Artigo Cientifico do COMPORTAMENTO HUMANO fator de risco na segurança da tecnologia e da informação

Prévia do material em texto

COMPORTAMENTO HUMANO: fator de risco na segurança da tecnologia e da informação. (NPG 2085/5392887)9010
Jerferson Souza Da Cunha
	
Resumo
O objetivo geral será analisar através de revisão bibliográfica o comportamento humano e o fator de risco na segurança da tecnologia e da informação. Este artigo tenta despertar que não é suficiente investimentos altos com maquinários, tecnologias, software, armazenamento em nuvens, bloqueio de Malware, pois apenas eles não garantem a segurança total aos dados. É preciso uma percepção concatenado sobre a importância do fator humano para minimizar erros, riscos e vazamento dos dados sigilosos através da segurança da informação. O método de revisão bibliográfica permite incluir pesquisas experimentais e não experimentais, obtendo a combinação de dados empíricos e teóricos que podem direcionar à definição de conceitos, identificação de lacunas nas áreas de estudos, revisão de teorias e análise metodológica dos estudos sobre um determinado tópico. Este método exige recursos, conhecimentos e habilidades para o seu desenvolvimento.
Palavras-chave: Segurança da Tecnologia; Comportamento Humano; Segurança da Informação.
Introdução
O comportamento humano é o objeto principal de observação dentro das organizações, onde o homem possui a vontade de alimentar seus instintos, culpas, medos, curiosidades, ego, vontade de ser admirado por algo que tenha criado, realizado, contribuído, participado e na busca do novo ou na rotina de trabalho, acredita-se que o erro nunca acontecerá com ele, tornando-o frágil ao fracasso, devido ao comportamento humano, pela falta de ação, omissão ou no seu comportamento organizacional. Não transmitir os conhecimentos adquiridos, além dos riscos de serem, extintos, fraudados, transferidos, trancados na gaveta podem trazer perdas irreparáveis. Não comunicar, não escrever o conhecimento aprendido, adquiridos, podem levar uma organização ao fracasso. 
Este artigo tenta despertar que não é suficiente investimentos altos com maquinários, tecnologias, software, armazenamento em nuvens, bloqueio de Malware, pois apenas eles não garantem a segurança total aos dados. É preciso uma percepção concatenado sobre a importância do fator humano para minimizar erros, riscos e vazamento dos dados sigilosos através da segurança da informação. 
Mesmo com os maiores investimentos em segurança da informação, segurança da tecnologia, ninguém estará totalmente livre de determinados ataques, os quais se aproveitam dos pontos fraco ou frágil da segurança, quando informações importantes estão com pessoas não autorizadas, essas informações vazam ou mesmo pelos erros naturais do ser humano. 
Desse modo, existe a necessidade de aumentar a segurança e investimento não somente na segurança da informação, segurança da tecnologia, mas também, na comunicação, integridade, confidencialidade das informações atrelados ao comportamento humano, podemos trazer muitos resultados positivos para multinacionais e gestores que se preocupam na valorização do comportamento humano.
Estar alerta pode ajudá-lo a se proteger contra a maioria dos ataques de engenharia social que ocorrem no mundo digital. Além disso, algumas dicas podem ajudar a melhorar sua vigilância em relação a Hicks de engenharia social. Não abra e-mails e anexos de fontes suspeitas. Mesmo que você os conheça e desconfie da mensagem, cruze e confirme as notícias de outras fontes, como por telefone ou diretamente do site de um provedor de serviços. Lembre-se de que endereços de e-mail são falsificados o tempo todo; até mesmo um e-mail supostamente vindo de uma fonte confiável pode ter sido iniciado por um invasor. Como é o comportamento humano e o fator de risco na segurança da tecnologia e da informação?
O objetivo geral foi analisar através de revisão bibliográfica o comportamento humano e o fator de risco na segurança da tecnologia e da informação. Os objetivos específicos foram analisar o comportamento humano com a segurança da informação; relacionar os fatores de riscos n segurança da tecnologia e da informação e discutir o comportamento humano e os fatores de risco na segurança da tecnologia e da informação.
O tipo do estudo é uma revisão bibliográfica, pesquisas do tipo tem o objetivo primordial à exposição dos atributos de determinado fenômeno ou afirmação entre suas variáveis (GIL, 2018). Assim, recomenda-se que apresente características do tipo: analisar a atmosfera como fonte direta dos dados e o pesquisador como um instrumento interruptor; não agenciar o uso de artifícios e métodos estatísticos, tendo como apreensão maior a interpretação de fenômenos e a imputação de resultados, o método deve ser o foco principal para a abordagem e não o resultado ou o fruto, a apreciação dos dados deve ser atingida de forma intuitiva e indutivamente através do pesquisador (GIL, 2018).
O método de revisão bibliográfica permite incluir pesquisas experimentais e não experimentais, obtendo a combinação de dados empíricos e teóricos que podem direcionar à definição de conceitos, identificação de lacunas nas áreas de estudos, revisão de teorias e análise metodológica dos estudos sobre um determinado tópico. Este método exige recursos, conhecimentos e habilidades para o seu desenvolvimento (GIL, 2018).
Considerando a classificação proposta por Gil (2018, p. 5), pode-se afirmar que “esta proposta é mais bem representada por meio de uma pesquisa do tipo exploratória, cujo objetivo é possibilitar um maior conhecimento a respeito do problema, de modo a torná-lo mais claro ou auxiliando na formulação de hipóteses”. No entendimento do autor, o principal objetivo deste tipo de pesquisa pode ser tanto o aprimoramento de ideias, quanto a descoberta de intuições, o que o torna uma opção bastante flexível, gerando, na maioria dos casos, uma pesquisa bibliográfica ou um estudo de caso. (GIL, 2018). 
O desenvolvimento dessa revisão bibliográfica foi fundamentado conforme as seis etapas propostas por Gil (2018). São elas: 1. Identificação do tema e formulação da questão norteadora; 2. Definição dos critérios de inclusão e exclusão; 3. Definição das informações que serão extraídas dos estudos; 4. Avaliação dos estudos; 5. Interpretação dos resultados; 6. Apresentação da revisão do conhecimento.
Esta etapa foi representada pelo estabelecimento de critérios para inclusão e exclusão de estudos/ amostragem ou busca na literatura. Para a busca dos artigos foram utilizadas as bases de dados: Scientific Electronic Library Online (SciELO); PUBMED. As estratégias de busca foram efetivadas, via filtros de busca, utilizando: Segurança; TI; Comportamento humano.
Como critérios de inclusão foi considerado todos os artigos publicados nas bases de dados informadas, dentro da temporariedade prevista 2013 a 2020 com texto completo disponível, publicados em revistas indexadas e no idioma português e inglês. Critérios de exclusão foram exclusos os artigos não relacionados ao tema; artigos de opinião; relatórios; editoriais; enfim, literatura cinzenta. Artigos duplicados nos bancos de dados foram consideradas uma única versão para a análise, artigos publicados fora do tempo estabelecido e/ou que não contenha o texto na integra.
Nessa etapa é importante ter a busca nas bases de dados deve ser ampla e diversificada. O ideal é que todos os artigos encontrados sejam utilizados e os critérios de amostragem precisam garantir a representatividade da amostra, sendo importantes indicadores da confiabilidade e da fidedignidade dos resultados (GIL, 2018). 
Para conseguir realizar a categorização dos dados pesquisados, foi utilizado um método de Gil (2018): no qual é feita por meio da sequência de duas fases. Fase 1: após finalizar a busca dos dados, assim como a leitura do resumo e conclusão dos mesmos, confirmando que estes estejam dentro dos critérios de inclusão desta pesquisa, foi dado início a fase 1, no qual esta fase é utilizada uma ficha de seleção dos dados em análise. Esta ficha tem como objetivo de sintetizar esta seleção, sendo possível de visualizaros motivos de exclusão. Na fase 2, foi realizado uma leitura completa de todos os artigos/relatos, garantindo se os dados possuem o conteúdo esperado, se sim elas são introduzidas para suceder-se a análise, caso contrário são excluídas.
Depois de conferir se as publicações estão em conformidade com o objeto de pesquisa feita na etapa anterior, é o momento de partir para a discussão dos principais resultados na pesquisa convencional. Realizando a comparação com o conhecimento teórico, a identificação das conclusões e implicações resultantes da revisão, enfatizando as diferenças e similaridades entre os estudos. Se houver lacunas de conhecimento será possível apontar e sugerir novas pesquisas. Diz respeito quanto a última etapa que prediz a divulgação quanto os resultados, conclusões e limitações teóricas e metodológicas obtidas, sendo por desse que será constituído o relatório final, contendo nele as recomendações geradas através das evidências visualizadas no momento da revisão (GIL, 2018). 
Para o desenvolvimento desta pesquisa se fez necessário o uso de um computador com acesso à internet. Ainda, para ampliar a busca de artigos, foram considerados termos e palavras de texto relacionadas aos descritores supracitados.
Desenvolvimento
A segurança da informação é comumente usada para fins negativos, mas também pode ser usada como uma ferramenta de detecção de falhas. Com ele, podem ser encontrados os erros humanos nas organizações e as formas adequadas de corrigi-los. Embora tenha esse lado, a engenharia social costuma ser utilizada com fins negativos e pode causar inúmeros problemas para as organizações, sendo um dos grandes desafios dos profissionais de tecnologia da atualidade. 		
O conceito de engenharia social está diretamente ligado ao de persuasão. É um termo que se refere à manipulação psicológica de pessoas para a realização de atividades que, seguindo as boas práticas de Segurança da Informação, elas não deveriam realizar. Com essa armadilha, que requer interação humana, os criminosos podem ter acesso a dados confidenciais, provavelmente se deixando enganar pela ingenuidade de um funcionário da empresa, por exemplo. Por esse motivo, é um conceito fortemente estudado pela indústria de Segurança da Informação (ALBUQUERQUE JUNIOR; SANTOS, 2013).
Além de práticas altamente relevantes, os profissionais de tecnologia precisam buscar investimentos periódicos em segurança corporativa. Muitas empresas ainda não seguem os parâmetros de Segurança da Informação adequados e, portanto, sofrem com muitos tipos de ameaças virtuais tão prejudiciais quanto a engenharia social (ALEXANDRIA, 2019). 
	A segurança das informações são confidenciais e importante nas grandes organizações que se baseia pelo comportamento humano. Os maiores investigadores da segurança e tecnologia da informação, passam a focar no comportamento do ser humano. Essa análise de comportamento do indivíduo, em detectar ameaças no comportamento humano, é uma inteligência competitiva de mercado (BEAL, 2015).	
	Podemos proteger aparelhos eletrônicos com antivírus, filtragem de tráfego, protetor de vulnerabilidades, proteção contra-ataques direcionados com as quais soluções especializadas lidam com sensor modo automático, onde a lógica do computador reconhece bem as ameaças e é capaz de tomar decisões sobre seu bloqueio autonomamente. Ameaças humanas é uma área especifica lidar contra elas não há uma solução automatizada (BRASILIANO, 2013).		Essas ameaças são tratadas de forma integrada, concatenada com diferentes componentes da infraestrutura da tecnologia da informação, aumenta-se o conhecimento técnico dos funcionários e introduzem-se regulamentações de trabalho com informações críticas para os negócios. Ameaças são semelhantes, no entanto, todavia, diferentes funcionários e até mesmo departamentos trabalham com funcionários do departamento de tecnologia da informação cuidam das ameaças tecnológicas constantes (BASSO, 2013). 		Trabalhadores da segurança da informação cumprem pela vigilância do fator humano. Departamento de tecnologia da informação, precisam saber quais respostas e recurso de proteção estão sendo usados em uma organização. Esse questionamento da segurança é praticado por algumas instituições. É importante aumentar o grau de preparo técnica de seus colaboradores, de modo que informações privativas não venham a ser esbarradas em correios eletrônicos particular, contatos de telefones, agendas e venham a cair nas mãos de mediador. Interessante fiscalizar o fluxo de dados confidenciais que podem ser disseminados para uma empresa concorrente (COIMBRA, 2013). 				Explicações técnicas e critérios administrativos poderão impedir escapamento de informações importantes. Seguimentos provocadas por exposição podem ocorrer, as consequências causadas pelo fator humano, podem levar uma empresa a decadência. Mecanismos contra vazamentos de informações, as empresas implementam tarefas semelhantes: impedir o roubo de dados financeiros, evitar danos à reputação, manter em segredo assuntos internos, não perder a carteira de clientes, proteger os dados pessoais de funcionários e clientes. As ameaças tecnológicas podem interromper temporariamente o trabalho de uma empresa. Comunicações, contatos com os clientes, tudo isso é resolvido rapidamente (MANDRINI, 2015). 		
	Em contrapartida, um alto executivo mal-intencionado, possuindo acesso a todos os dados secretos, planos, documentos financeiros e analíticos, podendo causar não apenas sérios danos ao negócio, mas destruí-lo completamente. Imprudência de um funcionário de um de nossos clientes resultou no vazamento de dados confidenciais. Um funcionário da empresa simplesmente deixou o computador em cima da escrivaninha da sala de conferências onde havia ocorrido uma reunião com um cliente. 								O computador continha muitas informações interessantes um arquivo com ofertas comerciais para o ramo de atuação do cliente, sistemas de formação de preços, arquivo de contratos, planos etc. Um dos sistemas de proteção registrou a tentativa de download dos documentos para uma mídia externa e um grande vazamento foi evitado. No entanto, o cliente acabou visualizando dados aos quais ele não deveria ter tido acesso. Para garantir a proteção das informações da empresa é necessário desenvolver sua estratégia de segurança da informação ou seguir as recomendações abaixo, que permitem a redução de riscos. Algumas dicas podem ser usadas para manipular informações.
Análise dos resultados
Os engenheiros sociais manipulam os sentimentos humanos, como curiosidade ou medo, para executar esquemas e atrair as vítimas para suas armadilhas. Santos (2014) mostra que, portanto, tenha cuidado sempre que se sentir alarmado por um e-mail, atraído por uma oferta exibida em um site ou quando se deparar com uma mídia digital perdida. 
	Quando se trata de questões de segurança cibernética da informação, o elemento humano é tão importante quanto a própria tecnologia. Talvez ainda mais. Segundo Marciano (2016), hardware e software exigem intervenção humana regular para garantir que os dispositivos tenham as últimas atualizações, patches de segurança etc. Portanto, segundo Peixoto (2019), o elemento humano da segurança cibernética é o aspecto mais importante da postura de segurança de uma organização. Isso só pode ser alcançado com a promoção de uma cultura de segurança alcançada por meio da educação e da implementação de uma política escrita de uso digital.
Os procedimentos de segurança cibernética dependem fortemente da participação e das interações humanas, como mostra Vanca (2014), a primeira etapa de um esquema de hacking, o ponto crucial no qual a probabilidade de uma violação de dados é determinada, pode (e geralmente começa) no nível humano. O pessoal desavisado pode encontrar um hacker sem perceber, dando-lhe acesso a dados confidenciais simplesmente oferecendo uma senha de Wi-Fi ou credenciais de login.
É importante reconhecer que, segundo Coimbra (2013), é semelhante à tecnologia, os indivíduospodem estar sujeitos a confiar em fontes de má reputação. Um hacker está disposto a tirar vantagem da amplitude das vulnerabilidades de uma organização; consequentemente, os funcionários são tão vulneráveis ​​a ataques quanto as fontes de dados tecnológicos.
Por outro lado, segundo Oliveira; et al (2018), os funcionários podem baixar malware sem perceber, como por meio de downloads ilegais ou torrentes de filmes e aplicativos. Esses hábitos de navegação inseguros podem levar a uma infecção por malware e geralmente levam. Não confie em um aplicativo de verificação de e-mail ou em uma pasta de spam para impedir que as mensagens cheguem à caixa de entrada. O trabalho de um hacker vai além de explorar vulnerabilidades estritamente digitais; os bem-sucedidos procuram vulnerabilidades humanas.
Para avaliar e reagir ao perigo que os humanos representam para a segurança digital, segundo Santos (2014), é importante saber o que os “bandidos” estão fazendo. Embora os hackers externos tenham um arsenal diversificado de técnicas, existem algumas que são mais pertinentes, considerando que podem afetar qualquer funcionário de uma organização. Os hackers costumam ser chamados de “engenheiros sociais”, pois tentam manipular e enganar seus alvos para dar-lhes acesso.
Apesar de todos os danos que ocorrem na Internet e por meio dela, a plataforma também políticos, forneceu plataformas para vozes oprimidas de outra forma e conferiu poderes a regimes corruptos. Mas a engenharia social em grande escala interrompe todos esses efeitos positivos. Santos (2014) mostra que explorar a confiança humana, injetar desinformação e desinformação no discurso público legítimo e distorcer as percepções da realidade por meio da iluminação a gás pode empurrar as sociedades para a periferia.
 A verdade é questionada mais do que nunca. Tempo e recursos são retirados da cobertura legítima da mídia e, em vez disso, gastos na refutação de alegações patentemente falsas . A polarização política parece crescer, o que é um produto da verdadeira polarização ou da cobertura desproporcional da mídia sobre os extremos ou ambos (SILVA; COSTA, 2019).  
As técnicas de engenharia social são baseadas em atributos específicos da tomada de decisão humana, conhecidos como preconceitos cognitivos. Segundo Alexandria (2019) esses preconceitos, às vezes chamados de "bugs no hardware humano", são subprodutos do cérebro que toma atalhos para processar informações rapidamente. Eles são vantajosos em um sentido evolucionário, mas também nos deixam abertos à exploração por meio da engenharia social. 
O problema da Engenharia Social (SE) está evoluindo há poucos anos a um ritmo incrível. Até o final do século passado, o SE era uma forma avançada, mas de nicho, de atacar sistemas dedicados; hoje é uma metodologia dominante em crimes cibernéticos e terrorismo cibernético. O nível de complexidade dos ataques, explorando o elemento humano, é incrivelmente alto e muitas vezes a camada humana é o habilitador dos seguintes ataques tecnológicos (PEIXOTO, 2016). 
Como um exemplo explicativo, considere o ataque Pawn Storm, um dos Grupos do Crime Organizado (OCG) para explorar melhor a camada de segurança humana. Há alguns anos nossa equipe na Cefriel, explora o papel e a evolução do SE nos ataques, para encontrar algumas soluções para medir, mitigar e “corrigir” a camada humana de segurança (SANTOS, 2014).
Hoje, apenas cerca de 3% do malware tenta explorar uma falha exclusivamente técnica. Os outros 97% visam, em vez dos usuários, por meio da Engenharia Social (SE) (fonte KnowBe4), ou seja, uma abordagem em que os invasores usam humanos como canais para atingir seu alvo. As tentativas de hackear se concentram cada vez mais nas vulnerabilidades humanas de um sistema de elaboração de informações, em vez de falhas no software ou hardware (SILVA; COSTA, 2019). 
As estimativas percentuais exatas podem variar de estudo para estudo, mas a maioria dos ataques cibernéticos de hoje são projetados para tirar proveito dos erros humanos e apenas mais adiante no processo de infecção de falhas de hardware ou software. De acordo com o Human Factor Report 2018 da ProofPoint (uma empresa líder em segurança cibernética), “as vulnerabilidades humanas são mais perigosas para as organizações modernas do que as falhas de software” (ALEXANDRIA, 2019).
 Esta praga atinge igualmente todos os setores, e todos são igualmente vulneráveis. Ataques direcionados (ATs) estão entre aqueles que exploram de forma eficiente as técnicas de SE para facilitar violações de dados e explorações em geral. Os ATs não são os mais usados, mas são os mais bem-sucedidos, pois têm a maior probabilidade de levar a violações de dados em hospitais, órgãos públicos e, em geral, qualquer setor comercial (ZENO, 2017). 
Conclusões
O gerenciamento adequado da segurança cibernética reduz o impacto e o custo do gerenciamento de riscos sem afetar a produtividade geral e a capacidade de integrar terceiros em uma organização. As estruturas de gerenciamento de risco de terceiros fornecem à sua organização padrões compartilhados para a tomada de decisões, minimizando o incômodo e o tempo que leva para gerenciar o risco de terceiros. Em última análise, economizando dinheiro para sua organização e, mais importante, sua reputação e relacionamento com seus clientes.
Cada organização tem processos ligeiramente diferentes para gerenciamento de risco de terceiros, mas os componentes principais podem ser divididos em quatro partes, o   processo de avaliação de risco deve fazer parte dos controles internos da sua organização e incluir a cadeia de suprimentos e outras avaliações de risco de terceiros.
REFERÊNCIAS:
ALBUQUERQUE JUNIOR, Antonio E. de; SANTOS, Ernani M. dos. Segurança da Informação em Hospitais: A Percepção da Importância de Controles para Gestores e Profissionais de TI. Revista Gestão & Saúde, v.4, n.2, p. 1-14, 2013.
ALEXANDRIA, João C. S de. Gestão de Segurança da Informação – Uma Proposta para Potencializar a Efetividade da Segurança da Informação em Ambiente de Pesquisa Científica. São Paulo, 2019. 193f. Tese (Doutorado em Tecnologia Nuclear) – Universidade de São Paulo, São Paulo, 2019.
BEAL, Adriana. Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo: Atlas, 2015, 180p.
BRASILIANO, Antônio Celso Ribeiro. Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado. 2ª ed. São Paulo: Sicurezza Editora, 2013. 
BASSO, Juliana. Diagnóstico de Utilização de Técnicas de Gestão de Risco em Empresas de Projeto de Engenharia. Porto Alegre: DEQUI / UFRGS, 2013.
COIMBRA, Fábio Claro. Gestão estratégica de riscos: instrumento de criação de valor. MBA de Economia do Setor Financeiro São Paulo: Fundação Instituto de Pesquisas Econômicas da Universidade de São Paulo, 2013.
GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2018.
MANDARINI, Marcos. Segurança Corporativa Estratégica: Fundamentos. Barueri: Manole, 2015, 344p.
MARCIANO, José L. P. Segurança da Informação – uma abordagem social. Brasília, 2016. 211f. Tese (Doutorado em Ciência da Informação) – Universidade de Brasília, Brasília, 2016.
OLIVEIRA, Alexandre M. S.; FARIA, Anderson O.; OLIVEIRA, Luis M.; ALVES, Paulo Sávio L.G. Contabilidade Internacional: Gestão de riscos, governança corporativa e contabilização de derivativos. São Paulo: Atlas, 2018.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2016.
SANTOS, L. A. L. O impacto da engenharia social na segurança da informação. 2014. 82 f. Monografia (Especialização)– Universidade Tiradentes, Aracaju, 2014. 
SILVA, M. H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da Segurança da Informação: uma proposta alternativa. Serra Talhada (PE), 2019.
VANCA, Paulo M. Gestão de Riscos Corporativos: Suporte à Reputação e Gestão do Negócio. 2014.
ZENO, José Miguel da Cunha. Risco legal: uma introdução ao seu gerenciamento no atual cenáriocorporativo. Dissertação de Mestrado Profissionalizante em Administração. Orientador: Antônio Marcos Duarte Júnior. Rio de Janeiro: Faculdades Ibmec, 2017.