Baixe o app para aproveitar ainda mais
Prévia do material em texto
ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 1 Engenharia Social e Conscientização em Segurança da Informação ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 2 Engenharia Social e Conscientização em Segurança da Informação Apresentação A prevenção de incidentes de segurança da informação, comumente, passa por um verdadeiro processo de capacitação e qualificação dos usuários, que envolve várias atividades, desde a publicação de padrões e normas de âmbito empresarial até campanhas de conscientização em segurança de informações para garantir a construção, conhecimento, entendimento e uso das normas e boas práticas estabelecidas. Um grande desafio é compreender aspectos ligados às relações humanas e às potenciais vulnerabilidades desta interação, uma vez que o fator humano é o mais impactante em segurança da informação. E é a partir das premissas de conhecimento da empresa alvo e do comportamento humano, que um engenheiro social utiliza ferramentas e técnicas para obter as informações não autorizadas. O papel desta disciplina de Engenharia Social e Conscientização em Segurança da Informação é desenvolver no aluno as competências relacionadas uma visão crítica das falhas de segurança na empresa e possíveis contramedidas de segurança. Unidade 1: As relações humanas no trabalho 1.1 Objetivo Nesta aula trataremos de conceitos e aspectos relacionados às relações humanas que permeiam as relações de trabalho, compreendendo as formas de comunicação, os tipos psicológicos e as relações de trabalho. Além disso, vamos conceituar informação e determinar seu ciclo de vida. A partir destes conceitos, ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 3 construiremos o entendimento dos processos utilizados em ataques de segurança de informação e as medidas de proteção contra esses ataques. 1.2 Como podemos entender as relações humanas no trabalho? O ser-humano é um ser social, racional, portador da fala e do discernimento, segundo o filósofo Aristóteles (384-322 a. C.). Com isso, necessita do contato, interação e convívio com indivíduos da espécie a que pertence. Nas relações humanas, o ser humano procura pertencimento, e mecanismos de troca como esforço e recompensa são, muitas vezes, utilizados. A aprendizagem da cultura, dos valores, dos objetivos, das estratégias de contato interpessoal para a aceitação em um grupo é fator importante na constituição do ser e um aspecto relevante na observação do comportamento do homem, em cada grupo ao qual se vincula, o que é aplicável para o ambiente organizacional (ZANELLI, ANDRADE, BASTOS, 2014). Para Chiavenato (2004), “a organização espera que as pessoas trabalhem e desempenhem suas tarefas. Assim, surge uma interação entre pessoas e organização, à qual se dá o nome de processo de reciprocidade: a organização espera que as pessoas realizem suas tarefas e oferece-lhes incentivos e recompensas, enquanto as pessoas oferecem suas atividades e trabalho esperando obter certas satisfações pessoais”. A sociedade capitalista ocidental é constituída de relações de trabalho hierárquicas nas quais a relação interpessoal é composta de diferentes papéis e relações de hierarquia, a saber: colegas, prepostos, coordenador, gerente imediato, outros gerentes, entre outros. Nem todos que nos abordam na empresa são claramente identificados, a princípio, e, muitas vezes, iniciamos diálogos na empresa com estranhos não identificados. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 4 1.3 Formas de comunicação Comunicação é: “Ato ou efeito de emitir, transmitir e receber mensagens por meio de métodos e/ou processos convencionados, quer através da linguagem falada ou escrita, quer de outros sinais, signos ou símbolos, quer de aparelhamento técnico especializado, sonoro e/ou visual”, ou ainda, “A capacidade de trocar ou discutir ideias, de dialogar, de conversar, com vista ao bom entendimento entre pessoas”, segundo o dicionário Babylon v. 10.3.0.14. Como podemos observar na Figura 1, há diversos meios de transmissão da informação. Figura 1: Meios de transmissão da informação O trabalho eficaz em equipe pressupõe que cada membro da equipe possua determinadas competências pessoais e a habilidade em comunicação é uma delas. A transmissão da informação, ou seja, a comunicação depende de emissor, meio de transmissão e receptor, conforme pode ser observado na Figura 2. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 5 Figura 2: Transmissão da informação 1.4 Perfil O tratamento e a forma de abordagem mais efetiva devem ser diferenciados, considerando o perfil do destinatário (receptor da informação). Segundo MACHADO (2003), existem três diferentes perfis de apreensão. São eles: Auditivo; Visual; e Sinestésico. Além disso, existem estudos para auxiliar a traçar o perfil tipológico de um indivíduo; eles indicam que cada tipo psicológico tem uma forma predominante de comunicar e capturar informações. Segundo o estudo de tipos psicológicos com indicador de tipos Myers-Briggs (MBTI), o armazenamento e recuperação de informações nas organizações corporativas (HIRSH, KUMMEROW, 1993) inclui maior ou menor preferência ou dicotomia nas atividades de: • Foco da motivação (Extroversão ou Introversão); • Percepção (Sensação ou Intuição); • Tomada de decisão (Pensamento e Sentimento; ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 6 • Estilo de vida (Julgamento ou Percepção). 1.5 Relações de Trabalho As equipes são compostas de profissionais de diferentes perfis e a comunicação do projeto deve levar os diferentes tipos de comunicação (GODFREY, 2011). “A divisão social do trabalho acontece no processo de desenvolvimento da sociedade. Para satisfazer nossas necessidades estabelecemos relações de trabalho e a divisão das atividades” (MARX, 2013). Neste contexto, cada projeto se desenvolve através de um ciclo de vida que se constitui numa sequência de fases que vão desde a ideia inicial até o seu encerramento (NOGUEIRA, 2015). Figura 3: NOGUEIRA, 2015 Em outra classificação relacionada às pessoas, é possível considerar os grupos segundo: - Cargo no Organograma Empresarial; e - Perfil Profissional. A quantidade e o nível de informação acessível e as interações funcionais variam de acordo com o perfil profissional (por exemplo, supervisor, pesquisador, coordenador, gerente, entre outros) e pela alocação do profissional em uma determinada área da estrutura organizacional. Empregados da área fim da ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 7 empresa podem, por vezes, acessar dados sensíveis da produção. Outras informações confidenciais são tratadas em diversas áreas da empresa, por exemplo, na área de gestão de contratos ou na área de recursos humanos. Na Figura 4 temos um exemplo de organograma empresarial simplificado. Figura 4: Organograma Em mais uma classificação, é possível considerar os grupos: 1º: Novo colaborador (que possivelmente conhece pouco ou nada sobre a empresa e seus processos); 2º: Colaborador antigo; 3º: Ambos. Ou ainda: 1º: Empregado sem função gerencial; 2º: Empregado com função gerencial; 3º: Ambos. Todas estas visões apresentadas deperfil (pessoal e profissional) são de interesse para: avaliação de ameaças, tratamento de vulnerabilidades em segurança de informação com focos específicos e posicionamento de campanhas de segurança da informação. 1.6 Informação A informação é um elemento essencial para todos os processos de negócio em qualquer tipo e tamanho de organização, sendo, portanto, um ativo de grande ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 8 valor. Com o advento da “era da informação”, “era tecnológica” ou ainda “era digital”, isso ficou ainda mais claro. 1.6.1 Dado, Informação e Conhecimento Por longo tempo, as pessoas se referiam a dado como sinônimo de informação; atualmente, por vezes, lançamos mão do significado de conhecimento para falar sobre informação. Desta forma, é necessário conceituar e distinguir esses termos (EDSON, E., 2005. A vulnerabilidade humana na segurança da informação): DADO: Simples observações sobre o estado do mundo. É facilmente estruturado, facilmente obtido por máquinas, frequentemente quantificado e facilmente transferível. INFORMAÇÃO: Informação vem da palavra latina informare, que significa ‘dar forma’. São dados dotados de relevância. Requer unidade de análise, exige consenso em relação ao significado e há necessariamente a mediação humana. CONHECIMENTO: Informação valiosa da mente humana. Inclui reflexão, síntese e contexto. De difícil estruturação, difícil captura em máquinas, frequentemente tácito e de difícil transferência. *** Convém definir informação como “o conjunto de dados aos quais seres humanos deram forma para torná-los significativos e úteis”; e conhecimento como “o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação”. ARAÚJO (2005). Informações INOFENSIVAS ou VALIOSAS: Como medir? Tendo funcionários não preparados é difícil responder. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 9 REGRA: Qualquer informação (pessoal ou interna da empresa ou identificadores) só deve ser dada para solicitante identificado, que tenha NECESSIDADE REAL. 1.7 Ciclo de Vida da Informação Segundo LYRA (2009), a informação deve ser tratada durante todo o seu ciclo de vida, que vai desde a identificação da necessidade e requisitos até a fase de descarte da mesma. Com isso, a segurança da informação deve permear todo o ciclo de vida da informação; portanto, a política de segurança nunca está finalizada e deve ser desenvolvida e atualizada periodicamente durante toda a vida da empresa. Unidade 2: O comportamento humano e suas potenciais vulnerabilidades 2.1 Objetivo Nesta aula ressaltaremos o valor da informação e entenderemos de que forma as vulnerabilidades humanas podem ser usadas por potenciais agentes agressores no intuito de obter informações às quais normalmente não teriam acesso. Vamos aprofundar as questões sobre segurança da informação na empresa e conhecer quais são as formas de envolvimento mais utilizadas pelo engenheiro social, que são apresentadas do ponto de vista da técnica utilizada para aproximação do alvo e obtenção de informações. 2.2. Por que falar em Segurança da Informação? A informação é um ativo intangível importante para os negócios e por isso deve ser tratada com segurança. Ativo é tudo aquilo que possui valor para uma organização. Pode ser: – Tangível ou Intangível ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 10 – Lógico, Físico ou Humano Segurança é estar livre de perigos e incertezas. Condição daquele ou daquilo em que se pode confiar. Segundo o código de prática para a gestão da segurança da informação: “A informação é um ativo que, como qualquer outro, importante para os negócios, tem um valor para a organização. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos e as oportunidades de negócios”. (NBR ISSO/IEC 17799:2001, pp.2). Porque devemos nos proteger? Para evitar perdas financeiras através de impactos indesejados a ativos. As informações devem estar sempre disponíveis e íntegras. Deve-se assegurar o nível de proteção adequado para cada tipo de informação. Garantir a segurança da informação é essencial para o alcance do sucesso da empresa. 2.3 Vulnerabilidades Humanas Vulnerável: Diz-se do lado fraco de um assunto ou de uma questão, ou do ponto pelo qual alguém pode ser atacado ou ferido. Uma vulnerabilidade de um sistema é um ponto com maior possibilidade de falha, ponto fraco, que expõe o sistema sob algum dos aspectos da segurança e pode ser classificada em vários tipos, segundo sua origem, conforme ilustrado na Figura 5. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 11 Uma vulnerabilidade pode comprometer um sistema como um todo ou parte dele e torna-se um risco em potencial. Figura 5: Tipos de vulnerabilidade No nosso estudo, o foco será nas vulnerabilidades humanas. São exemplos de vulnerabilidades Humanas: Compartilhamento de informações confidenciais; Desobediência ou não execução de rotinas de segurança; Falta de comprometimento dos funcionários; Falta de treinamento. Ameaça: Uma ameaça é qualquer indicação, circunstância ou evento com potencial para causar danos ou perdas a um ativo ou conjunto de ativos. Uma ameaça pode ser: natural, acidental ou intencional, sendo esta última ligada, por vezes, à engenharia social. É muitas vezes consequência de vulnerabilidades existentes, podendo provocar perdas de confidencialidade, integridade e disponibilidade. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 12 São exemplos de ameaças intencionais: Alteração de Dados, Fraude, Sabotagem, Roubo de Hardware (HW), Software (SW), Mídias, peças de computador ou Informações em geral. Agente de Ameaça Pode ser: • Interno: empregado, contratado, estagiário; • Externo: parceiro, concorrente, fornecedor, cliente, visitante, criminoso, espião, hacker, terrorista; • Externo com auxílio de agente interno (intencional ou através de persuasão). 2.4 Engenharia Social A seguir, estão expostos alguns conceitos preliminares relacionados à engenharia social: Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas habilitações específicas à criação de estruturas, dispositivos e processos que se utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. Social: Civil, relativo ao cidadão. Engenharia Social: “Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente; as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos” (SILVA, 2011). ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 13 Existem diversas referências sobre a arte de persuadir, entre elas: “A Engenharia social atua sobre a inclinaçãonatural das pessoas de confiar umas nas outras e de querer ajudar. Nem sempre a intenção precisa ser de ajuda ou de confiança. Pelo contrário, pode ser por senso de curiosidade, desafio, vingança, insatisfação, diversão, descuido, destruição, entre outros. A Engenharia social também deve agir sobre as pessoas que não utilizam diretamente os recursos computa cionais de uma corporação. São indivíduos que têm acesso físico a alguns departamentos da empresa por prestarem serviços temporários, por fazerem suporte e manutenção ou, simplesmente, por serem visitantes. Há ainda um grupo de pessoas o qual é necessário dispensar uma atenção especial porque não entra em contato físico com a empresa, mas por meio de telefone, fax ou correio eletrônico”. (KLEIN, 2004, pp. 9). Ainda, segundo MITNICK (2006), “É um termo diferente para definir o uso de persuasão para influenciar as pessoas a concordar com um pedido”. O comportamento social propicia vulnerabilidades que são exploradas pelo engenheiro social. Segundo CIALDINI (2012), o comportamento do ser humano ao tomar uma decisão é governado por seis princípios psicológicos. São eles: 1. Reciprocidade; 2. Compromisso e coerência; 3. Aprovação social; 4. Afeição; 5. Autoridade; 6. Escassez. Para YAMAGISHI (1998), “a confiança generalizada é a expectativa básica de um comportamento não-explorador da contraparte, até prova em contrário”. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 14 2.4.1 Perfil do Engenheiro Social O engenheiro social se apresenta de forma a não levantar suspeitas (da intenção real escondida) de seus propósitos. Pode este ser, portanto: - um tipo de pessoa agradável, procurando ser educado, simpático, carismático, entre outros; - criativo, flexível e dinâmico, com uma conversa bastante envolvente. Unidade 3: Engenharia social, tipos, ferramentas e artimanhas 3.1 Objetivo Nesta aula objetivamos compreender o que significa "Engenharia social" e como este termo está ligado à Segurança da Informação; conhecer os tipos de Engenharia Social; e reconhecer determinadas artimanhas próprias e ferramentas do engenheiro social. 3.2. Por que falar em Segurança da Informação? A Engenharia social é comumente praticada em ambientes corporativos para obtenção de informações sigilosas. A prevenção pode ser realizada para proteção deste importante ativo organizacional que é a informação estratégica. O conhecimento de alguns tipos de abordagem e ferramentas pode auxiliar no processo de identificação de um possível ataque de um engenheiro social. Devemos cuidar para que não haja entrega de informação indevida, por desconhecimento do assunto ou mesmo pela não análise de cada caso real, em específico. A Segurança da Informação (SI) atua sobre Pilares Básicos e conjuga Estratégias e Ferramentas específicas para atender a uma determinada vulnerabilidade ou ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 15 ameaça, se ocupando com a preservação da informação (ativo de grande valor) durante todo o seu ciclo de vida. 3.2.1 Pilares básicos da Segurança da Informação (SI) Os Processos, a Tecnologia e as Pessoas são os três pilares básicos da segurança da informação, que visam garantir a integridade, a confidencialidade e a disponibilidade da informação, conforme pode ser visto na Figura 6. Destes três pilares, destacamos o elo mais fraco, que são as pessoas, objeto de estudo da Engenharia social. Para tratar deste conjunto, uma Política de Segurança da Informação (PSI) é adotada. PSI é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos, visando conscientizar e orientar os funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente informatizado, com informações sobre como gerenciar, distribuir e proteger seus principais ativos. Figura 6: Pilares Básicos da SI Uma PSI tem os seguintes elementos: • Diretrizes da Política • Declaração de Comprometimento da Alta Direção ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 16 • Normas de SI • Procedimentos de SI • Termos de Sigilo, Confidencialidade e Responsabilidade 3.2.2 Análise de Riscos Para construção de um plano de atuação para o combate a ataques de Engenharia social, é necessário contemplar eventos deste tipo em uma análise de riscos, avaliando, também neste caso, a correlação ameaça-incidente-impacto. Ameaça-incidente-impacto – De forma geral, na análise de riscos, deve-se considerar a relação Custo versus Benefício. Neste caso, deve-se distinguir aqueles ativos de maior valor de negócio para a empresa, com o objetivo de dirigir as ações de segurança à proteção dos mesmos e assim poder priorizar as ações de segurança, ou seja, iniciar o trabalho de implementação de segurança nas áreas mais estratégicas que possam trazer um impacto maior para a organização quando se pressentir algum incidente. Considerando a ameaça de um fenômeno meteorológico como um furacão, por exemplo, o incidente pode ser muito grande, mas se a empresa possui a proteção adequada na sua infraestrutura, o impacto pode ser pequeno. 3.2.3 Objetivos do engenheiro social As motivações de um engenheiro social para um ataque variam. Podem ser, por exemplo: Fugir de problemas; Ganhar dinheiro roubando ou vendendo dados da vítima; Espionagem industrial; Satisfação pessoal; Pura “diversão”. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 17 AS SETE FRAQUEZAS MORTAIS (Cisco Explains the 7 Deadly Weaknesses of Social Network Users and More in Security Report. 2010): 1.Sex Appeal; 2. Ganância; 3. Vaidade; 4. Confiança; 5. Preguiça; 6. Compaixão; 7. Urgência. 3.3 Artimanhas da Engenharia Social Algumas ferramentas são comumente utilizadas e casos associados ao uso destes recursos serão apresentados, a seguir: Formas de envolvimento - Premissas básicas: Qualquer pessoa é sujeita a ser manipulada em algum momento, em algum lugar, em relação a algum assunto! Um engenheiro social tece situações, prevendo possíveis questionamentos e se preparando para responder no ato, com segurança. Não demonstra insegurança, não gagueja, não parece estar mentindo, para que a vítima não desconfie. Para isso, o engenheiro social analisa o ambiente, para aprender: - Jargões; - Observa linguagem própria - Estrutura corporativa - Funções de cada envolvido PREPARAR RESPOSTAS CRIAR CONFIANÇA TENTAR AJUDAR OU PEDIR INFORMAÇÃO OU PEDIR AJUDA ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 18 Figura 7: Esquema básico de um ataque de Engenharia social O engenheiro social, comumente, segue alguns passos básicos, conforme ilustrado na Figura 7. São eles: - 1º passo: Criar confiança Quanto mais ingênuos e/ou despreparados formos, maior a probabilidade de ocorrência deste risco. Para crianças, orienta-se não confiar em estranhos (interagir fortemente, dar informações de qualquer tipo, aceitar nada, entre outros). Isso também pode ser útil na vida adulta, especialmente quando manipulamos informações de terceiros (o que ocorre, por exemplo, no ambiente de trabalho). Simples assim: Um engenheiro social adquire confiança primeiro para, depois, aproveitar esse falso vínculo de “amizade” criado para atacar e conseguir asinformações que deseja da vítima. - Segredo: Confiança não é transferível. * A grande responsabilidade pelo vazamento de informações é do primeiro que contou o que não deveria. Ter em mente que só o custodiante da informação pode autorizar o acesso e utilização da mesma. Caso: Melhor amigo: Todo mundo tem um melhor amigo. Quem é o melhor amigo do seu melhor amigo? DISPOSIÇÃO DE AJUDAR Coletar informações Finalizar ataque ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 19 2º Passo: Agir, de uma das formas abaixo: - Simulando tentar ajudar O engenheiro social se aproxima, colocando-se como parte da solução de um problema que, eventualmente, ele mesmo ajudou a criar. Com isso, a gratidão imposta pelo favor não requisitado facilita a extração de informação. - Pedindo a informação, tão somente. Pede diretamente, sem rodeios. Acredite que funciona! Pessoas disponibilizam informações por diferentes motivos. Segundo Kevin Mitnick, em entrevista para revista Information Week Brasil (MITNICK, 2003), existem seis características do comportamento humano que podem ser exploradas pelo engenheiro social, das quais a autoridade e o medo são destaque nesta técnica, e podem induzir a vítima a responder, precocemente, sem fazer uma análise mais aprofundada. - Pedindo ajuda Assim como a anterior, o engenheiro social também pede ajuda, mas, desta vez, a partir de um drama bem construído. “Humilde”, ele finge estar precisando muito de ajuda. *** IMPORTANTE: “Um engenheiro social pode utilizar artimanhas já conhecidas ou buscar um caminho inovador, para atingir os objetivos a que se propôs. Neste sentido, há necessidade de tentarmos imaginar que artifícios diferentes do tradicional podem estar sendo aplicados, para que não sejamos alvos fáceis de armadilhas” (MITNICK, 2003). 3.4 Ferramentas da Engenharia Social O engenheiro social utiliza diversas ferramentas e artimanhas para aproximação e ataque, de acordo com o que parece mais efetivo, em cada situação. É importante observar que nem todas são ferramentas tecnológicas; E também que pode haver uso de mais de um recurso para uma invasão. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 20 Principais ferramentas (Em ordem alfabética, como segue): Cartas, Chats, e- mail, FAX, Internet, Intranet, Pessoalmente, Spyware, Telefone ou VoIP, Mergulho no lixo, “Surfar” sobre os ombros e P2P. – Cartas/correspondência: Recurso poderoso, que alcança fortemente pessoas com pouco conhecimento ou com aversão a tecnologia ou com mais idade; – Chats (bate-papo): Recurso tecnológico de mais fácil utilização. Canais de bate-papo por exemplo, Messenger, ICQ, IRC, entre outros, favorecem a implantação de mensagens e imagens falsas; – e-mail: Uso de fakemail, e-mails falsos, os famosos phishing scam; – FAX: Cada vez menos utilizado; – Internet: Utilizada para coleta de informações, por exemplo, em sites que fornecem id e passwords default, sites clonados ou via FTP, google, orkut, registro.br, entre outros; – Intranet: Acesso remoto a informações reservadas; – Pessoalmente (In Person Social Engineering): Aplica poder de persuasão, a partir da habilidade em saber conversar. É o tipo de ataque mais raro. O engenheiro social faz-se passar por alguém que na verdade ele não é. Premedita uma atuação e faz uma encenação para manipular a vítima de forma convincente e costuma utilizar informações restritas ou confidenciais obtidas previamente, para envolver o alvo; – Spyware: Software “espião” usado para monitorar de modo invasivo e oculto as atividades executadas no computador de destino (alvo); – Telefone ou VoIP (voz sobre IP): Passar-se por outra pessoa é um dos ataques comuns em Engenharia social; – Mergulho no lixo (“Dumpster diving”): Muitas vezes há descarte inadequado de informações essenciais, o que pode ser objeto de investigação de um suposto engenheiro social; – Surfar sobre os ombros: É o ato de observar “displicentemente” a interação de um terceiro com o computador, celular ou outro recurso tecnológico para obter senha ou outras informações de usuário; ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 21 ** Fique atento ao movimento de pessoas no seu entorno, quando estiver digitando senhas ou escrevendo ou falando informações confidenciais; – P2P (Peer-to-Peer): Tecnologia empregada para estabelecer comunicação em uma rede, com inúmeros computadores, onde cada estação possui capacidades e responsabilidades equivalentes. Aplicações conhecidas, como, por exemplo, E-Mule e KaZaa, disponibilizam informações na rede, como envio de mensagens, informações de IPs ou DSNs (data source name’s). O estabelecimento deste tipo de comunicação é considerado um fator favorável ao engenheiro social. Os discursos apresentados nos exemplos ilustram bem como são os ataques típicos de Engenharia social. Observe que em cada caso a seguir, o engenheiro social procura induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas. Exemplo 1: e-mail (fakemail, e-mails falsos, os famosos phishing scam): Você recebe uma mensagem de e-mail, informando que seu computador está infectado por um vírus, sugerindo a instalação de uma determinada ferramenta disponível na internet para eliminá-lo, disponível em uma URL indicada no corpo do e-mail. Na verdade, a real função desta ferramenta não é eliminar um vírus citado, mas permitir que o atacante tenha acesso ao computador em uso e a todos os dados nele armazenados. Exemplo 2: e-mail (fakemail, e-mails falsos, os famosos phishing scam): Você recebe uma mensagem de e-mail, na qual o remetente se identifica como sendo o gerente ou responsável do departamento de suporte do banco em que você é correntista. Na mensagem, ele diz que o serviço de Internet Banking está apresentando um determinado problema e que tal ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 22 problema pode ser corrigido se você executar o aplicativo que já está estrategicamente anexado à mensagem. É fato que a execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso à conta bancária, onde, usualmente, você digita sua senha. Entretanto, este aplicativo aponta uma outra URL que não é do banco e está preparado para furtar a senha de acesso da sua conta bancária e enviá-la para o atacante. Exemplo 3: Telefone ou VoIP (voz sobre IP): Um desconhecido telefona para você e diz ser do suporte técnico do seu provedor de internet. Nesta ligação, ele diz que a conexão com a internet que você utiliza está apresentando um problema e, então, pede sua senha de acesso para corrigi-lo. Caso você entregue a senha, este suposto técnico poderá realizar inúmeras atividades que não são do seu interesse e até maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades a você. Unidade 4: A informação e sua importância estratégica 4.1 Objetivo Apresentar premissas fundamentais e conceitos de hacker e cracker, comentar o papel do usuário no escritório e na internet, definir contramedidas que possam ser utilizadas no caso de detecção de um ataque baseado em Engenharia social para atenuar ou eliminar a ameaça à organização. 4.2 O que é segurança da informação? O entendimento da importânciae dinâmica da informação para a organização pode facilitar a identificação de formas de atuação segura. Desta forma, é imprescindível que o custodiante de qualquer informação entenda o porquê da necessidade de segurança nas organizações, a importância de cada informação, compreenda o conceito do que é segurança da informação e saiba aplicar as melhores práticas do mercado. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 23 Conforme afirmado anteriormente, a preservação da informação durante todo o seu ciclo de vida potencializa o sucesso da empresa, pela preservação do conhecimento estratégico. Devemos cuidar para que não haja entrega indevida de informação, por desconhecimento do assunto ou mesmo por falta de análise adequada pelo empregado, tanto relacionada ao solicitante quanto à real necessidade em cada caso. Segurança da informação é a proteção: De dados e informações contra ações não autorizadas: o divulgação, transferência, modificação ou destruição; o ações intencionais ou acidentais. De pessoas, instalações, equipamentos, sistemas básicos e aplicativos, dados, informações e outros recursos significativos. Segurança de Informações está relacionada à proteção dos ativos. Todas as informações processadas por uma organização, bem como os equipamentos e sistemas utilizados, representam ativos valiosos, no sentido de que a continuidade do funcionamento da organização pode depender da preservação destes ativos. Um projeto de segurança da informação deve garantir aos clientes, fornecedores e colaboradores: A exatidão, a integridade e a disponibilidade; A confidencialidade e a privacidade; A identificação de ameaças e vulnerabilidades existentes. 4.2.1 Fatores que impactam na Segurança Os fatores de maior impacto na segurança da informação são: Valor: Importância do ativo para a organização; Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará; ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 24 Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que, dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. 4.3 Classificação da Proteção Conforme ilustrado na Figura 9, a proteção da informação pode ser classificada em: • Prevenção: Evita que acidentes ocorram; • Desencorajamento: Desencoraja a prática de ações; • Monitoramento: Monitora o estado e o funcionamento dos ativos; • Detecção: Detecta a ocorrência de incidentes; • Limitação: Diminui danos causados; • Reação: Reage a determinados incidentes; • Correção: Repara falhas existentes; • Recuperação: Repara danos causados por incidentes. Figura 9: Classificação das medidas de SI 4.4 Premissa Fundamental Não existe segurança absoluta! ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 25 Análise continuada - Por mais que nos esforcemos, sempre haverá uma abertura de segurança que as medidas tomadas até então não contemplarão; Isso significa dizer que o máximo que se pode fazer é minimizar a falta de segurança para patamares aceitáveis. Dado que a Engenharia social é: Um Método usado para obtenção de informações, por meio da persuasão ou exploração da confiança; Características básicas: Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade, fazendo-se passar por outra pessoa; Não é necessário o conhecimento de vulnerabilidades tecnológicas e pode ser aplicada, de forma simples, para se obter informações de grande valor. Com artifícios comuns como: Apresentação de um problema e depois da solução; Bajulação; Compaixão; Declaração de urgência ou importância; Intimidação; Oferta de lucro ou benefício com pouco esforço; Se aproveitar de quem tem acesso a informações privilegiadas para repassar a quem não tem; Troca de favores. Comportamentos seguros devem ser adotados por todos para preservação do patrimônio da empresa. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 26 4.7 O papel do profissional Para se proteger de ataques de Engenharia social, o profissional deve adotar procedimentos no trato direto com pessoas e também na utilização de recursos de tecnologia. Para se proteger de ataques (no escritório): Desconfie de: Ofertas e benefícios fáceis demais; E-mails supostamente enviados por instituições governamentais ou bancárias, informando problemas em seu cadastro. Este tipo de comunicação não é feito por e-mail e não há como garantir a autenticidade de um correio proveniente da internet. Verifique previamente: a autenticidade da solicitação, como, por exemplo, nome e telefone de contato do solicitante, antes de prestar informações pessoais; a identidade e registre os dados de terceiros, antes de entregar qualquer material a um portador; a necessidade e o endereço do site antes de clicar em links de internet com extensões .exe, .mp3, .rar, .scr, .wmv e .zip. Não forneça: endereços no campo ‘Para’ ao enviar e-mails; senhas de acesso a sistemas, contas bancárias e cartão de crédito, nem mesmo para os provedores destes serviços. Tenha: o antivírus sempre atualizado; Firewall, no caso de redes compartilhadas; Cuidado com uso de telefones celulares, iPods, tokens, entre outros; ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 27 Cuidado também com o preenchimento de dados pessoais em inscrições de sites. Cuidado: No acesso e disponibilização de dados na WEB (orkut, msn, entre outros). Limite o número de pessoas que possam ter contato com as suas informações! • Dados armazenados no disco rígido são recuperáveis, mesmo depois de apagados! • Não clique em links! Digite o endereço que deseja acessar e procure sempre observar o domínio. • Não use redes wireless abertas! Para se proteger de ataques: no escritório (Alertas com relação ao uso da Internet): Evite baixar aplicativos desconhecidos. Estes podem trazer vírus para o computador! Não abra arquivos que você desconfie que possam conter vírus; Cuidado ao repassar “correntes” por e-mail para seus amigos ou colegas de trabalho. Ele pode conter vírus e “infectar” o computador de muitas outras pessoas; Sempre que necessário, passe o antivírus no computador e também em mídias móveis (por exemplo, pen drive, disquete); Cuidado com e-mails falsos; Tenha cuidado ao adicionar estranhos em redes sociais; Tenha cautela ao divulgar informações pessoais e fotos na Internet; Evite a pirataria; Fraudes eletrônicas existem, não caia nesta! Lembre-se: é melhor prevenir do que remediar! ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 28 Nem todo site é confiável! Nem todo site de venda de produtos é seguro e confiável! Nem tudo que se baixa da Internet é bom! Você sabe com quem está falando? Unidade 5: Casos reais clássicos 5.1 Objetivo 1. Apresentar casos reais clássicos e recentes de falhas na segurança de informação para melhor percepção da importância do comportamento adequado. 2. Reforçar o aspecto da importância e da falha de funcionários nestes eventos. 3. Reconhecer comportamento de funcionários como ameaçaà Segurança da Informação. 5.2 Casos reais A seguir serão apresentados alguns casos reais clássicos de uso de Engenharia social em diferentes situações. Caso 01 – A história de Kevin Mitnick ... “habilidoso hacker consegue acesso aos arquivos do FBI. Para capturá-lo, o agente McCoy Rollins conta com a ajuda de Tsutomo Shimomura, gênio da informática responsável por traçar as pistas deixadas por Kevin no ciberespaço”. Utilizava técnicas de Engenharia social. Tornou-se um dos piratas de informática mais procurados dos EUA. Posteriormente, tornou-se profissional e consultor de segurança de informação. Sua história foi inspiração para o filme Hackers 2: Operation Takedown ("Hackers 2 – Caçada Virtual"). ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 29 Caso 02 – A história de Frank Abagnale W. Jr. ... (Condado de Westchester, 27/04/48) Westchester, 1948. Foi um falsificador de cheques e impostor norte-americano por cinco anos na década de 1960. Atualmente preside a Abagnale and Associates, uma empresa de consultoria contra fraudes financeiras. Sua história foi inspiração para o filme Catch Me If You Can ("Prenda-me se for capaz"), baseado em sua biografia não oficial de mesmo nome. Caso 03 – Adriano Lamo Fez hacking como entretenimento. Sem esconder a identidade, quando encontra uma falha na segurança, avisa a organização sobre isso. “Robin Hood” do hacking. Invadiu a Microsoft, a Yahoo, a MCI WorldCom, a Excite@Home e as empresas de telefonia SBC, Ameritech e Cingular, além do New York Times. Figura 10: Casos recentes e gafes piadasnerds.etc.br Outros casos mais recentes de Engenharia social (e gafes em Mídias Sociais). Caso 04 - Morgan Stanley Morgan Stanley é uma empresa de serviços financeiros. Nela, um funcionário foi demitido em 05/01/2015 acusado de roubo de informações de nomes e números ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 30 de contas de aproximadamente 350 mil clientes da área de gestão de fortunas, dos quais informações de 900 foram postadas na internet. (VALOR, 2015). Caso 05 – Tacos lambidos no Taco Bell “... A Taco Bell também precisou demitir outro funcionário que divulgou uma foto em que lambia tacos em um restaurante de rede, nos Estados Unidos. A imagem viralizou a WEB e causou uma crise de imagem na companhia. Em comunicado, a Taco Bell disse que os tacos tinham sido usados pra um treinamento de um novo prato e descartados. A foto teria sido feita para um concurso interno em que os funcionários deveriam mostrar qual seria a reação dos clientes ao experimentar o prato pela primeira vez. Lamber comida, porém, extrapolou as regras.” (UOL, 2013). Você sabia? A instrução da CVM Nº 358, Art. 8º estabelece, dentre outros, que é dever de todo profissional manter sigilo sobre informações empresariais relativas a ato ou fato relevante. PORTANTO: Um dos objetivos da Comissão de Valores Mobiliários (CVM) é garantir o correto manuseio e divulgação de informações empresariais para público. DAÍ: Empresas de capital aberto têm ações da bolsa de valores e devem responder aos acionistas. Unidade 6: Dados motivacionais 6.1 Objetivo 1. Apresentar a metáfora que correlaciona a visão do Iceberg com o cenário da Segurança da Informação, detalhar a tríade: Pessoas, Processos e ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 31 Tecnologia e apresentar Pesquisas externas, relatórios, sites oficiais e links de interesse sobre o tema Engenharia Social. 6.2 Introdução Para o sucesso das empresas, é primordial que haja um programa continuado de segurança da informação. Existem vários aspectos relevantes a serem considerados para proteção efetiva deste ativo e, consequente, diminuição de incidentes de segurança. Na Figura 11, temos a metáfora do Iceberg, que ilustra bem o que ocorre em um cenário de Segurança da Informação. Na visão do Iceberg somente a menor parcela é visível, de imediato. Em Segurança da Informação, este aspecto que é visível, comumente, é relacionado ao uso da tecnologia, porém esta é uma pequena parte do levantamento e do investimento a ser feito. Figura 11: A miopia do iceberg 6.3 A Tríade: Pessoas, Processos e Tecnologia A segurança da informação só será alcançada se a tríade Pessoas, Processos e Tecnologia for seguida. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 32 Para que a estratégia de segurança seja efetiva, ela precisa considerar estas três perspectivas básicas. Um sistema de informação deve observar, de forma equilibrada, a tríade pessoas, processos e tecnologia, conforme ilustrado na Figura 12. Desta forma, estas três visões do sistema de informação devem cooperar, ajustar-se e modificar-se ao longo do tempo para gerar um desempenho otimizado. Figura 12: Equilíbrio nos fatores influenciadores 1) Pessoas: É nas pessoas que começa e termina a segurança; basta que uma, na cadeia de processos, não esteja preparada, para que o risco de incidente aumente consideravelmente. Um jargão conhecido no ramo da segurança de informação diz que: o elo mais fraco da corrente da segurança são as pessoas. Lembrar que: “Uma corrente é tão forte quanto o seu elo mais fraco.” O que fazer, então? Educação. Como fazer? Treinamento. Por que fazer? Conscientização. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 33 2) Processos: devem ser flexíveis até o ponto que não afete a segurança das informações; a partir daí devem ser tratados de forma rígida e metódica. 3) Tecnologia: A definição e utilização adequada dos recursos tecnológicos também é um dos aspectos básicos de segurança. Por ser mais visível, costuma ter um tratamento mais imediato. Lembre-se que: As informações da empresa são ativos do negócio corporativo. Devem ser utilizadas de modo ético e seguro em benefício exclusivo da empresa! 6.4 Apresentação de Pesquisas externas, relatórios, sites oficiais e links A seguir, apresentamos alguns dados motivacionais relacionados a pesquisas externas em segurança de informação (SI), relatórios relevantes e sites oficiais, além de links de interesse sobre o tema. 6.4.1 Pesquisas Externas No Brasil, existe uma pesquisa nacional que aponta resultados e desafios que procuram responder o quanto estamos preparados para lidar com o amadurecimento constante das ameaças à Segurança da Informação em empresas brasileiras. Observar que: os resultados, em alguns casos, apontam níveis de maturidade abaixo do esperado. “Pesquisa Nacional de Segurança da Informação 2014: Resultados e Desafios!” URL https://www.youtube.com/watch?v=yvFkrWPc1yI. Publicação: 12-12- 2014. 6.4.2 Relatórios Um estudo publicado pelo Centro de Estudos Estratégicos e Internacionais dos E.U.A. em conjunto com a empresa de segurança digital McAfee revela que ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 34 falhas em segurança digital geram, em todo o mundo, um prejuízo anual que atinge a marca de aproximadamente US$ 500 bilhões. McAfee, 2013. The economic impact of cybercrime and cyber espionage. 2013. URL: http://www.mcafee.com/mx/resources/reports/rp-economic-impact- cybercrime.pdf. Jul, 2013. McAfee. An Intel Company. 6.4.3 Sites Oficiais e Links A seguir, são listados algunssites oficiais e links com entrevistas, artigos e eventos recentes, para consulta. Social Engineering Framework: http://www.social-engineer.org/framework/general-discussion/ Entrevistas e eventos recentes: http://itforum365.com.br/buscar/?q=kevin mitnick Artigos sobre segurança: http://www.symantec.com/connect/security/articles/ Cartilha de segurança para internet: http://cartilha.cert.br/ De acordo com a cartilha de segurança do CERT/BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), a Engenharia social é “um método de ataque onde alguém faz uso da persuasão”. Unidade 7: Campanhas de conscientização sobre Segurança da Informação 7.1 Objetivo Elaboração de campanhas de conscientização sobre Segurança da Informação para colaboradores; estudo de um programa prático de treinamento e conscientização, que aborde aspectos do comportamento humano e da ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 35 Engenharia social; e também sugestões para um programa constante, segundo MITNICK. 7.2 Introdução Nesta aula, apresentaremos diferentes formas utilizadas pelas empresas para elaborar e obter adesão da força de trabalho aos programas de conscientização em Segurança da Informação, através de campanhas de conscientização. 7.3 Conscientização e Treinamento A Conscientização em Segurança da Informação dos colaboradores da força de trabalho é altamente relevante para a efetiva Segurança da Informação (SI) e consiste em uma tarefa que demanda esforços periódicos em diferentes frentes de atuação. Adicionalmente, esforços direcionados em treinamentos com foco e grupo específico reforçam os conceitos elaborados durante as diferentes atividades da campanha. Uma Iniciativa de Segurança da Informação deve ter metas integradas determinadas previamente para que os resultados alcançados sejam mensuráveis. 7.3.1 Elaborar Campanhas de Conscientização de SI A conscientização em SI do trabalhador é uma atividade razoavelmente complexa, pois requer entendimento da importância dos ativos empresariais, adequação de normas e de procedimentos e, também, mudança de hábitos. Além disso, deve levar em conta o porte da empresa, requer avaliação de cada situação-problema e medidas de continuidade. Uma Iniciativa Integrada de Segurança da Informação pode compreender, entre outros, os passos básicos relacionados a seguir: Verificar Público-Alvo; Determinar METAS para cada grupo; Verificar resultados alcançados. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 36 A seguir, temos alguns exemplos de METAS para uma hipotética Campanha de Segurança de Informação. São elas: Ex. 1: Participação de determinado percentual da força de trabalho em uma campanha específica. Ex. 2: Atingir a participação de determinado percentual da força de trabalho que não participou das atividades do Projeto de Conscientização em Segurança da Informação no ano anterior, em uma campanha específica. Verificar resultados alcançados, por exemplo, ao: 1. Informar aos gerentes quais profissionais da força de trabalho foram indicados e quantos cumpriram metas de participação em eventos. 2. Contabilizar o número de ações preventivas realizadas, por ocasião de identificação de riscos, durante a campanha. Para compor a campanha, várias outras atividades podem ser consideradas relevantes para o momento e público-alvo selecionado e incluídas em METAS, como, por exemplo: 1. Reuniões periódicas para repasse de informações de segurança de informação; 2. Jogos de Perguntas e Respostas objetivas sobre o tema (que podem ser online); 3. Jogos empresariais; 4. Videos com situações mais frequentes; 5. Filmes relacionados a Segurança de Informação; Entre outros. CONSIDERAR QUE: Um programa prático de treinamento e conscientização em segurança das informações aborda os aspectos do comportamento humano e da Engenharia social e deve incluir (MITNICK, 2003, pp. 202-203): ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 37 1. Uma descrição do modo como os atacantes usam as habilidades da Engenharia social para enganar as pessoas; 2. Os métodos usados pelos engenheiros sociais para atingir seus objetivos; 3. Como reconhecer um provável ataque de Engenharia social; 4. O procedimento para o tratamento de uma solicitação suspeita; 5. A quem relatar as tentativas da Engenharia social ou os ataques bem-sucedidos; 6. A importância de questionar todos que fazem uma solicitação suspeita, independentemente da posição ou importância que a pessoa alega ter. 7. O fato de que os funcionários não devem confiar implicitamente nas outras pessoas sem uma verificação adequada, embora o seu impulso seja dar aos outros o benefício da dúvida; 8. A importância de verificar a identidade e a autoridade de qualquer pessoa que faça uma solicitação de informações ou ação; 9. Procedimentos para proteger as informações confidenciais, entre eles a familiaridade com todo o sistema de classificação de dados; 10. A localização das políticas e dos procedimentos de segurança da empresa e a sua importância para a proteção das informações e dos sistemas de informações corporativas; 11. Um resumo das principais políticas de segurança e uma explicação do seu significado. Por exemplo, cada empregado deve ser instruído sobre como criar uma senha difícil de adivinhar; 12. A obrigação de cada empregado de atender às políticas e as consequências do não atendimento. Ainda segundo MITNICK (2003), a lista de possibilidades de um programa constante de conscientização poderia incluir: 1. Fornecimento de exemplares do livro “A arte de enganar” (MITNICK, 2003) para todos os empregados; ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 38 2. Inclusão de itens informativos nas circulares da empresa, por exemplo, artigos, lembretes (de preferência itens curtos que chamem a atenção) ou quadrinhos; 3. Colocação de uma foto do Empregado da Segurança do Mês; 4. Pôsteres afixados nas áreas dos empregados; 5. Notas publicadas no quadro de avisos; 6. Lembretes impressos nos envelopes de pagamento; 7. Envio de lembretes por correio eletrônico; 8. Uso de proteções de tela relacionadas com segurança; 9. Transmissão de anúncios sobre a segurança por meio do sistema de voice mail; 10. Impressão de etiquetas para o telefone com mensagens tais como "A pessoa que está ligando é quem ela diz ser?"; 11. Configuração de mensagens de lembrete que aparecem quando o computador é ligado, tais como "Criptografe as informações confidenciais antes de enviá-las"; 12. Inclusão da conscientização para a segurança como um item-padrão nos relatórios de desempenho dos empregados e nas análises anuais; 13. Publicação na intranet de lembretes de conscientização para a segurança, talvez usando quadrinhos ou humor, ou alguma outra maneira que incentive as pessoas a lerem; 14. Uso de um quadro eletrônico de mensagens na lanchonete, com um lembrete de segurança que seja trocado frequentemente; 15. Distribuição de folhetos ou brochuras; 16. E pense naqueles biscoitos da fortuna que são distribuídos de graça na lanchonete, contendo cada um deles um lembrete sobre a segurança em vez de uma previsão. A ameaça é constante; os lembretes também devem ser constantes. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 39 Com isso,o profissional de SI começa a expandir o conhecimento necessário para atuação no processo de planejamento, execução e avaliação dos resultados alcançados em SI para patamares desejáveis. Unidade 8: Comportamento seguro 8.1 Objetivo Nesta aula, apresentaremos diferentes opções em que os colaboradores se apoiem para atender à Segurança da Informação, através de dicas, atitudes, técnicas e procedimentos. Além de discorrer, resumidamente (breve revisão), sobre os temas ligados a Engenharia social, interligando os assuntos para melhor entendimento da proposta da disciplina, da teoria apresentada e maior adequação na atuação profissional. Pontuar a importância da segurança da informação e do envolvimento do gerente. Reforçar a necessidade de comprometimento com a mudança comportamental. 8.2 Aspectos comportamentais, físicos ou psicológicos para vulnerabilidade Observar os diversos aspectos comportamentais, físicos ou psicológicos que possam constituir vulnerabilidades no controle de acesso às informações e que são utilizados por potenciais invasores com o intuito de obter informações a que, normalmente, os acessos não lhes seriam concedidos. A “Ilusão de Segurança” como fator determinante para questões de Segurança da Informação. 8.3 Importância da segurança da informação e a importância do gerente No mundo globalizado a informação constitui um dos maiores ativos de uma empresa. O conhecimento que a empresa detém (produzido ou adquirido por ela) deve ser preservado, por ser um de seus maiores patrimônios. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 40 O gerente deve: - prover as condições necessárias para o cumprimento dos padrões de Segurança da Informação em sua área de atuação; e - fazer a gestão da informação. A mudança comportamental precisa do comprometimento de todos. Para isso se concretizar, o gerente deve liderar pelo exemplo. 8.4 Comprometimento com a mudança comportamental “A Ilusão de Segurança” - Produtos de segurança sozinhos oferecem a verdadeira segurança? - Em relação às informações empresariais, pode-se confiar em terceiros até que se prove o contrário? 8.4.1 Informação X Segurança Uma análise básica de segurança deve conter as perguntas a seguir: O que? (Quais informações precisam de um determinado nível de segurança?) Por que? (Por que estas informações devem ser protegidas?) Quando? (Quando proteger estas informações? Determinar o processo do ciclo de vida da informação) Onde? (Onde estas informações vão circular? Considerar os fatores físicos, tecnológicos e humanos.) RISCO = (Ameaça) * (Vulnerabilidade) * (Valor do Ativo ou Custo do Evento) Sem os cuidados necessários, o que pode acontecer? A Companhia perde lucratividade por vazamento de informação. ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 41 Lembre-se que: Para que a empresa seja capaz de compartilhar informações de forma segura, garantindo o sucesso dela no mundo competitivo, é imprescindível adotar comportamentos e práticas seguras no dia a dia.
Compartilhar