FOCO086

Gestão Escolar

UNINASSAU CAMPINA GRANDE

Rafael

em 16/10/2025

Material

Prévia do material em texto

Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
1
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA
PARA COMBATER ATAQUES DE ENGENHARIA SOCIAL NO
AMBIENTE CORPORATIVO

AWARENESS PROGRAM HOW TO COUNTER SOCIAL
ENGINEERING ATTACKS IN THE CORPORATE ENVIRONMENT

PROGRAMA DE SENSIBILIZACIÓN COMO ESTRATEGIA PARA
COMBATIR LOS ATAQUES DE INGENIERÍA SOCIAL EN EL
AMBIENTE EMPRESARIAL

Cássio Campos Marcelino1
Jirlaine Fonseca de Oliveira2
João Carlos Cazorla3
Mehran Misaghi4

DOI: 10.54751/revistafoco.v16n11-086
Recebido em: 13 de Outubro de 2023
Aceito em: 16 de Novembro de 2023

RESUMO
Este artigo tem como objetivo apresentar a necessidade um Programa de
Conscientização em Segurança da Informação como complemento às estratégias de
defesa corporativa contra ameaças em segurança da informação. No caso da Intuit
Mailchimp, o ataque envolveu a manipulação de colaboradores e contratados por parte
do hacker para obter informações confidenciais, incluindo senhas. O estudo enfatiza
que os ataques de engenharia social podem ser altamente prejudiciais e que as medidas
tradicionais de segurança, como sistemas de detecção e prevenção, podem não ser
suficientes para impedir esses ataques. Portanto, a conscientização e a educação dos
colaboradores se tornam recursos importante na defesa contra essas ameaças.

Palavras-chave: Segurança da informação; engenharia social; programa de
conscientização; capacitação contínua.

ABSTRACT
This article aims to present the need for an Information Security Awareness Program as
a complement to corporate defense strategies against information security threats. In the
case of Intuit Mailchimp, the attack involved the hacker manipulating employees and

1 Especialista em Gestão e Tecnologia em Segurança da Informação. Instituto Daryus de Ensino Superior Paulista
(IDESP). Av. Paulista, 967, São Paulo - SP, CEP: 01311-918. E-mail: cassiocyberdefender@gmail.com
2 Especialista em Gestão e Tecnologia em Segurança da Informação. Instituto Daryus de Ensino Superior Paulista
(IDESP). Av. Paulista, 967, São Paulo - SP, CEP: 01311-918. E-mail: jirlaine.fonseca@gmail.com
3 Especialista em Gestão e Tecnologia em Segurança da Informação. Instituto Daryus de Ensino Superior Paulista
(IDESP). Av. Paulista, 967, São Paulo - SP, CEP: 01311-918. E-mail: jccazorla@terra.com.br
4 Doutor em Engenharia Elétrica. Instituto Daryus de Ensino Superior Paulista (IDESP). Av. Paulista, 967, São Paulo -
SP, CEP: 01311-918. E-mail: mehran.misaghi@daryus.com.br
mailto:cassiocyberdefender@gmail.com
mailto:jirlaine.fonseca@gmail.com
mailto:jccazorla@terra.com.br
mailto:mehran.misaghi@daryus.com.br
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
2
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

contractors to obtain confidential information, including passwords. The study
emphasizes that social engineering attacks can be highly damaging and that traditional
security measures, such as detection and prevention systems, may not be sufficient to
prevent these attacks. Therefore, employee awareness and education become important
resources in defending against these threats.

Keywords: Information security; social engineering; awareness program; continuous
training.

RESUMEN
Este artículo pretende presentar la necesidad de un programa de sensibilización sobre
la seguridad de la información como complemento de las estrategias de defensa de las
empresas contra las amenazas a la seguridad de la información. En el caso de Intuit
Mailchimp, el ataque implicó la manipulación de colaboradores y ataques de hackers
para obtener información confidencial, incluyendo contraseñas. El estudio destaca que
los ataques de ingeniería social pueden ser muy perjudiciales y que las medidas de
seguridad tradicionales, como los sistemas de detección y prevención, pueden no ser
suficientes para prevenir esos ataques. Por lo tanto, la sensibilización y la educación de
los colaboradores se convierten en recursos importantes para la defensa de estas
amenazas.

Palabras clave: Seguridad de la información; ingeniería social; programa de
sensibilización; capacitación continua.

1. Introdução
Com o ambiente corporativo cada vez mais dependente de dados e
informações, onde a informação se tornou um ativo valioso e a base para a
tomada de decisões estratégicas, a segurança da informação tornou-se um pilar
fundamental para o sucesso e a sobrevivência das organizações no mundo
digital (ARAMUNI; MAIA, 2020). A era da informação trouxe consigo vantagens,
como a otimização de processos, a expansão dos mercados globais e a
capacidade de inovação sem precedentes. No entanto, esse ambiente também
trouxe à tona desafios e riscos complexos, com destaque para a ameaça
representada pela engenharia social (CLAUS; MARTINS, 2020).
De acordo com a IBM (2023), as principais causas das violações de dados
incluem ataques maliciosos, falhas de sistema e erro humano. Os ataques
maliciosos incluem ataques cibernéticos, phishing, engenharia social e malware.
As falhas de sistema incluem falhas de segurança, vulnerabilidades de software
e hardware e configurações incorretas. O erro humano inclui ações não
intencionais, como perda ou roubo de dispositivos, bem como ações
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
3
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

intencionais, como roubo de informações por colaboradores ou parceiros de
negócios.
A engenharia social se apresenta como uma ameaça, que pode
comprometer a integridade, a confidencialidade e a disponibilidade dos dados
corporativos. A sua eficácia reside na capacidade de burlar barreiras técnicas,
contornar sistemas de segurança e explorar a vulnerabilidade inerente à
natureza humana. Os atacantes que utilizam a engenharia social são
persuasivos e manipuladores, muitas vezes conseguindo acesso a informações
sensíveis ou sistemas críticos sem disparar um único código malicioso (CLAUS;
MARTINS, 2020).
Este artigo tem como objetivo apresentar a necessidade de um Programa
de Conscientização em Segurança da Informação como complemento às
estratégias de defesa corporativa contra ameaças em segurança da informação.
Justifica-se este estudo pela necessidade de aprofundar o entendimento
sobre como a falta de conscientização dos colaboradores influencia diretamente
na eficácia das estratégias de segurança da informação nas empresas. A
conscientização insuficiente dos colaboradores representa uma brecha
significativa nas defesas de segurança da informação das organizações, uma
vez que a engenharia social frequentemente explora a falta de conhecimento,
ingenuidade e confiança das vítimas para atingir seus objetivos maliciosos.
O Exemplo de caso apresentado neste artigo é da empresa Mailchimp. O
Mailchimp é uma plataforma de automação de e-mail e marketing que atende a
empresas em todo o mundo. Fundada em Atlanta em 2001 por Ben Chestnut e
Dan Kurzius, a empresa inicialmente focou em fornecer soluções de marketing
por e-mail acessíveis para pequenas empresas, competindo com alternativas
caras. Com o tempo, o Mailchimp evoluiu suas ofertas para atender empresas
de todos os tamanhos e níveis de habilidade em marketing. Em 2021, o
Mailchimp foi adquirido pela Intuit, uma empresa com histórico de apoio a
pequenas empresas, passando a se chamar Intuit Mailchimp.
A seção 2 apresenta conceitos de engenhariasocial, ataques de
engenharia social, bem como explica em que consiste um programa de
conscientização. Os detalhes do relato de caso estão descritos na seção 3 e
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
4
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

seção 4 tem por objetivo apresentar as considerações finais deste artigo.

2. Referencial Teórico
Esta seção trata de conceitos relacionados ao tema proposto neste artigo.

2.1 Importância da Segurança da Informação
A segurança da informação é o alicerce sobre o qual as organizações
modernas constroem sua estratégia e operações. Ela abrange a proteção de
dados, sistemas e ativos contra uma variedade de ameaças, sejam elas internas
ou externas. Em um mundo onde os dados são crucias para os negócios no
século XXI, a segurança da informação se torna vital (ALI-KOVERO, 2020).
As informações confidenciais de uma empresa incluem não apenas dados
financeiros e estratégicos, mas também informações pessoais de colaboradores
e clientes. A perda desses dados pode resultar em consequências graves, como
prejuízos financeiros significativos, danos à reputação, ações legais e violações
regulatórias que podem acarretar multas substanciais. Além disso, a perda de
informações confidenciais pode levar a ataques cibernéticos mais amplos, como
ransomware, que podem paralisar as operações de uma organização e causar
interrupções graves (ARAMUNI; MAIA, 2020).
A segurança da informação é, portanto, muito mais do que uma
preocupação técnica. É também uma preocupação estratégica que afeta a
confiabilidade das operações comerciais, a relação com os clientes e parceiros,
bem como a conformidade com regulamentações rigorosas de proteção de
dados. Em um ambiente empresarial cada vez mais interconectado e
dependente de tecnologia, a segurança da informação é o alicerce para o
sucesso e a continuidade dos negócios (TIESO; SANTO, 2020).

2.2 Engenharia Social
A engenharia social é uma das principais ameaças aos sistemas de
segurança das grandes corporações. Ela consiste em técnicas utilizadas por
criminosos para obter informações confidenciais ou acesso a sistemas de
informação por meio da manipulação psicológica de pessoas. Essas técnicas
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
5
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

podem incluir a criação de perfis falsos em redes sociais, envio de e-mails de
phishing, uso de pretextos para obter informações, entre outras. A engenharia
social pode afetar a segurança da informação corporativa ao comprometer a
integridade, confidencialidade e disponibilidade dos dados, o que pode levar a
prejuízos financeiros e de reputação para a organização (ARAMUNI; MAIA,
2020).
O relatório Artic Wolf (2022) informa que os ataques de phishing e
engenharia social são frequentemente considerados um vetor de entrada de
baixo risco e alta recompensa para os invasores. Esses tipos de ataques
exploram as fraquezas nas interações humanas em vez de vulnerabilidades em
aplicativos ou dispositivos. Menciona também que 90% dos ataques cibernéticos
visam os colaboradores de uma organização, o que sugere que os invasores
estão cientes da eficácia desses ataques.

2.3 Ataques de Engenharia Social
Ataques de engenharia social são técnicas utilizadas por hackers para
obter informações confidenciais ou acesso a sistemas por meio da manipulação
psicológica das pessoas. Esses ataques podem envolver a criação de e-mails
falsos, sites falsos ou telefonemas falsos que parecem legítimos, mas que na
verdade são projetados para enganar as pessoas e fazê-las revelar informações
confidenciais ou realizar ações que comprometam a segurança da informação
(MARINHO; BODÊ, 2022). Portanto, é importante que as organizações estejam
cientes dessas ameaças e implementem medidas de segurança adequadas para
minimizar os riscos de ataques de Engenharia Social (ARAMUNI; MAIA, 2020).
Os ataques mais comuns de engenharia social segundo Destro e Franco (2022)
podem ser conferidos no Quadro 1:

Quadro 1 - Ataques mais comuns de Engenharia Social:
Técnica Detalhamento
Phishing Os invasores enviam mensagens falsas, como e-mails ou mensagens de
texto, fingindo serem de uma fonte confiável, como um banco ou empresa. O
objetivo é enganar as pessoas para que cliquem em links maliciosos, forneçam
informações pessoais ou façam o download de arquivos maliciosos.
Smishing É uma variação do phishing, mas realizado por meio de mensagens de texto
(SMS). Os invasores enviam mensagens falsas para enganar as pessoas e
obter informações confidenciais.
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
6
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

Vishing Os atacantes utilizam chamadas telefônicas para enganar as pessoas e obter
informações confidenciais, como números de cartão de crédito ou senhas.
Bating Consiste em deixar dispositivos USB infectados propositalmente em locais
estratégicos e públicos, com a esperança de que alguém os encontre e os
conecte em seus computadores, permitindo assim o acesso não autorizado
aos sistemas.
Pretexting Nessa técnica, os invasores criam uma história fictícia ou um pretexto
convincente para obter informações pessoais ou acesso a sistemas.
Quid pro Quo Envolve a oferta de algo em troca de informações confidenciais. Por exemplo,
um invasor pode se passar por um técnico de suporte e oferecer ajuda em
troca de senhas ou acesso a sistemas.
Tailgating Consiste em aproveitar a cortesia de uma pessoa para entrar em um local
restrito. O invasor se aproveita da confiança de alguém para entrar em um
prédio ou área protegida sem autorização.
Shoulder
Surfing
Nessa técnica, os invasores observam as ações de uma pessoa, como digitar
senhas ou informações confidenciais, olhando por cima do ombro.
Sextorsão Envolve a chantagem de uma pessoa usando informações ou imagens íntimas
obtidas por meio de engenharia social.
Dumpster
Diving
Consiste em procurar informações confidenciais em lixeiras ou outros locais
onde as pessoas possam ter descartado documentos ou dispositivos que
contenham informações sensíveis.
Fonte: Autoria Propria

O relatório de investigações de violação de dados Verizon (2023), observa
que a engenharia social continua a evoluir, tornando-se mais sofisticada. A
engenharia social é um dos três principais padrões de ataque em violações de
dados, representando 17% das violações. De acordo com o relatório, as três
principais formas pelas quais os invasores acessam uma organização são
credenciais roubadas, phishing e exploração de vulnerabilidades. O relatório
também destaca que os ataques de Pretexting, que são uma forma de
engenharia social, são agora mais prevalentes do que o phishing em incidentes
de engenharia social.
A engenharia social representa um desafio constante para as
organizações, sendo uma ameaça que se infiltra nos aspectos psicológicos e
técnicos da segurança da informação. Ela se manifesta de diversas formas,
apresentando desafios intrincados e mutáveis para as empresas (PEREIRA;
VICENTINE; RIZO, 2022).

2.4 Programas de Conscientização
O combate a engenharia social requer uma abordagem abrangente que
combine tecnologia, políticas, treinamento e monitoramento contínuos. Cada
organização deve adaptar suas estratégias de acordo com suas necessidades
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
7
Cássio Campos Marcelino, JirlaineFonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

específicas e o ambiente de ameaças em constante evolução (WANG; SUN E
ZHU, 2020).
Para combater ataques de Engenharia Social, as organizações precisam
adotar abordagens mais proativas. Isso inclui investir em soluções de segurança
mais avançadas, como detecção de anomalias e análise de comportamento,
além de educar os colaboradores sobre essas novas ameaças e como identificá-
las (ALI-KOVERO, 2020).
Por isso, conscientização dos colaboradores é um pilar fundamental na
defesa contra a Engenharia Social. Para abordar a falta de conscientização dos
colaboradores, as organizações devem implementar programas de
conscientização bem elaborados (WANG, SUN E ZHU, 2020). Esses programas
têm como objetivo educar os colaboradores sobre as ameaças de Engenharia
Social, capacitando-os a reconhecer sinais de possíveis ataques e adotar
medidas de segurança apropriadas (CLAUS; MARTINS, 2020).
Um Programa de Conscientização é um conjunto de ações e atividades
que visam educar e sensibilizar as pessoas sobre um determinado tema. No
contexto da segurança da informação, um Programa de Conscientização tem
como objetivo conscientizar os usuários sobre os riscos de segurança
cibernética e como eles podem contribuir para proteger as informações da
organização (DESTRO; FRANCO, 2022).
Nesses programas, os colaboradores podem aprender sobre os diversos
tipos de ataques de Engenharia Social, como phishing, pretextos falsos,
tentativas de manipulação emocional e outras táticas utilizadas pelos atacantes.
Eles também devem ser informados sobre os potenciais impactos desses
ataques, incluindo perdas financeiras, violações de dados e danos à reputação
da organização (ARIZA et al., 2022).
Os programas de conscientização não devem ser eventos únicos, mas
sim uma iniciativa contínua. Os colaboradores devem receber treinamento
regular e atualizações para se manterem informados sobre as últimas ameaças
e melhores práticas de segurança. A criação de materiais educacionais
envolventes, como vídeos, simulações de ataques e casos de estudo, pode
tornar o treinamento mais eficaz e envolvente (CLAUS; MARTINS, 2020).
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
8
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

3. Relato de Caso: a Empresa Intuit Mailchimp
Este relato de caso é proveniente da Revista The Register, matéria Digital
Ocean dumps Mailchimp after attack leaked customer email adresses do autor
Simon Sharwood. O Intuit Mailchimp, uma empresa do ramo e-mail e marketing,
revelou que foi vítima de um ataque cibernético que expôs dados dos seus
clientes. Este é o segundo incidente desse tipo em apenas seis meses,
levantando sérias preocupações sobre a segurança da informação na empresa.
O ataque, detectado em 11 de janeiro de 2023, permitiu que um invasor
acessasse ferramentas internas e áreas de administração de contas do Intuit
Mailchimp. O ataque envolveu Engenharia Social, onde o hacker manipulou
colaboradores e contratados para obter informações, incluindo senhas. Isso
levou ao acesso não autorizado a 133 contas do Intuit Mailchimp. Os titulares
foram notificados pela empresa. Uma das contas afetadas pertence ao
WooCommerce, uma plataforma de comércio eletrônico. Embora nomes,
endereços da web e endereços de e-mail de clientes do WooCommerce possam
ter sido expostos, a empresa afirma que senhas e outros dados específicos são
seguros. WooCommerce, que atende uma base de mais de cinco milhões de
clientes, não deixa claro se todos esses clientes foram afetados ou se houve
limitações no acesso do hacker.

3.1 Práticas de Segurança da Informação Adotadas pela Empresa
O Intuit Mailchimp divulga em seu site suas práticas de segurança e
privacidade em relação aos dados dos usuários. A empresa enfatiza seu
compromisso com a segurança da informação e aborda várias áreas-chave de
proteção de dados. Isso inclui o uso de scanners biométricos e tecnologia de
segurança física, medidas contra-ataques de negação de serviço (DDoS), um
plano de continuidade de infraestrutura, criptografia de senhas, proteção contra-
ataques de força bruta, segurança física em seus escritórios, equipe de
segurança interna realizando testes de penetração e treinamento de
colaboradores em práticas de segurança. Eles também incentivam
pesquisadores de segurança a relatar vulnerabilidades e fornecem diretrizes
detalhadas para relatar vulnerabilidades de maneira responsável. Além disso, a
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
9
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

empresa reforça o compromisso com a segurança dos dados do cliente e
destaca que a empresa também depende da cooperação dos usuários para
manter a segurança. Por fim, a empresa mantém um programa de divulgação
responsável convida pesquisadores de segurança a relatarem vulnerabilidades
para melhorar a segurança dos serviços da Intuit Mailchimp.

3.2 Análise do Relato de Caso da Empresa Intuit Mailchimp
O relato de caso da empresa Intuit Mailchimp descreveu um incidente de
segurança da informação em que a empresa foi alvo de um ataque que ocorreu
na exposição dos dados de seus clientes. O Quadro 2, mostra alguns pontos-
chave podem ser destacados dessa análise:

Quadro 2 - Pontos-chave e análise do relato de caso
Pontos-chave Análise
Recorrência de
ataques
A empresa sofreu dois ataques cibernéticos em um curto período de
seis meses. A recorrência de tais incidentes sugere uma possível
fragilidade na segurança da informação na empresa, o que é
preocupante, especialmente considerando a sensibilidade dos dados
que eles lidam.
Similaridade com o
incidente anterior
O fato de que o incidente atual parece ser semelhante a um ataque
anterior levanta questões sobre se a empresa conseguiu aprender com
a primeira ocorrência e implementar medidas de segurança
relacionadas para evitar a repetição.
Ataque de
Engenharia Social
O relato destaca que o ataque foi realizado através de Engenharia
Social, onde o hacker manipulou colaboradores e contratados da
empresa para obter informações de segurança, como senhas. isto
reforça a necessidade de ter um programa de conscientização contínua.
Número de contas
afetadas
O ataque comprometeu 133 contas do Intuit Mailchimp, incluindo a
conta de um cliente importante, o WooCommerce. Embora a empresa
tenha notificado os titulares das contas afetadas, a extensão total dos
danos pode ser maior, e pode haver impactos significativos na
confiança dos clientes.
Medidas de
mitigação e
comunicação
A empresa Intuit Mailchimp tomou medidas para mitigar o incidente,
incluindo a notificação individual dos clientes afetados. Além disso, o
WooCommerce, que também foi afetado, comunica proativamente seus
clientes sobre a exposição potencial de dados.
Práticas de
segurança do Intuit
Mailchimp
A empresa fornece em seu site informações sobre as práticas de
segurança exigidas pelo Intuit Mailchimp em relação aos dados dos
usuários. Isso inclui medidas físicas, técnicas e de treinamento para
garantir a segurança das informações.
Cooperação dos
usuários
O Intuit Mailchimp destaca a importância da cooperação dos usuários
na manutenção da segurança. Eles incentivam os pesquisadores de
segurança a relatarem vulnerabilidades e têm diretrizes específicas
para isso.
Fonte: Autoria Propria

O relato de caso e os resultados apresentados destacam que mesmo com
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |202310
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

a adoção de medidas de segurança declaradas publicamente no site da
empresa, esta sofreu ataques de Engenharia Social no intervalo de seis meses
e poderá sofrer novos ataques. O que poderá contribuir para que combater essa
situação, será um conjunto de ações e iniciativas planejadas para educar e
sensibilizar os colaboradores e partes interessadas sobre questões relacionadas
à segurança da informação.

3.3 Esboço de um Programa de Conscientização em Segurança da Informação
(PCSI)
O objetivo principal desse programa é garantir que todos os indivíduos
que têm acesso aos sistemas e dados da organização compreendam os riscos
de segurança envolvidos e saibam como agir de maneira segura para proteger
as informações. A criação de um PCSI eficaz em um ambiente corporativo requer
um planejamento cuidadoso e uma abordagem abrangente. No Quadro 3 estão
os passos que a empresa pode seguir para criar um PCSI:

Quadro 3 - Etapas e ações para implementação do PCSI
Etapas Ações
Avaliação de
Riscos
Realizar uma avaliação abrangente dos riscos de segurança da
informação na empresa, identificando os ativos de informação críticos,
as ameaças potenciais e as vulnerabilidades
Definição de
Objetivos
Estabelecer objetivos claros para o PCSI. Por exemplo, reduzir o
número de incidentes de segurança relacionados a phishing em um
determinado período.
Comprometimento
da Alta
Administração
Obter o apoio e o comprometimento da alta administração é essencial
para a alocação de recursos e para demonstrar a importância do
programa.
Formação de uma
Equipe
Criar uma equipe responsável pelo programa, incluindo especialistas
em segurança da informação, treinadores e comunicadores. Essa
equipe será responsável pela concepção, implementação e gestão do
programa.
Parceria com
empresa
especializada
Formação de parceria com empresas que fornecem conteúdo
atualizado sobre segurança da informação, como por exemplo a
knowbe4.com.
Desenvolvimento
de Conteúdo
Criar material de treinamento e conscientização de alta qualidade.,
incluindo apresentações, vídeos, documentos informativos, jogos
interativos e outros recursos.
Implementação do
Treinamento
Realizar sessões de treinamento regulares para todos os funcionários,
incluindo novos contratados, certificando-se que o treinamento seja
acessível e fácil de entender.
Campanhas de
Conscientização
Desenvolver campanhas de conscientização contínuas para manter a
segurança da informação em foco, usando e-mails, cartazes, boletins
informativos e outros meios de comunicação interna.
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
11
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

Simulações de
Phishing
Realizar simulações de ataques de phishing para testar a capacidade
dos colaboradores de identificar e relatar e-mails de phishing. Usar os
resultados para direcionar o treinamento adicional.
Resposta a
Incidentes
Estabelecer procedimentos claros para relatar e responder a incidentes
de segurança da informação, certificando-se que os colaboradores
devem saber como relatar suspeitas de violações de segurança.
Avaliação Contínua
Avaliar regularmente a eficácia do programa, que pode ser feito por
meio de avaliações de desempenho, análise de incidentes de
segurança e feedback dos colaboradores.
Aprimoramento
Com base nas descobertas das avaliações e nas lições aprendidas com
incidentes, realizar melhorias contínuas no programa.
Incentivos e
Reconhecimento
Considerar a possibilidade de implementar programas de incentivo e
reconhecimento para colaboradores que demonstram um compromisso
excepcional com a segurança da informação.
Educação Contínua
Manter os colaboradores atualizados sobre as ameaças de segurança
em evolução e as melhores práticas por meio de treinamento e
comunicações regulares.
Medição de
Resultados
Medir o progresso do programa por meio de métricas como taxa de
incidentes de segurança, taxa de participação no treinamento e
conscientização dos funcionários.
Fonte: Autoria Propria

3.3.1 Utilização de recursos
Alguns recursos podem ser combinados de maneira sinérgica para criar
um PCSI mais completo e eficaz, como descrito no Quadro 4:

Quadro 4 - Utilização de recursos
Recursos Como podem ser utilizados
Política de
Segurança da
Informação
É fundamental para estabelecer diretrizes e regulamentos claros
destinados aos colaboradores, com o intuito de salvaguardar
informações e estabelecer controles eficazes contra ameaças. É
importante que essa política seja reflexo das necessidades de negócios
ponderadas em relação aos riscos identificados.
Responsabilização
dos Colaboradores
A educação dos usuários sobre suas responsabilidades em termos de
segurança da informação, uma vez que os usuários constituem a
primeira linha de defesa contra essas ameaças. É fundamental que os
usuários compreendam plenamente suas responsabilidades e estejam
cientes de como proceder em situações de incidentes de segurança.
Implementação de
processos
Destinado a monitorar e revisar o programa de conscientização
representa outra ferramenta essencial, permitindo que o programa seja
avaliado e ajustado conforme as necessidades e os resultados obtidos.
Gamificação
Adicionalmente, a utilização de abordagens de gamificação, como jogos
eletrônicos, pode tornar o processo de aprendizagem mais envolvente e
prazeroso, incentivando a motivação dos usuários e tornando a
conscientização em segurança da informação um processo mais
atrativo.
Outros
Abordagens, como treinamentos presenciais, vídeos instrutivos,
manuais e palestras, também podem ser empregadas para
complementar o PCSI. O mais importante é que essas ferramentas
sejam adaptadas ao público-alvo e tenham a capacidade de estimular
mudanças de hábitos e comportamentos em relação à segurança da
informação.
Fonte: Autoria Propria
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
12
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

3.3.2 Indicadores de desempenho
Para garantir que o programa esteja funcionando corretamente e
atingindo seus objetivos, indicadores de desempenho devem ser
implementados. É importante defini-los no início do programa e monitorá-los
regularmente para avaliar sua eficácia e fazer ajustes, se necessário. É essencial
que esses indicadores sejam alinhados com os objetivos específicos do PCSI e
que sejam monitorados regularmente, proporcionando uma avaliação contínua
da eficácia do programa e identificando áreas passíveis de aprimoramento. Os
indicadores do PCSI desempenham um papel fundamental na avaliação da
eficácia do programa e na identificação de áreas que necessitam de
aprimoramento. Dentre os indicadores que podem ser empregados, destacam-
se os apresentados no Quadro 5:

Quadro 5 - Indicadores de desempenho do PCSI
Indicador Detalhamento
Taxa de
Participação
Este indicador quantifica o número de usuários que efetivamente se
envolveram no programa de conscientização. Uma taxa de participação
elevada sugere que o programa está sendo bem recebido pelos usuários.
Taxa de
Conclusão
Essa métrica reflete o número de usuários que concluíram com êxito o
programa de conscientização. Uma alta taxa de conclusão indica um
compromisso sólido dos usuários com os princípios de segurança da
informação.
Taxa de
Retenção
A taxa de retenção mensura a capacidade dos usuários de reter as
informações adquiridas pormeio do programa de conscientização. Uma taxa
de retenção elevada sinaliza que o programa está eficazmente promovendo
mudanças nos hábitos e comportamentos relacionados à segurança da
informação.
Taxa de
Testes bem-
sucedidos
A taxa de testes bem-sucedidos mensura a quantidade de testes aplicados
e respondido com sucesso pelos colaboradores. Este indicador pode
contribuir com o direcionamento das ações em temas específicos que podem
ser abordados no PCSI.
Taxa de
Incidentes de
Segurança
Este indicador quantifica o número de incidentes de segurança antes e
depois da implementação do programa de conscientização. Uma redução no
número de incidentes após a implementação do programa denota sua
eficácia na promoção da segurança da informação
Feedback dos
Usuários
A satisfação dos usuários em relação ao programa pode ser mensurada por
meio de feedbacks obtidos por questionários, pesquisas de satisfação ou
comunicação direta. Feedbacks positivos indicam que o programa está
sendo bem recebido pelos usuários e que está cumprindo seu papel na
promoção da segurança da informação.
Fonte: Autoria Propria

4. Considerações Finais
Conforme as pesquisas do referencial teórico, concluímos que a
Engenharia Social, operando no espaço da mente humana, se baseia na
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
13
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

manipulação psicológica das pessoas para atingir objetivos maliciosos. Ela
explora a confiança, a ingenuidade ou a falta de conhecimento das vítimas,
representando uma ameaça à integridade, confidencialidade e disponibilidade
dos dados corporativos. Esta técnica tem se mostrado eficaz ao burlar barreiras
técnicas e contornar sistemas de segurança convencionais.
A conscientização dos colaboradores desempenha um papel importante
na defesa contra a Engenharia Social, uma vez que muitos ataques exploram a
falta de conhecimento e conscientização das vítimas. Programas de
Conscientização em segurança da informação eficientes são essenciais para
educar e aumentar a conscientização dos colaboradores sobre práticas de
segurança, promovendo uma cultura organizacional mais segura e reduzindo o
risco de violações de dados e ataques cibernéticos. Esses programas devem ser
contínuos e atualizados para acompanhar as novas ameaças, devem utilizar
recursos combinados para tornarem-se mais atrativos, completos e eficazes.
Finalmente, devem ser medidos e controlados através de indicadores de
desempenho, para garantir que seus objetivos estão sendo atingidos e que seu
funcionamento está dentro do planejado.
O objetivo inicial foi: apresentar a necessidade de um Programa de
Conscientização em Segurança da Informação como complemento às
estratégias de defesa corporativa contra ameaças em segurança da informação.
Esse objetivo foi alcançado ao apresentarmos os fundamentos de um Programa
de Conscientização em Segurança da Informação, demonstrando como essa
abordagem pode fortalecer as defesas de segurança de uma organização contra
ameaças em segurança da informação, em especial os ataques de engenharia
social.
O problema de pesquisa que foi: Qual a importância de um Programa de
Conscientização em Segurança da Informação como complemento às
estratégias de defesa corporativa contra ameaças em segurança da informação?
Com base no relato de caso da empresa Intuit Mailchimp, fica evidente que a
falta de um Programa de Conscientização em Segurança da Informação pode
afetar negativamente a eficácia das outras estratégias de defesa cibernética no
ambiente corporativo, o artigo aponta a necessidade de um Programa de
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
14
PROGRAMA DE CONSCIENTIZAÇÃO COMO ESTRATÉGIA PARA
COMBATER ATAQUES DE ENGENHARIA SOCIAL NO AMBIENTE CORPORATIVO
____________________________________________________________________________

Conscientização, robusto e consistente como complemento das defesas
técnicas, levando em consideração o fator humano e responde ao problema de
pesquisa proposto.

REFERÊNCIAS
ALI-KOVERO, Jouni. Protecting against social engineering attacks in a
corporate environment. 2020. Dissertação de Mestrado
ARAMUNI, João Paulo Carneiro; MAIA, Luiz Cláudio. O impacto da Engenharia
Social na Segurança da Informação: uma abordagem orientada à Gestão
Corporativa. AtoZ: novas práticas em informação e conhecimento, v. 7, n. 1,
p. 31-37, 2020.
ARIZA, Maurício et al. Ataques Automatizados de Engenharia Social com o
uso de Bots em Redes Sociais Profissionais. In: Anais do XXII Simpósio
Brasileiro em Segurança da Informação e de Sistemas Computacionais. SBC,
2022. p. 153-166.
ARTIC WOLF Networks (Minnesota). The State of Cybersecurity: 2022
Trends. Trends, [s. l.], 2022. Disponível em:
https://arcticwolf.com/resource/aw/the-state-of-cybersecurity-2022-trends.
Acesso em: 16 set. 2023.
IBM BRASIL LTDA. Relatório de custo da violação de dados de 2023, Julho
2023. Disponível em: https://www.ibm.com/downloads/cas/KE8N4PR2. Acesso
em: 15 set. 2023.
CLAUS, Lucas Gabriel; MARTINS, Leonardo Franchi. Engenharia social na
segurança da informação. Artigo de graduação (Curso Superior de Tecnologia
em Segurança da Informação) - Faculdade de Tecnologia de Americana,
Americana, 2020.
DESTRO, Alexandre; FRANCO, Luiz Henrique. Métodos de Conscientização
para minimizar os efeitos da engenharia social: Procedimentos adotados, nas
OMs do Exército, visando máquinas e usuários. Revista Científica da Escola
de Comunicações, [s. l.], 2022. Disponível em:
http://www.ebrevistas.eb.mil.br/OC/article/view/11338/9080. Acesso em: 20 set.
2023.
MARINHO, Rodolpho Andreazza; BODÊ, Jonas. Gamificação Aplicada a
Programas e Campanhas de Conscientização de Segurança da
Informação. Fatec Seg, [s. l.], 2022. Disponível em:
https://www.fatecourinhos.edu.br/fatecseg/index.php/fatecseg/article/view/50.
Acesso em: 20 set. 2023.
MAILCHIMP (Brasil). Informações sobre um incidente de segurança recente
no Mailchimp. [S. l.], 17 jan. 2023. Disponível em: https://mailchimp.com/pt-
Revista Foco |Curitiba (PR)| v.16.n.11|e3402| p.01-15 |2023
15
Cássio Campos Marcelino, Jirlaine Fonseca de Oliveira, João Carlos Cazorla,
Mehran Misaghi
____________________________________________________________________________

br/january-2023-security-incident/. Acesso em: 15 set. 2023.
MAILCHIMP (Brasil). Segurança e Privacidade de dados no Mailchimp. [S. l.],
2021. Disponível em: https://mailchimp.com/pt-
br/about/security/#Seguran%C3%A7a_do_centro_de_dados. Acesso em: 15
set. 2023.
PEREIRA, Lucas Avanci de Souza; VICENTINE, Augusto Luciano; RIZO, Andre
Castro. Impactos da Engenharia Social na Segurança da Informação. Revista
Brasileira em Tecnologia da Informação, v. 4, n. 1, p. 48-58, 2022.
SHARWOOD, Simon. Digital Ocean dumps Mailchimp after attack leaked
customer email addresses. The Register, [S. l.], p. 1, 16 ago. 2022. Disponível
em: https://www.theregister.com/2022/08/16/digital_ocean_dumps_mailchimp/.
Acesso em: 15 set. 2023.
TIESO, Igor Henrique de Souza; SANTO, Felipe do Espírito. Ataques de
engenharia social. Revista Interface Tecnológica, v. 17, n. 2, p. 206-218, 2020.
VERIZON (Business). 2023 Data Breach Investigations Report. DBIR, [s. l.],
2023. Disponível em:
https://www.verizon.com/business/resources/T250/reports/2023-data-breach-
investigations-report-dbir.pdf. Acesso em: 16 set. 2023.
WANG, Zuoguang; SUN, Limin; ZHU, Hongsong. Defining social engineering
in cybersecurity. IEEE Access, v. 8, p. 85094-85115, 2020.

FOCO086

Gestão Escolar

UNINASSAU CAMPINA GRANDE

Ferramentas de estudo

Mais conteúdos dessa disciplina