Baixe o app para aproveitar ainda mais
Prévia do material em texto
Indaial – 2020 ConsCientização em segurança da informação Prof.ª Simone Erbs da Costa 1a Edição Copyright © UNIASSELVI 2020 Elaboração: Prof.ª Simone Erbs da Costa Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: C837c Costa, Simone Erbs da Conscientização em segurança da informação. / Simone Erbs da Costa. – Indaial: UNIASSELVI, 2020. 306 p.; il. ISBN 978-65-5663-076-2 1. Segurança da informação. – Brasil. Centro Universitário Leonardo Da Vinci. CDD 004 apresentação Caro acadêmico, estamos iniciando o estudo da Conscientização em Segurança da Informação. Esta disciplina objetiva conscientizar a importância de se ter um plano de segurança da informação e a conscientização de colaboradores do comportamento seguro, bem como entender a visão executiva na gestão da segurança da informação de dados. Este livro conta com diversos recursos didáticos externos. Portanto, recomendamos que você realize todos os exemplos e exercícios resolvidos para um aproveitamento excepcional da disciplina. No contexto apresentado, o livro Conscientização em Segurança da Informação está dividido em três unidades: Unidade 1 — Colaboradores e comportamento seguro; Unidade 2 — Padrão, normas e plano de conscientização em segurança da informação; Unidade 3 — Visão executiva na gestão da segurança da informação. Aproveitamos a oportunidade para destacar a importância de desenvolver as autoatividades, lembrando que essas atividades não são opcionais. Elas objetivam a fixação dos conceitos apresentados. Em caso de dúvida, na realização das atividades, sugerimos que você entre em contato com seu tutor externo ou com a tutoria da UNIASSELVI, não prosseguindo sem ter sanado todas as dúvidas. Bom estudo! Sucesso na sua trajetória acadêmica e profissional! Prof.ª Simone Erbs da Costa Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi- dades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra- mação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida- de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun- to em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen- tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE sumário UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO ................................... 1 TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS ...................................................................................................................... 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO ............... 4 2.1 ATIVOS DE INFORMAÇÃO ......................................................................................................... 8 2.2 VULNERABILIDADES DA INFORMAÇÃO ............................................................................. 9 2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO ................................................................. 11 2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO ..................................................................... 15 2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ............................................................. 17 2.6 IMPACTO E PROBABILIDADE ................................................................................................. 19 3 CLASSIFICAÇÃO DA INFORMAÇÃO ....................................................................................... 20 3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/IEC 27002:2013) ........................... 21 RESUMO DO TÓPICO 1..................................................................................................................... 24 AUTOATIVIDADE .............................................................................................................................. 29 TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL .............................. 31 1 INTRODUÇÃO .................................................................................................................................. 31 2 ENGENHARIA SOCIAL .................................................................................................................. 32 3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO ............................................................................ 35 RESUMO DO TÓPICO 2..................................................................................................................... 46 AUTOATIVIDADE .............................................................................................................................. 51 TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA ................................................................ 53 1 INTRODUÇÃO .................................................................................................................................. 53 2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA ORGANIZACIONAL ........................................................................................................................ 54 2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA .................................. 54 2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA.................... 54 2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO ............................ 57 3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................................... 59 3.1 TODOS DA ORGANIZAÇÃO .................................................................................................... 61 3.2 GERÊNCIA .................................................................................................................................... 63 3.3 FUNÇÕES ESPECIALISTAS ....................................................................................................... 63 3.4 DEFINIR MÉTRICAS PARA AVALIARO TREINAMENTO DE CONSCIENTIZAÇÃO ....................................................................................................................... 65 4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA .............................................................................................................................. 66 LEITURA COMPLEMENTAR ............................................................................................................ 69 RESUMO DO TÓPICO 3..................................................................................................................... 82 AUTOATIVIDADE .............................................................................................................................. 86 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO ..................................................................... 89 TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) ............................................................................................ 91 1 INTRODUÇÃO .................................................................................................................................. 91 2 FRAMEWORK COBIT ..................................................................................................................... 92 3 COMPORTAMENTO HUMANO E O COBIT .......................................................................... 107 3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS, HABILIDADES E COMPETÊNCIAS ....................................................................................................................... 108 3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO ........................................................... 118 RESUMO DO TÓPICO 1................................................................................................................... 120 AUTOATIVIDADE ............................................................................................................................ 124 TÓPICO 2 — PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 ............... 127 1 INTRODUÇÃO ................................................................................................................................ 127 2 ABNT NBR ISO/IEC 27001:2013 .................................................................................................... 128 2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013 ............................................................... 130 2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 ................................. 139 3 ABNT NBR ISO/IEC 27002:2013 .................................................................................................... 141 3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131 ............................................................. 142 RESUMO DO TÓPICO 2................................................................................................................... 156 AUTOATIVIDADE ............................................................................................................................ 160 TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ......... 163 1 INTRODUÇÃO ................................................................................................................................ 163 2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO ................................... 164 2.1 ESTRUTURANDO O PROGRAMA ........................................................................................ 165 2.2 AVALIANDO AS NECESSIDADES ......................................................................................... 165 2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO ......................................................................................................................... 168 2.4 ESTABELECENDO PRIORIDADES......................................................................................... 169 2.5 ESTABELECENDO O PADRÃO............................................................................................... 170 2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA ..................................................................................................................... 172 3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE TREINAMENTO .............................................................................................................................. 173 3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO ............................................ 174 3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO ...................................................... 176 4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA .................................................................... 176 4.1 COMUNICAÇÃO DO PLANO ................................................................................................ 177 4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO .................................... 177 4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO ............................................. 178 5 ETAPA 4: PÓS-IMPLEMENTAÇÃO ........................................................................................... 179 5.1 MONITORANDO A CONFORMIDADE ................................................................................ 180 5.2 AVALIAÇÃO E FEEDBACK ..................................................................................................... 182 5.3 GERENCIANDO MUDANÇAS ............................................................................................... 184 5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO ESTABELECIDO) .......................... 184 5.5 INDICADORES DE SUCESSO.................................................................................................. 185 LEITURA COMPLEMENTAR .......................................................................................................... 186 RESUMO DO TÓPICO 3................................................................................................................... 193 AUTOATIVIDADE ............................................................................................................................ 198 UNIDADE 3 — VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................................................... 201 TÓPICO 1 — VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO ................. 203 1 INTRODUÇÃO ................................................................................................................................ 203 2 VISÃO CORPORATIVA ................................................................................................................ 207 2.1. CONSCIENTIZAÇÃO DO CORPO EXECUTIVO ................................................................ 210 2.2 RETORNO SOBRE O INVESTIMENTO .................................................................................. 218 3 POSICIONAMENTO HIERÁRQUICO ADEQUADO............................................................. 223 RESUMO DO TÓPICO 1................................................................................................................... 228 AUTOATIVIDADE ............................................................................................................................ 232 TÓPICO 2 — MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................... 235 1 INTRODUÇÃO ................................................................................................................................235 2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................... 239 2.1 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO ................................... 242 2.2 PAPEL DO SECURITY OFFICER ............................................................................................. 246 2.3 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO ................................................ 249 2.4 SABENDO IDENTIFICAR O PARCEIRO EXTERNO ........................................................... 251 2.5 FERRAMENTAS METODOLÓGICAS .................................................................................... 254 3 AGREGANDO VALOR AO NEGÓCIO ...................................................................................... 261 RESUMO DO TÓPICO 2................................................................................................................... 263 AUTOATIVIDADE ............................................................................................................................ 267 TÓPICO 3 — POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................... 269 1 INTRODUÇÃO ................................................................................................................................ 269 2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS ................................................................. 271 LEITURA COMPLEMENTAR .......................................................................................................... 285 RESUMO DO TÓPICO 3................................................................................................................... 298 AUTOATIVIDADE ............................................................................................................................ 301 REFERÊNCIAS .................................................................................................................................... 303 1 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO OBJETIVOS DE APRENDIZAGEM A partir do estudo desta unidade, você deverá ser capaz de: • entender a segurança da informação e a sua importância para a organização, buscando um comportamento seguro; • conhecer os princípios básicos da segurança da informação, conhecida como a tríade Confidencialidade, Integridade e Disponibilidade (CID); • conhecer outras propriedades da segurança da informação, indo além da tríade CID, para compreensão do seu papel e do comportamento seguro; • compreender os conceitos básicos da segurança da informação como: ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto; • entender o que é a engenharia social e identificar os seus possíveis ataques; • compreender a importância da conscientização e o comportamento seguro dos colaboradores; • compreender que a segurança da informação faz parte da cultura da organização e é benéfica para todos, colaboradores e organização; • saber quais conteúdos devem ser utilizados na conscientização de segurança e compreender que a conscientização deve ser aplicada pelas funções exercidas na organização. 2 PLANO DE ESTUDOS Esta unidade está dividida em três tópicos. No decorrer do texto, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS TÓPICO 2 – CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL TÓPICO 3 – PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 3 TÓPICO 1 — UNIDADE 1 ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 1 INTRODUÇÃO A informação está presente nas organizações nos mais variados formatos. Podemos ver a informação armazenada de forma eletrônica ou de forma impressa, falada, em vídeo, por imagem, som etc., assim como podemos transmitir uma informação por voz ou mesmo pelo correio eletrônico. Independente do meio que a informação está armazenada ou tem seu formato ou como é transmita, é necessário que ela seja protegida de maneira adequada. Desta forma, podemos dizer que todas as informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques, erros (intencionais ou não intencionais) e de natureza (como incêndio, enchente e afins) e estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação, pois a informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura. Além disso, é necessário disponibilizar as informações de maneira precisa, completa e em tempo hábil para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios. Os melhores firewalls do mundo não poderão proteger os ativos da informação da organização se o firewall humano estiver fraco. Segundo Pivot Point Security (2020), estima-se que até 75% das violações da organização sejam atribuídas a falhas humanas na manutenção das políticas, padrões e procedimentos de segurança de seu colaborador. Para organizações que exigem conformidade com regulamentos governamentais específicos é necessário treinamento formal de conscientização de segurança da informação para cada colaborador, de uma a duas vezes por ano. Assim, toda a organização corre o risco de ser comprometida. Portanto, agora que tivemos uma ideia da importância da informação para a organização, precisamos compreender os conceitos e princípios básicos de segurança da informação. Ativo é tudo que tem valor para uma organização, podendo ser tangível ou intangível e de maneira lógica, física ou humana. NOTA UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 4 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO Na literatura, encontramos várias definições para o termo segurança da informação. Segundo ISO/IEC (2018), o termo segurança da informação geralmente é baseado em informações consideradas como um ativo, que possui um valor que exige proteção adequada, como contra a perda de disponibilidade, confidencialidade e integridade. Desta forma, “[...] é de responsabilidade da segurança da informação protegê-la de vários tipos de ameaças, para garantir a continuidade do negócio, minimizar riscos e maximizar o retorno dos investimentos” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2). Algumas definições formais de segurança da informação. “Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas” (ABNT NBR ISO/IEC 27002, 2005 apud TORRES, 2015, p. 10). Sêmola (2003, p. 43) coloca segurança da informação “[...] como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. Bastos e Caubit (2009, p. 17) trazem uma definição menos formal de segurança da informação, como ser: [...] caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações. A aplicação destas proteções busca preservar a Confidencialidade, a Integridade e a Disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel. Estas definições de segurança da informação trazem os três pilares ou três princípios básicos da segurança da informação, que são a Confidencialidade, a Integridade e a Disponibilidade (CID). De acordo com Machado Júnior (2018, p. 56), “Este conjunto é conhecido como o tripé da segurança dainformação, internacionalmente denominado “CIA- triad”, em referência aos termos Confidentiality, Integrity e Avalability. Ao longo dos anos, a CIA-triad foi consolidada e evolui, servindo como pilares de sustentação”. Machado Júnior (2018) demonstra visualmente essa evolução da tríade CID por meio da Figura 1. TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 5 FIGURA 1 - EVOLUÇÃO DAS CARACTERÍSTICAS DE SEGURANÇA DA TRÍADE CID FONTE: Machado Júnior (2018, p. 61) UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 6 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto. Ambientes que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de e-mail, uma área específica de uma organização, um servidor de banco de dados, um cofre e afins são exemplos de confidencialidade. Esse mecanismo de barreira, segundo Machado Júnior (2018), pode ser aprimorado por meio de recursos de criptografia. O pilar da integridade é referente à ameaça da informação ser modificada sem autorização. Para Machado Júnior (2018, p. 62), “A quebra da integridade é fator crítico e pode ter consequências catastróficas. São exemplos de uso da integridade qualquer ambiente controlado em que o sucesso das operações depende da qualidade íntegra dos dados fornecidos”. Por fim, o pilar da disponibilidade diz respeito à ameaça de negação não autorizada de utilização. Esse pilar tem como objetivo “[...] garantir a propriedade da informação estar disponível quando solicitada” (MACHADO JÚNIOR, 2018, p. 62). Machado Júnior (2018) ainda coloca que o pilar da disponibilidade seria a maneira mais eficiente de um ataque ser iniciado. Devido que ao se quebrar o pilar da disponibilidade, possivelmente, na sequência se comprometeria a integridade por meio de substituição ou de alteração de dados e por último a confidencialidade também seria comprometida. Desta forma, ter um plano de segurança no qual todos os colaboradores estejam cientes da sua importância é fundamental para os três pilares. Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. Alguns deles estão contidos no Quadro 1. Além deles, também iremos ver na Unidade 2, de estudo, os requisitos de controle pela versão ativa da ABNT ISO/IEC 27002:2013, que define o objetivo da política da segurança da informação. • Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação, dizendo respeito à ameaça de liberar informação não autorizada. De acordo com Machado Júnior (2018, p. 60), “Esse requisito busca garantir o acesso somente com autorização, ou seja, para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização”. • Integridade se refere à informação não ser adulterada. Portanto, a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação (o proprietário), objetivando proteger a informação de qualquer tipo de alteração (acidental, intencional ou indevida). “Este requisito busca garantir que a informação não sofra alterações indevidas” (MACHADO JÚNIOR, 2018, p. 62). • Disponibilidade se refere à informação estar disponível, independente do seu desígnio. Portanto, é necessário certificar de que a informação e os seus ativos se encontrem acessíveis para os usuários autorizados (legítimos) de maneira devida (MACHADO JÚNIOR, 2018). NOTA TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 7 QUADRO 1 – PROPRIEDADES DA INFORMAÇÃO PROPRIEDADE DESCRIÇÃO Autenticidade A autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que a informação é de fato oriunda de determinada fonte, garantindo que a informação foi criada, expedida, alterada, removida por determinado órgão, sistemas ou entidade. Irretratabilidade ou não repúdio A irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação, como por exemplo: assinar ou mesmo criar um documento ou arquivo. Segundo Machado Júnior (2018, p. 70), o não repúdio é a “[...] capacidade do sistema para provar legalmente uma ocorrência/não ocorrência de um evento ou participação/não participação [...]” dele. Responsabilidade A responsabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei, ou seja, esse princípio se refere a ser responsável pelas ações realizada no manuseio das informações. Confiabilidade A confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. De acordo com Machado Júnior (2018, p. 70), “O objetivo da confiabilidade refere-se à necessidade de autorização para que determinada informação ou dado seja disponibilizado e a privacidade refere-se à possibilidade de controle das informações ou dados por parte do próprio usuário”. Auditabilidade Segundo Machado Júnior (2018, p. 70), “[...] capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente”. Privacidade Para Machado Júnior (2018, p. 70), “[...] um sistema deve obedecer à legislação (em termos de privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas informações pessoais”. FONTE: A autora De acordo com Dantas (2011, p. 15): A autenticidade e confiabilidade estão interligadas. A primeira diz respeito à idoneidade da fonte, isto é, digna de fé e confiança, e a segunda ao seu conteúdo. A avaliação da fonte para a sua autenticidade pode ser feita com relação à sua idoneidade, como, por UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 8 exemplo: completamente idônea, regularmente idônea, inidônea e cuja idoneidade não se pode avaliar. E a avaliação da confiabilidade pode ser feita com relação ao seu conteúdo, como, por exemplo: confirmação por outras fontes, por ser verdadeira, duvidosa ou improvável. Dessa forma, a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser. A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente, e expressa uma verdade. O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu, e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário. Portanto, para conseguirmos alcançar a segurança da informação é necessário utilizar um conjunto de práticas e atividades, incluindo: a definição e elaboração de processos, procedimentos, conscientização e treinamento de colaboradores, uso de ferramentas de monitoramento e controle, Políticas de Segurança da Informação (PSI), Plano de Conscientização em Segurança da Informação (PCSI) e afins (TORRES, 2015). 2.1 ATIVOS DE INFORMAÇÃO A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. Torres (2015) também coloca outros ativos, como: pessoas e suas qualificações/experiências; os ativos de software, como o caso de ferramentas, sistemas, aplicativos etc.; ativos físicos, como o caso de equipamentos de comunicação e computacionais, mídias removíveis etc.; serviços de forma geral como refrigeração, eletricidade, iluminação etc.; e os ativos intangíveis como a reputação da organização. Torres (2015, p. 12) coloca que: Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma corretaproteção, torna-se importante conhecer o que seria a Gestão de Ativos. Como princípio básico, é recomendado que todo ativo seja identificado e documentado pela organização. A cada um deles deve-se estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles. Controles estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário. O que precisamos proteger? Devemos proteger tudo que tiver algum valor para o negócio da organização, ou seja, os ativos da informação. ATENCAO TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 9 Para que os ativos da informação sejam utilizados com segurança e estejam seguros é necessário que os colaboradores estejam cientes da importância de algum dos ativos da organização, assim como saberem do impacto causado caso o ativo da organização não seja protegido. Desta forma, é necessário que a informação seja classificada. Assunto que trataremos no item seguinte deste tópico. 2.2 VULNERABILIDADES DA INFORMAÇÃO A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. “Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente ou má configuração dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim, uma informação não confiável” (TORRES, 2015, p. 13). Coelho, Araújo e Bezerra (2014, p. 3) ainda colocam que: [...] qualquer fraqueza que possa ser explorada e comprometer a segurança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Vulnerabilidades são falhas que permitem o surgimento de deficiências na segurança geral do computador ou da rede. Configurações incorretas no computador ou na segurança também permitem a criação de vulnerabilidades. A partir dessa falha, as ameaças exploram as vulnerabilidades, que, quando concretizadas, resultam em danos para o computador, para a organização ou para os dados pessoais. Assim, caso isso aconteça, os princípios da segurança da informação são rompidos. Desta forma, Coelho, Araújo e Bezerra (2014) colocam que é necessário identificar as vulnerabilidades existentes, como as apresentadas no QUADRO 2. Classificação da Informação é o processo para definir a sensibilidade da informação e quem tem acesso a essa informação, permitindo assim definir níveis e critérios de acesso que garantam a segurança da informação. Vide ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para classificação, rotulação e tratamento da informação., que para proteger corretamente as informações, é necessário que exista uma forma de avaliar a importância das informações e de saber quais pessoas podem ter acesso ao seu conteúdo. FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa – RNP/ESR, 2014 IMPORTANT E UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 10 QUADRO 2 – EXEMPLOS DE VULNERABILIDADE VULNERABILIDADE DESCRIÇÃO Físicas Instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio (SÊMOLA, 2003). Naturais Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc. De acordo com Dantas (2011, p. 26), “Organizações situadas nessas áreas vulneráveis devem manter um excelente gerenciamento de continuidade de negócios, uma vez que esses eventos independem de previsibilidade e da vontade humana.”. Hardware Dantas (2011, p. 27) coloca que “Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração [...]” deles. Sêmola (2003) exemplifica com: falha nos recursos tecnológicos como desgaste, obsolescência, má utilização ou erros durante a instalação. Software “As vulnerabilidades de softwares são constituídas por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede” (DANTAS, 2011, p. 27). Para Sêmola (2003), erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. Meios de armazenamento “Os meios de armazenamento são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: disquetes; CD ROM; fita magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está registrado em papel” (DANTAS, 2011, 28). Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas. De acordo com Dantas (2011, p. 28), “As suas vulnerabilidades advêm de prazo de TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 11 validade e expiração, defeito de fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo etc.” Comunicação “Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29). Os principais aspectos se relacionam com a qualidade do ambiente que foi preparado para o tráfego, tratamento, armazenamento e leitura das informações. Outro ponto se refere à inexistência de sistemas de criptografia nas comunicações; a escolha errônea dos sistemas de comunicações que são utilizados para enviar mensagens; as conexões a redes múltiplas; os protocolos de rede não criptografados; os protocolos desnecessários permitidos; a falta de filtragem entre os segmentos da rede; acessos não autorizados ou perda de comunicação (DANTAS, 2011, SÊMOLA, 2003). Humanas “As vulnerabilidades humanas constituem a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade” (DANTAS, 2011, p. 28). Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras são exemplos de vulnerabilidade humana. Dantas (2011, p. 28) complementa que “Sua origem pode ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um; falta de consciência de segurança diante das atividades de rotina; erros; omissões; descontentamento; desleixo na elaboração e segredo de senhas no ambiente de trabalho; não utilização de criptografia na comunicação de informações de elevada criticidade, quando possuídas na empresa”. FONTE: A autora 2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Primeiramente, entendemos o conceito de segurança da informação e que ela está baseada nos pilares da confidencialidade, integridade e disponibilidade, bem como em outras propriedades que possibilitam que os ativos da informação sejam resguardados conforme a sensibilidade e criticidade para o negócio. Mas, contra quem deve ser protegido? Das ameaças! UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 12 Coelho, Araújo e Bezerra (2014, p. 3) colocam que ameaça é “[...] qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”. Essas ameaças podem ser tanto propositais, causadas por uma pessoa,podendo trazer consequências ao sistema, ao ambiente ou mesmo no ativo da informação; ou podem ser acidentais (COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003). As ameaças acidentais dizem respeito aos desastres naturais, são falhas de hardware, erros de programação etc. Já as ameaças propositais se referem às fraudes, roubos, invasões etc., podendo ser do tipo ativa ou passiva. A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito à invasão e/ou ao monitoramento, em que os dados não são alterados (COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003). As ameaças ainda podem ser classificadas quanto à intencionalidade, podendo ser naturais, que são decorrentes de fenômenos da natureza; involuntária, que basicamente ocorrem por não se ter conhecimento, ou seja, uma ameaça sem consistência; e as voluntárias, que dizem respeito a ser causada de forma proposital ou intencional por algum agente humano, como: espiões, invasores, hackers, incendiários, bem como quem cria e dissemina os vírus de computador (COELHO; ARAÚJO; BEZERRA, 2014, SÊMOLA, 2003). Dantas (2011) traz as seguintes ameaças apresentadas nas pesquisas de segurança da informação: • Vírus, worm, cavalo de Troia ou também conhecido como trojan horse. • Phishing, pharming e spyware. • Adware; spam. • Roubo de dados confidenciais da organização e de cliente, da propriedade da informação e da propriedade intelectual. • Acesso não autorizado à informação. • Perda de dados de clientes. • Roubo de laptop, portáteis e de hardware. • Má conduta e acesso indevido à rede por colaboradores e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless. • Ataque de negação de serviço, invasão de sistemas e da rede. • Acesso e utilização indevida da internet e dos recursos dos sistemas de informação. • Degradação da performance, destruição e/ou rede e Web site mal configurados. • Software de má qualidade, mal desenvolvido e sem atualização. “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas” (DANTAS, 2011, p. 30). ATENCAO TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 13 • Fraude financeira e de telecomunicações. • Interceptação de telecomunicação, seja de voz ou de dados, e espionagem. • Sabotagem de dados e da rede. • Desastres naturais. • Cyber-terrorismo. Destas ameaças, Dantas (2011) observa que é necessário prestarmos atenção aos códigos maliciosos, destacando principalmente os vírus, por exemplo: cavalo de troia, adware e spyware, backdoors, keyloggers, worms, bots e botnets e rootkits, que estão descritos no Quadro 3 para que você possa fixar melhor esses conceitos e saber a diferenciá-los. QUADRO 3 – EXEMPLOS DE CÓDIGOS MALICIOSOS CÓDIGO MALICIOSO DESCRIÇÃO Vírus É um programa ou parte de um programa de computador, o qual se propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de computador. O vírus depende da execução do programa ou do hospedeiro para ser ativado. Cavalo de Troia É um programa que executa funções maliciosas sem o conhecimento do usuário. Normalmente, esse código é recebido como um presente. São exemplos de cavalo de troia, cartão virtual, prêmios, fotos, protetor de tela etc. O seu nome é oriundo da mitologia grega. Adware É um tipo de software projetado para apresentar propagandas, seja por meio de um navegador, seja com algum outro programa instalado em um computador. Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Worm É um programa capaz de se propagar de forma automática por meio de redes, enviando cópias de si mesmo de computador para computador. Difere do vírus por não embutir cópias de si mesmo em outros programas ou arquivos. Bot É um programa capaz se propagar de maneira automática, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Geralmente, o bot se conecta a um servidor de Internet Relay Chat (IRC) e entra em um canal determinado, também conhecido como uma sala, esperando as instruções do invasor, monitorando as mensagens que estão sendo enviadas para UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 14 esse canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por sequências especiais de caracteres, que são interpretadas pelo bot. Tais sequências de caracteres correspondem a instruções que devem ser executadas pelo bot, Botnets São as redes formadas por computadores infectados com bots. Essas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo: para enviar centenas de milhares de e-mails de phishing ou spam; para desferir ataques de negação de serviço etc. Roorkits É um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido. FONTE: Dantas (2011, p. 37-38). Para saber mais sobre os golpes e os ataques na internet faça a leitura complementar desta unidade. O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. ESTUDOS FU TUROS IMPORTANT E TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 15 A Figura 2 traz os principais tipos de ataques causadas por estas ameaças aqui expostas, referente a uma pesquisa de risco de segurança TI no ano de 2017. Pela referida figura é possível perceber que até 49% das organizações em todo o mundo relataram ter sido atacadas por vírus e Malware, um aumento de 11% em comparação com os resultados do ano anterior desta pesquisa. Das organizações que sofreram incidentes com vírus e Malware, pouco mais da metade (53%) deles considera os colaborados descuidados/ desinformados e mais de um terço (36%), considera que o engenheiro social/phishing contribuiu para a ameaça (KASPERSKY LAB, 2020). FIGURA 2 - VÍRUS E MALWARE FONTE: KASPERSKY LAB (2020, p. 1) Você está familiarizado com o termo engenharia social? Abordaremos esse tema no Tópico 2 desta unidade de estudo. ESTUDOS FU TUROS 2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO Ataque é “[...] qualquer ação que comprometa a segurança de uma organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). “O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Segundo Coelho, Araújo e Bezerra (2014, p. 4) existem quatro modelos de ataque possíveis, que estão demonstrados no Quadro 4, podendo ser do tipo passivo ou do tipo ativo, como exemplificado no Quadro 5. UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 16 QUADRO 4 – MODELOS DE ATAQUE MODELO DE ATAQUE DESCRIÇÃO Interrupção O modelo de ataque de interrupção ocorre “[...] quando um ativo é destruído ou torna-se indisponível (ou inutilizável), caracterizando um ataque contra a disponibilidade. Por exemplo, a destruição de um disco rígido” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Interceptação O modelo de ataque de interceptação ocorre “[...] quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade. Por exemplo, cópia não autorizada de arquivos ou programas” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Modificação O modelo de ataque de modificação ocorre “[...] quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador) e ainda alterado, caracterizando um ataque contra a integridade. Por exemplo, mudar os valores em um arquivo de dados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Fabricação O modelo de ataque de fabricação ocorre “[...] quando uma parte não autorizada (pessoa, programa ou computador) insere objetosfalsificados em um ativo, caracterizando um ataque contra a autenticidade. Por exemplo, a adição de registros em um arquivo” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). FONTE: A autora QUADRO 5 – TIPOS DE ATAQUE ATAQUE DESCRIÇÃO Passivo O ataque passivo é baseado “[...] em escutas e monitoramento de transmissões, com o intuito de obter informações que estão sendo transmitidas. A escuta de uma conversa telefônica é um exemplo dessa categoria. Ataques dessa categoria são difíceis de detectar porque não envolvem alterações de dados; todavia, são possíveis de prevenir com a utilização de criptografia” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Ativo O ataque ativo envolve “[...] modificação de dados, criação de objetos falsificados ou negação de serviço, e possuem propriedades opostas às dos ataques passivos. São ataques de difícil prevenção, por causa da necessidade de proteção completa de todas as facilidades de comunicação e processamento, durante o tempo todo. Sendo assim, é possível detectá-los e aplicar uma medida para recuperação de prejuízos causados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). FONTE: A autora TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 17 A Figura 3 traz os tipos de ataques relatados em pesquisa de risco de segurança de TI no ano de 2017 (dados globais), enquanto a Figura 4 demonstra que mais de um em cada quatro (27%) negócios sofreu ataques ativos, um aumento de 6% quando comparado ao ano anterior da pesquisa. Dessas organizações atacadas, mais de um quarto (28%) acredita que a engenharia social/phishing contribuiu para o ataque (KASPERSKY LAB, 2020). FIGURA 3 - TIPOS DE ATAQUES RELATADOS NA PESQUISA DE RISCO DE SEGURANÇA DE TI FONTE: KASPERSKY LAB (2020, p. 1) FIGURA 4 - ATAQUES ATIVOS FONTE: Kaspersky Lab (2020, p. 1) 2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados, bem como possivelmente comprometem as operações do negócio da organização, UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 18 ameaçando a segurança da informação. Desta forma, podemos dizer que um incidente de segurança é qualquer evento fora do comum referente à segurança; “[...] por exemplo, ataques de negação de serviços (Denial of Service – DoS), roubo de informações, vazamento e obtenção de acesso não autorizado a informações” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2). A ABNT NBR ISO/IEC 27035:2011 fornece orientações quanto ao gerenciamento de incidentes em segurança da informação. Resumidamente, o escopo da norma traz as atividades de: (i) detectar, relatar e avaliar os incidentes de segurança da informação; (ii) responder e gerenciar incidentes de segurança da informação; (iii) melhorar continuamente a segurança da informação e o gerenciamento de incidentes. Torres (2015, p. 17) ainda coloca que “[...] um incidente pode ou não trazer um impacto, sendo este último mensurado pela consequência que esta causa ao ativo da organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa”. Portanto, é importante que é a gestão dos incidentes de segurança da informação sejam devidamente tratados, pois a sua falta pode trazer danos consideráveis para o negócio da organização. A Figura 5 traz a pesquisa de risco de segurança de TI realizada mundialmente no ano de 2017, na qual é possível perceber que colaboradores descuidados ou desinformados, por exemplo, são a segunda causa mais provável de uma grave violação de segurança, perdendo somente para Malware. Além disso, em 46% dos incidentes de segurança cibernética no último ano, colaboradores descuidados/ uniformizados contribuíram para o ataque (KASPERSKY LAB, 2020). FIGURA 5 - PESQUISA DE RISCOS DE SEGURANÇA DE TI FONTE: Kaspersky Lab (2020, p. 1) TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 19 O erro humano da equipe não é o único ataque realizado, pelo qual as organizações estão sendo vítimas. No último ano, a equipe interna também causou problemas de segurança por meio de ações maliciosas, com 30% dos eventos de segurança nos últimos 12 meses, envolvendo pessoas trabalhando contra seus próprios colaboradores. Entre as organizações que enfrentaram incidentes de segurança cibernética nos últimos 12 meses, uma em cada dez (11%), os tipos mais graves de incidentes envolvem colaboradores descuidados (KASPERSKY LAB, 2020). 2.6 IMPACTO E PROBABILIDADE Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17). Desta forma, as probabilidades, as vulnerabilidades e as ameaças se entrelaçam, ou seja, possuem uma forte ligação. Resumidamente, podemos dizer que as probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça. A Figura 6 traz essas relações, exemplificando de uma maneira gráfica as relações e os relacionamentos entre os conceitos apresentados de ativos de informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança e probabilidade e impacto. FIGURA 6 - RELACIONAMENTO ENTRE CARACTERÍSTICAS DOS ATIVOS DA INFORMAÇÃO FONTE: Torres (2015, p. 18) UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 20 3 CLASSIFICAÇÃO DA INFORMAÇÃO Para que os colaboradores da organização possam ter um comportamento se- guro e devido da informação, é necessário que haja uma maneira de avaliar a impor- tância da informação, assim como quem pode ter acesso ao conteúdo dessas infor- mações. Dessa forma, a informação precisa ser classificada, visto que a classificação da informação contribui para a manutenção dos princípios básicos da informação. Segundo Dantas (2011, p. 15), ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a organização”. Schneider (2015, p. 38) complementa que “O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo: Restrita, Confidencial, Interna e Pública”. Outra classificação ainda utilizada diz respeito à informação ser classificada como confidencial, restrita, interna e pública. As classificações são afins pedagógicos, pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente, para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles. Segundo Schneider (2015, p. 38), “Apesar de não ser obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização”, como os aqui colocados no Quadro 6 e, em seguida, colocamos o roteiro de Schneider (2015) baseado na ABNT NBR ISO/IEC 27002: 2013, de como realizar a classificação da informação. QUADRO 6 – CLASSIFICAÇÃO DA INFORMAÇÃO CLASSIFICAÇÃO DESCRIÇÃO Confidencial A informação confidencial diz respeito a ela não ser divulgada sem autorização, podendo causar impactos de imagem, em âmbitos financeiros e/ou operacional, assim como sanções administrativas, criminosas e civis. A informação confidencial está restrita a um determinado grupo de pessoas. Portanto, é vital que as organizações tenham um programa de conscientização em segurança para garantir que os colaboradores estejam cientes da importância de proteger informações confidenciais, e o que devem fazer para lidar com informações com segurança e os riscos de manipular informações incorretamente. A compreensão dos colaboradores das consequências organizacionais e pessoais do manuseio incorreto de informações confidenciais é crucial para o sucesso de uma organização.Exemplos de possíveis consequências podem incluir multas aplicadas à organização, danos à reputação da organização e dos colaboradores e impacto no trabalho de um colaborador. É importante colocar em perspectiva o dano organizacional em potencial para o pessoal, detalhando como esse dano à organização pode afetar seus próprios papéis. TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 21 Restrita A informação é classificada como restrita por ser considerada um ativo “[...] para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos. O acesso a este conteúdo por pessoas ou processos não autorizados, pode gerar perdas para a organização. Entretanto, são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho. As informações podem se manter como restritas por longos prazos, devido a isso o planejamento do armazenamento deve prever todo o período, o acesso, o transporte, e o descarte, também não podem ser negligenciados” (SCHNEIDER, 2015, p. 38). Interna A informação interna é referente à organização não ter interesse de divulgar a informação, contudo, ela é fundamental para as pessoas internas da organização. Para Schneider (2015, p. 16), “As informações internas, não devem extrapolar o ambiente da organização, não representa ameaça significativa, mas o vazamento deve ser evitado. São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades, este é considerado o menor grau de restrição ao acesso aos dados, porém ainda são informações que teve ter sua consulta identificada e autorizada, além de todos os demais ciclos da vida da informação observados”. Pública A informação pública possui tanto uma linguagem quanto um formato feito à divulgação do público em geral. Essa informação tem um caráter informativo, promocional ou comercial. “Pública são todas as demais informações que no geral já são de conhecimento geral, interno e externo, que não apresente nenhum risco para a organização e seus intervenientes, estas informações podem ser divulgadas, sendo que a organização pode ter como objetivo a divulgação, e obter o alcance de um grande número de pessoas ou processos ciente da informação” (SCHNEIDER, 2015, p. 38). FONTE: A autora 3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/ IEC 27002:2013) 1. Nomear e identificar a informação a ser classificada. 2. Identificar os controles associados a informação. 3. Identificar os proprietários e responsáveis pela informação. 4. Criar um critério que atendam a necessidade da organização. UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 22 • A descrição da classificação deve ser clara, fazendo sentido no contexto. • A forma de classificação deve permitir que todas as pessoas envolvidas tenham o mesmo entendimento, aplicando o mesmo critério. • Recomenda classificar conforme sua confidencialidade, integridade, disponibilidade e valor. 5. Aplicar a classificação da informação. 6. Formalizar a classificação adotada na organização. Como nossa contribuição para provocar o processo de classificação, sugerimos algumas questões que poderão servir de base para elaboração de um questionário ou um quadro com pesos definidos a cada questão, objetivando a padronização no enquadramento da informação dentro dos critérios de classificação apresentados. 1) Valor • Qual é o grau de exclusividade? • Qual é o nível de confiabilidade da fonte? • Qual é a quantidade de informações acessórias que a acompanham? • Qual é o grau de interesse de terceiros? • Qual é a quantidade de terceiros interessados? • Qual é a importância da informação para a organização? 2) Confidencialidade • A informação é pública? • Sua divulgação causa algum dano ou prejuízo? • A divulgação causa constrangimento ou inconveniência operacional? • Sua divulgação tem impacto significativo nas operações ou objetivos táticos? • Sua divulgação causa alguma sansão ou punição? • Qual é a validade? 3) Disponibilidade • Quem ou a que processo pode ter acesso? • Qual é o prazo máximo para a entrega? • Qual é o meio para solicitar? • Qual é o meio para entrega? • O prazo de disponibilidade está sujeito a regulamentação externa? • Quais são os riscos de físicos de vazamento? • Quais são os riscos lógicos de vazamento? • Quais são os riscos humanos de vazamento? 4) Integridade • Quais são os dados que compõem a informação? TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 23 • A fonte da informação é identificada e confirmada? • Em que mídia é disponibilizada a informação? • Em que mídia é armazenada a informação? • Como é feito o transporte? • Como são identificados os emissores e receptores? • Como é verificado se o destinatário recebeu? • Como é verificado se a informação entregue foi exatamente a mesma emitida? • Como é realizado o descarte? • O é verificado que o descarte foi realizado conforme determinado. A seriedade adotada atribui mais chances de a organização ser bem- sucedida na proteção das informações. O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional. FONTE: SCHNEIDER, Carlos Alberto. Capítulo 4 – Classificação dos Ativos da Informação, do Livro: Governança da Segurança da Informação. Edição do Autor. Brasília, 2015, p. 37-45. 24 Neste tópico, você aprendeu que: • A informação está presente nas organizações em diferentes formatos: impressa, eletrônica, falada, vídeo, imagem etc., assim como a informação pode ser transmitida por voz ou por correio eletrônico. • A informação precisa ser protegida independente do seu tipo e formato. • As informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques, de erros, de natureza, assim como elas estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação. • Os erros podem ser intencionais ou não intencionais. • As ameaças de natureza podem ser do tipo de incêndio, enchente e afins. • A informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura. • A informação precisa ser disponibilizada de maneira precisa, completa e em tempo hábil para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios. • Ativo é tudo que tem valor para uma organização, podendo ser tangível ou intangível e de maneira lógica, física ou humana. • O termo segurança da informação, geralmente, é baseado em informações consideradas como um ativo, que possui um valor que exige proteção adequada, como contra a perda de Confidencialidade, Integridade e Disponibilidade (CID). • A Confidencialidade, Integridade e Disponibilidade (CID) formam os três pilares ou três princípios básicos da segurança da informação. • Os três princípios da segurança da informação também são conhecidos com a tríade CID ou CIA-triad, em referência aos termos Confidentiality, Integrity e Avalability. • O princípio da Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação, dizendo respeito à ameaça de liberar informação não autorizada. • O princípio da Confidencialidade tem como objetivo “[...] garantir o acesso somente com autorização, ou seja, para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização” (MACHADO JÚNIOR, 2018, p. 60). RESUMO DO TÓPICO 1 25 • O princípio da Integridade se refere à informação não ser adulterada. Portanto, a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação (o proprietário), objetivando proteger a informação de qualquer tipo de alteração (acidental, intencional ou indevida). • O princípio da integridade tem como objetivo garantir que a informação não sofra alterações indevidas. • O princípio da Disponibilidadese refere à informação estar disponível, independente do seu desígnio. • Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. • A Autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que a informação é de fato oriunda de determinada fonte, garantindo que a informação foi criada, expedida, alterada, removida por determinado órgão, sistemas ou entidade. • A Irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação, como por exemplo: assinar ou mesmo criar um documento ou arquivo. • A Responsabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei. • A Confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. • A Privacidade se refere ao sistema “[...] obedecer à legislação (em termos de privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas informações pessoais” (MACHADO JÚNIOR, 2018, p. 70). • A Auditabilidade se refere a, “[...] capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente” (MACHADO JÚNIOR, 2018, p. 70). • Devemos proteger tudo que tiver algum valor para o negócio da organização, ou seja, os ativos da informação. • A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. • A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. • As vulnerabilidades podem ser físicas, naturais, hardware, software, meios de armazenamento, comunicação, humana. 26 • A vulnerabilidade física está relacionada às instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio. • A vulnerabilidade natural se refere a que os computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc. • A vulnerabilidade de hardware está relacionada aos possíveis defeitos de configuração ou de fabricação dos equipamentos, permitindo que eles sejam atacados ou alterados. • A vulnerabilidade de software é referente todo e qualquer aplicativo que possui algum ponto fraco, permitindo acessos indevidos. • A vulnerabilidade de meios de armazenamento é referente a tudo que der suporte ao armazenamento da informação. • A vulnerabilidade de comunicação inclui “[...] todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29). • A vulnerabilidade humana constitui “[...] a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade” (DANTAS, 2011, p. 28). • “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas” (DANTAS, 2011, p. 30). • As ameaças podem ser propositais ou acidentais. • As ameaças propositais são causadas por uma pessoa, podendo trazer consequenciais ao sistema, ao ambiente ou mesmo no ativo da informação. • As ameaças acidentais dizem respeito aos desastres naturais, são falhas de hardware, erros de programação etc. • As ameaças propositais se referem as fraudes, roubos, invasões etc., podendo ser do tipo ativa ou passiva. • A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito a invasão e/ou monitoramento, em que os dados não são alterados. • Dentre as ameaças existentes é necessário prestarmos atenção sobre os códigos maliciosos, destacando principalmente os vírus. • O vírus é um programa ou parte de um programa de computador, o qual se propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de computador. • O cavalo de troia é um programa que executa funções maliciosas sem o conhecimento do usuário. 27 • O Adware é um tipo de software projetado para apresentar propagandas, seja por meio de um navegador, seja com algum outro programa instalado em um computador. • Keyloggers são programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. • Worm é um programa capaz de se propagar de forma automática por meio de redes, enviando cópias de si mesmo de computador para computador. • Bot é um programa capaz se propagar de maneira automática, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. • Botnets são as redes formadas por computadores infectados com bots. • Roorkit é um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido. • O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. • Ataque é “[...] qualquer ação que comprometa a segurança de uma organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). • “O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). • O ataque pode ser do tipo ativo ou passivo e que podem existir quatro modelos de ataques: interrupção, interceptação, modificação e fabricação. • Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados, bem como possivelmente comprometem as operações do negócio da organização, ameaçando a segurança da informação. • Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17). • As probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça. • A informação precisa ser classificada e essa classificação contribui para a manutenção dos princípios básicos da segurança. • Ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a organização” (DANTAS, 2011, p. 15). 28 • As classificações são a fins pedagógicos, pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente, para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles. • A informação pode ser classificada como confidencial, restrita, interna e pública. • A informação confidencial diz respeito a ela não ser divulgada sem autorização, podendo causar impactos de imagem, em âmbitos financeiros e/ ou operacional, assim como sanções administrativas, criminosas e civis. • A informação é classificada como restrita por ser considerada um ativo “[...] para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos” (SCHNEIDER, 2015, p. 38). • O acesso ao conteúdo da informação restrita “[...] por pessoas ou processos não autorizados, pode gerar perdas para a organização” (SCHNEIDER, 2015, p. 38). • A informação interna é referente a organização não ter interesse de divulgar a informação, contudo, ela é fundamental para a pessoas internas da organização. • A informação pública possui tanto uma linguagem quanto um formatofeito à divulgação do público em geral. • A seriedade adotada ao classificar as informações atribui mais chances de a organização ser bem-sucedida na proteção das informações. • O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional. 29 1 Os três princípios básicos da segurança da informação são: Confidencialidade,Integridade e Disponibilidade (CID). Este conjunto é conhecido como o tripé da segurança da informação aqui no Brasil e internacionalmente conhecido como “CIA-triad”, devido aos termos Confidentiality, Integrity e Avalability. No contexto apresentado, analise as sentenças a seguir e indique a afirmativa com a ordem CORRETA das definições: I - Garantir que somente os usuários autorizados tenham acesso à informação. II - Garantir que a informação não seja adulterada indevidamente. III - Garantir que a informação esteja disponível, independente do seu desígnio. a) ( ) Confidencialidade – Integridade – Disponibilidade. b) ( ) Confidencialidade – Disponibilidade– Integridade. c) ( ) Integridade – Confidencialidade – Disponibilidade. d) ( ) Disponibilidade – Confidencialidade – Integridade. 2 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto. Ambiente que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de e-mail, uma área específica de uma organização, um servidor de banco de dados, um cofre e afins são exemplos de confidencialidade. Qual recurso pode ser utilizado para aprimorar a confidencialidade? a) ( ) Criptografia. b) ( ) Malware. c) ( ) Spam. d) ( ) Notificação. 3 Ao longo dos anos, outros modelos sugiram baseados na tríade Confidencialidade, Integridade e Disponibilidade (CID) e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. Com relação às propriedades adicionadas, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: ( ) A autenticidade visa garantir a verdadeira autoria. ( ) A irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação. ( ) A responsabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. ( ) A confiabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei. Assinale a alternativa com a sequência CORRETA: AUTOATIVIDADE 30 a) ( ) V – F – V – F. b) ( ) V – V – F – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 4 A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. Além desses ativos, existem outros ativos. Com relação a esses outros ativos, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Os ativos de software são aqueles como ferramentas, sistemas, aplicativos etc. ( ) Os ativos físicos dizem respeito a reputação da organização. ( ) Os ativos intangíveis se referem aos equipamentos de comunicação e computacionais, mídias removíveis etc. ( ) Os ativos de serviços de forma geral estão relacionados a refrigeração, eletricidade, iluminação etc. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) V – F – F – V. 5 A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. Precisamos saber identificar nossas vulnerabilidades, devido a elas comprometerem os princípios da segurança da informação são rompidos. Com relação às possíveis vulnerabilidades, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de ex- plosões, vazamento ou incêndio são exemplos de vulnerabilidades naturais. ( ) Falha nos recursos tecnológicos como desgaste, obsolescência, má utilização ou erros durante a instalação são exemplos de vulnerabilidade de software. ( ) Discos, fitas, relatórios e impressos podem ser perdidos ou danificados são exemplos de vulnerabilidades de meios de armazenamento. ( ) A inexistência de sistemas de criptografia nas comunicações; a escolha er- rônea dos sistemas de comunicações que são utilizados para enviar men- sagens são exemplos de vulnerabilidades de comunicação. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) F – F – V – V. c) ( ) F – V – V – F. d) ( ) V – F – V – F. 31 TÓPICO 2 — UNIDADE 1 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 1 INTRODUÇÃO Em cibernética, o elemento humano é considerado o elo mais fraco da segurança, contudo, há formas significativas de reduzir o risco. De fato, os ataques estão presentes no cotidiano das pessoas e das organizações, sendo necessário que os colaboradores se tornem firewalls humanos. Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas. Os fatores humanos acabam ficando em segundo plano. “Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). O fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade CID, devido a, “[...] o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança da informação” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). A tecnologia sozinha não pode ser a solução. Segundo Rabelo Júnior e Vieira (2015, p. 47), “A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação”. Quando uma organização incorpora a cultura da segurança da informação, as ameaças de hoje, e os emergentes de amanhã não parecerão mais tão ameaçadores. “Esta cultura não pode ficar restrita às organizações, é um trabalho cujo resultado positivo é certo, mas não é imediato e requer planejamento” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). As pessoas geralmente mudam a maneira de se portarem quando estão em situações de risco, e suas decisões são fundamentadas em situações que exigem confiança. Rabelo Júnior e Viera (2015, p. 47) colocam que “A engenharia social se aproveita dessas brechas e da falta de consciência com relação à segurança”. A informação é o melhor jeito de enfrentar a engenharia social. Dessa forma, os colaboradores de uma organização precisam estar bem informados referente à engenharia social. Mas afinal de contas, o que é a engenharia social? 32 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 2 ENGENHARIA SOCIAL A associação dos termos engenharia e social contêm um sentido diferenciado referente à segurança da informação. Esses termos juntos concebem a forma que os engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira fácil e sem que as estas pessoas se deem conta. Pode-se dizer que o termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas, enfatizando a interação humana. Além disso, a engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança
Compartilhar