Software ou fator humano, onde concentrar o investimento?

O grande dilema das empresas de pequeno e médio porte é onde investir para mitigar os efeitos da Engenharia Social. De acordo com o Kenin Mitnick (Arte de Enganar, pág. 03), o fator humano é o elo mais fraco da segurança.

Então a pergunta do título estaria respondida. Errado! A resposta não é tão simples assim devido à mentalidade dos empreendedores brasileiros, pois segundo o Sebrae (2016), os mesmos não conseguem dar a devida importância ao treinamento e capacitação da equipe e a encaram como custo ou “bondade”.

Diante desse pensamento, a concentração dos investimentos, normalmente, é em sistemas e software, já que são propriedades intangíveis das empresas. No entanto, não são garantias de proteção contra os ataques dos Engenheiros Sociais.

Investir na capacitação e desenvolvimento dos colaboradores é a forma mais eficiente que as empresas têm para prevenir e combater os efeitos da Engenharia Social.

Para que os colaboradores adquiram conhecimentos supracitados é necessário investimentos, por parte das empresas, nos seguintes tópicos:

• Seminários de Sensibilização; • Cursos de Capacitação;

• Campanhas de divulgação da política de segurança; • Crachás de identificação;

• Procedimentos específicos para demissão e admissão de funcionários; • Termo de Responsabilidade;

• Termo de Confidencialidade;

• Softwares de auditoria de acessos, monitoramento e filmagem de conteúdo.

Aliado a todos esses pontos supracitados, as empresas devem influenciar seus colaboradores a mudarem seus hábitos e motivá-los a participarem do treinamento, para assim conscientizá-los que eles são parte da segurança da informação na empresa e que ela poderá sofrer um ataque a qualquer momento. Com essa consciência e bem motivados, eles buscarão cumprir sua parte para proteger o ativo mais importante da empresa: as informações.

Além disso, investimentos nos programas de treinamento e conscientização devem ser realizados constantemente, pois como o passar do tempo o preparo das pessoas diminui além de novas ameaças e técnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz com que seja necessário reforçar e atualizar os riscos na mente dos colaboradores.

Uma empresa que realmente leva a sérios os riscos e as consequências da Engenharia Social a sério e como uma prioridade em sua cultura corporativa passa a treinar seus funcionários assim que são admitidos, de maneira que nenhum funcionário possa receber acesso a um microcomputador antes de participar de pelo menos um treinamento básico sobre os princípios básicos da política de segurança da empresa.

Um ótimo aspecto a ser abordado que pode funcionar como um grande agente motivador para os colaboradores é esclarecê-los de que a segurança da informação não é um assunto de interesse somente da empresa, mas também dos próprios funcionários, pois a própria empresa possui informações particulares a respeito dos seus funcionários. Assim, os colaboradores perceberão que seguindo a política da empresa estarão protegendo não somente informações corporativas, mas também suas informações pessoais.

Cabe ressaltar que o treinamento deve ser adaptado de acordo com os requisitos específicos de cada grupo dentro da organização, pois apesar de muitas vezes são aplicados a todos os colaboradores, há situações em que será necessária a existência de políticas específicas para determinados cargos ou grupos distintos dentro das organizações. Também é

muito importante destacar a questão de funcionários que mudarem de cargo, função e etc; os mesmos deverão passar por um novo processo de treinamento ajustado às suas novas atribuições.

É fundamental que todos os colaboradores envolvidos sejam advertidos a respeito das consequências que sofrerão se não cumprirem as normas e procedimentos estabelecidos, pois muitas vezes, os próprios funcionários ignoram ou até mesmo negligenciam os procedimentos que acham desnecessários, ou aqueles considerados tediosos segundo entendimento próprio.

Elaborar um resumo dessas consequências e divulgá-los amplamente é um ótimo procedimento a ser realizado.

CONCLUSÃO

Neste trabalho a Engenharia Social foi abordada de maneira a esclarecer o que é essa prática tão utilizada para alcançar algum objetivo de forma ilícita. Assim como a importância que a informação tem para as organizações e a necessidade de protegê-la.

Hoje em dia, as informações são transmitidas cada vez mais dinâmicas e sem a utilização da tecnologia esse processo seria impossível. Com isso, o cuidado com os dados transmitidos são imprescindíveis para o mundo coorporativo.

Diante disso, as empresas necessitam desenvolver políticas de seguranças consistentes com objetivo de mitigar possíveis riscos e ameaças e de manter sua confidencialidade, disponibilidade e integridade do seu patrimônio intangível (informação, dados).

A maioria dos incidentes envolvendo a segurança da informação está diretamente ligada ao fator humano, pois esta mais relacionada com processos do que com a própria tecnologia. Traços comportamentais e psicológicos tornam o ser humano suscetível a ataques dos Engenheiros Sociais.

Utilizando-se de Conformidade, lógica, Necessidade, Autoridade, Reciprocidade, similaridade e informacional, os Engenheiros Sociais procuram atingir seus objetivos de forma mais precisa e detalhada, reduzindo assim, chances de falhas.

Diante do exposto, a questão central desse trabalho resurge: Em meio a grave crise econômica e financeira do Brasil, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social?

Com base no trabalho desenvolvido, o mesmo atingiu as expectativas e elucidou o tema de forma positiva: diante do cenário de turbulência vivido pelo país, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social.

Conclui-se então que investimentos somente em software modernos não são impeditivos para coibir as ações dos Engenheiros Sociais, mesmo porque em tempos de crise que o País está atravessando, isso não seria nada simples para as empresas de pequeno e médio porte, diante dos altos custos envolvidos.

A maneira mais eficiente de mitigar os possíveis ataques seria investimentos na capacitação e desenvolvimentos dos colaboradores; o foco deverá ser em ter atenção e responsabilidade ao manipular, transmitir ou descartar informações, atrelados a política de segurança centralizada e bem divulgada, através de uma reeducação na organização de maneira a inserir uma nova cultura que abrange cem por cento da empresa, pois qualquer falha poderá ser fatal.

BIBLIOGRAFIA

ABNT. Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação. Rio de janeiro. 2005.

EY. Pesquisa Global sobre segurança da informação – 2015. Disponível em:

http://www.ey.com/Publication/vwLUAssetsPI/giss2015_/$FILE/EY_Global_Info rmation_Security_Survey_2015_report_Web.pdf, Acesso em: 15-jul-2016

GOUVEIA, LUÍS B. Desafios da segurança da informação: da sua cultura e

aplicação à confidencialidade. Disponível em:

http://pt.slideshare.net/lmbg/desafios-da-segurana-da-informao-da-sua-cultura- e-aplicao-confidencialidade. Acesso em 11-jul-16

MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.

NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR; CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL. Cartilha de Segurança para a Internet. Disponível em:

http://www.cgi.br/media/docs/publicacoes/1/cartilha-seguranca-

internet.pdf#page=5&zoom=auto,-107,345 Acesso em: 16-set-16

PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

POPPER, Marcos Antônio; BRIGNOLI, Juliano Tonizatti. Engenharia Social: Um perigo Eminente. 2003

PWC. Pesquisa Global de Segurança da Informação. Disponível em:

https://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-

negocios/pesq-seg-info-2014.pdf. Acesso em 05-mai-16

SEBRAE. Qualificação de pessoas, sem dúvida! Disponível em:

http://www.papodeespecialistas.sebrae.com.br/qualificacao-de-pessoas-sem-

ÍNDICE