A Engenharia Social é uma prática de roubo de informações difícil de ser descoberta e mais difícil ainda de ser enquadrada como um crime. Essa difícil apuração dos delitos faz com a maioria das empresas nem desconfiem que sofreram ataques dessa natureza contra suas informações ou, na melhor das hipóteses, sabem que sofreram um prejuízo, mesmo que não o consigam quantificar, mas não sabem como esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que:
Parece que não há estatísticas sobre os ataques da engenharia social e, se houvesse, os números seriam muito pouco confiáveis. Na maior parte dos casos uma empresa nunca sabe quando um engenheiro social "roubou" as informações, de modo que muitos ataques não são notados nem relatados.
Reforçando esse contexto, Diniz (2008) relata que:
os possíveis prejuízos causados por ataques de Engenharia Social são incalculáveis devido às ameaças (pessoas) estarem presentes em quase todos os processos de uma empresa: Financeiros, Operacionais, Administrativos, etc...
Quando as empresas descobrem que tiveram suas informações sigilosas expostas por ataques criminosos, na maioria das vezes, já é bastante tarde para alguma ação de defesa, elas então optam por ocultar o corrido e não divulgam essas informações para as partes competentes. Paschoal (2002) comenta que não se pode confiar muito nos números referentes a invasões de sistemas informáticos, isso porque as notificações são feitas pelos próprios invasores e as empresas atingidas, com temor de ter as próprias falhas de segurança expostas, evitam divulgar essas invasões sofridas.
O conjunto desses fatores faz com que as estatísticas a respeito dos impactos causados pela ação da Engenharia Social sejam distantes da realidade e os valores dos prejuízos provocados estejam muito abaixo do que realmente são.
Peixoto (2006) reforça esse difícil levantamento dos impactos provocados por ataques contra as informações empresariais:
31% [referindo-se as empresas brasileiras] não sabem dizer se sofreram ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de ataque, as organizações não conseguiram detectar as causas e em 85% dos casos não souberam quantificar o prejuízo.
Apesar dessa dificuldade e dos dados não serem muito completos, existem inúmeros levantamentos dos prejuízos causados por crimes contra sistemas informáticos realizados por empresas sérias do ramo da segurança da informação e dentre esses levantamentos encontra-se informações sobre o Phishing, que, de conformidade com o explanado no item 3.1 “Principais Técnicas de Ataque da Engenharia Social“ é considerado uma técnica moderna de Engenharia Social. É nesses dados que os levantamentos a seguir serão apoiados.
4.2 Números do Phishing
Como uma tentativa de mensurar os impactos causados por essa prática, mesmo que ainda distante da realidade, serão abordados os crimes relacionados com a prática do Phishing, pois, como são difundidos através da rede mundial de computadores, esses crimes são uns dos poucos entre o portfólio dos Engenheiros Sociais capazes de serem identificados e quantificados pelas empresas de segurança da informação.
Segundo Ikeda (2011), o Phishing ocupa a terceira posição nos incidentes relacionados à segurança da informação no Brasil, com 11% dos casos. As Invasões a perfis em redes sociais, com 19%, ficam em segundo lugar e os vírus de Computadores, com 68%, aparecem no topo da lista.
Ikeda (2011) informa ainda as perdas financeiras causadas por esses crimes no período de um ano. O montante chega a US$ 388 bilhões, e no Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104 bilhões). Sendo o Phishing responsável por 11% das ocorrências, pode-se estimar um prejuízo calculado aproximado de R$ 11,44 Bilhões (11% de 104 Bilhões de Reais).
Outra pesquisa, mas agora focada no Reino Unido e realizada pela Apacs (2006)10, entidade que pertence a Associação de Bancos daquela região, aponta um aumento dos prejuízos causados pelo Phishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo de fraude tornou-se mais sofisticado e eficaz, fazendo
10 F����: �������� ���������� ��������� �� ������� ��������� �� ��� �� ����� �����. D��������� �� <����://���.���������.���/���.���?��=3064>.
com que os prejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ou seja, um aumento de 55%.
Já o instituto Gartner (2005)11, respeitada instituição do ramo de pesquisa e aconselhamento sobre tecnologia da informação, divulgou um relatório sobre os prejuízos estimados ocorridos devido ao Phishing nos Estados Unidos com cartões de crédito e débito. Conforme o relatório, os ataques de Phishing já causaram prejuízos estimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo ao período de 2004 a 2005). O relatório é fruto de um estudo envolvendo 500 clientes de bancos americanos. O instituto Gartner estima que cerca de três milhões de americanos perderam, cada um em média, mais de US$ 900 durante o último ano.
Para termos uma ideia da expressividade dos números relatados acima basta compará-los com os gastos com a segurança pública do estado de São Paulo, o estado mais rico do país. Segundo dados do SIGEO, levantados e divulgados por Junqueira (2012), temos:
[...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaram R$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhão para a Superintendência Técnico-Científica. Considerando-se a dotação orçamentária total neste período, vê-se que, dos cerca de R$ 29 bilhões que a pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para a PM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$ 608 milhões
Ao se analisar os números do Phishing, verifica-se que apenas em um ano os prejuízos com esse golpe ultrapassaram os 11 bilhões de reais, isso somente no Brasil. Esse montante é muito superior ao que o estado de São Paulo gasta com sua rede de polícias (civil, militar e científica). Isso nos mostra a real ameaça que são os crimes de Engenharia Social e os grandes prejuízos financeiros que eles provocam.
Uma única modalidade dessa arte criminosa e, ainda por cima, longe de ter seus números levantados de forma exata e precisa e sempre abaixo do que realmente são, demonstra o incrível potencial dessa técnica como um todo, alertando para as empresas a importância que elas devem dispor aos seus sistemas contra fraudes e mostrando também que suas políticas de segurança devem ser revistas e adaptadas aos ataques dessa natureza.
11 F����: �������� ������ ��������� �� ������� �� �������. D��������� ��
<����://���.�����.���.��/��������/�������/���������������������������������������� ���������17310��0.����>.
5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 5.1 Políticas de Segurança da Informação e Sua Importância
Face às inúmeras ameaças existentes contras as informações, torna-se indispensável para as empresas à implantação de um modelo eficiente de Política de Segurança da Informação. Silva, V. (2012b) ressalta que essas políticas são de extrema importância para evitar que os ataques contra as informações, de qualquer natureza e não somente os oriundos de Engenharia Social, consigam êxito em sua empreitada contra as empresas.
Esse importantíssimo aspecto do escopo de segurança das organizações é definido por LAUREANO (2005, apud DIAS, 2000) como:
um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais.
As Políticas de Segurança são um escopo de como as informações devem ser protegidas dentro do âmbito da organização, ou seja, um manual sobre os procedimentos em vigor para aquela organização específica. Por esse motivo, são documentos que variam muito de instituição para instituição e sua aplicação e métodos são muito distintos.
D’Andrea (2004) ainda reforça que:
o valor e a efetividade da segurança da informação serão alcançados à medida que as organizações façam o planejamento, o desenho e a gestão da segurança considerando seus objetivos corporativos e de negócios.
Para as empresas conseguirem essa efetividade para com a segurança de suas informações elas necessitam tratar essa questão com um maior profissionalismo, implantando uma Política de Segurança bem definida, que estipule normas e procedimentos a serem seguidos por todos dentro da organização. Essas normas precisam ainda estar em acordo com os objetivos empresarias da empresa.
Um problema comum encontrado nas Políticas de Segurança em vigor é que elas privilegiam por demais os aspectos técnicos dos sistemas computacionais e esquecem o fator humano. Popper e Brignoli (2002) enfatizam que a maior parte das
empresas não aloca seus recursos financeiros de uma forma equilibrada, elas preferem investir na manutenção de sistemas e em novas tecnologias e se esquecem de direcionar esses investimentos para combater a Engenharia Social. Essa brecha nas Políticas de Segurança pode ser explorada pelos Engenheiros Sociais, tornando todo o esquema de segurança das empresas falho, pois, conforme salienta Peixoto (2006): “[...] a segurança das informações deve ser comparada a uma corrente, em que o elo mais fraco representa exatamente o nível de resistência e proteção”.
Para que essas políticas sejam realmente seguras, bem balanceadas e consigam lidar com as diferentes ameaças contra as informações, é recomendável que elas sejam elaboradas, com relação ao Brasil, seguindo os princípios da norma NBR ISO/IEC 27002/2005, norma brasileira referência para gestão da segurança da informação. Sêmola (2003), além de reforçar a necessidade da adoção dessa norma como referência, ainda lembra que as organizações que possuem uma política já definida deverão revê-las em conformidade também com a ISO1779912. Em geral essas normas estão embasadas nas leis vigentes no país, garantindo, com isso, que as empresas não tenham problemas com a legislação a que são subordinadas.
Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela ABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo, a partir desse momento, essa normal a principal referência em boas práticas para a gestão da segurança da informação no Brasil (NBR ISO/IEC 27002, 2005).
Em vista do que foi exposto, fica evidenciado que para tratar as suas informações de forma segura, as empresas necessitam, primeiro, implantar uma Política de Segurança da Informação respaldada por uma norma que trate do assunto e esteja em acordo com a legislação vigente do país onde resida, segundo, essa política deve estar focada nos interesses da empresa e, terceiro, ela deve se preocupar tanto com os aparatos tecnológicos como com os ativos humanos.
Um último ponto a ser abordado sobre as Políticas de Segurança da Informação é que esta deve ser amplamente divulgada dentro do ambiente empresarial e serem de fácil entendimento para as partes envolvidas, conforme comentado por Silva, V. (2012b):
12 ��� ��� ������������ ����� �� ����������� �� ����� �B� I��/IEC 17799, ��� ������ � ��� ������� �� �B� I��/IEC 27002 �� 2005, � �������� �� ������ ��� ���������� ������ � ����� �B� I��/IEC 17799.
o grande problema enfrentado é que muitas políticas não são divulgadas, não são confeccionadas utilizando termos de fácil entendimento, algumas possuem palavras muito técnicas e, em meio a todas essas adversidades, a empresa não realiza ações para conscientizar e educar seus colaboradores quanto à importância de preservar a informação da empresa.
Essa boa divulgação das informações sobre as Políticas de Segurança vigentes garantem um maior comprometimento por parte dos funcionários com as questões de segurança, assegurando com isso uma maior eficiência dessas políticas.
5.2 Sucesso da Política de Segurança da Informação
Um sistema de segurança da Informação precisa atender um grande número de variáveis para que venha a ser executado com sucesso. Esse sistema não pode se ater apenas a forma como as informações serão tratadas ou armazenadas, se elas estarão disponíveis e integras ou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002 (2005), para que um sistema de Segurança da Informação possa ser implantado com sucesso, os seguintes aspectos precisam ser colocados em prática:
• Política de Segurança que reflita os interesses do negócio; • Uma abordagem consistente com a cultura organizacional; • Comprometimento e apoio de todos os níveis gerenciais;
• Um bom entendimento dos requisitos da segurança da informação;
• Divulgação das normas de segurança para todos que fazem parte do
escopo organizacional da empresa (funcionários, colaboradores, parceiros, entre outros);
• Provisão de recursos financeiros para as atividades de segurança;
• Estabelecimento de um processo eficiente de gestão de incidentes da
segurança da informação;
• Implementação de um sistema de avaliação e melhoria do sistema de
segurança da informação.
Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002 (2005) são bastante sucintos e genéricos, deixando a cargo da empresa escolher os procedimentos que melhor se adequarão a sua estrutura organizacional. Estes itens estão mais relacionados com a maneira como o sistema será implantado, seu
alinhamento com os negócios da empresa, provisão de recursos financeiros para que o mesmo se realize e posterior avaliação desses sistemas.
Os primeiros pontos, referentes ao alinhamento do sistema de segurança aos interesses de negócio da organização e sua cultura, apoio dos níveis gerencias e provisão de recursos, são essenciais para que o plano traçado consiga sair do papel, ser colocado em prática, ter seu desenvolvimento garantido financeiramente e seja apoiado posteriormente pela administração da empresa. Conforme explicado por Silva P., Carvalho e Torres (2003):
A Administração da empresa é quem define a estratégia do negócio e que escolhe as iniciativas a realizar para a sua implementação. Desta forma, é a este corpo administrativo que compete decidir ao mais alto nível as atividades que se irão realizar na empresa, sendo a função do responsável pela segurança dotar a Administração da informação necessária para que esta possa optar.
Esses aspectos são conseguidos através da sinergia de todos os setores administrativos que compõe a organização, que devem ter suas expectativas expostas, discutidas e possam ser alinhadas com o interesse geral dos negócios da corporação. Também se faz necessário que a instituição, através de seu responsável pela segurança da informação, tenha um bom conhecimento sobre as questões de segurança e como aplicá-las em uma Política de Segurança da Informação.
Outro traço importante da Política é a sua divulgação para todos os funcionários e colaboradores da organização. Mitnick e Simon (2003) defendem que o principal objetivo da divulgação de um modelo de segurança da informação é o de “influenciar as pessoas para que mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização”. Com os funcionários empenhados em seguir os procedimentos de segurança corretamente as chances de sucesso são aumentadas consideravelmente.
Além da divulgação da Política de Segurança, se faz necessário um treinamento bem elaborado acompanhado de constantes programas de reciclagem em segurança para que os funcionários estejam aptos a lidar com diferentes tipos de ameaças, principalmente as relacionadas com a Engenharia Social.
Finalizando os fatores que proporcionam sucesso ao Sistema de Segurança está um esquema de avaliação do mesmo, que gere informações para que melhorias possam ser implantadas no decorrer do tempo.
É evidente que as questões técnicas de como proteger as informações são o objeto central de um Sistema de Segurança da Informação e seu maior fator de sucesso. Porem, sem a devida atenção aos interesses da empresa, sua diretoria e funcionários, dificilmente esse plano consiga ser consolidado, mesmo ele tendo seus aspectos técnicos muito bem estruturados.
Por esse motivo se justifica a atenção aos quesitos apresentados, como forma de garantir que o Programa de Segurança seja realmente eficiente para a organização e consiga ser implantado com sucesso.
5.3 O Responsável pela Política de Segurança da Informação
Para iniciar o desenvolvimento de uma Política de Segurança da Informação faz-se necessário definir o responsável ou os responsáveis pela sua confecção, implantação, monitoramento e possíveis ajustes que se façam necessários. Os materiais que são referencias para as questões de segurança da informação e para elaboração das suas políticas não especificam quem exatamente é esse responsável/responsáveis, deixando essa decisão a cargo da própria empresa, mas dão algumas dicas das características que esse profissional deve possuir.
Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Política de Segurança da Informação deve “prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes”. Percebe-se ai que esse profissional necessita então conhecer a estrutura da empresa em questão, para poder alinhar as Políticas de Segurança com as necessidades de negócio da corporação, e necessita conhecer também a regulamentação e leis vigentes, a fim de ter respaldo jurídico para as determinações da política que será implantada.
Silva, P., Tavares e Torres (2003) também trazem a tona algumas informações pertinentes. Segundo eles, a administração da empresa em conjunto com os agentes por ela nomeados, são os responsáveis pela informação usada na instituição, na sua relação com os clientes e na produção e comercialização dos seus bens, portanto é essa administração que decide o que irá ser feito com a informação. Silva, P., Tavares e Torres (2003) ainda reforçam que essa postura da administração tem, invariavelmente, repercussões na segurança e “esta se encontra
dependente tanto das suas decisões nesta matéria, como do comportamento, mais ou menos seguro, dos utilizadores”.
Apresentado esses pontos e antes que se possa definir o responsável pelas políticas de segurança da empresa que se encaixe nas informações disponibilizadas, faz-se necessário explanar quais os cargos existentes atualmente ligados à Segurança das Informações que podem assumir tal tarefa. Dentre estes, encontram-se dois que merecem especial atenção: o Analista de Segurança da Informação e o CSO ou CISO. Henrique (2011) define assim ambas as funções:
o CSO é um cargo exclusivamente executivo, voltado para a aplicação da segurança da informação, suas normas, melhores práticas e experiência de negócio. E quanto ao Analista de Segurança, além de estar envolvido em todos os processos referentes à S.I., ele municia o CSO justamente com resultados e informações diretamente das aplicações de práticas visando a segurança.
Ainda é essencial informar que, segundo Brenner (2009), a maioria das empresas que possuem profissionais voltados para a gerência da área de TI ainda repassam todas as tarefas dessa área, incluindo a segurança da informação, ao CIO, que, a princípio, é o responsável pela área de TI da empresa como um todo e pode não possuir uma formação específica para a segurança da informação.
Com base nas informações coletadas pode-se concluir então que a empresa deve possuir um profissional específico para ser responsável pela sua Política de Segurança da Informação e é recomendável que esse profissional faça parte de seu quadro de funcionários, a fim de estar integrado com as necessidades de negócio da organização. Esse profissional deve possuir um bom relacionamento com a alta gerência e com todos os outros funcionários e ser conhecedor das normas e leis vigentes.
Portanto o indicado é que esse profissional seja um CSO ou CISO e tenha a assessoria de um CIO, para que este possa ajudar na sincronização das normas de segurança com os interesses empresariais e ser o elo com as demais áreas gerenciais, e, se possível for e a empresa conseguir arcar com os custos, o apoio ainda de um Analista de Segurança da Informação.
5.4 Desenvolvendo uma Política de Segurança da Informação
No desenrolar desse capítulo, algumas colocações se apresentarão um tanto redundantes, fato esse que se faz necessário, visto que todo o conteúdo exposto até o momento culmina com o desenvolvimento de uma Política de Segurança sólida e que abranja todas as necessidades de segurança que as informações possuem.
Por não se preocupar com todos os aspectos relacionados com a segurança de uma instituição, como a segurança do perímetro do estabelecimento, segurança de valores monetários, uso de câmeras de monitoramento, uso de vigilantes, etc., a “política de segurança da informação pode ser parte de um documento de política geral” (NBR ISO/IEC 27002, 2005). Esse documento, mais geral e abrangente, torna-se necessário a fim de que possa ser contemplada a segurança da empresa como um todo e nele devera então ter contido uma Política de Segurança volta especificamente para a proteção das Informações.