O FATOR HUMANO COMO DESAFIO IMINENTE ÀS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO DENTRO DAS
ORGANIZAÇÕES
PEIXOTO - Mário César Pintaudi mariocesar@nanet.com.br
1. RESUMO
Inúmeros são os relatos provenientes às tentativas bem ou mal sucedidas de ataques a servidores, ou computadores pessoais. Dotados dos chamados “sistemas dificultantes de entrada indevida”, mais conhecidos como firewall, anti-virus, anti-spam, anti-worms; enfim todo o tipo de arquivo malicioso que venha a prejudicar a “saúde” do computador. Embora toda a atenção, ou pelo menos grande parte dela, esteja focada aos cuidados técnicos propriamente ditos, não adiantará se não estiver agregada à orientação de como manipular tais informações, também a conscientização do porque e de quanto cada funcionário em particular é importante no cumprimento responsável de seu papel dentro da Organização. Em especial quanto às informações que ali circulam dentro da empresa, mas sobretudo as informações específicas a função que se cumpre e é responsável.Em síntese os fatores relacionados a gestão da segurança da informação conjuntamente a algumas técnicas da engenharia social, serão abordadas.Utopias a parte, este artigo busca singelamente demonstrar que conseguir bons resultados até mesmo a curto prazo é possível.
Palavras chave: segurança, informação, conscientização.
ABSTRACT
Innumerable they are the stories proceeding to the attempts succeeded from attacks the personal servers, or computers well or badly. Endowed with the calls "dificulty systems of improper entrance", more known as firewall, anti-virus, anti-Spam, anti-worms; at last all the type of malicious archive that comes to harm the "health" of the computer. Although all the attention, or at least great part of it,
is to the cares technician properly said, it will not advance if it will not be added to the orientation of as to manipulate such information, also the awareness of because and of how much each employee in confidence it is important in the responsible fulfilment of its paper inside of the Organization. In special how much to the information that circulate there inside of the company, but over all the specific information the function who if fulfills and is responsibility. And synthesis jointly the related factors the management of the security of the information to some techniques of social engineering, will be abordadas.Utopias the part, this article simply search to demonstrate that to obtain good results even though short-term it is possible. Words key: security, information, awareness
2. INTRODUÇÃO
Visto que a maior complexidade em resolver os problemas de segurança inerentes às informações, não esta na tecnologia empregada pela empresa e sim naqueles funcionários que nela trabalham, parte-se do princípio de que todos são responsáveis por todos. Ou seja, não é porque um determinado funcionário que trabalha no setor de limpeza, por exemplo, sabendo das condutas e práticas de segurança das informações, poderá deixar de chamar a atenção de outro funcionário que trabalha no setor de contabilidade, percebendo alguma falha.
Vale ressaltar que a conscientização é literalmente “a alma do negócio” Principalmente em se tratando de informações sejam elas técnicas, táticas ou estratégicas. A maneira com que é entendida a informação perante os funcionários é tida como subjetiva. Essa mentalidade tem que ser mudada. Deve-se pensar como um todo. Independente de ser aquele ou outro funcionário de diferentes setores.
Como ao certo então moldar essa mentalidade a ponto de se chegar a uma conscientização quase que homogênea? Começando por exemplo com planos de divulgação interna na empresa, educando, conduzindo e habituando o funcionário a compreender a enorme importância dele naquele contexto.
3. METODOLOGIA
FIGURA A – Estrutura de Ataque
Legenda:
• OE – Organização – Empresa
• ISE – Informações Sigilosas da Empresa (informações internas e confidenciais da empresa)
• IGD – Informações Gerais Disponíveis (informações disponíveis na internet, livros, revistas, jornais, ou até mesmo no lixo)
• Vítima Ativa (funcionários da empresa)
• Vítima Superficial (parentes e/ou amigos da vítima ativa, ex-funcionários,serviços terceirizados,concorrentes).
FIGURA B – Dinâmica da entrega de informações 4. RESULTADOS
Analisando a FIGURA A – Estrutura de Ataque, pode-se perceber que o engenheiro social estipula seus ataques para chegar ao foco principal, que é as informações confidenciais da empresa, passando sempre pelo elo mais fraco que é o fator humano; ou seja, a chamada vítima ativa (VA) ou vítima superficial (VS).
Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais força, ou conseguem atingir seus objetivos com mais eficiência, partindo-se do pressuposto de que a coleta primeiramente das informações a partir do fator externo, IGD + VS, leva a deduzir que será mais bem sucedida a chegada às informações sigilosas da empresa (ISE) como também mais convincente a persuadir a vítima ativa (VA),fazendo IGC+VS+VA, para então finalmente chegar a estas informações confidenciais.
Porém o engenheiro social poderá optar por direcionar seu ataque diretamente à vítima ativa (VA), almejando logo em seguida as informações sigilosas da empresa (ISE).Sendo este método considerado mais válido para aquele engenheiro social com maior experiência.
Outro ponto a se destacar é a importância que a vítima superficial (VS) tem nesse papel das informações fornecidas. Dependendo da origem desta vítima como sobretudo a qualidade destas informações geradas ao engenheiro social, este contudo terá grandes possibilidades de já conseguir atingir seu objetivo.
Assim como IGD + VS podem levar as informações confidenciais da empresa também IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistência que a própria VA pode oferecer, levando-se em conta a falta de credibilidade e confiança transmitida que o engenheiro social deveria dispor. Isso devido a não passagem pela coleta de informações com a vítima superficial (VS).
Enfim, a “fórmula” ideal para uma maior garantia do sucesso deste ataque será sem dúvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja:
IGD + VS + VA ≅ ISE
Agora de acordo com o que é demonstrado na FIGURA B – Dinâmica da entrega de informações, no momento em que o engenheiro social faz o contato, interage ou comunica-se, surge então a chamada *Distância de resistência que existe com qualquer suposta vítima que o engenheiro social determina como alvo de seu ataque.
Essa distância pode ser tanto maior ou menor (da vítima ao engenheiro social) dependendo do estudo que fora feito pelo próprio engenheiro social na busca de uma gama maior de informações, a tal ponto de fazer com que o contato com o alvo seja de certa forma bem familiarizada. Dando a impressão realmente de que o atacante (engenheiro social) conhece muito bem aquele ambiente tendo a total segurança do que esta falando, com quem quer falar e até onde chegar.
*Raio de conhecimento equivale ao conhecimento baseado nas políticas de segurança adotadas pela Empresa mais o conhecimento das técnicas utilizadas pelo engenheiro social.
Ou seja, quanto maior for esse raio menor será a probabilidade de se entregar informações valiosas ao engenheiro social.
5. CONCLUSÃO
Imbuído dos poucos conceitos mencionados, mas de concretas análises metódicas como visto, percebera-se o quão frágeis e despreparadas estão a maioria das Organizações hoje.
Sem dúvida a muitas “lacunas” a serem fechadas pelas empresas. Uma análise “TopDow” já identifica tais lacunas.Um diagnóstico mais minucioso identificará não mais simples lacunas e sim “extensos buracos “.
É lamentável como ainda muitas empresas de pequeno, mas principalmente de médio e grande porte, levam em conta que a implementação de determinadas ações e diretrizes sejam consideradas mais uma despesa, e não um investimento; diga-se de passagem, muito benéfico e relevante a evitar futuros agravantes aos ativos da empresa, consequentemente perda de capital.
Contudo fica a lição de que com toda a evolução que se perpetue ainda ao longo de muitos e muitos anos, a “tecnologia mais tecnológica” será sempre submissa ao “humano mais humanístico”.
6. REFERÊNCIAS BIBLIOGRÁFICAS
01. MITNICK, KEVIN. O conhecimento que assusta. InformationWeek Brasil, [São Paulo], 2003. Entrevista. Disponível em:
<http://www.informationweek.com.br/iw70/mitnick/>. Acesso em: 27 fev. 2004.
02. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 2003.
03. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003.
