O FATOR HUMANO COMO DESAFIO IMINENTE ÀS POLÍTICAS DE SEGURANÇA DA
INFORMAÇÃO DENTRO DAS ORGANIZAÇÕES
Mário César P.Peixoto -
[email protected]
1. RESUMO
Inúmeros são os relatos provenientes às tentativas bem ou mal
sucedidas de ataques a servidores, ou computadores pessoais. Dotados dos
chamados "sistemas dificultantes de entrada indevida", mais conhecidos como
firewall, anti-virus, anti-spam, anti-worms; enfim todo o tipo de arquivo
malicioso que venha a prejudicar a "saúde" do computador. Embora toda a
atenção, ou pelo menos grande parte dela, esteja focada aos cuidados
técnicos propriamente ditos, não adiantará se não estiver agregada à
orientação de como manipular tais informações, também a conscientização do
porque e de quanto cada funcionário em particular é importante no
cumprimento responsável de seu papel dentro da Organização. Em especial
quanto às informações que ali circulam dentro da empresa, mas sobretudo as
informações específicas à função que se cumpre e é responsável.Em síntese
os fatores relacionados a gestão da segurança da informação conjuntamente a
algumas técnicas da engenharia social, serão abordadas.Utopias a parte,
este artigo busca singelamente demonstrar que conseguir bons resultados até
mesmo a curto prazo é possível.
Palavras chave: Segurança, Informação, Conscientização.
ABSTRACT
Innumerable they are the stories proceeding to the attempts succeeded
from attacks the personal servers, or computers well or badly. Endowed with
the calls "dificulty systems of improper entrance", more known as firewall,
anti-virus, anti-Spam, anti-worms; at last all the type of malicious
archive that comes to harm the "health" of the computer. Although all the
attention, or at least great part of it, is to the cares technician
properly said, it will not advance if it will not be added to the
orientation of as to manipulate such information, also the awareness of
because and of how much each employee in confidence it is important in the
responsible fulfilment of its paper inside of the Organization. In special
how much to the information that circulate there inside of the company, but
over all the specific information the function who if fulfills and is
responsibility. And synthesis jointly the related factors the management of
the security of the information to some techniques of social engineering,
will be aborted. Utopics the part, this article simply search to
demonstrate that to obtain good results even though short-term it is
possible. Words key: security, information, awareness
2. INTRODUÇÃO
Visto que a maior complexidade em resolver os problemas de segurança
inerentes às informações, não esta na tecnologia empregada pela empresa e
sim naqueles funcionários que nela trabalham, parte-se do princípio de que
todos são responsáveis por todos. Ou seja, não é porque um determinado
funcionário que trabalha no setor de limpeza, por exemplo, sabendo das
condutas e práticas de segurança das informações, poderá deixar de chamar a
atenção de outro funcionário que trabalha no setor de contabilidade,
percebendo alguma falha.
Vale ressaltar que a conscientização é literalmente "a alma do
negócio" Principalmente em se tratando de informações sejam elas técnicas,
táticas ou estratégicas. A maneira com que é entendida a informação perante
os funcionários é tida como subjetiva. Essa mentalidade tem que ser mudada.
Deve-se pensar como um todo. Independente de ser aquele ou outro
funcionário de diferentes setores.
Como ao certo então moldar essa mentalidade a ponto de se chegar a
uma conscientização quase que homogênea? Começando por exemplo com planos
de divulgação interna na empresa, educando, conduzindo e habituando o
funcionário a compreender a enorme importância dele naquele contexto.
3. METODOLOGIA
Legenda:
OE – Organização – Empresa
ISE – Informações Sigilosas da Empresa (informações internas e
confidenciais da empresa)
IGD – Informações Gerais Disponíveis (informações disponíveis na
internet, livros, revistas, jornais, ou até mesmo no lixo)
Vítima Ativa (funcionários da empresa)
Vítima Superficial (parentes e/ou amigos da vítima ativa, ex-
funcionários,serviços terceirizados,concorrentes).
4. RESULTADOS
Analisando a FIGURA A – Estrutura de Ataque, pode-se perceber que o
engenheiro social estipula seus ataques para chegar ao foco principal, que
é as informações confidenciais da empresa, passando sempre pelo elo mais
fraco que é o fator humano; ou seja, a chamada vítima ativa (VA) ou vítima
superficial (VS).
Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais
força, ou conseguem atingir seus objetivos com mais eficiência, partindo-se
do pressuposto de que a coleta primeiramente das informações a partir do
fator externo, IGD + VS, leva a deduzir que será mais bem sucedida a
chegada às informações sigilosas da empresa (ISE) como também mais
convincente a persuadir a vítima ativa (VA),fazendo IGC+VS+VA, para então
finalmente chegar a estas informações confidenciais.
Porém o engenheiro social poderá optar por direcionar seu ataque
diretamente à vítima ativa (VA), almejando logo em seguida as informações
sigilosas da empresa (ISE).Sendo este método considerado mais válido para
aquele engenheiro social com maior experiência.
Outro ponto a se destacar é a importância que a vítima superficial
(VS) tem nesse papel das informações fornecidas. Dependendo da origem desta
vítima como sobretudo a qualidade destas informações geradas ao engenheiro
social, este contudo terá grandes possibilidades de já conseguir atingir
seu objetivo.
Assim como IGD + VS podem levar as informações confidenciais da
empresa também IGD + VA, chegam ao objetivo final, mas com maiores
dificuldades, devido uma maior resistência que a própria VA pode oferecer,
levando-se em conta a falta de credibilidade e confiança transmitida que o
engenheiro social deveria dispor. Isso devido a não passagem pela coleta de
informações com a vítima superficial (VS).
Enfim, a "fórmula" ideal para uma maior garantia do sucesso deste
ataque será sem dúvida passar por todas as etapas que um engenheiro social
tem como recursos, ou seja:
IGD + VS + VA ISE
Agora de acordo com o que é demonstrado na FIGURA B – Dinâmica da
entrega de informações, no momento em que o engenheiro social faz o
contato, interage ou comunica-se, surge então a chamada *Distância de
resistência que existe com qualquer suposta vítima que o engenheiro social
determina como alvo de seu ataque.
Essa distância pode ser tanto maior ou menor (da vítima ao engenheiro
social) dependendo do estudo que fora feito pelo próprio engenheiro social
na busca de uma gama maior de informações, a tal ponto de fazer com que o
contato com o alvo seja de certa forma bem familiarizada. Dando a impressão
realmente de que o atacante (engenheiro social) conhece muito bem aquele
ambiente tendo a total segurança do que esta falando, com quem quer falar e
até onde chegar.
*Raio de conhecimento equivale ao conhecimento baseado nas políticas de
segurança adotadas pela Empresa mais o conhecimento das técnicas utilizadas
pelo engenheiro social.
Ou seja, quanto maior for esse raio menor será a probabilidade de se
entregar informações valiosas ao engenheiro social.
5. CONCLUSÃO
Imbuído dos poucos conceitos mencionados, mas de concretas análises
metódicas como visto, perceber-se-a o quão frágeis e despreparadas estão a
maioria das Organizações hoje.
Sem dúvida existem muitas "lacunas" a serem fechadas pelas empresas.
Uma análise "TopDow" já identifica tais lacunas.Um diagnóstico mais
minucioso identificará não mais simples lacunas e sim "extensos buracos".
É lamentável como ainda muitas empresas de pequeno, mas principalmente
de médio e grande porte, levam em conta que a implementação de determinadas
ações e diretrizes sejam consideradas mais uma despesa, e não um
investimento; diga-se de passagem, muito benéfico e relevante a evitar
futuros agravantes aos ativos da empresa; conseqüentemente perda de
capital.
Contudo fica a lição de que com toda a evolução que se perpetue ainda
ao longo de muitos e muitos anos, a "tecnologia mais tecnológica" será
sempre submissa ao "humano mais humanístico".
6. REFERÊNCIAS BIBLIOGRÁFICAS
01. MITNICK, KEVIN. O conhecimento que assusta. InformationWeek Brasil,
[São Paulo], 2003. Entrevista. Disponível em:
. Acesso em: 27 fev.
2004.
02. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de
hackers: controlando o fator humano na segurança da informação. São
Paulo: Pearson Education, 2003.
03. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. Rio de Janeiro: Campus, 2003.
-----------------------
FIGURA B – Dinâmica da entrega de informações
FIGURA A – Estrutura de Ataque
-----------------------
Faculdade Cenecista de Varginha/MG
www.faceca.br (35) 3221-2999
Encontro Científico da CNEC/FACECA – Julho/2005
