ENGENHARIA SOCIAL, O USUÁRIO PODE FAZER A DIFERENÇA
5.1 Pesquisa sobre engenharia social realizada dentro da organização Instruções para responder o questionário
Para cada uma das questões abaixo, assinale apenas uma alternativa marcando um X entre os parênteses ( ).
1. Você tem conhecimento ou já ouviu falar a respeito de engenharia social?
A) ( ) Sim.
B) ( ) Não.
C) ( ) Já ouvi sobre o assunto.
2. No seu ambiente de trabalho, você acessa outras coisas além do seu conteúdo de trabalho (Contas de e-mail, rede social, etc.)?
A) ( ) Sim, diariamente.
B) ( ) Sim, as vezes.
C) ( ) Não.
3. Você tem conhecimento sobre as organizações que presta serviços ao seu ambiente de trabalho (Serviços de manutenção, sistema que a empresa usa, etc.)?
A) ( ) Sim.
B) ( ) Não.
C) ( ) Alguma das organizações.
6
4. A receber uma ligação de terceiros, querendo saber dados de uma determinada organização a qual sua empresa presta serviços, você passa esses dados facilmente por telefone?
A) ( ) Sim.
B) ( ) Não, passo de forma alguma.
C) ( ) Sim, as vezes.
D) ( ) Não passo de imediato, procuro saber a respeito do terceiro.
5. Ao se afastar da sua estação de trabalho você costuma deixar seu computador bloqueado (fecha a sessão ou ativa a proteção de tela com senha), a fim de impedir que outra pessoa o utilize na sua ausência?
A) ( ) Sim.
B) ( ) Não.
C) ( ) Às vezes.
6. Você costuma usar a mesma senha para tudo o que você faz no seu ambiente de trabalho?
A) ( ) Sim.
B) ( ) Não.
6 Resultado da pesquisa e estrutura da organização.
A pesquisa foi feita com todos os funcionários das empresa, totalizando 20 funcionários, o resultado obtido será mostrado nos gráficos.
A estrutura da empresa conta com 1 servidor que somente compartilha arquivos, e 20 máquinas, uma para cada colaborador. Todos os colaboradores têm acesso a qualquer documento do servidor, não existe sequer uma política de acesso aos dados do servidor, somente uma senha a qual é compartilhada a todos os usuários.
E as estações de trabalho dos colaboradores não têm senha para acessar o sistema
operacional da máquina; a navegação a internet é de forma livre, não tem um firewall ou
qualquer software de bloqueio.
Ao relatar acima a estrutura de TI da organização podemos ver que ela está cheia
de buracos que facilitam ataques de terceiros, um dos problemas graves encontrado foi a não utilização de senha e o acesso a todos os usuários a qualquer informação do
servidor, com isso demostra que a própria estrutura da empresa está facilitada a ataques.
Através da análise dos gráficos abaixo, podemos ter uma ideia sobre a
organização e sobre cada colaborador da empresa, e a partir disso podemos ver que cada colaborador não está preparado caso ocorra um ataque através de técnica de engenharia social.
Através dessa pesquisa elaborada podemos começar a criar um plano de formação para os colaboradores de acordo com a necessidade da organização.
Figura 2: Conhecimento sobre engenharia social.
Fonte: Autoria própria.
Através da análise da figura 2, pode-se ver que a falta de conhecimento sobre engenharia social dentro da organização, vemos que dos 20 funcionários que
responderam o questionário 18 nunca ouviram falar sobre o tema, apenas 2 que ouviram falar. Este fato pode apontar para certa vulnerabilidade quanto a ataques de engenheiros sociais, afinal, como poderá ser prevenido aquilo que não se conhece?
Figura 3: Acesso a coisas que não são de acordo com o ambiente de trabalho.
Fonte: Autoria própria.
0 2 4 6 8 10 12 14 16 18 20
SIM NÃO JÁ OUVI FALAR SOBRE O ASSUNTO
1. Você tem conhecimento ou já ouviu falar sobre engenharia social?
0 2 4 6 8 10 12 14 16 18 20
SIM, DIARIAMENTE SIM, AS VEZES NÃO 2. No seu ambiente de trabalho, você acessa outras coisas além do seu conteúdo de trabalho
(Contas de e-mail, redes social, etc)?
A figura 3, demostra que o acesso na internet na organização é liberado para
todos os funcionários, com isso os funcionários têm acesso a qualquer site, sendo assim 12 dos funcionários costumam acessar diariamente suas contas pessoais no horário do expediente, 8 deles acessam ás vezes, com isso vemos uma vulnerabilidade na
organização. Na maioria dos casos pode acontecer que esse acesso liberado a todos traga prejuízos, um exemplo seria se um dos funcionários acessasse seu e-mail pessoal, neste e-mail contém algo inadequado que, ao baixar, esse tipo de arquivo pode roubar informações sigilosas da organização.
Figura 4: Conhecimento sobre as empresas terceirizadas.
Fonte: Criado pelo autor.
A figura 4, demostra que apenas 6 dos funcionários conhece todas as organizações que prestam serviços à empresa, e 14 conhecem somente algumas, o fato de não conhecer todas as organizações torna-os, muitas vezes, um alvo fácil para os
engenheiros sociais, porque um engenheiro social pode usar alguma das técnicas de engenharia social, se passando por alguma empresa que presta serviços à organização, se o colaborador desconhecer sua lista de prestadores de serviços, ele pode acabar cedendo informações sigilosas.
0 2 4 6 8 10 12 14 16 18 20
SIM NÃO ALGUMAS DA ORGANIZAÇÕES
3. Você tem conhecimento sobre as organizações que presta serviços ao seu ambiente de trabalho (Serviços de manutenção, etc.)?
Figura 5: Sigilo de informação.
Fonte: Criado pelo autor.
Ao analisar a figura 5 acima, pode-se ver que 2 funcionários passariam facilmente a informação de qualquer cliente por telefone, 7 não passariam de forma alguma, 8 dependo da situação as vezes, 3 não passam de imediato, mas procuram saber mais a respeito de quem está do outro lado da linha. Nesse caso acima é preciso saber realmente com quem está falando, para isso é importante que cada colaborador tenha consciência de que todas as informações que detém em seu poder e de total importância de sua proteção, visto que muitas vezes essas informações dizem respeito a terceiros e o seu vazamento para pessoas ou para organizações mal intencionadas podem trazer grandes prejuízos, é importante sempre está atento com os terceiros.
4 6 8 10 12 14 16 18 20
SIM NÃO, PASSO DE FORMA ALGUMA
SIM, AS VEZES NÃO, PASSO DE IMEDIATO, PRIMEIRO
PROCURO SABER A RESPEITO DO TERCEIRO
4. A receber uma ligação de terceiros, querendo saber dados de uma determinada organização a qual sua empresa presta serviços, você passa esses dados facilmente por telefone?
10
Figura 6: Bloqueio da estação de trabalho.
Fonte: Autoria própria.
A figura 6, demonstra que ao afastar do computador, nenhum dos 20 funcionários tem senha em sua estação de trabalho. Aqui vemos um grande buraco na segurança, por exemplo se alguém se afastar da máquina do trabalho por um instante, ela fica
desbloqueada, com isso fica livre para que qualquer um possa ter acesso a seus documentos na máquina.
Figura 7: Criação de senhas diferentes.
Fonte: Autoria própria.
0 5 10 15 20
SIM NÃO AS VEZES
5. Ao se afastar da sua estação de trabalho você costuma deixar seu computador
bloqueado (fecha a sessão ou ativa a proteção de tela com senha), a fim de impedir que outra pessoa o utilize na sua ausência?
0 2 4 6 8 10 12 14 16
18 20
SIM NÃO
6. Você costuma usar a mesma senha para tudo o que você faz no seu ambiente de trabalho?
11
A figura 7, mostra que a maioria dos funcionários usam a mesma senha para tudo que acessa, sendo 17 deles, e apenas 3 usam senhas diferentes. Isso é um grande problema dentro da organização. Se por exemplo um funcionário que usa a mesma senha para tudo for descoberto, esse terceiro terá acesso a tudo que pertence a ele, e por consequência pode acontecer um roubo de informação que pode ser prejudicial tanto a organização quanto a ele mesmo.
7 Elaborando e aplicando plano de formação aos colaboradores
Através da pesquisa elaborada foi possível conhecer um pouco sobre o perfil dos
colaboradores da organização. Conhecendo o perfil dos colaboradores podemos ver que realmente há uma falta de conhecimento muito grande a respeito de engenharia social, com base nisso podemos ver que na elaboração de um plano adequado de educação na área de segurança, o usuário pode ser uma peça fundamental dentro da organização, podendo fazer uma grande diferença no combate a esse mal.
Conhecendo os colaboradores, podemos criar um plano de formação ao usuário final. Este plano foi dividido em 3 áreas de atuação diferentes: palestras, manuais e cartazes.