Engenharia social

1,787 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,787
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
55
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Engenharia social

  1. 1. Engenharia SocialINSTITUTO A VOZ DO MESTREPROGRAMA DE PÓS-GRADUAÇÃO EMSEGURANÇA DE REDES DE COMPUTADORESDAVIES NASSAROEngenharia Social -Explorando o Fator Humano dos Sistemas de Segurança daInformaçãoRibeirão Preto – SP2012INSTITUTO A VOZ DO MESTREDAVIES NASSAROEngenharia Social -Explorando o Fator Humano dos Sistemas de Segurança daInformaçãoMonografia apresentada ao Instituto A Voz do Mestre, comorequisito parcial para a obtenção do título de Especialista emSegurança de Redes de Computadores.Orientador: Prof. MSc Robson do NascimentoRibeirão Preto – SP2012
  2. 2. DAVIES NASSAROEngenharia Social -Explorando o Fator Humano dos Sistemas deSegurança da InformaçãoMonografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção dotítulo de Especialista em Segurança de Redes de Computadores.Orientador: Prof. MSc Robson do NascimentoAPROVADO EM ____/____/____Ribeirão Preto – SP2012BANCA EXAMINADORA______________________________________________________________ROBSON DO NASCIMENTO – ORIENTADOR E PRESIDENTE DA BANCA______________________________________________________________NOME DO PROFESSOR – EXAMINADOR______________________________________________________________NOME DO PROFESSOR – EXAMINADORRibeirão Preto – SP2012
  3. 3. DEDICATÓRIAA todos aqueles que passaram noites e noites emclaro embalados pelo sonho de tornar a existênciahumana mais digna e justa.AGRADECIMENTOSAgradeço, acima de tudo, a meus pais, por meensinarem que quando se trata de honestidade, nãoexiste meio termo.Agraço também a minha esposa, que, mesmográvida de nosso primeiro filho, sempre me apoiou eesteve ao meu lado.“Numa época de mentiras universais, dizer a verdadeé um ato revolucionário.”George Orwell“Experiência não é o que acontece com um homem;é o que um homem faz com o que lhe acontece.”Aldous Huxley
  4. 4. RESUMOO presente trabalho traz um relato sobre a definição de EngenhariaSocial e os principais métodos utilizados pelos Engenheiros Sociaispara burlar os sistemas de segurança das empresas. Sãodemonstrados também os motivos que fazem esse tipo de golpe sertão aplicado, os prejuízos por ele causados e porque as pessoas sãotão suscetíveis a ele. Finalizando são apresentadas formas de defesacontra esses ataques e como manter a empresa em operação casoum desastre de grandes proporções ocorra.Palavras-Chave: Segurança da Informação, Engenharia Social,Hackers, Continuidade do Negócio.ABSTRACTThis paper presents an account of the definition of Social Engineeringand the main methods used by Social Engineers to bypass systemsenterprise security. It also demonstrated the reasons that make thistype of scam be so applied, the damage caused by it and why peopleare so susceptible to it. Finally are presented forms of defense againstthese attacks and how to keep the business running if a major disasteroccurs.Keywords: Information Security, Social Engineering,Hackers, Business Continuity.LISTA DE ABREVIATURAS E SIGLASABNT – Associação Brasileira de Normas TécnicasApacs – Association for Payment Clearing ServicesCERT.br – Centro de Estudos, Resposta e Tratamento de Incidentesde Segurança no BrasilCGI.br – Comitê Gestor da Internet no BrasilCIO – Chief Information OfficerCISO – Chief of Information Security OfficerCSO – Chief Security OfficersIEC – International Electrotechnical CommissionISO – InternationalOrganization for StandardizationNBR – Norma BrasileiraSIGEO – Sistema de Gerenciamento Orçamentário do Estado de SãoPauloTCC – Trabalho de Conclusão de CursoTI – Tecnologia da Informação
  5. 5. SUMÁRIORESUMO 08ABSTRACT 09LISTA DE ABREVIATURAS E SIGLAS 101 INTRODUÇÃO 131.1 Objetivos 141.1.1 Objetivos Gerais 141.1.2 Objetivos Específicos 141.2 Procedimentos Metodológicos 141.3 Estrutura do Trabalho 142 REFERENCIAL TEÓRICO 162.1 Ameaças às Informações 162.2 Engenharia Social 172.2.1 Entendendo a Engenharia Social 172.2.2 As Vulnerabilidades Humanas 192.3 Segurança da Informação 213 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIASOCIAL 253.1 Principais Técnicas de Ataque da Engenharia Social 253.2 Fatores Motivadores da Engenharia Social 263.3Análise dos Ataques e dos Fatores Motivadores 294 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIASOCIAL 324.1 Crimes de Difícil Apuração 324.2 Números do Phishing 335 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 355.1 Políticas de Segurança da Informação e sua Importância 355.2 Sucesso da Política de Segurança da Informação 375.3 O Responsável pela Política de Segurança da Informação395.4 Desenvolvendo uma Política de Segurança da Informação 416 SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIASOCIAL 456.1 Segurança da Informação Focada na Engenharia Social 457 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE497.1 PCN – Plano de Continuidade do Negócio 497.2 Elaboração do PCN 507.2.1 Estratégias de Contingência 527.3 Avaliando o PCN 547.4 Outra Abordagem Para Elaboração do PCN 558 CONSIDERAÇÕES FINAIS 57REFERÊNCIAS BIBLIOGRÁFICAS 60
  6. 6. 1 INTRODUÇÃODiferentemente do que muitas pessoas acreditam, inclusive asentendidas em assuntos tecnológicos e de segurança, muitas falhasnos sistemas de defesa das informações das empresas ocorrem porirregularidades cometidas por funcionários e colaboradores dessaspróprias organizações, ou seja, seres humanos, e não por brechasnesses sistemas, que contam com uma parafernália cada vez maiscomplexa para a preservação das informações, como firewalls, proxy,antivírus, senhas criptografadas e controle de acesso, entre outros.Mitnick1e Simon (2003) explicam que:À medida que os especialistas contribuem para o desenvolvimento contínuo demelhores tecnologias de segurança, tornando ainda mais difícil a exploração devulnerabilidades técnicas, os atacantes se voltarão cada vez mais para aexploração do elemento humano. Quebrar a ―firewall humana‖ quase sempre éfácil, não exige nenhum investimento além do custo de uma ligação telefônica eenvolve um risco mínimo.Por essa razão é vital que as empresas estejam preparadas para oscrimes focados em explorar as falhas humanas, como os crimes deEngenharia Social, e busquem formas mais eficazes de garantir asegurança de suas próprias informações e as informações que são aelas confiadas.Buscando contribuir para o combate dessa prática criminosa, otrabalho desvenda o mundo da Engenharia Social, descrevendo o seusignificado, suas principais técnicas de abordagem, os fatores quemotivam os criminosos a optarem por esse tipo de ataque e porque oser humano é, e sempre será, o elo mais vulnerável nessa intricadacadeia de meios e métodos que visam proteger as informaçõesconfidencias das empresas.Para apoiar as ideias descritas acima, além de vasta pesquisabibliográfica, será mostrada uma análise dos impactos estimadoscausados por esses tipos de ataques e, para finalizar, serãoapresentados meios de se criar um Programa de Segurança daInformação e um Plano de Continuidade do Negócio, visando sempresalvaguardar as Informações dentro dos limites das empresas.1.1 Objetivos1.1.1 Objetivos GeraisEntender o que é Engenharia Social, estudar suas técnicas e seusreflexos nas questões relacionadas com a Segurança da Informação,mostrar mecanismos de defesa para as Informações empresariais ecomo manter a organização em atividade, mesmo após a ocorrênciade desastres que afetem seu funcionamento.1.1.2 Objetivos EspecíficosApresentar as principais técnicas de Engenharia Social;Estudar as vulnerabilidades humanas sujeitas a essas técnicas;Identificar as necessidades de educação do usuário; e
  7. 7. Relacionar as principais medidas de segurança contra esse tipo decrime e que garantam a estabilidade das informações e a continuidadedo negócio da empresa.1.2 Procedimentos MetodológicosEste trabalho foi elaborado a partir de pesquisas bibliográficas edocumentais, apoiando-se em fontes primárias e secundárias, além depáginas de internet e artigos, pois são essas as principais fontes demateriais relacionados ao estudo. A referência cronológica parte depublicações selecionadas a partir da década de 90, pois, se tratandode Tecnologia da Informação (TI) e essa sendo uma área onde asmudanças ocorrem muito rapidamente, ficaria um tanto obsoletomencionar práticas realizadas antes desse período, apesar de aEngenharia Social ter se iniciado há décadas atrás, antes mesmo atéda disseminação dos computadores.1.3 Estrutura do TrabalhoEste Trabalho de Conclusão de Curso (TCC) esta elaborado daseguinte maneira:O segundo capítulo apresenta o Referencial Teórico, contendo osprincipais conceitos sobre Segurança da Informação, EngenhariaSocial e Vulnerabilidade Humana.O terceiro capítulo apresenta as principais técnicas de ataque deEngenharia Social e seus fatores motivadores.O quarto capítulo estuda os impactos causados por essa artecriminosa.O quinto capítulo identifica as necessidades de educação do usuário eapresenta a importância de uma Política de Segurança da Informaçãoe como elaborá-la.O sexto capítulo relaciona as principais medidas de segurança contraas técnicas de Engenharia Social.O capitulo sétimo mostra como criar um Plano de continuidade doNegócio, demonstrando como manter a empresa em operação apósesta ser vitima de algum desastre.O oitavo capítulo apresenta as considerações finais, concluindo comum aparato geral do que foi exposto, reforçando a atenção que deveser disponibilizada para com a segurança das informações no âmbitoempresarial e, em particular, para com as técnicas de EngenhariaSocial e propõem ainda uma sugestão para trabalhos futuros quecontribuam ainda mais para o combate a essa técnica de roubo deinformações.2 REFERENCIAL TEÓRICO2.1 Ameaças às InformaçõesPara Sêmola (2011),ameaça é ―algo que pode agir voluntária ouinvoluntariamente em prejuízo de alguém ou alguma coisa‖. Sendoassim, essa possibilidade de algo causar dano também afeta àsinformações, que estão continuamente expostas à ameaças oriundas
  8. 8. de vários fatores. Peixoto (2006) ainda aponta o conceito devulnerabilidade, reforçando que uma ameaça não implicanecessariamente em uma vulnerabilidade, ou seja, umavulnerabilidade é uma brecha onde uma ameaça pode causar dano.No que se referem às informações, as ameaças exploram asvulnerabilidades existentes nos processos a elas integrados, isto é, deacordo com Peixoto (2006), as ameaças, muitas vezes, sãodecorrentes de vulnerabilidades existentes, provocando nasinformações perda da confidencialidade, integridade e disponibilidadee podem ser agrupados em três categorias distintas:Ameaças naturais: fenômenos da natureza;Ameaças involuntárias: decorrentes do desconhecimento de normas,padrões ou operação, acidentes e erros;Ameaças voluntárias: são amaças causadas propositalmente porpessoas.Ainda continuando com as definições de Peixoto (2005), asvulnerabilidades são frutos de ameaças generalizadas, afetando assima segurança da informação e podem ser assim classificadas:Físicas: salas de CPD mal planejadas, estrutura de segurança forados padrões exigidos;Naturais: falta de energia, incêndios, aumento de umidade;Hardware: Desgastes de equipamentos, equipamentos obsoletos;Software: má instalação e configuração;Mídias: Perda ou dano das mídias de armazenamento de informações;Comunicação: acesso não autorizado ou perda da mesma;Humana: Falhas de atenção, treinamento de funcionários inadequadoe as decorrentes de práticas de Engenharia Social.Como pôde ser constatado, as informações estão expostascontinuamente a inúmeros tipos de ameaças que buscam explorar assuas muitas vulnerabilidades, que podem ser naturais, falhas deprojeto ou até mesmo humanas, e os sistemas de segurança dainformação têm que estar aptos a lidarem com todas essas questões.Dentre essas ameaças generalizadas contra as informações, asreferentes à Engenharia Social são uma classe que merecem especialatenção, pois, como será definido adiante, exploram as falhasexistentes na personalidade humana e são de difícil prevenção.2.2 Engenharia Social2.2.1 Entendendo a Engenharia SocialEntre as principais ameaças à segurança dos sistemas de informaçãoestá a Engenharia Social. Esta ―está inserida como um dos desafios(senão o maior deles) mais complexos no âmbito das vulnerabilidadesencontradas na gestão da segurança da informação‖. (PEIXOTO,2006).Segundo Mitnick e Simon (2003), a Engenharia Social pode serdefinida como o uso da influência e da persuasão para enganar as
  9. 9. pessoas e convencê-las de que o Engenheiro Social é alguém que naverdade ele não é. O Engenheiro Social fica então caracterizado comoalguém que se utilizada das técnicas de Engenharia Social e em geralé citado como o atacante ou criminoso.Outra forma de descrever a Engenharia Social seria como oencontrado na Cartilha de Segurança Para a Internet, disponibilizadapelo Comitê Gestor da Internet no Brasil (CGI.br):um método de ataque, onde alguém faz uso da persuasão, muitas vezesabusando da ingenuidade ou confiança do usuário, para obter informações quepodem ser utilizadas para ter acesso não autorizado a computadores ouinformações.(CGI.br 2006)A Engenheira Social, portanto, fica evidenciada pela ação de umindivíduo ou indivíduos, que através de técnicas de persuasão,intimidação e pressão psicológicas, conseguem obter acesso ainformações confidenciais de empresas e pessoas para fins ilícitos.Esses ataques conseguem sucesso porque o criminoso que se utilizadessas técnicas explora vulnerabilidades na personalidade humanaque proporcionam alto grau de sucesso nesses ataques. Como citadopor Mitnick e Simon (2003):amaioria das pessoas supõe que não será enganada, com base na crença deque a probabilidade de ser enganada é muito baixa; o atacante, entendendoisso como uma crença comum, faz a sua solicitação soar tão razoável que nãolevanta suspeita enquanto explora a confiança da vítima.Diferentemente de outras formas de crimes ligados a Sistemas deInformação, como invasão de sistemas ou destruição de Informações,cometidos por Hackers2e Crackers3, que possuem como motivador aautopromoção, o desafio e a chance de quebrar regras, a EngenhariaSocial sempre esteve relacionada com as relações interpessoais e,mais recentemente, com a tentativa de burlar os sistemas desegurança das corporações para obtenção de informações sigilosas eseu principal objetivo é o ganho financeiro obtido com a divulgação ouuso de tais informações.Conforme pesquisa realizada pela empresa de softwares deSegurança Check Point e publicada no site cio.uol4, cujo tema foisegurança da informação, foram entrevistados 850 profissionais desegurança em TI de várias partes do mundo e a maioria dosentrevistados, 51%, responderam que o ganho financeiro é o principalfator motivador para crimes de Engenharia Social.Para conseguir esse retorno financeiro, o Engenheiro Social apoia-sena falta de capacitação para o trato de informações empresariais epessoais por parte dos indivíduos e sua inclinação para cometer atosilícitos quando utilizando sistemas de informação. Laureano (2005)salienta que para preservar os segredos da empresa, além doinvestimento em softwares de segurança é muito importante investir
  10. 10. em treinamento de funcionários, pois não são poucas as ocorrênciasreferentes à espionagem industrial (forma de Engenharia Social).É interessante salientar que as técnicas de Engenharia Social podemser verificadas em vários aspectos da sociedade e em diferentesépocas, não se restringindo apenas a Tecnologia da Informação. Atémesmo a Bíblia, através da conhecida história do encontro de Adão eEva com a Serpente, já fazia alusão ao assunto (PEIXOTO, 2006).Portanto, o uso de técnicas de Engenharia Social é muito diversificadoe antigo, precedendo até mesmo os computadores.2.2.2 As Vulnerabilidades HumanasComo distinguido no item 2.1, intitulado ―Ameaças às Informações‖, oque acarreta a quebra de segurança de um sistema de informação sãosuas vulnerabilidades, que passam a ser exploradas por ameaças atéque as falhas ocorram. O termo vulnerabilidade, segundo o dicionárioon-line Aurélio5significa ―Caráter ou qualidade de vulnerável‖. Logo sefaz necessário a compreensão da palavra vulnerável para darmosentendimento ao termo. Vulnerável, segundo essa mesma fonte, querdizer ―Suscetível de ser ferido, ofendido ou tocado‖. Portanto umavulnerabilidade é uma característica que torna algo vulnerável, ouseja, passível de sofrer dano.Entre as muitas vulnerabilidades encontradas em um sistema deinformação, as relacionadas com o fator humano estão entre as detrato e solução mais difíceis, conforme discutido anteriormente. Sãoessas vulnerabilidades que tornam as pessoas tão suscetíveis aosataques de Engenharia Social, pois:o engenheiro social trabalha como ninguém os pontos relativos à psicologiahumana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza asimpatia para tentar convencer. Ou até mesmo a culpa [...]. (PEIXOTO, 2006).Um atacante procura entender essas características vulneráveis docomportamento humano a fim de explorá-las com seu portfólio detruques para conseguir maior sucesso nos seus ataques.Para Mitnick e Simon (2003), as principais vulnerabilidades humanasque podem ser exploradas por um ataque de Engenharia Social são:• O respeito à autoridade: quando um ataque faz uma requisiçãodemonstrando autoridade, a chance de ela ser atendida é muitogrande;• A afabilidade: uma pessoal que demonstra ser agradável consegueque as pessoas atendam seu pedido mais facilmente;• A reciprocidade: essa vulnerabilidade faz as pessoas terem umainclinação natural a retribuir um pedido de ajuda feito por alguém quejá fez algo por você. Nesse caso os Engenheiros Sociais procuramcausar algum problema para as vitimas e depois o solucionam,deixando a pessoa com a obrigação da retribuição;• A consistência: os atacantes induzem as pessoas a fazerem umcomprometimento público ou então ludibriam essas pessoas com o
  11. 11. argumento que esse pedido será favorável a alguma causa comum avitima;• Validação social: ocorre quando o criminoso faz uma solicitação quevai de encontro com o que outras pessoas estão fazendo, tornandoessa ação das outras pessoas uma validação para o comportamentoem questão;• Escassez: quando a solicitação é por algo escasso ou esse algo estadisponível por curto período de tempo.Outra falha muito comum referentes às pessoas, mas ocorridas noâmbito profissional, é a falta de interesse ou desatenção para com asinformações que são disponibilizadas a terceiros por parte dosfuncionários das empresas. Como descrito por Peixoto (2006):Se todo funcionário fosse tão questionador como uma criança, demonstrandointeresse nos mínimos detalhes, ouvindo mais, estando fortemente atento atudo a sua volta, e principalmente fazendo o uso dos poderosos ―por quês‖,com certeza as empresas transformariam os frágeis cadeados em legítimosdispositivos dificultantes de segurança da informação.Mais uma vulnerabilidade que pode ser explorada com relação àsegurança das informações empresariais reside nos funcionários quenão receberam treinamento adequado em práticas de segurança enão foram alertados em como as informações da empresa devem sertratadas. Também vale lembrar que a segurança é um processocontinuo e os pontos de verificação das políticas e os treinamentosdevem ser reciclados de tempos em tempos.Peixoto (2006) define que:Como chefe de segurança das informações de uma empresa [...], nada maiscoerente do que fazer com que os funcionários desta empresa estejam aptos aentender o quanto é importante a preservação consciente das informações quecada um manipula em seu dia-a-dia.Outro grupo de funcionários que merecem atenção são osfuncionários descontentes, que por algum motivo qualquer, podemusar informações confidenciais da empresa para prejudicar a própriaorganização, no caso do funcionário tiver algum ressentimento com acompanhia, ou fazer uso dessas informações para vendê-las aconcorrentes, com o intuito de levantar quantias financeiras com essasvenda. Essa vulnerabilidade está mais associada a falta de caráter dofuncionário e a sua inclinação por desenvolver um sentimento devingança em relação a empresa onde atuou.Quando um engenheiro social sabe como as coisas funcionam dentro daempresa-alvo, ele pode usar esse conhecimento para desenvolver a confiançajunto aos empregados. As empresas precisam estar preparadas para osataques da engenharia social vindos de empregados atuais ou ex-empregados,que podem ter um motivo de descontentamento. (MITNICK E SIMON, 2003).Esses pontos vulneráveis destacados fazem parte do comportamentohumano e são, na maioria das vezes, respostas comuns a estímulosprovocados por situações diversas. O grande problema desse
  12. 12. comportamento falho esta na sua exploração por parte de pessoasmal-intencionadas, ocasionado com isso quebra nos sistemas desegurança das organizações e ameaçando suas informações.A vantagem de se conhecer esses pontos da personalidade humanareside numa possibilidade de se desenvolver Políticas de Segurançada Informação mais adequadas com a realidade dos funcionários ealinhadas com os objetivos da empresa, inibindo assim os ataques deEngenharia Social e garantindo uma maior segurança para com asinformações.2.3 Segurança da InformaçãoAs informações pertinentes a uma empresa, como seu catálogo deprojetos, carteira de clientes, fornecedores e colaboradores,estratégias de marketing e campanhas publicitárias, contas a pagar ereceber, manuais de utilização de equipamentos e sistemas,organogramas e fluxogramas, documentos detalhados da topologia derede e configuração de servidores, entre outros, constituem um artigode vital importância para a sobrevivência da mesma, pois, conformemenciona Laureano (2005, apud KATZAM, 1977):Vivemos em uma sociedade que se baseia em informações e que exibe umacrescente propensão para coletar e armazenar informações e o uso efetivo dainformação permite que uma organização aumente a eficiência de suasoperações.Sendo essas informações um ativo tão importante para asorganizações, elas necessitam de um sistema eficaz de proteçãocontra os diversos tipos de ameaças que possam corrompê-las ecomprometer sua segurança, acarretando assim enormes danos paraas empresas como um todo.Para um sistema de informação ser considerado seguro ele deve terpreservado os seguintes aspectos: integridade, disponibilidade, nãorepúdio,autenticidade e confidencialidade. Para Filho (2004), estesaspectos são considerados essenciais para que o sistema em questãopossa ser confiável e integro.A fim de garantir a preservação dessas características, recomenda-sea utilização de um Sistema de Segurança da Informação, que, de umaforma genérica e sem adentrarmos nos domínios de como colocar emprática essas medidas de segurança, domínios esses que serãotratados posteriormente nesse trabalho, é caracterizado, segundodefinição da NBR ISO/IEC 27002 (2005), pela ―proteção dainformação contra vários tipos de ameaças para garantir acontinuidade do negócio, maximizar o retorno sobre os investimentose as oportunidades de negócio‖.A base para qualquer projeto de segurança da informação consiste emse definir primeiramente dois fatores primordiais: quem são osproprietários dessas informações e qual o seu grau de importância
  13. 13. para a organização. Conforme relatado por Silva, P., Carvalho eTorres (2003) esses dois pontos podem assim ser definidos:Proprietário da Informação – para que um sistema de Segurança daInformação possa ser posto em prática é necessário, primeiramente,identificar os proprietários da informação. Ao se definir essesproprietários, é possível determinar mais claramente as necessidadesreais de segurança dessa informação.Classificação das Informações – uma vez definidos os responsáveispela informação, esta poderá mais facilmente ser classificada deacordo com sua sensibilidade e, posteriormente, protegida de acordocom essa classificação. Deve-se notar que a classificação nãoconstitui um fim em si mesmo, mas antes um meio que permite definirprocedimentos para a gestão da informação, como por exemplo, a suadestruição, armazenamento ou transporte.Os autores reforçam também que:Este esforço de classificação permite desenvolver níveis de proteção idênticospara informação com os mesmos requisitos de segurança, permitindo a suaconcentração, o que irá maximizar o efeito dos esforços de proteção. Noscasos em que não seja possível agrupar a informação com as mesmasnecessidades de segurança, a classificação permite definir padrões deproteção, claros e inequívocos, para as várias categorias de classificação.(SILVA, P., CARVALHO E TORRES, 2003)Quando se define o proprietário de uma informação e quem a ela serádado acesso, fica mais fácil definir uma política para tratar suaproteção, definindo com isso, formas de compartilhamento, restriçõesde acesso e auditorias.Com relação à classificação da informação, a sua tarefa é separar asinformações em grupos homogêneos, para que esses grupos recebamo mesmo grau de proteção, onde será definido se essa informação éconfidencial ou não, o tempo necessário que essa informação poderáficar indisponível, a forma como será realizado seubackup6(diariamente, semanalmente, etc..), onde o backup seráarmazenado, como e quando essa informação deverá ser destruída,entre outras definições.Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 2011)apoiam que o correto é classificar as informações em níveis deprioridade, respeitando sempre as necessidades das empresas, assimcomo a importância da classe da informação para a manutenção daempresa. Segundo eles, as informações podem ser assimclassificadas:Pública: quando a informação pode vir a público sem consequênciasmais sérias ao funcionamento normal da empresa, e cuja integridadenão é vital.Interna: quando o acesso livre a este tipo de informação deve serevitado, mesmo não sendo muito sérias as consequências oriundas de
  14. 14. uso não autorizado. Sua integridade não é considerada vital, masmuito importante.Confidencial: quando a informação se restringe aos limites daempresa e sua divulgação ou perda pode causar uma falha noequilíbrio operacional e perdas financeiras ou quebra da confiança porparte dos clientes externos.Secreta: quando a informação é considerada crítica para as atividadesda empresa. Sua integridade deve ser preservada a qualquer custo eseu acesso deve ser restrito a um número reduzido de pessoas. Suasegurança é vital para a organização.A partir da correta separação das informações, pode-se definirmecanismos para garantir sua segurança, como Políticas deSegurança da Informação acompanhadas de processos detreinamento e conscientização de funcionários, especificando o quecada tipo de informação implica para a empresa e definindo puniçõesdiferentes em caso de divulgação não autorizada dessas informações.Após a correta classificação das informações parte-se para a definiçãodo Sistema de Segurança da Informação e a melhor maneira deimplantar esse sistema é através de uma Política de Segurança daInformação bem definida. Esta consiste em documentos descrevendoa forma como a informação deverá ser tratada pela instituição.Maneiras de se desenvolver uma Política de Segurança de Informaçãoe como treinar funcionários em boas práticas de segurança serãodetalhadas em capítulos posteriores. O importante de se frisar até aquié que as informações, por serem algo de muito valor para qualquerinstituição, necessitam serem protegidas de uma forma pensada e demaneira a entender as ameaças que podem afetá-las.3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIASOCIAL3.1 Principais Técnicas de Ataque da Engenharia SocialOs Engenheiros Sociais utilizam inúmeras técnicas e truques paraconseguir a colaboração de pessoas, que muitas vezes são vítimasinocentes, para que estas disponibilizem informações confidencias,sejam elas pessoais ou empresarias, para poderem fazer uso dessasinformações para fins ilícitos. Como principal meio de conseguir essacolaboração está à exploração da reação comum das pessoas apedidos de ajuda e solicitação de informações, que, primeiramente,pensam em ajudar ao solicitante e somente posteriormente sepreocupam com a importância da informação fornecida.De acordo com Mitnick e Simon (2003), ―[...] como seres humanos,somos todos sujeitos a sermos enganados, porque a confiança daspessoas pode ser usada de forma errada se for manipulada dedeterminadas maneiras‖. O Engenheiro Social conhece ou consegueperceber essa confiança que lhe é depositada e, a partir dai,
  15. 15. desenvolve técnicas que buscam focar principalmente esse desejodos homens de ajudarem aos seus pares.Entre as principais técnicas de Engenharia Social temos, conformerelatado por Peixoto (2006):Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridadeproporcionada pelo uso do telefone, garantindo sua difícilidentificação, tenta se passar por alguém que ele não é e solicitainformações ou ações ao atendente;Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicarem links maliciosos que poderão executar aplicativos de captura desenhas e sequestro de computadores, tornando seus PCs zumbis,entre outras coisas;Chats de internet: onde, como no telefonema, o atacante pode sepassar muito facilmente por qualquer pessoa;Fax: o criminoso envia formulários, pedidos de requisição, entre outrosdocumentos, solicitando que sejam respondidos e enviados paraendereços falsificados;Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim deencontrar dados sigilosos que possam ajudar a burlar os sistemas desegurança dos mesmos;Surfar sobre os ombros: o atacante posiciona-se atrás das vitimas nomomento que estas vão digitar suas senhas em terminais eletrônicosde bancos, computadores pessoais e coisas do tipo;Pessoalmente: constitui uma visita in loco7por parte do transgressorpara levantamento de informações ou para execução de ações. Talvezseja o menos utilizado, pois o que atrai um Engenheiro Social é aobscuridade que essa técnica fornece. Mas, apesar do risco, às vezesessa é única alternativa que resta aos criminosos.Além das técnicas clássicas mencionadas acima, a Engenharia Socialvêm se aprimorando com o passar do tempo e com o advento denovas tecnologias, criando formas inovadoras de obtenção deinformações sigilosas constantemente. Entre essas formas maismodernas de ataques esta o Phishing, que é inspirado no clássicoFakemail, porém mais aprimorado. Segundo o a empresa Symantec8,respeitável empresa do ramo de segurança e antivírus, o Phishing éuma técnica de falsificação on-line que consiste na utilização dewebsites falsificados e e-mails fraudulentos com o intuito de induzir asvitimas a clicarem em links adulterados onde serão persuadidos apassarem informações pessoais e seus criadores não passam defalsários e ladrões de identidade.Portanto a Engenharia Social não é uma técnica de obtenção deinformações estagnada e passa ainda por grandes transformações,resultado da criatividade dos criminosos adeptos dessa classe degolpes que exploram as muitas vulnerabilidades humanas.3.2 Fatores Motivadores da Engenharia Social
  16. 16. A obtenção de lucro é o que mais motiva um criminoso a buscarinformações sigilosas de forma ilícita através de técnicas deEngenharia Social9. Mas também existe uma grande quantidade deatrativos secundários que motivam esses atacantes a adotarem essafamília de fraudes para conseguirem ganho financeiro. Entre essesatrativos podemos citar:Facilidade para conseguir informações confidenciais: através dasinúmeras técnicas de ataques já discutidas anteriormente, osEngenheiros Sociais conseguem obter informações sigilosas comincrível facilidade. Santos (2004) comenta que:muitos acreditam que os Engenheiros Sociais utilizam ataques com mentiraselaboradas bastante complexas, porem, muitos ataques são diretos, rápidos emuito simples, onde eles simplesmente pedem a informação desejada.Mitnick e Simon (2006) ainda reforçam que as pessoas possuem umainclinação para ajudar seus pares e os Engenheiros Sociais possuemvárias maneiras para tirar proveito disso.Alto índice de sucesso nos ataques: como resultado dessa facilidadede conseguir informações sigilosas, temos um elevado grau de êxitonas empreitadas que envolvem a Engenharia Social. Como nãoexistem dados concretos e confiáveis sobre esse tipo de golpe, asconclusões tomadas são baseadas em documentos disponibilizadospor empresas que realizaram testes de penetração de segurança.Essas instituições ressaltam, de acordo com Mitnick e Simon (2003),que suas ações para invasão de sistemas computacionais deempresas clientes utilizando técnicas de Engenharia Socialconseguem alcançar 100 % de sucesso.A não necessidade de aparatos tecnológicos para realização deataques: algumas ações criminosas se vêm dificultadas pelo obstáculoimposto por aparatos tecnológicos e também pela própria tecnologiaem si. Em muitas ocasiões o atacante não possui o equipamentonecessário para empreender a ação ou não possui o conhecimentosobre o equipamento que terá que manusear ou atacar,principalmente por se tratar de TI, onde as tecnologias são, cada vezmais, complexas e de difícil domínio, e em outras, os própriosmecanismos tecnológicos de segurança são as barreiras para impedirtais ataques.Com o uso da Engenharia Social, os atacantes conseguem burlar todaessa parte tecnológica e atacar a suas vítimas sem intermédios demeios de defesa. Mitnick e Simon (2003) reforçam que:o atacante hábil que usa a arte de enganar como uma das armas de seu kit deferramentas procura explorar as melhores qualidades da natureza humana: atendência natural de ajudar, dar apoio, ser educado, participante de umaequipe e o desejo de realizar um trabalho.
  17. 17. Apenas com uma simples conversa ou vasculhando uma lata de lixoum Engenheiro Social consegue obter informações sigilosas e usá-laspara fins não lícitos.As inúmeras vulnerabilidades humanas: em geral, as pessoaspossuem uma forma comum de reagir a situações diversas, entre elasa solicitação de ajuda e informações que, na grande maioria dasvezes, são respondidas positivamente e sem uma analise maiscriteriosa por parte das vitimas. Compreendendo essas nuances dapersonalidade humana, os Engenheiros Sociais as exploram a fim dealcançar seus objetivos.Os engenheiros sociais sabem como explorar o desejo natural das pessoas deajudar e fazer parte de uma equipe. Um atacante explora esse traço humanopositivo para enganar empregados desavisados para que executem ações queo coloquem mais perto do seu objetivo. É importante entender esse conceitosimples para que você reconheça quando outra pessoa está tentandomanipulá-lo. (MITNICK E SIMON, 2003).Estrutura virtual sem fronteiras: as diferenças regionais, incluindo suasculturas, tecnologias e legislações, tornam o ambiente virtual,representado principalmente pela internet, um estado independente esem políticas unificadas. Agravando esse cenário temos o amploalcance da rede mundial de computadores, que torna possível acomunicação e a interligação de computadores espalhados ao redordo mundo.Para Popper e Brignoli (2002) ―[...] a rede não respeita fronteiras entrepaíses, o que dificulta administrar as diferenças culturais ou aplicarleis nacionais‖. Se aproveitando dessa possibilidade de acessoirrestrito e sem fronteiras e das diferenças regionais existentes, umatacante pode, através do uso de páginas de internet e e-mails,cometer seus crimes em qualquer lugar do mundo, invadindocomputadores e roubando senha, tornando a tarefa de encontrá-lomuito difícil.Difícil punição dos criminosos: um fator muito atraente para quembusca informações através das técnicas de Engenharia Social é a suadifícil punição ou a até mesmo a falta dela. Conforme Popper eBrignoli (2002) é muito difícil punir esse tipo de criminoso, pois algunsdesses ataques nem podem ser considerados delitos, e citam comoexemplo a procura de informações em sacos de lixo ou até mesmoouvir conversas em lugares públicos.A falta de treinamento dos funcionários das empresas: a maioria dasempresas não investem ou investem muito pouco na segurança desuas informações e quando investem, na maioria das vezes, investemem dispositivos tecnológicos e se esquecem de se preocupar com otreinamento de seus funcionários. De acordo com Silva, V. (2012a):tal problemática [referindo-se a obtenção de informações sigilosas peloEngenheiro Social] está diretamente voltada à fraca abordagem desta questão
  18. 18. nas organizações, que na grande maioria das vezes não se preocupam comodeveriam com a necessidade de possuírem uma Política de Segurança robustaque trate do tema [...].Os crimes que envolvem a Engenharia Social são um ótimo atrativopara os criminosos, pois, independentemente de seu objetivo principal,que é o lucro, existe uma quantidade elevada de fatores que o tornampossível. Junte-se a esse cenário a facilidade de se conseguir asinformações sigilosas que esse método proporciona e a quaseinexistência de punição para os criminosos e temos uma artecriminosa das mais atraentes para os olhos de um criminosointeligente e perspicaz.3.3Análise dos Ataques e dos Fatores MotivadoresAo analisar as técnicas de Engenharia Social e os fatores queimpelem os seus ataques verificam-se três aspectos fundamentais queestão intimamente relacionados e juntos formam uma maneira muitoeficaz de crime contra as informações: a facilidade de conseguirinformações, o alto índice de eficiência nos ataques e a difícil puniçãodos atacantes.Os dois primeiros, a facilidade de conseguir informações e o altoíndice de eficiência nos ataques, estão sincronizados com asvulnerabilidades encontradas na personalidade humana.Essasvulnerabilidades são as brechas por onde um Engenheiro Socialobtém sucesso com a aplicação de seus golpes, pois, conforme jádiscutido e aqui reforçado por Salvo (2011), ―O elemento maisvulnerável de qualquer sistema de segurança é o próprio indivíduo, aoqual possui traços comportamentais e psicológicos que o tornasuscetível aos ataques de Engenharia Social‖.Mesmo conhecendo esses traços falhos presentes nos sereshumanos, não é possível conceber um sistema tecnológico sem ofator humano estar presente. Imamura (2007) lembra que a presençahumana é fundamental em pelo menos duas fases distintas de umsistema computacional: a fase de criação e a fase de decisão eambas:estão presentes em todos os momentos do emprego da tecnologia, pois aseleção da tecnologia, a forma de emprego, os controles e a avaliação estãodiretamente associadas à dinâmica do avanço tecnológico e da vontadehumana. (IMAMURA, 2007).Porém, de acordo com Filho (2004), há maneiras de se amenizar osproblemas relacionados com essas vulnerabilidades humanas,diminuído com isso o alto índice de sucesso dos Engenheiros Sociais.A principal delas seria a adoção de medidas, entre as empresas, paraatenuação da participação do componente humano nos processos desegurança. Essas medidas, ainda com relação ao referenciado porFilho (2004), compreendem quatro fatores: educação e treinamento
  19. 19. dos funcionários, segurança física da instituição, política de segurançae controle de acesso.É claro que o homem não pode ser excluído totalmente do processocomputacional, no entanto, quanto menor for sua participação nasatividades relacionadas com o trato e segurança das informações e,quando essa participação for indispensável, ela esteja respaldada porum ambiente físico seguro e uma política de segurança consistente,menores serão as chances de um criminoso obter sucesso em umataque contra as informações da instituição em questão.Já a difícil punição dos criminosos configura-se como um grandedesafio para os responsáveis pela criação e aplicação de leis. Osistema de leis, principalmente o brasileiro, encontra-se defasado emrelação às fraudes virtuais e muitas leis, que foram criadas paraemprego em outros crimes, diferentes dos digitais, tem que serenquadradas para trato dos crimes cibernéticos. Conforme defendidopor Eiras (2004), o sistema jurídico brasileiro ―mostra-se sobremaneiraobsoleto para enfrentar criminosos virtuais. Isto porque muitos meiosde prova que nos ajudariam a capturá-los, simplesmente não têmvalidade em nosso Direito‖.A forma mais contundente para tratar essa questão seria uma reformano regime de leis, tanto nacionais quanto internacionais, que envolvaespecialistas em tecnologia e promova um debate em toda asociedade.Atheniense (2012), advogado especialista em crimes de internet,ressalta que:[...] as soluções legais a serem buscadas deverão objetivar a circulação dedados pela internet, controlando a privacidade do indivíduo sem cercear oacesso à informação. Neste sentido é necessário aprimorar nossas leis deproteção de dados, inclusive com a regulamentação da atividade dosprovedores que controlam a identificação do infrator, bem como um maioraparelhamento das delegacias especializadas.Seguindo esse panorama, o governo brasileiro esta trabalhando paratipificar os crimes cometidos contra as informações. Conforme Aquino(2011):o governo está elaborando o marco civil para disciplinar a área de informática,cuja ideia, segundo o ministro [referindo-se ao ministro da Justiça, JoséEduardo Cardozo], é estudar os projetos que já tramitam no Legislativo e quepreveem a tipificação para ver se há a necessidade de aperfeiçoar a partecriminal.Enquanto novas formas de leis que visam proteger as informações einibir crimes como os que envolvem a Engenharia Social não sãoaprovadas, essa técnica mostra-se como um dos meios ilegais maisseguros e vantajosos para os criminosos obterem informaçõessecretas e, consequentemente, ganhos financeiros, pois seus crimessão de difícil diagnóstico, a punição aos responsáveis é muito difícil de
  20. 20. ocorrer e as vulnerabilidades humanas tornam os índices de sucessonos ataques muito altos.4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIASOCIAL4.1 Crimes de Difícil ApuraçãoA Engenharia Social é uma prática de roubo de informações difícil deser descoberta e mais difícil ainda de ser enquadrada como um crime.Essa difícil apuração dos delitos faz com a maioria das empresas nemdesconfiem que sofreram ataques dessa natureza contra suasinformações ou, na melhor das hipóteses, sabem que sofreram umprejuízo, mesmo que não o consigam quantificar, mas não sabemcomo esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que:Parece que não há estatísticas sobre os ataques da engenharia social e, sehouvesse, os números seriam muito pouco confiáveis. Na maior parte doscasos uma empresa nunca sabe quando um engenheiro social ―roubou‖ asinformações, de modo que muitos ataques não são notados nem relatados.Reforçando esse contexto, Diniz (2008) relata que:os possíveis prejuízos causados por ataques de Engenharia Social sãoincalculáveis devido às ameaças (pessoas) estarem presentes em quase todosos processos de uma empresa: Financeiros, Operacionais, Administrativos,etc…Quando as empresas descobrem que tiveram suas informaçõessigilosas expostas por ataques criminosos, na maioria das vezes, já ébastante tarde para alguma ação de defesa, elas então optam porocultar o corrido e não divulgam essas informações para as partescompetentes. Paschoal (2002) comenta que não se pode confiar muitonos números referentes a invasões de sistemas informáticos, issoporque as notificações são feitas pelos próprios invasores e asempresas atingidas, com temor de ter as próprias falhas de segurançaexpostas, evitam divulgar essas invasões sofridas.O conjunto desses fatores faz com que as estatísticas a respeito dosimpactos causados pela ação da Engenharia Social sejam distantesda realidade e os valores dos prejuízos provocados estejam muitoabaixo do que realmente são.Peixoto (2006) reforça esse difícil levantamento dos impactosprovocados por ataques contra as informações empresariais:31% [referindo-se as empresas brasileiras] não sabem dizer se sofreramataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% doscasos de ataque, as organizações não conseguiram detectar as causas e em85% dos casos não souberam quantificar o prejuízo.Apesar dessa dificuldade e dos dados não serem muito completos,existem inúmeros levantamentos dos prejuízos causados por crimescontra sistemas informáticos realizados por empresas sérias do ramoda segurança da informação e dentre esses levantamentos encontra-se informações sobre o Phishing, que, de conformidade com oexplanado no item 3.1 ―Principais Técnicas de Ataque da Engenharia
  21. 21. Social― é considerado uma técnica moderna de Engenharia Social. Énesses dados que os levantamentos a seguir serão apoiados.4.2 Números do PhishingComo uma tentativa de mensurar os impactos causados por essaprática, mesmo que ainda distante da realidade, serão abordados oscrimes relacionados com a prática do Phishing, pois, como sãodifundidos através da rede mundial de computadores, esses crimessão uns dos poucos entre o portfólio dos Engenheiros Sociais capazesde serem identificados e quantificados pelas empresas de segurançada informação.Segundo Ikeda (2011), o Phishing ocupa a terceira posição nosincidentes relacionados à segurança da informação no Brasil, com11% dos casos. As Invasões a perfis em redes sociais, com 19%,ficam em segundo lugar e os vírus de Computadores, com 68%,aparecem no topo da lista.Ikeda (2011) informa ainda as perdas financeiras causadas por essescrimes no período de um ano. O montante chega a US$ 388 bilhões, eno Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104bilhões). Sendo o Phishing responsável por 11% das ocorrências,pode-se estimar um prejuízo calculado aproximado de R$ 11,44Bilhões (11% de 104 Bilhões de Reais).Outra pesquisa, mas agora focada no Reino Unido e realizada pelaApacs (2006)10, entidade que pertence a Associação de Bancosdaquela região, aponta um aumento dos prejuízos causados peloPhishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo defraude tornou-se mais sofisticado e eficaz, fazendo com que osprejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ouseja, um aumento de 55%.Já o instituto Gartner (2005)11, respeitada instituição do ramo depesquisa e aconselhamento sobre tecnologia da informação, divulgouum relatório sobre os prejuízos estimados ocorridos devido aoPhishing nos Estados Unidos com cartões de crédito e débito.Conforme o relatório, os ataques de Phishing já causaram prejuízosestimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo aoperíodo de 2004 a 2005). O relatório é fruto de um estudo envolvendo500 clientes de bancos americanos. O instituto Gartner estima quecerca de três milhões de americanos perderam, cada um emmédia, mais de US$ 900 durante o último ano.Para termos uma ideia da expressividade dos números relatadosacima basta compará-los com os gastos com a segurança pública doestado de São Paulo, o estado mais rico do país. Segundo dados doSIGEO, levantados e divulgados por Junqueira (2012), temos:[...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaramR$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhãopara a Superintendência Técnico-Científica. Considerando-se a dotação
  22. 22. orçamentária total neste período, vê-se que, dos cerca de R$ 29 bilhões que apasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para aPM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$608 milhõesAo se analisar os números do Phishing, verifica-se que apenas em umano os prejuízos com esse golpe ultrapassaram os 11 bilhões dereais, isso somente no Brasil. Esse montante é muito superior ao queo estado de São Paulo gasta com sua rede de polícias (civil, militar ecientífica). Isso nos mostra a real ameaça que são os crimes deEngenharia Social e os grandes prejuízos financeiros que elesprovocam.Uma única modalidade dessa arte criminosa e, ainda por cima, longede ter seus números levantados de forma exata e precisa e sempreabaixo do que realmente são, demonstra o incrível potencial dessatécnica como um todo, alertando para as empresas a importância queelas devem dispor aos seus sistemas contra fraudes e mostrandotambém que suas políticas de segurança devem ser revistas eadaptadas aos ataques dessa natureza.5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES5.1 Políticas de Segurança da Informação e Sua ImportânciaFace às inúmeras ameaças existentes contras as informações, torna-se indispensável para as empresas à implantação de um modeloeficiente de Política de Segurança da Informação. Silva, V. (2012b)ressalta que essas políticas são de extrema importância para evitarque os ataques contra as informações, de qualquer natureza e nãosomente os oriundos de Engenharia Social, consigam êxito em suaempreitada contra as empresas.Esse importantíssimo aspecto do escopo de segurança dasorganizações é definido por LAUREANO (2005, apud DIAS, 2000)como:um mecanismo preventivo de proteção dos dados e processos importantes deuma organização que define um padrão de segurança a ser seguido pelo corpotécnico e gerencial e pelos usuários, internos ou externos. Pode ser usada paradefinir as interfaces entre usuários, fornecedores e parceiros e para medir aqualidade e a segurança dos sistemas atuais.As Políticas de Segurança são um escopo de como as informaçõesdevem ser protegidas dentro do âmbito da organização, ou seja, ummanual sobre os procedimentos em vigor para aquela organizaçãoespecífica. Por esse motivo, são documentos que variam muito deinstituição para instituição e sua aplicação e métodos são muitodistintos.D’Andrea (2004) ainda reforça que:o valor e a efetividade da segurança da informação serão alcançados à medidaque as organizações façam o planejamento, o desenho e a gestão dasegurança considerando seus objetivos corporativos e de negócios.
  23. 23. Para as empresas conseguirem essa efetividade para com asegurança de suas informações elas necessitam tratar essa questãocom um maior profissionalismo, implantando uma Política deSegurança bem definida, que estipule normas e procedimentos aserem seguidos por todos dentro da organização. Essas normasprecisam ainda estar em acordo com os objetivos empresarias daempresa.Um problema comum encontrado nas Políticas de Segurança em vigoré que elas privilegiam por demais os aspectos técnicos dos sistemascomputacionais e esquecem o fator humano. Popper e Brignoli (2002)enfatizam que a maior parte das empresas não aloca seus recursosfinanceiros de uma forma equilibrada, elas preferem investir namanutenção de sistemas e em novas tecnologias e se esquecem dedirecionar esses investimentos para combater a Engenharia Social.Essa brecha nas Políticas de Segurança pode ser explorada pelosEngenheiros Sociais, tornando todo o esquema de segurança dasempresas falho, pois, conforme salienta Peixoto (2006): ―[...] asegurança das informações deve ser comparada a uma corrente, emque o elo mais fraco representa exatamente o nível de resistência eproteção‖.Para que essas políticas sejam realmente seguras, bem balanceadase consigam lidar com as diferentes ameaças contra as informações, érecomendável que elas sejam elaboradas, com relação ao Brasil,seguindo os princípios da norma NBR ISO/IEC 27002/2005, normabrasileira referência para gestão da segurança da informação. Sêmola(2003), além de reforçar a necessidade da adoção dessa norma comoreferência, ainda lembra que as organizações que possuem umapolítica já definida deverão revê-las em conformidade também com aISO1779912. Em geral essas normas estão embasadas nas leisvigentes no país, garantindo, com isso, que as empresas não tenhamproblemas com a legislação a que são subordinadas.Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pelaABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo,a partir desse momento, essa normal a principal referência em boaspráticas para a gestão da segurança da informação no Brasil (NBRISO/IEC 27002, 2005).Em vista do que foi exposto, fica evidenciado que para tratar as suasinformações de forma segura, as empresas necessitam, primeiro,implantar uma Política de Segurança da Informação respaldada poruma norma que trate do assunto e esteja em acordo com a legislaçãovigente do país onde resida, segundo, essa política deve estar focadanos interesses da empresa e, terceiro, ela deve se preocupar tantocom os aparatos tecnológicos como com os ativos humanos.Um último ponto a ser abordado sobre as Políticas de Segurança daInformação é que esta deve ser amplamente divulgada dentro do
  24. 24. ambiente empresarial e serem de fácil entendimento para as partesenvolvidas, conforme comentado por Silva, V. (2012b):o grande problema enfrentado é que muitas políticas não são divulgadas, nãosão confeccionadas utilizando termos de fácil entendimento, algumas possuempalavras muito técnicas e, em meio a todas essas adversidades, a empresanão realiza ações para conscientizar e educar seus colaboradores quanto àimportância de preservar a informação da empresa.Essa boa divulgação das informações sobre as Políticas deSegurança vigentes garantem um maior comprometimento por partedos funcionários com as questões de segurança, assegurando comisso uma maior eficiência dessas políticas.5.2 Sucesso da Política de Segurança da InformaçãoUm sistema de segurança da Informação precisa atender um grandenúmero de variáveis para que venha a ser executado com sucesso.Esse sistema não pode se ater apenas a forma como as informaçõesserão tratadas ou armazenadas, se elas estarão disponíveis e integrasou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002(2005), para que um sistema de Segurança da Informação possa serimplantado com sucesso, os seguintes aspectos precisam sercolocados em prática:Política de Segurança que reflita os interesses do negócio;Uma abordagem consistente com a cultura organizacional;Comprometimento e apoio de todos os níveis gerenciais;Um bom entendimento dos requisitos da segurança da informação;Divulgação das normas de segurança para todos que fazem parte doescopo organizacional da empresa (funcionários, colaboradores,parceiros, entre outros);Provisão de recursos financeiros para as atividades de segurança;Estabelecimento de um processo eficiente de gestão de incidentes dasegurança da informação;Implementação de um sistema de avaliação e melhoria do sistema desegurança da informação.Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002(2005) são bastante sucintos e genéricos, deixando a cargo daempresa escolher os procedimentos que melhor se adequarão a suaestrutura organizacional. Estes itens estão mais relacionados com amaneira como o sistema será implantado, seu alinhamento com osnegócios da empresa, provisão de recursos financeiros para que omesmo se realize e posterior avaliação desses sistemas.Os primeiros pontos, referentes ao alinhamento do sistema desegurança aos interesses de negócio da organização e sua cultura,apoio dos níveis gerencias e provisão de recursos, são essenciaispara que o plano traçado consiga sair do papel, ser colocado emprática, ter seu desenvolvimento garantido financeiramente e seja
  25. 25. apoiado posteriormente pela administração da empresa. Conformeexplicado por Silva P., Carvalho e Torres (2003):A Administração da empresa é quem define a estratégia do negócio e queescolhe as iniciativas a realizar para a sua implementação. Desta forma, é aeste corpo administrativo que compete decidir ao mais alto nível as atividadesque se irão realizar na empresa, sendo a função do responsável pelasegurança dotar a Administração da informação necessária para que estapossa optar.Esses aspectos são conseguidos através da sinergia de todos ossetores administrativos que compõe a organização, que devem tersuas expectativas expostas, discutidas e possam ser alinhadas com ointeresse geral dos negócios da corporação. Também se faznecessário que a instituição, através de seu responsável pelasegurança da informação, tenha um bom conhecimento sobre asquestões de segurança e como aplicá-las em uma Política deSegurança da Informação.Outro traço importante da Política é a sua divulgação para todos osfuncionários e colaboradores da organização. Mitnick e Simon (2003)defendem que o principal objetivo da divulgação de um modelo desegurança da informação é o de ―influenciar as pessoas para quemudem seu comportamento e suas atitudes motivando cadaempregado a querer entrar no programa e fazer a sua parte paraproteger os ativos de informações da organização‖. Com osfuncionários empenhados em seguir os procedimentos de segurançacorretamente as chances de sucesso são aumentadasconsideravelmente.Além da divulgação da Política de Segurança, se faz necessário umtreinamento bem elaborado acompanhado de constantes programasde reciclagem em segurança para que os funcionários estejam aptos alidar com diferentes tipos de ameaças, principalmente as relacionadascom a Engenharia Social.Finalizando os fatores que proporcionam sucesso ao Sistema deSegurança está um esquema de avaliação do mesmo, que gereinformações para que melhorias possam ser implantadas no decorrerdo tempo.É evidente que as questões técnicas de como proteger as informaçõessão o objeto central de um Sistema de Segurança da Informação eseu maior fator de sucesso. Porem, sem a devida atenção aosinteresses da empresa, sua diretoria e funcionários, dificilmente esseplano consiga ser consolidado, mesmo ele tendo seus aspectostécnicos muito bem estruturados.Por esse motivo se justifica a atenção aos quesitos apresentados,como forma de garantir que o Programa de Segurança seja realmenteeficiente para a organização e consiga ser implantado com sucesso.5.3 O Responsável pela Política de Segurança da Informação
  26. 26. Para iniciar o desenvolvimento de uma Política de Segurança daInformação faz-se necessário definir o responsável ou osresponsáveis pela sua confecção, implantação, monitoramento epossíveis ajustes que se façam necessários. Os materiais que sãoreferencias para as questões de segurança da informação e paraelaboração das suas políticas não especificam quem exatamente éesse responsável/responsáveis, deixando essa decisão a cargo daprópria empresa, mas dão algumas dicas das características que esseprofissional deve possuir.Conforme estipulado pela NBR ISO/IEC 27002 (2005), a Política deSegurança da Informação deve ―prover uma orientação e apoio dadireção para a segurança da informação de acordo com os requisitosdo negócio e com as leis e regulamentações pertinentes‖. Percebe-seai que esse profissional necessita então conhecer a estrutura daempresa em questão, para poder alinhar as Políticas de Segurançacom as necessidades de negócio da corporação, e necessita conhecertambém a regulamentação e leis vigentes, a fim de ter respaldojurídico para as determinações da política que será implantada.Silva, P., Tavares e Torres (2003) também trazem a tona algumasinformações pertinentes. Segundo eles, a administração da empresaem conjunto com os agentes por ela nomeados, são os responsáveispela informação usada na instituição, na sua relação com os clientes ena produção e comercialização dos seus bens, portanto é essaadministração que decide o que irá ser feito com a informação. Silva,P., Tavares e Torres (2003) ainda reforçam que essa postura daadministração tem, invariavelmente, repercussões na segurança e―esta se encontra dependente tanto das suas decisões nesta matéria,como do comportamento, mais ou menos seguro, dos utilizadores‖.Apresentado esses pontos e antes que se possa definir o responsávelpelas políticas de segurança da empresa que se encaixe nasinformações disponibilizadas, faz-se necessário explanar quais oscargos existentes atualmente ligados à Segurança das Informaçõesque podem assumir tal tarefa. Dentre estes, encontram-se dois quemerecem especial atenção: o Analista de Segurança da Informação eo CSO ou CISO. Henrique (2011) define assim ambas as funções:o CSO é um cargo exclusivamente executivo, voltado para a aplicação dasegurança da informação, suas normas, melhores práticas e experiência denegócio. E quanto ao Analista de Segurança, além de estar envolvido em todosos processos referentes à S.I., ele municia o CSO justamente com resultados einformações diretamente das aplicações de práticas visando a segurança.Ainda é essencial informar que, segundo Brenner (2009), a maioriadas empresas que possuem profissionais voltados para a gerência daárea de TI ainda repassam todas as tarefas dessa área, incluindo asegurança da informação, ao CIO, que, a princípio, é o responsável
  27. 27. pela área de TI da empresa como um todo e pode não possuir umaformação específica para a segurança da informação.Com base nas informações coletadas pode-se concluir então que aempresa deve possuir um profissional específico para ser responsávelpela sua Política de Segurança da Informação e é recomendável queesse profissional faça parte de seu quadro de funcionários, a fim deestar integrado com as necessidades de negócio da organização.Esse profissional deve possuir um bom relacionamento com a altagerência e com todos os outros funcionários e ser conhecedor dasnormas e leis vigentes.Portanto o indicado é que esse profissional seja um CSO ou CISO etenha a assessoria de um CIO, para que este possa ajudar nasincronização das normas de segurança com os interessesempresariais e ser o elo com as demais áreas gerenciais, e, sepossível for e a empresa conseguir arcar com os custos, o apoio aindade um Analista de Segurança da Informação.5.4 Desenvolvendo uma Política de Segurança da InformaçãoNo desenrolar desse capítulo, algumas colocações se apresentarãoum tanto redundantes, fato esse que se faz necessário, visto que todoo conteúdo exposto até o momento culmina com o desenvolvimentode uma Política de Segurança sólida e que abranja todas asnecessidades de segurança que as informações possuem.Por não se preocupar com todos os aspectos relacionados com asegurança de uma instituição, como a segurança do perímetro doestabelecimento, segurança de valores monetários, uso de câmerasde monitoramento, uso de vigilantes, etc., a ―política de segurança dainformação pode ser parte de um documento de política geral‖ (NBRISO/IEC 27002, 2005). Esse documento, mais geral e abrangente,torna-se necessário a fim de que possa ser contemplada a segurançada empresa como um todo e nele devera então ter contido umaPolítica de Segurança volta especificamente para a proteção dasInformações.Ainda com base na NBR ISO/IEC 27002 (2005), verifica-se que ―se apolítica de segurança da informação for distribuída fora daorganização, convém que sejam tomados cuidados para não revelarinformações sensíveis‖. Esses cuidados garantem uma atenção cominformações que serão repassados a terceiros, como prestadores deserviços, parceiros e clientes da instituição.Tomados esses cuidados, a organização que deseja implantar aPolítica de Segurança da Informação deverá indicar um responsávelpela tarefa, que, conforme já apresentado, deverá ser um CSO ouCISO. Esse responsável deverá elaborar a política em questão deuma forma que esta esteja totalmente documentada e se atentar paraque, de acordo com a NBR ISO/IEC 27002 (2005), esse documentoreflita o comprometimento da direção da empresa e estabeleça o
  28. 28. enfoque da organização para gerenciar a informação. Outro aspecto aser ressaltado, e que é reforçado pela NBR ISO/IEC 27002 (2005), éque a Política de Segurança da Informação deverá ser ―comunicadaatravés de toda a organização para os usuários de forma que sejarelevante, acessível e compreensível para o leitor em foco‖. (NBRISO/IEC 27002, 2005).Com relação à forma com que a Política deve ser conduzida, Silva, P.,Tavares e Torres (2003), salientam que ―as regras contidas nestedocumento devem ser suficientemente genéricas para nãonecessitarem de revisão‖. Isso garante que a política não fiquedefasada demasiado cedo e não necessite ser alterada comfrequência, como, por exemplo, por motivos de inovaçõestecnológicas.Passando para um âmbito mais concreto da Política de Segurança daInformação, Laureano (2005) defende que elas devem abranger osseguintes conteúdos:O que estamos protegendo: aqui se define as informações sensíveispara a empresa e quais os níveis de segurança elas deverão possuir.Isso significa agrupar as informações em grupo de prioridades;Métodos de proteção: onde se decide como essas informações serãoprotegidas;Responsabilidades: onde são estipulados os privilégios de acesso àsinformações para os usuários;Uso adequado: escopo de como os usuários deverão usar os recursosde redes;Consequências: esclarecimento sobre as consequências que umaquebra de segurança trará pra a empresa;Penalidades – as penas a que estarão sujeitos os infratores dosprocedimentos descritos na Política de Segurança da Informação.Essas questões auxiliam a direcionar a Política de Segurança esegregar melhor os recursos disponíveis, pois ao se limitar asinformações que deveram ser mantidas em sigilo pode-se definirmelhor uma estratégia para sua proteção e dar-lhe um foco maisdirecionado. Isso vai de encontro ao definido na classificação dasinformações, que objetivam justamente definir quais informaçõesnecessitam proteção e qual o grau dessa proteção, resultando numadefinição de métodos de proteção mais eficazes. Ao se definirresponsabilidades, mostrar as consequências e informar aspenalidades, consegue-se um maior controle sobre os usuários eembasamento para punições, caso seja necessário.Agora, para a definição eficiente do que deve ser protegido e métodosde proteção a serem adotados, faz-se necessário uma Analise deRisco sobre as Informações da organização. Conforme Silva, P.,Tavares e Torres (2003), a Análise de Risco se faz necessário paraque a Administração consiga formalizar um conjunto equilibrado e
  29. 29. completo de objetivos para a Segurança da Informação. Esseprocedimento deixa claro para a organização a quais riscos suasinformações estão expostas, a forma como mitigá-los e qual o tempopara recuperação de cada grupo de informação já previamenteclassificado. Por esse motivo, reforça-se mais uma vez a importânciade uma clara classificação das Informações em poder da empresa.Com essas definições claras e os riscos calculados, a Política deSegurança ganha já uma forma próxima da realidade e seusprocedimentos já possuem uma base para serem definidos.A norma brasileira NBR ISO/IEC 27002 (2005) também especificapontos a serem contidos nas Políticas de Segurança que vão deencontro com o ressaltado por Laureano (2005). Segundo ela, osdocumentos das políticas devem conter declarações relativas aosseguintes aspectos:Uma definição da Segurança da Informação, suas metas globais,escopo e importância da segurança da informação para ocompartilhamento da informação;Uma declaração da direção apoiando essa Política e se submetendo aela;Uma estrutura para estabelecer os objetivos de controle e controles;Explanação das políticas, princípios, normas e requisitos deconformidade da segurança da informação específicos para aorganização;Definição das responsabilidades gerais e especificas pela segurançada informação e registro de incidentes de segurança da informação;Referência a documentação que possa apoiar as políticas, como, porexemplo: regras de segurança que os usuários devam seguir;Esses pontos abrangem, de uma forma ampla e genérica, osprincipais aspectos que devem ser considerados para que asInformações empresariais possam ser tratadas de uma forma segura.Mas para garantir que a Política esteja consistente e possíveis novasfalhas possam ser descobertas, a NBR ISO/IEC 27002 (2005)recomenda ainda que a Política de Segurança da Informação sejacriteriosamente analisada em períodos de tempo regulares,planejados ou quando ocorrerem mudanças significativas. Issoassegura a ―sua contínua pertinência, adequação e eficácia‖ (NBRISO/IEC 27002, 2005).Para finalizar, a NBR ISO/IEC 27002 (2005) estabelece o uso decontroles, que são as formas pelas quais os objetivos estipuladospelos procedimentos da Política serão alcançados, ou seja, a formacomo os riscos serão tratados, qual o nível de proteção será aplicadoa determinado grupo de informações e qual a indisponibilidadeaceitável para cada grupo.Sendo a Política de Segurança da Informação um documento bastantegenérico e universal, que especifica quais os pontos a serem
  30. 30. verificados quanto à segurança das informações e como esta deve sertratada dentro da organização, mas não esclarecendo como isso deveser feito, cada empresa devera implantar procedimentos de acordocom sua realidade e estabelecer os controles que melhor lhe convémcom base nas informações fornecidas principalmente pela NBRISO/IEC 27002 (2005) sobre boas práticas de segurança dainformação.Uma política mais especifica e direcionada principalmente para aquestão da Engenharia Social será dada a seguir.6. SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIASOCIAL6.1 Segurança da Informação Focada na Engenharia SocialComo o norte do presente trabalho é a Engenharia Social, suasimplicações e formas de combatê-la, torna-se necessário aapresentação de um Programa de Segurança da Informação que sepreocupe com essa técnica criminosa e consiga eliminar, ou pelomenos reduzir, os impactos por ela causados nas organizações.O termo Programa de Segurança da Informação será adotado a partirdaqui, pois ele define algo que excede os limites das Políticas deSegurança da Informação, carregando consigo um contexto maisabrangente e levantando outros aspectos primordiais para asegurança das organizações, como um conjunto de treinamentos econscientização dos funcionários, tornando o combate aos ataques deEngenharia Social mais eficaz, visto que, de acordo com omencionado por Mitnick e Simon (2003):o único meio verdadeiramente efetivo de amenizar a ameaça da EngenhariaSocial é usar a conscientização para a segurança combinada a políticas desegurança que definem as principais regras para o comportamento doempregado, junto com sua educação e treinamento.Portanto, a constante conscientização dos funcionários se apresentapara os autores como a principal arma na luta contra a EngenhariaSocial e deve ser incluída obrigatoriamente nos Programas deSegurança da Informação.Só existe uma maneira de manter seguros os seus planos de produto: ter umaforça de trabalho treinada e consciente. Isso envolve o treinamento naspolíticas e procedimentos, mas também — e provavelmente mais importante —um programa constante de conscientização. Algumas autoridades recomendamque 40% do orçamento geral para segurança da empresa seja aplicado notreinamento da conscientização. (MITNICK E SIMON, 2003).Sendo essas ferramentas, a constante conscientização e treinamentodos funcionários, as mais eficazes no combate à Engenharia Social,devem, pois, estarem sob o respaldo da Política de Segurança deInformação da Instituição e necessitam contemplar os pontosreferentes às vulnerabilidades dos funcionários, quem são explorados
  31. 31. pelos Engenheiros Sociais, e as técnicas de ataque dessescriminosos.Um escopo desses pontos vulneráveis da personalidade humana edas formas de ataques utilizadas pelos Engenheiros Sociais já foramapresentados anteriormente13, mas, para reforçar a sua importânciaem um Programa de Segurança da Informação voltado contra astécnicas de Engenharia Social, serão revistos em formas de tópicos,pois, como já dito, suas peculiaridades já foram discutidos emoportunidade anterior.Conforme explicado por Mitnick e Simon (2003), os principais pontosvulneráveis da personalidade humana e explorados pelos EngenheirosSociais são:O respeito à autoridade;A afabilidade;A reciprocidade;A consistência;Validação social;Escassez;Peixoto (2006) ainda destaca outros dois pontos importantes: a faltade interesse ou desatenção para com as informações que sãodisponibilizadas a terceiros por parte dos funcionários das empresas ea falta de treinamento adequado em práticas de segurança dainformação por parte desses funcionários.Com relação às técnicas de ataques, Peixoto (2006) lista os seguintesitens:Telefonemas;Fakemail;Chats de internet;Fax;Mergulho no lixo;Surfar sobre os ombros ePessoalmente.Outra forma de Engenharia Social que deve ser incorporada a essalista é o Phishing, uma moderna forma de Engenharia Social quecausa enormes prejuízos para as organizações segundo a empresaSymantec14.Deste modo, um Programa de Segurança da Informação que sejaeficaz contra os golpes de Engenharia social deve abordarnecessariamente os pontos ressaltados acima e incluir esses aspectospertinentes aos ataques – as vulnerabilidades humanas e as formasde ataques – nos assuntos que tangem tanto aos métodos deproteção quanto ao treinamento dos funcionários.O escopo de itens importantes a serem ressaltados nos treinamentosde conscientização dos funcionários ainda deve compreender formasde se checar a informação passada por terceiros no momento de
  32. 32. disponibilizar dados importantes. Para Peixoto (2006), ―a checagem dainformação é no mínimo necessária para qualquer corporação quepriva a segurança de seus clientes como de si própria‖. Essachecagem deve tornar-se um padrão e ocorrer sempre que umasolicitação de informação ou pedido para que uma ação seja tomadafora dos padrões estipulados seja requerida.Em Mitnick e Simon (2006) temos ainda que as empresas devem criarseu próprio procedimento de verificação de identidades e deautorizações de indivíduos que peçam informações ou ações e esseprocesso dependera da confidencialidade das informações/açõessolicitadas.O trato adequado do lixo dispensado pela empresa é mias um pontoque merece atenção. Peixoto (2006) reforça esses cuidados e lembraque o zelo serve para o lixo digital também. Para ele, essas sobrasempresariais contem informações muito valiosas para um EngenheiroSocial e seu descarte deve ser cercado por cuidados, como, porexemplo, separar o lixo que possa conter essas informações e picotá-lo ou quebrá-lo antes de despachá-lo. (PEIXOTO, 2006).Um último ponto de atenção a ser relatado é com relação aosfuncionários demitidos. Veríssimo (2002) comenta que uma atençãoespecial deve ser disponibilizada a eles, principalmente os que saíramdescontentes com a empresa e salienta que as informações sobre aorganização que esses funcionários possuem não podem sersimplesmente anuladas de uma hora para outra. Por esse motivoessa questão deve ser bem pensada no Programa de Segurança daInformação.Se o Programa de Segurança da Informação conseguir incorporar osaspectos mencionados, ele será uma barreira valiosa na luta dacorporação contra as investidas dos Engenheiros Sociais. Entretanto,Mitnick e Simon (2003) vão ainda um pouco mais adiante na questãodas táticas de treinamento e conscientização dos funcionários eenfatizam que estes precisam estar comprometidos com a segurançada informação enquanto funcionários de uma instituição erecomendam que um método ativo e bem divulgado de recompensaaos funcionários que se empenharem no cumprimento do Programade Segurança seja criado.Esses treinamentos devem contemplar também processos dereciclagem, onde novos exercícios para reforçar a questão dasegurança devem ser efetuados de tempos em tempos, Mitnick eSimon (2003) estipulam que esses cursos de reciclagem sejamrealizados no máximo a cada 12 meses.Após toda essa atenção na confecção e implantação dos Programasde Segurança é importante que mecanismos de controle e melhoriassejam realizados no seu decorrer, garantindo que o programa estejasempre evoluindo e melhorando com seus erros.
  33. 33. Esses controles, segundo Fonseca (2009), são compostos por testesde penetração e avaliação de vulnerabilidade realizados com táticasde Engenharia Social e tem o intuito de mostrar os pontos falhos dotreinamento ou a falta de cumprimento das políticas de segurança daorganização. Fonseca (2009) ainda lembra que ―antes de usarqualquer tática de teste de penetração simulado, os empregadosdevem ser avisados de que tais testes podem ocorrer de tempos emtempos‖.Agregando esses aspectos mencionados dentro de um Programa deSegurança da Informação têm-se a certeza que este será umaferramenta de grande valia para a organização garantir a segurançade suas informações contra os ataques de Engenharia Social.Completando os processos para assegurar a segurança dasinformações e, consequentemente, a continuidade dos negócios daempresa, após o desenvolvimento, implantação e acompanhamentodo Programa de Segurança da Informação dentro da organização, faz-se necessária a criação de um Plano de Continuidade do Negócio.7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE7.1 PCN – Plano de Continuidade do NegócioTodos os esforços desempenhados até o momento para garantir apreservação das informações empresariais demonstram a importânciadestas para a vida das corporações e demonstram também que elasnão podem de maneira alguma tornar-se inacessíveis, pois, conformedefendido por Laureano (2005), vivemos num mundo disputado denegócios e as empresas não podem ficar indisponíveis para seusclientes.Essas possíveis indisponibilidades são ocasionadas por ameaças queexploram as vulnerabilidades existentes no ambiente da corporação epodem afetar tanto a sua estrutura física, com seus prédios econstruções, seu parque de equipamentos, que podem serrelacionados com a TI ou não, e as informações. Como o acesso asinformações dependem de toda uma infraestrutura, comodisponibilidade de energia elétrica, links de acesso, cabeamento ecomputadores, entre outros, o restabelecimento desses meios éessencial para o acesso à informação e, consequentemente, para oretorno das atividades da corporação.As Políticas de Segurança da Informação15tem o objetivo de erradicaressas ameaças ou ao menos amenizá-las a um nível aceitável,impedindo que elas se tornem um desastre. Acontece, porém, quecertas ameaças/desastres são impossíveis de serem tratados ouamenizados, como, por exemplo, a queda de um avião ou umaenchente na área da empresa, e mesmo as que podem seramenizadas, às vezes fogem ao controle e causam grandes prejuízosao quadro tecnológico. Laureano (2005) lembra também que esseconceito de desastre, que era ligado às ocorrências geradas por
  34. 34. fatores naturais, evoluiu bastante e vem sendo substituído peloconceito de evento, que ―é a concretização de uma ameaçapreviamente identificada, podendo ser seguido ou não de umdesastre‖. (LAUREANO, 2005).O PCN (Plano de Continuidade do Negócio) trata então do combate aessas indisponibilidades e se constitui de um documento bem amplo,contendo práticas que objetivam ―não permitir a interrupção dasatividades do negócio e proteger os processos críticos contra efeitosde falhas ou desastres significativos e assegurar sua retomada emtempo hábil, se for o caso‖. (NBR ISO/IEC 27002, 2005).De acordo com o BicBanco (2008)16e Laureano (2005) o PCN deveser subdividido em três módulos complementares:Plano de Administração de Crise – Este plano tem como meta definircomo será o trabalho das equipes responsáveis pelo acionamento dacontingência em qualquer momento do incidente, ou seja, antes,durante ou depois deste e os métodos que devem ser cumpridos poressa equipe no retorno a normalidade;Plano de Continuidade Operacional – Objetiva definir osprocedimentos para controle dos mecanismos que suportam cadaetapa de negócio, visando diminuir a indisponibilidade e os prejuízospotenciais ao negócio;Plano de Recuperação de Desastres – Define um plano derecuperação para a restauração das funcionalidades dos mecanismosafetados que suportam os sistemas do negócio, a fim de restabelecero ambiente e as condições originais de operação.Essa divisão objetiva segmentar o PCN, enquadrando cada momentoem um estágio diferente, facilitando a divisão de responsabilidades eas medidas a serem tomadas em cada caso e são a base para oentendimento dos processos envolvidos na continuidade do negócio epara o planejamento e implantação de um PCN bem estruturado eefetivo.7.2 Elaboração Do PCNPara início do planejamento do PCN faz-se necessário definir oresponsável por sua elaboração. Fagundes (2004) ressalta que aresponsabilidade desta tarefa deve ser distribuída entre toda aorganização e não ser responsabilidade apenas da área deprocessamento de dados e salienta ainda que ―para se atingir umplanejamento eficaz é necessário que o pessoal sênior de sistemas deinformação e das áreas de negócios esteja envolvido durante todo oprojeto para o beneficio da organização‖. (FAGUNDES, 2004).Portanto a tarefa de se pensar o PCN deve ser realizada pelosresponsáveis pela área tecnológica da empresa, geralmenterepresentada pelo CIO, em conjunto com o restante do seu corpogerencial, pois, ao se construir essa empreitada em conjunto, tem-se ocomprometimento de toda a organização com o que ficou estipulado e
  35. 35. consegue-se também garantir que nem uma área de atividade fiquedescoberta em caso de desastre.A parte responsável pela elaboração do PCN seleciona então, entreos funcionários da empresa, os agentes que atuarão efetivamente noPlano, definindo suas funções e responsabilidades. Essa nomeaçãopode ser postergada para uma fase posterior, visto que as ações aserem tomadas face ao desastre podem ainda não terem sidoestipuladas.Com relação à escolha dos funcionários que farão parte da equipe decontinuidade do negócio, a NBR ISO/IEC 27002(2005) recomenda queo PCN contenha uma ―designação das responsabilidades individuais,descrevendo quem é responsável pela execução de que item doplano‖ e reforça a necessidade de suplentes serem definidos quandonecessário. (NBR ISO/IEC 27002, 2005).Tendo as partes envolvidas no PCN já identificadas, a Norma NBRISO/IEC 27002 (2005) aconselha ―identificar os eventos que podemcausar interrupção aos processos do negócio, junto à probabilidade eimpacto de tais interrupções e as consequências para a segurança dainformação‖. Esses eventos precisam então ser mapeados edocumentados para poderem ser incluídos no escopo do Plano, a fimde se conseguir uma cobertura dos prejuízos por eles causados, sob orisco de: ―se não houver Planejamento para Segurança e Contingênciaadequados, alguns ou até todos requisitos estarão ameaçados e,consequentemente, a empresa ameaçada‖. (LAUREANO, 2005).A tarefa de avaliação e classificação dos eventos que podem afetar asoperações da organização deve ser analisada com cautela e serpensada mediante os riscos que podem acometer a organização deuma maneira geral e suas informações em particular e qual a realnecessidade de recuperação dessa informação. Lembrando quequanto mais crítica a informação, maior deve ser o nível de agilidadeem sua recuperação e maior será o investimento para tal façanha. Otratamento e mitigação desses riscos e a forma como realizar essecombate ao desastre é algo peculiar a cada organização, cabendo aseus responsáveis decidirem as melhores práticas a serem tomadas,com vistas às necessidades da empresa.O importante é ter o conhecimento dos riscos a que a empresa estasujeita e como elaborar uma estratégia de restauração das atividadescaso esses riscos se concretizem.7.2.1 Estratégias de ContingênciaApós a avaliação dos eventos, Silva, P., Carvalho e Torres (2003)orientam que é preciso pensar nas tarefas a serem executadas pararecuperação das atividades da corporação, os meios necessários e omodo de realização dessas atividades. Para a definição das tarefas éessencial que se defina as estratégias de contingencia que a empresanecessita. Essas estratégias objetivam definir o grau de criticidade que
  36. 36. a empresa deseja, onde cada grau representa um menor tempo deresposta e um custo mais elevado, e podem ser dividas por áreasdentro da própria empresa, onde cada uma delas pode possuir umaestratégia diferente, conforme suas necessidades.De acordo com Laureano (2005), essas estratégias podem ser assimclassificadas:Estratégia de Contingência Host-site: é a contingência de nível maiscrítico, onde as aplicações necessitam de alta prioridade e seu tempode resposta é imediato; como acesso ao banco de dados, porexemplo;Estratégia de Contingência Warm-site: aplicada em processos ondesua paralisação possui uma maior tolerância, podendo ficarindisponível por algum período de tempo, até o retorno operacional daatividade, como o correio eletrônico, que apesar de ser importante,não se caracteriza como uma aplicação vital para o funcionamento daorganização;Estratégia de Contingência Cold-site: esta propõe uma alternativa decontingência a partir de um ambiente com os recursos mínimos deinfraestrutura e telecomunicações, desprovido de recursos deprocessamento de dados. Portanto, aplicável à situação comtolerância de indisponibilidade ainda maior que a Warm-site;Estratégia de Contingência de Realocação de Operação; estaestratégia objetiva desviar a atividade atingida para outro ambientefísico, equipamento ou link, pertencentes à mesma empresa. Para talfaçanha a empresa deve possuir recursos suficientes que possam seralocados em situações de crise;Estratégia de Contingência Bureau de Serviços: Considera apossibilidade de transferir a operacionalização da atividade atingidapara um ambiente terceirizado; portanto, fora dos domínios daempresa;Estratégia de Contingência Acordo de Reciprocidade: é recomendadaem atividades que demandariam um grau de investimento paracontingência inviável ou incompatível com a importância da mesma.Ela propõe um acordo mutuo de reciprocidade com empresas comcaracterísticas físicas, tecnológicas ou humanas semelhantes eigualmente dispostas a possuir uma alternativa de continuidadeoperacional, onde as empresas definem os procedimentos decompartilhamento de recursos para alocar a atividade atingida noambiente da outra em caso de desastres;Estratégia de Contingência Autossuficiência: é quando a empresadecide que seus sistemas são autossuficientes e não dependentes defatores externos. Isso pode ocorrer quando a organização não possuirecursos para implementar uma das estratégias anteriores ou a suaimplantação não se justifica pelo nível operacional que a empresapossui;
  37. 37. A empresa deve definir o grau de prioridade que seus sistemasnecessitam e se o custo para manter essa prioridade é justificável.Feito essa analisa ela decide então qual estratégia ira adotar,lembrando que essa estratégia pode ser segmentada por setoresdentro da corporação.Laureano (2005) reforça ainda que os PCNs devem ser‖desenvolvidos para cada ameaça considerada em cada um dosprocessos do negócio pertencentes ao escopo, definindo em detalhesos procedimentos a serem executados em estado de contingência‖.Esse ponto destaca a importância de se customizar o PCN, definindouma forma de recuperação coerente para cada ameaça e para cadanível de processo do negócio, garantindo uma alocação mais eficazdos recursos disponíveis e um melhor aproveitamento daspotencialidades que o PCN oferece.Essas estratégias de contingência definem o PCN em si e são amaneira como a empresa enfrentará o desastre. Dentro de cadaestratégia a empresa define então como realizara os processos derecuperação de acordo com seus interesses.7.3 Avaliando o PCNFinalizando as etapas de elaboração do PCN temos a faze deAvaliação ou Teste. Para a NBR ISO/IEC 27002 (2005) é convenienteà inclusão desta etapa para que o plano seja testado e atualizadoregularmente, a fim de se garantir sua constante atualização eefetividade. Essa atualização se faz necessário vista as mudançasque podem ocorrer na estrutura da organização, tanto física comológica, exigindo que o programa se adeque as novas exigências dosprocessos. Outro ponto bem reforçado pela NBR ISO/IEC 27002(2005) é a preocupação com a efetividade do PCN, pois muitosproblemas podem ocorrer no momento de empregá-lo se essescuidados não forem tomados, colocando todo o trabalho a elededicado em risco e, consequentemente, toda a empresa também.A fase de Avaliação e Testes serve ainda para garantir que osenvolvidos no processo de continuidade do negócio estejam cientesde suas obrigações e saibam o que fazer no momento que foremacionados. A NBR ISO/IEC 27002 (2005) ratifica essa importância,tratando assim o assunto:Convém que os testes do plano de continuidade do negócio assegurem quetodos os membros da equipe de recuperação e outras pessoas relevantesestejam conscientes dos planos e de suas responsabilidades para acontinuidade do negócio e a segurança da informação, e conheçam suasatividades quando um plano for acionado.E ainda continuando com o que estabelece a NBR ISO/IEC 27002(2005) é relevante que o planejamento e a programação dos testes doPCN ―indiquem como e quando cada elemento do plano seja testado‖e ―os componentes isolados do(s) plano(s) sejam frequentemente
  38. 38. testados‖. Tendo um controle sobre a aplicação dos testes eaplicando-os separadamente, em cada componente, consegue-se ummaior detalhamento dos resultados, conseguindo, com isso, umamelhor mensuração da eficiência do Plano e caso seja necessárioajustes, estes poderão ser feitos apenas nas zonas deficitárias doprojeto, não sendo necessário a sua total reformulação.Essa etapa do PCN pode ser realizada pela própria organização, poisesta sabe os pontos mais sensíveis de sua estrutura e os quemerecem maior atenção. Ao realizar uma boa bateria de testes aorganização assegura-se então que seu modelo de recuperação estácondizente com suas necessidades e terá a tranquilidade de saberque, caso algum desastre de maiores proporções aconteça, ela estaráprevenida e pronta para continuar suas atividades.7.4 Outra Abordagem para Elaboração do PCNOutra forma de se planejar o PCN, mais detalhada que a explicadaanteriormente, seria dividindo esse planejamento em fases. Silva, P.,Carvalho e Torres (2003) explicam que nesse formato, o planejamentopode ser desmembrado em cinco etapas: fase de arranque, fase deredução de riscos e avaliação do impacto, fase de desenvolvimento doplano, fase de implementação do plano e fase de manutenção eatualização.Para os autores as fases são assim caracterizadas:Arranque ou Início do Projeto – essa etapa inicial é caracterizada peloenquadramento do negócio da organização, definição dos objetivos doplano, identificação dos pressupostos e terminologias bases. Nestafase também se define um modelo de gestão para todo o projeto.Esta constitui a fase inicial do projeto, onde os alicerces para suaelaboração e implantação são definidos: como os responsáveis pelaimplantação do plano, os ativos mais importantes e o período queesses ativos podem ficar indisponíveis, entre outros;Redução de riscos e avaliação do impacto – para se conseguir aefetiva recuperação de um desastre é necessária à implantação demedidas que evitam a sua ocorrência e tentem amenizar os prejuízoscausados por este desastre.O combate às ocorrências consiste na prevenção do incidente,tentado evitar o desastre. Aqui se avalia as vulnerabilidades que aempresa possui e melhor forma de combatê-las ou amenizá-las. Já arepressão aos prejuízos ocorre tanto antes como depois do desastre,requerendo o posicionamento antecipado de mecanismos eprocedimentos que permitam limitar o seu impacto. Estas medidaspodem ser tomadas em qualquer fase do plano, dependendo dagravidade do incidente ocorrido;Desenvolvimento do Plano – consiste no desenvolvimento do planopropriamente dito, que deve ser constituído de um documento único,composto por um conjunto de outros documentos, dependendo dos
  39. 39. objetivos da empresa e do escopo do plano, bem como da estruturada organização e da distribuição das funções críticas no seu seio.Uma característica importante do plano deverá ser a sua flexibilidadee independência, uma vez que um plano difícil de alterar, ou seja, comum método muito particular, pode comprometer mais a situação. Poresse motivo é necessário também à criação de um plano alternativo;Implementação do Plano – Nessa etapa dá-se à integração doselementos necessários ao funcionamento dos procedimentos naEmpresa e se realiza o conjunto de medidas necessárias à divulgaçãodo plano, ao seu teste e à nomeação das equipes responsáveis pelasua execução. Vale lembrar que esses responsáveis não sãonecessariamente os mesmos ocupados do planejamento do plano,visto que esses foram definidos na fase de arranque do projeto;Manutenção e Atualização – A manutenção e atualização do PCNrequer o estabelecimento de um programa que suporte a suacomunicação periódica a todas as pessoas envolvidas, tanto parasensibilização como para o reforço da informação já anteriormenteveiculada. Este programa deve, também, contemplar a realização doconjunto de atividades necessárias à introdução de alterações noplano, de modo a garantir permanentemente a capacidade derecuperação de um desastre.Essas etapas vão de encontro com o que já foi estipulado, porémcontando com um grau maior de detalhamento das atividades,colaborando para que a tarefa de planejamento do PCN seja mais fácile didática para as partes envolvidas. O importante para a organizaçãoé ter claramente definidas suas necessidades sobre qual a prioridadede restabelecimento de cada atividade do seu escopo, conseguindocom isso um PCN mais eficaz e que abranja de maneira correta suasexpectativas.8 CONSIDERAÇÕES FINAISAs informações são, indiscutivelmente, o bem mais valioso dequalquer corporação nos dias atuais. Um correto trato dessasinformações e um sistema competente de proteção para com elasconstituem um diferencial precioso e a instituição que o possuir tornar-se-á mais eficiente nos seus negócios, garantindo uma enormevantagem competitiva que não pode ser desprezada ou negligenciada.Porém, a maioria das empresas não investe na segurança de suasinformações e as que investem, investem muitas das vezes de formaerrônea e pouco confiável, preocupando-se por demais com os fatorestecnológicos envolvidos nos processos informatizados e esquecendo-se dos aspectos humanos, que são os principais responsáveis pelasfalhas de segurança e vazamento de informações dentro dasorganizações.O trabalho em questão apontou essa política errônea adotada pelascorporações e trouxe a tona um fator de risco a segurança das

×