ENG SOCIAL E CONSCIENTIZAÇÃO EM SEG DA INFORMAÇÃO

Prévia do material em texto

ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM 
SEGURANÇA DA INFORMAÇÃO 
 
Elisabete Thomaselli Nogueira 
elisabetetn2004@gmail.com 
 
Apresentação 
 
A prevenção de incidentes de segurança da informação, 
comumente, passa por um verdadeiro processo de capacitação e 
qualificação dos usuários, que envolve várias atividades, desde a 
publicação de padrões e normas de âmbito empresarial até 
campanhas de conscientização em segurança de informações, 
para garantir a construção, conhecimento, entendimento e uso 
das normas e boas práticas estabelecidas. 
Um grande desafio é compreender aspectos ligados às relações 
humanas e as potenciais vulnerabilidades desta interação, uma 
vez que o fator humano é o mais impactante em segurança da 
informação. E é a partir das premissas de conhecimento da 
empresa alvo e do comportamento humano, que um engenheiro 
social utiliza de ferramentas e técnicas para obter as informações 
não autorizadas. 
O papel desta disciplina de Engenharia Social e Conscientização 
em Segurança da Informação é desenvolver as competências no 
aluno, relacionadas uma visão crítica das falhas de segurança na 
empresa e possíveis contramedidas de segurança. 
 
 
 
 
 
 
 
Unidade 1: As relações humanas no trabalho 
 
1.1 Objetivo 
 
Nesta aula trataremos de conceitos e aspectos relacionados às 
relações humanas, que permeiam as relações de trabalho, 
compreendendo as formas de comunicação, os tipos psicológicos e 
as relações de trabalho. Além disso, visa conceituar informação e 
determinar seu ciclo de vida. A partir destes conceitos, serão 
construídos o entendimento dos processos utilizados em ataques de 
segurança de informação e a construção de medidas de proteção 
contra estes. 
 
1.2 Como podemos entender as relações humanas no 
trabalho? 
 
O ser-humano é um ser social, racional, portador da fala e do 
discernimento, segundo o filósofo Aristóteles (384-322 a. C.). Com 
isso, necessita do contato, interação e convívio com indivíduos da 
espécie a qual pertence. Nas relações humanas, o ser-humano 
procura pertencimento e mecanismos de troca, como esforço e 
recompensa são, muitas vezes, utilizados. 
 
A aprendizagem da cultura, dos valores, dos objetivos, das estratégias 
de contato interpessoal, para a aceitação em um grupo é fator 
importante na constituição do ser e um aspecto relevante na 
observação do comportamento do homem, em cada grupo a qual se 
vincula, o que é aplicável para o ambiente organizacional (ZANELLI, 
ANDRADE, BASTOS, 2014). 
 
 
 
 
Para Chiavenato (2004), “a organização espera que as pessoas 
trabalhem e desempenhem suas tarefas. Assim, surge uma interação 
entre pessoas e organização, à qual se dá o nome de processo de 
reciprocidade: a organização espera que as pessoas realizem suas 
tarefas e oferece-lhes incentivos e recompensas, enquanto as pessoas 
oferecem suas atividades e trabalho esperando obter certas satisfações 
pessoais”. 
 
A sociedade capitalista ocidental é constituída de relações de trabalho 
hierárquicas e a relação interpessoal é composta de diferentes papeis e 
relações de hierarquia, a saber: colegas, prepostos, coordenador, 
gerente imediato, outros gerentes, entre outros. Nem todos que nos 
abordam na empresa são claramente identificados, a princípio, e, 
muitas vezes, iniciamos diálogos na empresa com estranhos não 
identificados. 
 
1.3 Formas de comunicação 
 
Comunicação é: “Ato ou efeito de emitir, transmitir e receber 
mensagens por meio de métodos e/ou processos convencionados, quer 
através da linguagem falada ou escrita, quer de outros sinais, signos 
ou símbolos, quer de aparelhamento técnico especializado, sonoro e/ou 
visual”, ou ainda, “A capacidade de trocar ou discutir ideias, de 
dialogar, de conversar, com vista ao bom entendimento entre 
pessoas”, segundo o dicionário Babylon v. 10.3.0.14. 
 
Como podemos observar na Figura 1, há diversos meios de 
transmissão da informação. 
 
 
 
 
Figura 1: Meios de transmissão da informação. 
 
O trabalho eficaz em equipe pressupõe que cada membro da equipe 
possua determinadas competências pessoais e a habilidade em 
comunicação é uma delas. 
 
A transmissão da informação, ou seja, a comunicação depende de um 
emissor, um meio de transmissão e um receptor, conforme pode ser 
observado na Figura 2. 
 
 
Figura 2: Transmissão da informação 
 
 
 
 
1.4 Perfil 
 
O tratamento e a forma de abordagem mais efetiva devem ser 
diferenciados, considerando o perfil do destinatário (receptor da 
informação). 
 
Segundo MACHADO (2003), existem três diferentes perfis de 
apreensão. São eles: 
 Auditivo, 
 Visual e 
 Sinestésico 
 
Além disso, existem estudos para auxiliar a traçar o perfil tipológico de 
um indivíduo, onde estes estudos apontam que cada tipo psicológico 
tem uma forma predominante de comunicar e capturar informações. 
Segundo o estudo de tipos psicológicos com indicador de tipos Myers-
Briggs (MBTI), o armazenamento e recuperação de informações nas 
organizações corporativas (HIRSH, KUMMEROW, 1993) inclui, maior ou 
menor preferência, ou dicotomia nas atividades de: 
• Foco da motivação (Extroversão ou Introversão), 
• Percepção (Sensação ou Intuição), 
• Tomada de decisão (Pensamento e Sentimento), 
• Estilo de vida (Julgamento ou Percepção). 
 
1.5 Relações de Trabalho 
 
As equipes são compostas de profissionais de diferentes perfis e a 
comunicação do projeto deve levar os diferentes tipos de comunicação 
(GODFREY, 2011). 
 “A divisão social do trabalho acontece no processo de 
desenvolvimento da sociedade. Para satisfazer nossas necessidades 
 
 
 
estabelecemos relações de trabalho e a divisão das atividades” (MARX, 
2013). 
Neste contexto, cada projeto se desenvolve através de um ciclo de 
vida que se constitui numa sequência de fases que vão desde a ideia 
inicial até o seu encerramento (NOGUEIRA, 2015). 
 
Figura 3: NOGUEIRA, 2015 
 
Em outra classificação relacionada às pessoas, é possível considerar os 
grupos segundo: 
- Cargo no Organograma Empresarial e 
- Perfil Profissional. 
 
A quantidade e o nível de informação acessível e as interações 
funcionais variam, de acordo com o perfil profissional (por exemplo, 
supervisor, pesquisador, coordenador, gerente, entre outros) e pela 
alocação do profissional em uma determinada área da estrutura 
organizacional. Empregados da área fim da empresa podem, por 
vezes, acessar dados sensíveis da produção. Outras informações 
confidenciais são tratadas em diversas áreas da empresa, por 
exemplo, na área de gestão de contratos ou na área de recursos 
humanos. Na Figura 4 temos um exemplo de organograma empresarial 
simplificado. 
 
 
 
 
Figura 4: Organograma 
 
 
Em mais uma classificação, é possível considerar os grupos: 
1º: Novo colaborador (que possivelmente conhece pouco ou 
nada sobre a empresa e seus processos), 
 2º: Colaborador antigo, 
 3º: Ambos. 
Ou ainda: 
1º: Empregado sem função gerencial, 
2º: Empregado com função gerencial, 
3º: Ambos. 
 
Todas estas visões apresentadas de perfil (pessoal e profissional) são 
de interesse para: avaliação de ameaças, tratamento de 
vulnerabilidades em segurança de informação com focos específicos e 
posicionamento de campanhas de segurança da informação. 
 
1.6 Informação 
 
A informação é um elemento essencial para todos os processos de 
negócio em qualquer tipo e tamanho de Organização, sendo, portanto, 
um ativo de grande valor. Com o advento da “era da informação”,“era 
tecnológica” ou ainda “era digital”, isso ficou ainda mais claro. 
 
 
 
 
1.6.1 Dado, Informação e Conhecimento 
 
Por longo tempo, as pessoas se referiram a dados como informação; 
atualmente, por vezes, lançamos mão do significado de conhecimento 
para falar sobre informação. Desta forma, é necessário conceituar 
dado, informação e conhecimento. 
 
A distinção entre estes termos é feita de modo sintético o significado 
de cada termo é apresentado, a seguir: 
DADO: Simples observações sobre o estado do mundo. É facilmente 
estruturado, facilmente obtido por máquinas, frequentemente 
quantificado e facilmente transferível. 
INFORMAÇÃO: Informação vem da palavra latina informare, que 
significa ‘dar forma’. São dados dotados de relevância. Requer 
unidade de análise, exige consenso em relação ao significado e há 
necessariamente a mediação humana. 
CONHECIMENTO: Informação valiosa da mente humana. Inclui 
reflexão, síntese e contexto. De difícil estruturação, difícil captura 
em máquinas, frequentemente tácito e de difícil transferência. 
*** Convém definir informação como “o conjunto de dados aos quais 
seres humanos deram forma para torná-los significativos e úteis” e 
conhecimento como “o conjunto de ferramentas conceituais e 
categorias usadas pelos seres humanos para criar, colecionar, 
armazenar e compartilhar a informação”. 
 
Informações INOFENSIVAS ou VALIOSAS: Como medir? 
Tendo funcionários não preparados é difícil de responder. 
 
REGRA: 
 
 
 
Qualquer informação (pessoal ou interna da empresa ou identificadores) só deve ser 
dada para solicitante identificado, que tenha NECESSIDADE REAL. 
 
 
 
 
 
 
 
1.7 Ciclo de Vida da Informação 
 
Segundo LYRA (2009), a informação deve ser tratada, durante todo o 
seu ciclo de vida, o que vai desde a identificação da necessidade e 
requisitos até a fase de descarte da mesma. Com isso, a segurança da 
informação deve permear todo o ciclo de vida da informação e a 
política de segurança nunca está finalizada e deve ser desenvolvida e 
atualizada periodicamente, durante toda a vida da empresa. 
 
 
 
Unidade 2: O comportamento humano e suas potenciais 
vulnerabilidades 
 
2.1 Objetivo 
 
Nesta aula abordaremos assuntos para: reforçar o valor da 
informação e entender de que forma as vulnerabilidades humanas 
podem ser usadas por potenciais agentes agressores no intuito de 
obtenção de informações às quais normalmente não teriam 
acesso. 
 
Saber mais sobre segurança da informação na empresa e 
conhecer quais são as formas de envolvimento mais utilizadas 
pelo engenheiro social, que são apresentadas do ponto de vista da 
técnica utilizada para aproximação do alvo e obtenção de 
informações. 
 
2.2 Por que se falar em Segurança da Informação? 
 
A informação é um ativo intangível importante para os negócios e por 
isso deve ser tratada com segurança. 
 
Ativo é tudo aquilo que possui valor para uma organização. Pode ser: 
– Tangível ou Intangível, 
– Lógico, Físico ou Humano. 
 
Segurança é estar livre de perigos e incertezas. Condição daquele ou 
daquilo em que se pode confiar. 
Segundo o código de prática para a gestão da segurança da 
informação: 
“A informação é um ativo que, como qualquer outro, importante 
para os negócios, tem um valor para a organização. A segurança da 
 
 
 
informação da informação protege a informação de diversos tipos 
de ameaças para garantir a continuidade dos negócios, minimizar os 
danos ao negócio e maximizar o retorno dos investimentos e as 
oportunidades de negócios”. (NBR ISSO/IEC 17799:2001, pp.2). 
 
Porque devemos nos proteger? Para evitar perdas financeiras 
através de impactos indesejados a ativos. 
 
 As informações devem estar sempre disponíveis e íntegras. 
 Deve-se assegurar o nível de proteção adequado para cada tipo 
de informação. 
 Garantir a segurança da informação é essencial para o alcance 
do sucesso da empresa. 
 
 
2.3 Vulnerabilidades Humanas 
 
Vulnerável: Diz-se do lado fraco de um assunto ou de uma questão, 
ou do ponto pelo qual alguém pode ser atacado ou ferido. 
 
Uma vulnerabilidade de um sistema é um ponto com maior 
possibilidade de falha, ponto fraco, que expõe o sistema sob algum dos 
aspectos da segurança e pode ser classificada em vários tipos, 
segundo sua origem, conforme ilustrado na Figura 5. 
Uma vulnerabilidade pode comprometer um sistema como um todo 
ou parte dele e torna-se um risco em potencial. 
 
 
 
 
Figura 5: Tipos de vulnerabilidade 
 
 
No nosso estudo, o foco será nas vulnerabilidades humanas. São 
exemplos de vulnerabilidades Humanas: 
 Compartilhamento de informações confidenciais. 
 Desobediência ou não execução de rotinas de segurança. 
 Falta de comprometimento dos funcionários. 
 Falta de treinamento. 
 
Ameaça: Uma ameaça é qualquer indicação, circunstância ou evento 
com potencial para causar danos ou perdas a um ativo ou conjunto de 
ativos. Uma ameaça pode ser: natural, acidental ou intencional, sendo 
esta última ligada, por vezes, ligada a engenharia social. 
É muitas das vezes consequência de vulnerabilidades existentes, 
podendo provocar perdas de confidencialidade, integridade e 
disponibilidade. 
 
São exemplos de ameaças intencionais: Alteração de Dados, Fraude, 
Sabotagem, Roubo de Hardware (HW), Software (SW), Mídias, Peças 
de computador, ou Informações em geral. 
 
 
 
 
 Agente de Ameaça 
 
Pode ser: 
• Interno: empregado, contratado, estagiário, 
• Externo: parceiro, concorrente, fornecedor, cliente, 
 visitante, 
 criminoso, espião, hacker, terrorista, 
• Externo com auxílio de agente interno (intencional ou através 
de persuasão). 
 
2.4 Engenharia Social 
 
A seguir, estão expostos alguns conceitos preliminares, relacionados à 
engenharia social: 
 
Engenharia: Arte de aplicar conhecimentos científicos e empíricos e 
certas habilitações específicas à criação de estruturas, dispositivos e 
processos que se utilizam para converter recursos naturais em formas 
adequadas ao atendimento das necessidades humanas. 
Social: Civil, relativo ao cidadão. 
 
Engenharia Social: “Engenharia Social é a ciência que estuda 
como o conhecimento do comportamento 
humano pode ser utilizado para induzir uma pessoa a atuar 
segundo seu desejo. Não se trata de hipnose ou controle da 
mente, as técnicas de Engenharia Social são amplamente 
utilizadas por detetives (para obter informação) e 
magistrados (para comprovar se um declarante fala a 
verdades). Também é utilizada para lograr todo tipo de 
fraudes, inclusive invasão de sistemas eletrônicos” (SILVA, 
 
 
 
 
2011). 
 
 
Existem diversas referências sobre a arte de persuadir, entre elas: 
 
 “A engenharia social atua sobre a inclinação natural das pessoas de 
confiar umas nas outras e de querer ajudar. Nem sempre a intenção 
precisa ser de ajuda ou de confiança. Pelo contrário, pode ser por 
senso de curiosidade, desafio, vingança, insatisfação, diversão, 
descuido, destruição, entre outros. 
 
A engenharia social também deve agir sobre as pessoas que não 
utilizam diretamente os recursos computa- 
 
 
 
cionais de uma corporação. São indivíduos que tem 
acesso físico a alguns departamentos da empresa 
por prestarem serviços temporários, porque fazer 
suporte e manutenção ou, simplesmente, por 
serem visitantes. Há ainda um grupo de pessoas o 
qual é necessário dispensar uma atenção especial, 
porque não entra em contato físico com aempresa, mas por meio de telefone, fax ou correio 
eletrônico”. (KLEIN, 2004, pp. 9). 
Ainda, segundo MITNICK (2006), “É um termo 
diferente para definir o uso de persuasão para 
influenciar as pessoas a concordar com um 
pedido”. 
 
 
 
O comportamento social propicia vulnerabilidades, que são exploradas 
pelo engenheiro social. 
 
Segundo CIALDINI (2012), o comportamento do ser humano ao tomar 
uma decisão é governado por seis princípios psicológicos. São eles: 
1. Reciprocidade, 
2. Compromisso e coerência, 
3. Aprovação social, 
4. Afeição, 
5. Autoridade, 
6. Escassez. 
 
Uma outra citação bastante relevante, de Ellen Frisch, diz: “Segurança 
tem início e termina com as pessoas.” 
 
Para YAMAGISHI (1998), “a confiança generalizada é a expectativa 
básica de um comportamento não-explorador da contraparte, até 
prova em contrário”. 
 
2.4.1 Perfil do Engenheiro Social 
 
O engenheiro social se apresenta de forma a não levantar suspeitas 
(da intenção real escondida) de seus propósitos. Pode este ser, 
portanto: 
- um tipo de pessoa agradável, procurando ser educado, simpático, 
carismático, entre outros, 
- criativo, flexível e dinâmico, com uma conversa bastante 
envolvente. 
 
 
 
 
 
 
Unidade 3: Engenharia social, tipos, ferramentas e 
artimanhas. 
 
3.1 Objetivo 
 
Nesta aula objetivamos compreender o que significa "engenharia 
social" e como este termo está ligado à Segurança da 
Informação, conhecer os Tipos de Engenharia Social e 
reconhecer determinadas artimanhas próprias e ferramentas do 
engenheiro social. 
 
3.2 Por que se falar em Segurança da Informação? 
 
A engenharia social é comumente praticada em ambientes 
corporativos, para obtenção de informações sigilosas. A prevenção 
pode ser realizada, para proteção deste importante ativo 
organizacional, que é a informação estratégica. 
O conhecimento de alguns tipos de abordagem e ferramentas pode 
auxiliar no processo de identificação de um possível ataque de um 
engenheiro social. 
Devemos cuidar para que não haja entrega de informação indevida, 
por desconhecimento do assunto ou mesmo pela não análise de cada 
caso real, em específico. 
 
A Segurança da Informação (SI) atua sobre Pilares Básicos e conjuga 
Estratégias e Ferramentas específicas para atender a uma determinada 
vulnerabilidade ou ameaça, se ocupando com a preservação da 
informação (ativo de grande valor) durante todo o seu ciclo de vida. 
 
 
 
 
3.2.1 Pilares básicos da Segurança da Informação (SI) 
 
Os Processos, a Tecnologia e as Pessoas são os três pilares básicos da 
segurança da informação, que visam garantir a integridade, a 
confidencialidade e disponibilidade da informação, conforme pode ser 
visto na Figura 6. Destes três pilares, destacamos o elo mais fraco, que 
são as pessoas, objeto de estudo da engenharia social. 
 
Para tratar deste conjunto, uma Política de Segurança da Informação 
(PSI) é adotada. PSI é o conjunto de diretrizes, normas e 
procedimentos que devem ser seguidos, visando conscientizar e 
orientar os funcionários, clientes, parceiros e fornecedores para o uso 
seguro do ambiente informatizado, com informações sobre como 
gerenciar, distribuir e proteger seus principais ativos. 
 
 
Figura 6: Pilares Básicos da SI 
 
Uma PSI tem os seguintes elementos: 
• Diretrizes da Política, 
• Declaração de Comprometimento da Alta Direção, 
• Normas de SI, 
• Procedimentos de SI, 
 
 
 
• Termos de Sigilo, Confidencialidade e Responsabilidade. 
 
3.2.2 Análise de Riscos 
 
Para construção de um plano de atuação para o combate a ataques de 
engenharia social é necessário contemplar eventos deste tipo em uma 
análise de riscos, avaliando, também neste caso, a correlação ameaça-
incidente-impacto. 
 
Ameaça-incidente-impacto – De forma geral, na análise de riscos, 
deve-se considerar a relação Custo versus Benefício. Neste caso, se 
deve distinguir aqueles ativos de maior valor de negócio para a 
empresa, com o objetivo de dirigir as ações de segurança à 
proteção dos mesmos e assim poder priorizar as ações de 
segurança, ou seja, iniciar o trabalho de implementação de 
segurança nas áreas mais estratégicas que possam trazer um 
impacto maior para a organização quando se pressentir algum 
incidente. 
Considerando a ameaça de um fenômeno meteorológico como um 
furacão, por exemplo, o incidente pode ser muito grande, mas se a 
empresa possui a proteção adequada na sua infraestrutura, o impacto 
pode ser pequeno. 
 
3.2.3 Objetivos do Engenheiro Social 
 
As motivações de um engenheiro social para um ataque variam. 
Podem ser, por exemplo: 
 Fugir de problemas, 
 Ganhar dinheiro roubando ou vendendo dados da vítima, 
 Espionagem industrial, 
 Satisfação pessoal, 
 Pura “diversão”, 
 
 
 
 Entre outros. 
 
AS 7 FRAQUEZAS MORTAIS (by Cisco): 
1.Sex Appeal, 
2. Ganância, 
3. Vaidade, 
4. Confiança, 
5. Preguiça, 
6. Compaixão, 
7. Urgência. 
 
3.3 Artimanhas da Engenharia Social 
 
“O engenheiro social emprega as mesmas técnicas persuasivas que 
usamos no dia a dia. Assumimos papéis. Tentamos obter credibilidade. 
Cobramos obrigações recíprocas. Mas o engenheiro social aplica essas 
técnicas de uma maneira manipuladora, enganos, altamente antiética, 
frequentemente com efeito devastados”. Psicólogo social Dr. Brad. 
Bagarin. 
 
Algumas ferramentas são comumente utilizadas e casos associados ao 
uso destes recursos serão apresentados, a seguir: 
 
Formas de envolvimento - Premissas básicas: 
 Qualquer pessoa é sujeita a ser manipulada em algum momento, 
em algum lugar, em relação a algum assunto!!! 
 Um engenheiro social tece situações, prevendo possíveis 
questionamentos e se preparando para responder no ato, com 
segurança. Não demonstra insegurança, não gagueja, não parece 
estar mentindo, para que a vítima não desconfie. 
 
Para isso, o engenheiro social analisa o ambiente, para aprender: 
 
 
 
- Jargões, 
- Observa linguagem própria, 
- Estrutura corporativa, 
- Funções de cada envolvido. 
 
 
 
Figura 7: Esquema básico de um ataque de engenharia social 
 
O engenheiro social, comumente, segue alguns passos básicos, 
conforme ilustrado na Figura 7. São eles: 
 
 
- 1º passo: Criar confiança 
 
Quanto mais ingênuos e / ou despreparados formos maior a 
probabilidade de ocorrência deste risco. 
Para crianças, se orienta não confiar em estranhos (interagir 
fortemente, dar informações de qualquer tipo, aceitar nada, entre 
outros). Isso também pode ser útil na vida adulta, especialmente, 
quando manipulamos informações de terceiros (o que ocorre, por 
exemplo, no ambiente de trabalho). 
 
Simples assim: Um engenheiro social adquire confiança primeiro 
para que, depois aproveite esse falso vínculo de “amizade” criado 
para atacar e conseguir as informações que deseja da vítima, 
conforme ilustrado na Figura 8. 
 
PREPARAR 
RESPOSTAS 
CRIAR 
CONFIANÇA 
 TENTAR AJUDAR 
OU 
 PEDIR INFORMAÇÃO 
OU 
 PEDIR AJUD 
DISPOSIÇÃO DE 
AJUDAR 
Coletar informações Finalizar ataque 
 
 
 
 
 
 
 
 
 
 
 
Figura 8: Criar falsos vínculos de amizade. 
 
- Segredo: Confiança não é transferível 
 
* A grande responsabilidade pelo vazamento de informações é do 
primeiro que contou o que não deveria. Ter em mente, que só o 
custodiante da informação pode autorizar o acesso e utilização da 
mesma. 
Caso: Melhor amigo – Todo mundo tem um melhor amigo.Quem 
é o melhor amigo do seu melhor amigo? 
 
 
 
 
 
2º Passo: Agir, de uma das formas abaixo: 
 
- Simulando tentar ajudar 
Engenheiro social se aproxima, se colocando como parte da solução de 
um problema que, eventualmente, ele mesmo ajudou a criar. Com 
isso, a gratidão imposta pelo favor não requisitado facilita a extração 
de informação. 
 
- Pedindo a informação, tão somente. 
Pede diretamente, sem rodeios. 
Acredite que funciona! Pessoas disponibilizam informações, por 
diferentes motivos. 
 
Segundo Kevin Mitnick em entrevista para revista Information Week 
Brasil (MITNICK, 2003), existem seis características do comportamento 
humano que podem ser exploradas pelo 
engenheiro social, das quais a autoridade e o medo são destaque nesta 
técnica, e podem induzir a vítima a responder, precocemente, sem 
fazer uma análise mais aprofundada. 
 
- Pedindo ajuda 
Assim como a anterior, o engenheiro social também pede ajuda, mas, 
desta vez, a partir de um drama bem construído. “Humilde”, ele finge 
estar precisando muito de ajuda. 
 
*** IMPORTANTE: “Um engenheiro social pode utilizar artimanhas já 
conhecidas ou buscar um caminho inovador, para atingir os objetivos a 
que se propôs. Neste sentido, há necessidade de tentarmos imaginar 
que artifícios diferentes do tradicional podem estar sendo aplicados, 
para que não sejamos alvos fáceis de armadilhas” (MITNICK, 2003). 
 
 
 
 
 
3.4 Ferramentas da Engenharia Social 
 
O engenheiro social utiliza diversas ferramentas e artimanhas para 
aproximação e ataque, de acordo com o que parece mais efetivo, em 
cada situação. 
 É importante observar que nem todas são ferramentas 
tecnológicas. 
 E também que pode haver uso de mais de um recurso para uma 
invasão. 
 
 
Principais ferramentas (Em ordem alfabética, como se segue): 
Cartas, Chats, e-mail, FAX, Internet, Intranet, Pessoalmente, Spyware, 
Telefone ou VoIP, Mergulho no lixo, “Surfar” sobre os ombros e P2P. 
 
– Cartas / correspondência: Recurso poderoso, que alcança 
fortemente pessoas com pouco conhecimento ou com aversão a 
tecnologia ou com mais idade; 
– Chats (bate papo): Recurso tecnológico de mais fácil utilização. 
Canais de bate-papo favorecem a implantação de mensagens e 
imagens falsas, por exemplo, Messenger, ICQ, IRC, entre outros; 
– e-mail: Uso de fakemail, e-mails falsos, os famosos phishing 
scam; 
– FAX: Cada vez menos utilizado; 
– Internet: Utilizada para coleta de informações, por exemplo, em 
sites que fornecem id e passwords default, sites clonados ou via 
FTP, google, orkut, registro.br, entre outros; 
– Intranet: Acesso remoto a informações reservadas; 
– Pessoalmente (In Person Social Engineering): Aplica poder de 
persuasão, a partir da habilidade em saber conversar. É o tipo de 
ataque mais raro. O engenheiro social faz-se passar por alguém 
que na verdade ele não é. Premedita uma atuação e faz uma 
 
 
 
encenação para manipular a vítima de forma convincente e 
costuma utilizar informações restritas ou confidenciais obtidas 
previamente, para envolver o alvo; 
– Spyware: Software “espião” usado para monitorar de modo 
invasivo e oculto as atividades executadas no computador de 
destino (alvo); 
– Telefone ou VoIP (voz sobre IP): Passar-se por outra pessoa é 
um dos ataques comuns em engenharia social; 
– Mergulho no lixo (“Dumpster diving”): Muitas vezes, há descarte 
inadequado de informações essenciais, o que pode ser objeto de 
investigação de um suposto engenheiro social; 
– Surfar sobre os ombros: É o ato de observar “displicentemente” 
a interação de um terceiro com o computador, celular ou outro 
recurso tecnológico para obter senha ou outras informações de 
usuário. 
** Fique atento ao movimento de pessoas no seu entorno, 
quando estiver digitando senhas ou escrevendo ou falando 
informações confidenciais; 
– P2P (Peer-toPeer): Tecnologia empregada para estabelecer 
comunicação em uma rede, com inúmeros computadores, onde 
cada estação possui capacidades e responsabilidades 
equivalentes. Aplicações conhecidas, como, por exemplo, E-Mule 
e KaZaa, disponibilizam informações na rede, como envio de 
mensagens, informações de IP´s ou DSNs (data source name’s). 
O estabelecimento deste tipo de comunicação é considerado um 
fator favorável ao engenheiro social. 
 
 
Os discursos apresentados nos exemplos ilustram bem como são os 
ataques típicos de engenharia social. Observe que em cada caso a 
seguir, o engenheiro social procura induzir o usuário a realizar alguma 
tarefa e o sucesso do ataque depende única e exclusivamente da 
 
 
 
decisão do usuário em fornecer informações sensíveis ou executar 
programas. 
 
Exemplo 1: e-mail (fakemail, e-mails falsos, os famosos phishing 
scam): 
 
Você recebe uma mensagem de e-mail, informando que seu 
computador está infectado por um vírus, sugerindo a instalação de 
uma determinada ferramenta disponível na internet, para eliminá-
lo, disponível em uma URL indicada no corpo do e-mail. Na 
verdade, a real função desta ferramenta não é eliminar um vírus 
citado, mas sim permitir que o atacante tenha acesso ao 
computador em uso e a todos os dados nele armazenados. 
 
Exemplo 2: e-mail (fakemail, e-mails falsos, os famosos phishing 
scam): 
 
Você recebe uma mensagem e-mail, onde o remetente se 
identifica como sendo o gerente ou algum responsável designado 
em nome do departamento de suporte do banco ao qual você é 
correntista. Na mensagem, ele diz que o serviço de Internet 
Banking está apresentando um determinado problema e que tal 
problema pode ser corrigido se você executar o aplicativo, que já 
está estrategicamente anexado à mensagem. É fato que a 
execução deste aplicativo apresenta uma tela análoga àquela que 
você utiliza para ter acesso a conta bancária, onde, usualmente, 
você digita sua senha. Entretanto, este aplicativo aponta uma 
outra URL que não é do banco e está preparado para furtar a 
senha de acesso da sua conta bancária e enviá-la para o atacante. 
 
 
 
 
 
 
Exemplo 3: Telefone ou VoIP (voz sobre IP): 
 
Um desconhecido telefona para você e diz ser do suporte técnico 
do seu provedor de internet. Nesta ligação, ele diz que a conexão 
com a internet que você utiliza está apresentando um problema e, 
então, pede sua senha de acesso para corrigi-lo. Caso você 
entregue a senha, este suposto técnico poderá realizar inúmeras 
atividades que não são do seu interesse e até maliciosas, 
utilizando a sua conta de acesso a internet e, portanto, 
relacionando tais atividades a você. 
 
 
 
 
Unidade 4: A informação e sua importância estratégica 
 
4.1 Objetivo 
 
Apresentar premissas fundamentais e conceitos de hacker e 
cracker, comentar o papel do usuário no escritório e na internet, 
definir contramedidas que possam ser utilizadas no caso de 
detecção de um ataque baseado em engenharia social para 
atenuar ou eliminar a ameaça à organização. 
 
4.2 O que é segurança da informação? 
 
O entendimento da importância e dinâmica da informação para 
organização pode facilitar a identificação de formas de atuação segura. 
Desta forma, é imprescindível que o custodiante de qualquer 
informação entenda o porquê da necessidade de segurança nas 
organizações, a importância de cada informação, compreenda o 
conceito do que é segurança da informação e saiba aplicar as melhores 
práticas do mercado. 
Conforme citado anteriormente, a preservação da informação durante 
todo o seu ciclo de vida potencializa o sucesso da empresa, pela 
preservação do conhecimentoestratégico. Devemos cuidar para que 
não haja entrega de informação indevida, por desconhecimento do 
assunto ou mesmo por falta de análise adequada pelo empregado, 
tanto relacionada ao solicitante quanto a real necessidade em cada 
caso. 
 
Segurança da informação é a proteção: 
 De dados e informações contra ações não autorizadas 
o divulgação, transferência, modificação ou destruição, 
o ações intencionais ou acidentais. 
 
 
 
 De pessoas, instalações, equipamentos, sistemas básicos e 
aplicativos, dados, informações e outros recursos 
significativos. 
Segurança de Informações está relacionada à proteção dos ativos. 
 Todas as informações processadas por uma organização, bem 
como os equipamentos e sistemas utilizados, representam ativos 
valiosos, no sentido de que a continuidade do funcionamento da 
organização pode depender da preservação destes ativos. 
 
 Um projeto de segurança da informação deve garantir aos 
clientes, fornecedores e colaboradores: 
 A exatidão, a integridade e a disponibilidade, 
 A confidencialidade e a privacidade, 
 A identificação de ameaças e vulnerabilidades 
existentes. 
 
4.2.1 Fatores que impactam na Segurança 
 
Os fatores de maior impacto na segurança da informação são: 
 Valor: Importância do ativo para a organização, 
 Impacto: Tamanho do prejuízo, medido através de 
propriedades mensuráveis ou abstratas, que a concretização 
de uma determinada ameaça causará; 
Devemos levar em consideração que diferentes ameaças possuem 
impactos diferentes e que dependendo do ativo afetado, podemos 
ter também impactos diferentes para uma mesma ameaça. 
 
4.3 Classificação da Proteção 
 
Conforme ilustrado na Figura 9, a proteção da informação pode 
ser classificada em: 
• Prevenção: Evita que acidentes ocorram, 
 
 
 
• Desencorajamento: Desencoraja a prática de ações, 
• Monitoramento: Monitora o estado e o funcionamento dos 
ativos, 
• Detecção: Detecta a ocorrência de incidentes, 
• Limitação: Diminui danos causados, 
• Reação: Reage a determinados incidentes, 
• Correção: Repara falhas existentes, 
• Recuperação: Repara danos causados por incidentes. 
 
Figura 9: Classificação das medidas de SI 
 
4.4 Premissa Fundamental 
 
• Não existe segurança absoluta! 
 Análise continuada - Por mais que nos esforcemos, sempre 
haverá uma abertura de segurança em que as medidas 
tomadas até então não contemplarão. 
 Isso significa dizer que o máximo que se pode fazer é 
minimizar a falta de segurança para patamares aceitáveis. 
 
• Dado que a engenharia social é: 
 
 
 
 Um Método usado para obtenção de informações, por meio 
da persuasão ou exploração da confiança. 
 Características básicas: Utiliza a confiança, a ingenuidade, 
a surpresa e o respeito à autoridade, fazendo-se passar por 
outra pessoa. 
 Não é necessário o conhecimento de vulnerabilidades 
tecnológicas e pode ser aplicada, de forma simples, para se 
obter informações de grande valor. 
 
• Com artifícios comuns como: 
 Apresentação de um problema e depois da solução; 
 Bajulação; 
 Compaixão; 
 Declaração de urgência ou importância; 
 Intimidação; 
 Oferta de lucro ou benefício com pouco esforço; 
 Se aproveitar de quem tem acesso a informações 
privilegiadas para repassar a quem não tem; 
 Troca de favores. 
 
Comportamentos seguros devem ser adotados por todos para 
preservação do patrimônio da empresa. 
 
4.7 O papel do profissional 
 
Para se proteger de ataques de engenharia social, o profissional 
deve adotar procedimentos no trato direto com pessoas e também 
na utilização de recursos de tecnologia. 
 
Para se proteger de ataques (No escritório) 
 Desconfie de: 
 ofertas e benefícios fáceis demais, 
 
 
 
 e-mails, supostamente enviados por instituições 
governamentais ou bancárias, informando problemas em 
seu cadastro. Este tipo de comunicação não é feito por e-
mail e não há como garantir a autenticidade de um correio 
proveniente da internet. 
 Verifique previamente: 
 a autenticidade da solicitação, como, por exemplo, nome e 
telefone de contato do solicitante, antes de prestar 
informações pessoais, 
 a identidade e registre os dados de terceiros, antes de 
entregar qualquer material a um portador, 
 a necessidade e o endereço do site antes de clicar em links 
de internet com extensões .exe, .mp3, .rar, .scr, .wmv e 
.zip. 
 Não forneça: 
 endereços no campo ‘Para’ ao enviar e-mails, 
 senhas de acesso a sistemas, contas bancárias e cartão de 
crédito, nem mesmo para os provedores destes serviços. 
 Tenha: 
 o antivírus sempre atualizado, 
 Firewall, no caso de redes compartilhadas, 
 Cuidados com uso de telefones celulares, iPods, tokens, 
entre outros, 
 Cuidado também com o preenchimento de dados pessoais 
em inscrições de sites. 
 Cuidado: 
 No acesso e disponibilização de dados na WEB (orkut, msn, 
entre outros). 
 Limite o número de pessoas que possam ter contato com 
as suas informações! 
• Dados armazenados no disco rígido são recuperáveis, 
mesmo depois de apagados! 
 
 
 
• Não clique em links! Digite o endereço que deseja acessar 
e procure sempre observar o domínio. 
• Não use redes wireless abertas! 
 
Para se proteger de ataques: No escritório (Alertas com relação 
ao uso da Internet) 
• Evite baixar aplicativos desconhecidos. Estes podem trazer vírus 
para o computador! 
• Não abra arquivos que você desconfie que possa conter vírus. 
• Cuidado ao repassar “correntes” por e-mail para seus amigos ou 
colegas de trabalho. Ele pode conter vírus e “infectar” o 
computador de muitas outras pessoas. 
• Sempre que necessário, passe o antivírus no computador e 
também em mídias móveis (por exemplo, pen drive, disquete). 
• Cuidado com e-mails falsos. 
• Tenha cuidado ao adicionar estranhos em redes sociais. 
• Tenha cautela ao divulgar informações pessoais e fotos na 
Internet. 
• Evite a pirataria. 
• Fraudes eletrônicas existem, não caia nesta! 
 
Lembre-se: é melhor prevenir do que remediar! 
 
Nem todo site é confiável! 
Nem todo site de venda de produtos é seguro e confiável! 
Nem tudo que se baixa da Internet é bom! 
Você sabe com quem está falando? 
 
 
 
 
Unidade 5: Casos reais clássicos 
 
5.1 Objetivo 
 
Apresentar casos reais clássicos e recentes de falhas na segurança 
de informação para melhor percepção da importância do 
comportamento adequado. 
Reforçar o aspecto da importância e da falha de funcionários 
nestes eventos. 
Reconhecer comportamento de funcionários como ameaça à 
Segurança da Informação. 
 
5.2 Casos reais 
 
A seguir serão apresentados alguns casos reais clássicos de uso de 
engenharia social em diferentes situações. 
 
 
Caso 01 – A história de Kevin Mitnick 
... “habilidoso hacker, consegue acesso aos arquivos do FBI. Para 
capturá-lo, o agente McCoy Rollins conta com a ajuda de Tsutomo 
Shimomura, gênio da informática responsável por traçar as pistas 
deixadas por Kevin no ciberespaço”. Utilizava técnicas de engenharia 
social. 
Tornou-se um dos piratas de informática mais procurados dos EUA. 
Posteriormente, tornou-se profissional e consultor de segurança de 
informação. 
Sua história foi inspiração para o filme Hackers 2: Operation Takedown 
("Hackers 2 – Caçada Virtual"). 
 
 
 
 
 
Caso 02 – A história de Frank Abagnale W. Jr. 
... (Condado de Westchester, 27/04/48) Westchester, 1948. Foi um 
falsificador de cheques e impostor estado-unidense por cinco anos na 
década de 1960. Atualmente preside a Abagnale and Associates, umaempresa de consultoria contra fraudes financeiras. 
Sua história foi inspiração para o filme Catch Me If You Can ("Prenda-
me se for capaz"), baseado em sua biografia não oficial de mesmo 
nome. 
 
Caso 03 – Adriano Lamo 
Fez hacking como entretenimento. Sem esconder a identidade, quando 
encontra uma falha na segurança, avisa a organização sobre isso. 
“Robin Hoods” do hacking. Invadiu a Microsoft, a Yahoo, a MCI 
WorldCom, a Excite@Home e as empresas de telefonia SBC, Ameritech 
e Cingular, além do New York Times. 
 
Figura 10: Casos recentes e gafes 
piadasnerds.etc.br 
 
Outros casos mais recentes de engenharia social (e gafes 
em Mídias Sociais). 
 
Caso 04 - Morgan Stanley 
Morgan Stanley é uma empresa de serviços financeiros. Nela, um 
funcionário foi demitido em 05/01/2015 acusado de roubo de 
 
 
 
informações de nomes e números de contas. de aproximadamente 
350 mil clientes da área de gestão de fortunas, dos quais 
informações de 900 foram postadas na internet. (VALOR, 2015). 
 
Caso 05 – Tacos lambidos no Taco Bell 
“... A Taco Bell também precisou demitir outro funcionário que 
divulgou uma foto em que lambia tacos em um restaurante de 
rede, nos Estados Unidos. A imagem viralizou a WEB e causou 
uma crise de imagem na companhia. Em comunicado, a Taco Bell 
disse que os tacos tinham sido usados pra um treinamento de um 
novo prato e descartados. 
A foto teria sido feita para um concurso interno em que os 
funcionários deveriam mostrar qual seria a reação dos clientes ao 
experimentar o prato pela primeira vez. Lamber comida, porém, 
extrapolou as regras.” (UOL, 2013). 
 
Você sabia? 
 
A instrução da CVM Nº 358 Art.8 define, dentre outros, que é dever de 
todo profissional manter sigilo sobre informações empresarias relativas 
a ato ou fato relevante. 
PORTANTO 
Um dos objetivos da Comissão de Valores Mobiliários (CVM) é garantir 
o correto manuseio e divulgação de informações de informações 
empresariais para público; 
DAÍ 
Empresas de capital aberto têm ações da bolsa de valores e devem 
responder aos acionistas. 
 
 
 
 
 
 
Unidade 6: Dados motivacionais 
 
6.1 Objetivo 
 
Apresentar a metáfora que correlaciona a visão do Iceberg com o 
cenário da Segurança da Informação, detalhar a tríade: Pessoas, 
Processos e Tecnologia e apresentar Pesquisas externas, 
relatórios, sites oficiais e links de interesse no tema Engenharia 
Social. 
 
6.2 Introdução 
 
Para o sucesso das empresas é primordial que haja um programa 
continuado de segurança da informação. Existem vários aspectos 
relevantes a serem considerados para proteção efetiva deste ativo e, 
consequente, diminuição de incidentes de segurança. Na Figura 11, 
temos a metáfora do Iceberg, que ilustra bem o que ocorre em um 
cenário de Segurança da Informação. Na visão do Iceberg somente a 
menor parcela é visível, de imediato. Em Segurança da Informação, 
este aspecto que é visível, comumente, é relacionado ao uso da 
tecnologia, porém esta é uma pequena parte do levantamento e do 
investimento a ser feito. 
 
 
 
 
 
Figura 11: A miopia do iceberg 
 
6.3 A Tríade: Pessoas, Processos e Tecnologia 
 
A segurança da informação só será alcançada se a tríplice 
Pessoas, Processos e Tecnologia for seguida. 
Para que a estratégia de segurança seja efetiva, ela precisa 
considerar estas três perspectivas básicas. 
 
Um sistema de informação deve observar, de forma equilibrada, a 
tríade pessoas, processos e tecnologia, conforme ilustrado na 
Figura 12. Desta forma, estas três visões do sistema de 
informação devem cooperar, ajustar-se e modificar-se ao longo do 
tempo para gerar um desempenho otimizado. 
 
 
 
 
Figura 12: Equilíbrio nos fatores influenciadores. 
 
1) Pessoas: É nas pessoas que começa e termina a segurança, 
basta que uma, na cadeia de processos, não esteja preparada 
para que o risco de incidente aumente consideravelmente. Um 
jargão conhecido no ramo da segurança de informação diz que: o 
elo mais fraco da corrente da segurança são as pessoas. 
Lembrar que: “Uma corrente é tão forte quanto o seu elo mais 
fraco.”. 
 
https://www.google.com/i
mghp 
blogcidadania.com.br 
 
 
https://www.google.com/i
mghp 
ingressenapm.com.br 
 
 
• O que fazer, então? Educação. 
• Como fazer? Treinamento. 
• Por que fazer? Conscientização. 
 
 
 
 
2) Processos: estes devem ser flexíveis até o ponto que não 
afete a segurança das informações, a partir daí devem ser 
tratados de forma rígida e metódica. 
 
3) Tecnologia: A definição e utilização adequada dos recursos 
tecnológicos também é um dos aspectos básicos de segurança. 
Por ser mais visível, costuma ter um tratamento mais imediato. 
 
Lembre-se que: 
 
 
 
 
 
 
6.4 Apresentação de Pesquisas externas, relatórios, sites 
oficiais e links 
 
A seguir, apresentamos alguns dados motivacionais, relacionados 
a pesquisas externas em segurança de informação (SI), relatórios 
relevantes e sites oficiais, além de links de interesse no tema. 
 
6.4.1 Pesquisas Externas 
 
No Brasil, existe uma pesquisa nacional que aponta resultados e 
desafios que procuram responder o quanto estamos preparados 
para lidar com o amadurecimento constante das ameaças a 
Segurança da Informação em empresas brasileiras. Observar que: 
os resultados, em alguns casos, apontam níveis de maturidade 
abaixo do esperado. 
 
As informações da empresa são ativos do negócio corporativo. Devem ser 
utilizadas de modo ético e seguro em benefício exclusivo da empresa! 
 
 
 
“Pesquisa Nacional de Segurança da Informação 2014: Resultados 
e Desafios!” 
URL https://www.youtube.com/watch?v=yvFkrWPc1yI. Publicada 
em 12 de dez de 2014 
 
6.4.2 Relatórios 
 
Um estudo publicado pelo Centro de Estudos Estratégicos e 
Internacionais dos E.U.A. em conjunto com a empresa de 
segurança digital McAfee revela que falhas em segurança digital 
geram, em todo o mundo, um prejuízo anual que atinge a marca 
de aproximadamente US$ 500 bilhões. 
McAfee, 2013. The economic impact of cybercrime and cyber 
espionage. 2013. URL 
http://www.mcafee.com/mx/resources/reports/rp-economic-
impact-cybercrime.pdf. Jul, 2013. McAfee. An Intel Company. 
 
6.4.3 Sites Oficiais e Links 
 
A seguir, são listados alguns sites oficiais e links com entrevistas, 
artigos e eventos recentes, para consulta. 
 
Social Engineering Framework: http://www.social-
engineer.org/framework/general-discussion/ 
 
Entrevistas e eventos recentes: 
http://itforum365.com.br/buscar/?q=kevin mitnick 
Artigos sobre segurança: 
http://www.symantec.com/connect/security/articles/ 
 
Cartilha de segurança para internet: http://cartilha.cert.br/ 
 
 
 
De acordo com a cartilha de segurança do CERT/BR (Centro de 
Estudos, Resposta e Tratamento de Incidentes de Segurança no 
Brasil), a engenharia social é “um método de ataque onde alguém 
faz uso da persuasão”. 
 
Unidade 7: Campanhas de conscientização sobre Segurança 
da Informação 
 
7.1 Objetivo 
 
Elaboração de campanhas de conscientização sobre Segurança da 
Informação para colaboradores, estudo de um programa prático 
de treinamento e conscientização, que aborde aspectos do 
comportamento humano e da engenharia social e também 
sugestões para um programa constante, segundo MITNICK. 
 
7.2 Introdução 
 
Nesta aula, apresentaremos diferentes formas utilizadas pelas 
empresas para elaborar e obter adesãoda força de trabalho aos 
programas de conscientização em Segurança da Informação, através 
de campanhas de conscientização. 
 
7.3 Conscientização e Treinamento 
 
A Conscientização em Segurança da Informação dos colaboradores da 
força de trabalho é altamente relevante para efetiva Segurança da 
Informação (SI) e trata-se de uma tarefa que demanda esforços 
periódicos em diferentes frentes de atuação. Adicionalmente, esforços 
direcionados em treinamentos com foco e grupo específico reforçam os 
conceitos elaborados durante as diferente atividades da campanha. 
 
 
 
Uma Iniciativa Segurança da Informação deve ter metas integradas 
determinadas previamente, para que os resultados alcançados sejam 
mensuráveis. 
 
7.3.1 Elaborar Campanhas de Conscientização de SI 
 
A conscientização em SI do trabalhador é uma atividade 
razoavelmente complexa, pois requer entendimento da importância 
dos ativos empresariais, adequação de normas e de procedimentos e, 
também, mudança de hábitos. Além disso, deve levar em conta o porte 
da empresa, requer avaliação de cada situação problema e medidas de 
continuidade. 
 
 
Uma Iniciativa Integrada de Segurança da Informação, pode 
compreender, entre outros, os passos básicos relacionados a seguir: 
Verificar Público Alvo; Determinar METAS, para cada grupo; Verificar 
resultados alcançados. 
 
A seguir, temos alguns exemplos de METAS para uma Campanha de 
Segurança de Informação hipotética. São elas: 
Ex. 1: Participação de determinado percentual da força de 
trabalho, em uma campanha específica. 
Ex. 2: Atingir a participação de determinado percentual da força de 
trabalho que não participou das atividades do Projeto de 
Conscientização em Segurança da Informação no ano anterior, em 
uma campanha específica. 
 
Verificar resultados alcançados, por exemplo, ao: 
1. Informar aos gerentes quais profissionais da força de trabalho 
foram indicados e quantos cumpriram metas de participação 
em eventos. 
 
 
 
2. Contabilizar o número de ações preventivas realizadas, por 
ocasião de identificação de riscos, durante a campanha. 
 
Para compor a campanha, várias outras atividades podem ser 
consideradas relevantes para o momento e público alvo selecionado e 
incluidas em METAS, como, por exemplo: 
 
1. Reuniões periódicas para repasse de informações de 
segurança de informação, 
2. Jogos de Perguntas e Respostas objetivas sobre o tema (que 
podem ser online), 
3. Jogos empresariais, 
4. Videos com situações mais frequentes, 
5. Filmes relacionados a Segurança de Informação, 
Entre outros. 
 
CONSIDERAR QUE: 
Um programa prático de treinamento e conscientização em 
segurança das informações aborda os aspectos do comportamento 
humano e da engenharia social e deve incluir (MITNICK, 2003, pp. 
202-203): 
1. Uma descrição do modo como os atacantes usam as 
habilidades da engenharia social para enganar as pessoas. 
2. Os métodos usados pelos engenheiros sociais para atingir 
seus objetivos. 
3. Como reconhecer um provável ataque de engenharia social. 
4. O procedimento para o tratamento de uma solicitação 
suspeita. 
5. A quem relatar as tentativas da engenharia social ou os 
ataques bem-sucedidos. 
 
 
 
6. A importância de questionar todos os que fazem uma 
solicitação suspeita, independentemente da posição ou 
importância que a pessoa alega ter. 
7. O fato de que os funcionários não devem confiar 
implicitamente nas outras pessoas sem uma verificação 
adequada, embora o seu impulso seja dar aos outros o 
benefício da dúvida. 
8. A importância de verificar a identidade e a autoridade de 
qualquer pessoa que faça uma solicitação de informações ou 
ação. 
9. Procedimentos para proteger as informações confidenciais, 
entre eles a familiaridade com todo o sistema de 
classificação de dados. 
10. A localização das políticas e dos procedimentos de 
segurança da empresa e a sua importância para a proteção 
das informações e dos sistemas de informações 
corporativas. 
11. Um resumo das principais políticas de segurança e uma 
explicação do seu significado. Por exemplo, cada empregado 
deve ser instruído sobre como criar uma senha difícil de 
adivinhar. 
12. A obrigação de cada empregado de atender às políticas e 
as consequências do seu não-atendimento. 
 
Ainda segundo MITNICK (2003), a lista de possibilidades de um 
programa constante de conscientização poderia incluir: 
1. O fornecimento de exemplares do livro “A arte de enganar” 
(MITNICK, 2003) para todos os empregados. 
2. A inclusão de itens informativos nas circulares da empresa, 
por exemplo, artigos, lembretes (de preferência itens curtos 
que chamem a atenção) ou quadrinhos. 
 
 
 
3. A colocação de uma foto do Empregado da Segurança do 
Mês. 
4. Pôsteres afixados nas áreas dos empregados. 
 
5. Notas publicadas no quadro de avisos. 
6. O fornecimento de lembretes impressos nos envelopes de 
pagamento. 
7. O envio de lembretes por correio eletrônico. 
8. O uso de proteções de tela relacionadas com segurança. 
9. A transmissão de anúncios sobre a segurança por meio do 
sistema de voice mail. 
10. A impressão de etiquetas para o telefone com mensagens 
tais como "A pessoa que está ligando é quem ela diz ser?". 
11. A configuração de mensagens de lembrete que aparecem 
quando o computador é ligado, tais como "Criptografe as 
informações confidenciais antes de enviá-las". 
12. A inclusão da conscientização para a segurança como um 
item-padrão nos relatórios de desempenho dos empregados 
e nas análises anuais. 
13. A publicação na intranet de lembretes de conscientização 
para a segurança, talvez usando quadrinhos ou humor, ou 
alguma outra maneira que incentive as pessoas a lerem. 
14. O uso de um quadro eletrônico de mensagens na 
lanchonete, com um lembrete de segurança que seja 
trocado frequentemente. 
15. A distribuição de folhetos ou brochuras. 
16. E pense naqueles biscoitos da fortuna que são distribuídos 
de graça na lanchonete, contendo cada um deles um 
lembrete sobre a segurança em vez de uma previsão. A 
ameaça é constante; os lembretes também devem ser 
constantes. 
 
 
 
 
 
Com isso, o profissional de SI começa a expandir o conhecimento 
necessário para atuação no processo de planejamento, execução e 
avaliação dos resultados alcançados em SI para patamares 
desejáveis. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Unidade 8: Comportamento seguro 
 
8.1 Objetivo 
 
Nesta aula, apresentaremos diferentes opções para que os 
colaboradores se apoiem para atender a Segurança da 
Informação, através de dicas, atitudes, técnicas e procedimentos. 
Além de discorrer, resumidamente (breve revisão), sobre os 
temas ligados a engenharia social, interligando os assuntos, 
para melhor entendimento da proposta da disciplina, da teoria 
apresentada e maior adequação na atuação profissional. 
Pontuar a importância da segurança da informação e do 
envolvimento do gerente. 
Reforçar a necessidade de comprometimento com a mudança 
comportamental. 
 
8.2 Aspectos comportamentais, físicos ou psicológicos 
para vulnerabilidade 
 
Observar os diversos aspectos comportamentais, físicos ou 
psicológicos, que possam constituir vulnerabilidades no controle de 
acesso às informações e que são utilizados por potenciais invasores 
com o intuito de obter informações que, normalmente, os acessos não 
lhes seriam concedidos. A “Ilusão de Segurança” como fator 
determinante para questões de Segurança da Informação. 
 
8.3 Importânciada segurança da informação e a 
importância do gerente 
 
No mundo globalizado a informação constitui um dos maiores ativos de 
uma empresa. O conhecimento que a empresa detém (produzido ou 
 
 
 
adquirido por ela) deve ser preservado, por ser um de seus maiores 
patrimônios. 
O gerente deve: 
- prover as condições necessárias para o cumprimento dos 
padrões de Segurança da Informação em sua área de atuação e 
- fazer a gestão da informação. 
 
A mudança comportamental precisa do comprometimento de 
todos. 
Para isso se concretizar, o gerente deve liderar pelo exemplo. 
 
 
8.4 Comprometimento com a mudança comportamental 
 
“A Ilusão de Segurança” 
- Produtos de segurança sozinhos oferecem a verdadeira 
segurança? 
- Em relação às informações empresariais, pode-se confiar em 
terceiros até que se prove o contrário? 
 
8.4.1 Informação X Segurança 
 
Uma análise básica de segurança deve conter as perguntas a 
seguir: 
 
O que? 
(Quais informações precisam de um determinado nível de 
segurança?) 
Por que? 
(Por que estas informações devem ser protegidas?) 
Quando? 
 
 
 
(Quando proteger estas informações? Determinar o processo do 
ciclo de vida da informação.) 
Onde? 
(Onde estas informações vão circular? Considerar os Fatores 
físicos, tecnológicos e humanos.) 
 
RISCO = (Ameaça) * (Vulnerabilidade) * (Valor do Ativo ou 
Custo do Evento) 
 
 Sem os cuidados necessários, o que pode acontecer? 
A Companhia perde lucratividade por vazamento de informação. 
 
 
Lembre-se que: 
 
 
 
 
Para que a empresa seja capaz de compartilhar informações de forma segura, 
garantindo o sucesso dela no mundo competitivo é imprescindível adotar comportamentos 
 
 
	ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
	Unidade 3: Engenharia social, tipos, ferramentas e artimanhas.
	Unidade 4: A informação e sua importância estratégica
	Unidade 5: Casos reais clássicos
	Unidade 6: Dados motivacionais
	Unidade 7: Campanhas de conscientização sobre Segurança da Informação
	Unidade 8: Comportamento seguro