convém passar 
informações confidenciais, tais como seu endereço, telefone, nome, número de 
cartões de crédito dentre outras informações. 
Quanto à segurança em relação a vírus, regra básica: ter um anti-virus 
instalado. Como também se possível deixar ativado o firewall do Sistema 
Operacional (no caso do Windows XP, que vem com um simples, mas que supre a 
necessidade “caseira” do usuário “doméstico”), ou instalar algum disponível 
facilmente na Internet. Melhor anti-virus? Aquele que esteja sempre atualizado. Não 
atualizado anualmente, ou mensalmente. Mas sim diariamente ou no muito 
semanalmente. 
Completamente seguro, com certeza ninguém está. Mas dificultar a 
entrada de vírus, trojans dentre outros inconvenientes, isso não só pode como deve 
ser feito se quiser preservar ao menos um pouco da privacidade de seus dados que 
julga ser confidencial. 
A Symantec também dá algumas orientações relevantes a esse 
contexto (SYMANTEC, 1995): 
• Estabeleça uma política de utilização da Internet. Permita que os funcionários 
conheçam as regras da empresa a respeito do uso pessoal do e-mail e da 
Internet. Desenvolver políticas de utilização da Internet ajudará também os 
gerentes de TI a configurar e monitorar soluções de segurança da rede com 
 
 
35 
maior eficiência. 
• Utilize uma tecnologia que permita uma verificação de conteúdo impróprio nos 
e-mails e anote as atividades da Internet que estejam fora dos parâmetros 
determinados pela gerência. 
• Especialistas jurídicos afirmam que monitorar os conteúdos dos e-mails e 
Internet utilizada pelos funcionários ajuda a proteger a empresa no caso de 
um processo legal. Tenha uma política e uma solução de monitoramento de 
conteúdos para mostrar seus esforços em proteger os funcionários de 
ataques, por exemplo. 
• Treine seus usuários para que eles saibam quando e como fazer download 
das mais recentes atualizações dos antivírus, bem como reconhecer um 
possível vírus. Ensine-os a fazer uma verificação nos documentos antes de 
abri-los. 
• Atualize o antivírus, de modo a evitar as brechas de segurança conhecidas 
dos softwares reduzindo assim as chances de uma entrada de vírus pelas 
páginas da Web ou por e-mail. 
• Desenvolva uma política para senhas, requisitando freqüentes mudanças nas 
mesmas e educando os usuários nas táticas de engenharia social. Reforcem 
que eles nunca devem informar suas senhas, Softwares para descobrir 
senhas estão disponíveis e ajudam a encontrar senhas fracas de usuários na 
sua rede. De qualquer modo, o software não protegerá a companhia contra o 
comportamento negligente de um usuário. Muitas vezes, educar os 
funcionários é o suficiente. 
• Determine a necessidade de cada funcionário de acessar informações 
delicadas, e restrinja o acesso somente para o que for necessário a cada 
função na empresa. 
• Informe os funcionários sobre os perigos de fazer download de softwares e 
protetores de tela gratuitos (SYMANTEC, 1995). 
 
O hacker pode ser considerado o primo longe do engenheiro social. 
Nem todo engenheiro social é um hacker, mas em alguns casos o hacker chega a 
ser um engenheiro social, com condutas semelhantes à captura de informações. 
Pois o hacker age de forma a explorar muito mais as vulnerabilidades técnicas, 
 
 
36 
enquanto o engenheiro social as vulnerabilidades humanas. 
 
3.3.1 Internet Banking 
 
Com o advento da Internet, muita coisa mudou e melhorou. E a 
evolução da Internet inserida aos bancos, ao qual, atividades antes ditas 
extremamente cansativas, como ficar em uma fila para tão somente tirar um extrato 
ou fazer uma transferência, agora não mais é necessário. 
Os perigos quanto às compras on-line e transações bancárias via 
Internet mediante a disponibilização dos números do cartão de crédito existem, 
assim como também a utilização de seu cartão pessoalmente em lojas, bares, 
restaurantes, postos, padarias e oficinas. Qualquer funcionário mal intencionado 
relativo ao estabelecimento que utilizara o cartão poderá guardar o cupom ou recibo 
emitido após efetuar o pagamento, já contendo seu nome, e dados do cartão 
utilizado, tal como usar um dispositivo facilmente disponível na Internet, um 
dispositivo de varredura, que armazena os dados de qualquer cartão de crédito que 
é passado por ele para recuperação posterior (MITNICK, 2003). 
De acordo com o CAIS – Centro de Atendimento a Incidentes de 
Segurança; dentre as principais condutas que todo usuário de Internet banking deve 
ter seriam (REDE NACIONAL DE ENSINO E PESQUISAS (RNP) 2004): 
• Manter bem guardadas e seguras suas senhas bancárias, seguindo as 
recomendações de seu banco. 
• Não fornecer detalhes de sua conta bancária ou senhas a terceiros quando 
abordados por qualquer meio, seja pessoalmente, telefone ou e-mail. 
• Usar senhas fortes e não triviais, trocar as senhas com frequência, seguindo 
as normas e recomendações de seu banco. 
• Ao acessar o site de seu banco, dedicar algum tempo para verificar a página, 
propagandas e dados solicitados, em busca de algo suspeito.Recomenda-se 
também verificar se o endereço mostrado pelo navegador corresponde ao 
endereço acessado, por exemplo: www.banco.com.br. 
• Ficar atento aos comunicados oficiais do seu banco. Alguns bancos têm 
destacado nos seus sites, mensagens de advertência sobre recentes 
tentativas de fraude. 
 
 
37 
• Ao ser alvo de situações suspeitas (e-mails do banco, contatos telefônicos 
solicitando senha ou conta bancária, erros consecutivos no acesso ao site do 
banco), notificar o ocorrido ao serviço de suporte ao usuário do respectivo 
banco. 
• Manter sempre atualizado o navegador utilizado, por exemplo, Netscape e 
Internet Explorer. 
• Verificar o certificado digital do site do banco, confirmando se este foi 
realmente emitido para o referido banco e seu prazo de validade. 
Recomenda-se também ficar atento às mensagens emitidas pelo seu 
navegador, verificando se este reconheceu a autoridade certificadora que 
emitiu o certificado ao site que você está acessando. 
• Não descartar automaticamente as mensagens de aviso geradas pelo 
navegador em relação a certificados digitais e páginas criptografadas. A 
prática recomendada é ler atentamente tais mensagens e em caso de dúvidas 
interromperem o processo, consultando o serviço de suporte ao usuário do 
banco (REDE NACIONAL DE ENSINO E PESQUISAS (RNP), 2004). 
 
3.4 Pontos fracos explorados pelo Engenheiro Social 
 
Se todo funcionário fosse tão questionador como uma criança, 
demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente 
antenado a tudo a sua volta, e principalmente fazendo o uso dos poderosos 
“porquês”, com certeza as empresas transformariam os frágeis cadeados em 
legítimos dispositivos dificultantes de segurança da informação. 
É claro que se deve ter cuidado ao responder aos “porquês”, pois 
funcionários insatisfeitos ou mal intencionados podem utilizar as respostas para fins 
não profissionais e sim pessoais. É preciso ter muito cuidado para identificar as 
intenções de quem está questionando. 
 
 
 
 
 
 
38 
Segundo Kevin D Mitnick: 
“Quando um engenheiro social sabe como as coisas funcionam 
dentro da empresa-alvo, ele pode usar esse conhecimento para 
desenvolver a confiança junto aos empregados. As empresas 
precisam estar preparadas para os ataques da engenharia social 
vindos de empregados atuais ou ex-empregados, que podem ter um 
motivo de descontentamento. As verificações de histórico podem ser 
úteis para detectar os candidatos ao emprego que tenham uma 
propensão para esse tipo de comportamento. Mas, na maioria dos 
casos, é difícil detectar essas pessoas. A única segurança razoável 
nesses casos é implantar e auditar os procedimentos de verificação 
de identidade, incluindo o status de emprego da pessoa, antes de 
divulgar qualquer informação para qualquer um que não se conheça 
pessoalmente e, portanto, não se sabe se ainda está na empresa”. 
(MITNICK, 2003) 
O Engenheiro Social trabalha como ninguém os pontos relativos à 
psicologia humana. Explora sentimentos como o medo e a insegurança da vítima. 
Utiliza-se também a simpatia para conseguir convencer. Ou até mesmo a culpa, 
como forma de se pensar “A coitadinho dele, eu já passei por isso também” ou 
“realmente é difícil ou constrangedora a situação dele”. Assim também como foram 
de intimidação, proporcionando o medo ou a insegurança de que se não fornecer 
aquela informação naquele momento, terá a sensação que poderá se comprometer 
gravemente em seu emprego, especificamente com seus superiores. 
É típico do usuário, não ter a concreta noção de que se ele está 
trabalhado como um computador, e nesta máquina se guardam documentos, texto, 
planilhas, slides e todo tipo de arquivo importante de seu setor, fica mais do que 
nunca sujeito a dispor facilmente dessas informações se não tiver o costume de 
perceber quão é importante àquilo que guarda em sua máquina. O engenheiro 
social explora precisamente esse tipo de alvo. O funcionário desatento com seus 
dados; ou seja, que tem pouca compreensão de como são valiosas as informações 
que ele pode fornecer a um estranho. 
Segundo Kevin D Mitnick: 
“É incrível como é fácil para um engenheiro social convencer as 
pessoas a fazerem as coisas com base no medo como ele estrutura 
a solicitação. A tese é acionar uma resposta automática como base 
nos princípios psicológicos e utilizar os atalhos mentais que as 
pessoas usam quando percebem que o interlocutor é um aliado”. 
(MITNICK, 2003) 
 
 
39 
Portanto o prévio conhecimento de quem estará recebendo a 
informação é imprescindível. A conferência seja de forma pessoal ou de diferentes 
níveis de autenticação para disponibilização da informação dever ser levada a sério. 
“Em uma partida de futebol, o assistente do juiz é orientado a deixar o 
lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, 
DESCONFIE!” (MODULO, 2005). 
Segundo Kevin D Mitnick: 
 “As pessoas manipuladoras em geral têm personalidades muito 
atraentes. Elas são rápidas e bem articuladas. Os engenheiros 
sociais também são habilidosos para distrair os processos de 
pensamento das pessoas para que elas cooperem. Pensar que 
determinada pessoa não é vulnerável a essa manipulação é 
subestimar a habilidade e o instinto mortal do engenheiro social. Um 
bom engenheiro social, por sua vez, nunca subestima o seu 
adversário”.(MITNICK, 2003) 
3.4.1 Checando o lixo 
 
Como dito anteriormente uma das ferramentas que um engenheiro 
social (geralmente aquele que está disposto a qualquer coisa em busca da 
informação) utiliza é a busca no lixo. Ou seja, vasculhar detalhadamente todo tipo 
de objeto ou documentos que sejam suspeitos de fornecer preciosas informações. 
(Cadernetas com telefones; memorandos; manuais com políticas internas da 
empresa; calendários com informações sobre eventos, cursos ou férias; manuais 
dos sistemas utilizados; qualquer coisa que contenha nome de usuários e senhas; 
disquetes, CDs ou HDs aparentemente inutilizáveis; papel timbrado da empresa, 
etc.) 
Portanto trate o lixo com mais respeito. Parece engraçado, mas é 
verdade. Sem perceber muitas pessoas jogam fora aquilo que com toda 
tranqüilidade acham ser desnecessário, inútil, eventualmente um lixo. Esquecem 
de ao menos quebrar, picotar, separar em outros lixos. E não se esqueça do lixo 
digital. Isso mesmo! Aquele que você com certeza pede para esvaziar de vez 
enquando. Medidas simples, mas importantíssimas e que fazem uma grande 
diferença se tratando dessa maneira. 
 
 
40 
A seguir os chamados “oito segredos” para tratar o lixo com mais 
sabedoria (MITNICK, 2003): 
• Classificar todas as informações confidenciais com base no grau de 
confidencialidade. 
• Estabelecer procedimentos em toda a empresa para descartar as informações 
confidenciais. 
• Insistir em que todas as informações confidenciais descartadas passem 
primeiro pela máquina cortadora de papel e fornecer um modo seguro de se 
livrar das informações importantes em pedaços de papel que são pequenos 
demais e passam pela máquina. As máquinas não devem ser muito baratas, 
as quais resultam em tiras de papel que podem ser montadas novamente por 
um atacante determinado e com paciência. Elas devem ser do tipo que faz 
cortes cruzados ou do tipo que transforma a saída em resultado inútil. 
• Fornecer um modo de inutilizar ou apagar completamente a mídia de 
computador – os disquetes, discos Zip, CDs e DVDs usados para armazenar 
arquivos, fitas removíveis ou unidades de disco rígido antigas e outras mídias 
de computador antes de descartá-la. Lembre-se de que os arquivos apagados 
não são realmente removidos; eles ainda podem ser recuperados – como 
descobriram os executivos da Enron e muitos outros. Jogar simplesmente a 
mídia de computador no lixo é um convite para o seu “vira-lata” o local de 
plantão. 
• Manter um nível de controle apropriado sobre a seleção das pessoas da sua 
equipe de limpeza usando a verificação de antecedentes, se for apropriado; 
• Fazer com que os empregados