Natália Pimenta Baldim - Secretariado Executivo Trilíngue

Transcrição

NATÁLIA PIMENTA BALDIM
ENGENHARIA SOCIAL E SEGURANÇA DA INFORMAÇÃO NO AMBIENTE
CORPORATIVO: uma análise focada nos profissionais de Secretariado Executivo.
MONOGRAFIA
Universidade Federal de Viçosa
Viçosa – MG
Brasil
2007
UNIVERSIDADE FEDERAL DE VIÇOSA
CENTRO DE CIÊNCIAS HUMANAS, LETRAS E ARTES
DEPARTAMENTO DE LETRAS
SECRETARIADO EXECUTIVO TRILINGUE
Monografia apresentada ao Departamento de
Letras da Universidade Federal de Viçosa como
exigência da Disciplina LET499 – Monografia e
como requisito para obtenção do título de Bacharel
em Secretariado Executivo Trilíngue, orientada pela
professora Medianeira Aparecida Silva.
Natália Pimenta Baldim
Viçosa – MG
Brasil
2007
A monografia intitulada:
Elaborada por:
Natália Pimenta Baldim
como exigência da Disciplina LET 499 - Monografia e como requisito para obtenção do título
de bacharel em Secretariado Executivo Trilíngüe, foi aprovada por todos os membros da
Banca Examinadora.
Viçosa, 04 de julho de 2007.
BANCA EXAMINADORA
__________________________________________________
Prof.ª Medianeira Aparecida Silva (FDV)
Orientadora
__________________________________________________
Prof. Odemir Baêta (DLA/UFV)
__________________________________________________
Prof.ª Rosália Bebér (DLA/UFV)
Nota______
A meus Pais, Josenir e Nirce,
que tanto me apoiaram e me ensinaram e ainda continuam a fazê-lo,
A meu irmãozinho, Jéferson,
que sempre acreditou no melhor que eu podia fazer.
AGRADECIMENTOS
À Deus, por ter me concedido, através de sua bondade infinita, o potencial de
concretizar mais uma conquista em minha vida. Também pela inspiração, sabedoria e por
colocar em meu caminho pessoas que me auxiliaram e apoiaram nesta jornada;
Novamente à minha família (mãe – dona Nirce; pai – seu Josenir; e Jefin), que sempre
foram e sempre serão as pessoas mais importantes na minha vida, mesmo sem suas presenças
diárias. Exemplos de caráter, princípios, humanidade e perseverança;
À minha orientadora, Profª. Medianeira, que abraçou esse projeto com o mesmo
entusiasmo que o meu; e que apesar de todas as dificuldades minhas e dela fez seu papel de
motivadora e professora de uma maneira admirável;
Ao meu irmão por opção, Napô, que nunca deixou de estar do meu lado;
À Tati, que teve de aturar meus surtos para concluir esse trabalho, e contribuiu muito
para que eu realmente conseguisse finalizá-lo;
Ao José Ronaldo que, mesmo sem querer, foi a pessoa chave por ter me apresentado
esse assunto tão interessante e importante, e que me incentivou bastante no o
desenvolvimento do trabalho;
Aos meus amigos de BH, Raquel, Júnior, Danilo, Vinícius, Rafitcha, pelo
companheirismo, risadas e disposição para ajudar quando preciso;
Aos meus, mais que colegas de trabalho, amigos da FIAT, em especial: Diguin, Fabio,
Jimmy, Roberval, Heitor, Felipe, Guilherme, Prott, Weysller, Gepeto, Edinho, Reninho,
Diego, Thiago, Deivissom, Naka, Roger, Herman, Tati, Manuel, Maxwell, Renato, Cristiano,
Oscar, Silvio, Chiquinho, Giovani, pelo carinho, atenção, força, cuidado, amizade,
companheirismo, presença, preocupação, risadas, brincadeiras e que, assim, tanto me
ajudaram e contribuíram direta ou indiretamente para a conclusão deste trabalho;
Aos companheiros do DLA, professores – em especial a Profª Débora – e funcionários
– em especial Elaine e Nazaré, os quais estiveram presentes para ajudar e facilitar a conclusão
desse trabalho à distância;
E por fim, aos colegas profissionais e estudantes de Secretariado Executivo, que
ajudaram como dados para pesquisa, como “help desk” e como incentivadores; que este
trabalho seja bastante útil e diferencial para agregar mais conhecimento e competência a
todos.
"Não são as quedas ou as descidas que fazem fracassar nossa vida,
senão a coragem de levantar e seguir adiante.”
Samuel Aun Weor
“De tudo, ficaram três coisas: a certeza de que ele estava sempre
começando, a certeza de que era preciso continuar e a certeza de que
seria interrompido antes de terminar. Fazer da interrupção um
caminho novo. Fazer da queda um passo de dança, do medo uma
escada, do sono uma ponte, da procura um encontro.”
Fernando Sabino
RESUMO
Atualmente, na era da “Sociedade da Informação”, a empresa se tornou dependente do fluxo
de informações que por ela são distribuídas e compartilhadas. Como por exemplo, os
profissionais de Secretariado Executivo, que fazem uso freqüente da Tecnologia da
Informação para gerenciar a transmissão e difusão da informação. A inovação tecnológica,
além das facilidades incontestáveis, também abriu novas possibilidades de ações contra a
segurança da informação. Contudo é um equívoco afirmar que as ameaças à segurança da
informação são apenas nos aspectos tecnológicos; pois existem aspectos físicos e humanos.
Inclusive o aspecto humano é um dos mais relevantes. Neste contexto que se encontra a
Engenharia Social, técnica de intrusão que explora as fraquezas do ser humano, utilizando ou
não de tecnologias. Algumas características exploradas são: vontade de ser útil, busca por
novas amizades e propagação de responsabilidade. Os ataques são cíclicos, realizados na
seguinte seqüência: coleta de informações, desenvolvimento da relação, exploração da relação
e realização do ataque. Os principais métodos que os Engenheiros Sociais usam para ter
sucesso em suas ações são fingir de autoridade, fingir ser alguém necessitado, utilizar
softwares maliciosos e engenharia social reversa. Cada informação é coletada é preciosa para
possibilitar um ataque. Além das defesas tecnológicas, a Engenharia Social deve ser
combatida com treinamento e conscientização das pessoas. O estudo objetivou, de maneira
geral, possibilitar uma orientação aos profissionais da área Administrativa nas principais
questões ligadas à segurança da informação, para minimizar vulnerabilidades que possam
comprometer a imagem e o negócio das empresas. Utilizou-se como metodologia a
abordagem dedutiva, através de levantamento bibliográfico e estudos de dados. Foi feita uma
pesquisa de campo com Secretárias Executivas de empresas de vários setores e porte, a cerca
do tratamento que elas e suas empresas dão às informações da organização. Foram utilizadas
20 respostas de profissionais de Secretariado Executivo. Com relação às empresas, a maioria,
mesmo que não absoluta, está no caminho certo para tratar a segurança da informação de
maneira eficiente. Já as secretárias executivas apresentam um perfil que precisa de mais
treinamento e conscientização para saber se comportar quanto a se precaver de intrusos e
engenheiros sociais, visto que todas elas assessoram Diretores, o nível mais alto e estratégico
de uma empresa. Portanto é possível concluir, pela literatura e pela pesquisa de campo, que
não é suficiente tratar de segurança da informação somente com tecnologia. Mesmo que
necessária, é fundamental que os recursos humanos sejam treinados a lidar com ataques fora
dos aspectos de tecnológicos. A imagem e os negócios da empresa dependem dessa ação.
LISTA DE QUADROS
PÁG
Quadro 1
Evolução da informação e sua importância ...............................................
Quadro 2
Perfil do Engenheiro Social .......................................................................
Quadro 3
Elementos Motivadores para os Engenheiros Sociais ...............................
Quadro 4
Seis Comportamentos humanos para resposta positiva .............................
Quadro 5
Uma simples requisição pessoal ................................................................
Quadro 6
Um e-mail “bastante interessante ..............................................................
viii
14
45
45
47
52
55
LISTA DE GRÁFICOS
PÁG
Gráfico 1
Elementos responsáveis pela quebra da Segurança da Informação em
empresas ....................................................................................................
Gráfico 2
Idade ..........................................................................................................
Gráfico 3
Nível de instrução ......................................................................................
Gráfico 4
Tempo de trabalho na empresa ..................................................................
Gráfico 5
Divulgação de sua(s) senha(s) utilizadas na empresa ...............................
Gráfico 6
Utilização de senhas de outro funcionário para acessar informações da
empresa ......................................................................................................
38
67
68
68
69
69
Gráfico 7
Senhas anotadas em algum lugar próximo ao computador, na agenda ou
local de fácil acesso ...................................................................................
Gráfico 8
Permissão para utilizar sua(s) senha(s) para algum trabalho rápido .........
Gráfico 9
Freqüência de alteração de sua(s) senha(s) ...............................................
Gráfico 10
Procedimento para fornecer informações solicitadas por telefone ou email ............................................................................................................
71
Gráfico 11
Ocorrência de uma solicitação em que alguém utilizou de má-fé para
obter ou tentar obter informações ..............................................................
72
Gráfico 12
Disponibilização da empresa de orientação sobre divulgação de
informações ...............................................................................................
72
70
70
71
Gráfico 13
Conhecimento das informações vitais para o negócio da empresa ...........
Gráfico 14
Existência de uma Política de Segurança da Informação ..........................
Gráfico 15
Existência de um Departamento de TI especializado ................................
Gráfico 16
Existência de requisitos de segurança nos contratos de terceirização .......
Gráfico 17
Existência de controle de acesso específico para os prestadores de
serviço .......................................................................................................
74
Gráfico 18
Existência de uma estrutura para notificar e responder aos incidentes e
falhas de segurança ....................................................................................
75
Gráfico 19
Existência de gerenciamento de acessos do usuário .................................
Gráfico 20
Existência de controle de acesso à rede ....................................................
Gráfico 21
Existência de controle de acesso às aplicações ou diretórios ....................
Gráfico 22
Existência de monitoramento de uso e acesso ao sistema .........................
Gráfico 23
Existência de critérios para computação móvel e trabalho remoto .........
Gráfico 24
Existência de algum papel sobre a mesa com informações sobre a
empresa no momento ................................................................................
Gráfico 25
Ao sair, tem-se a mesa limpa, sem papéis importantes .............................
ix
73
73
74
74
75
76
76
77
77
77
78
Gráfico 26
Ao sair, tem-se o computador bloqueado ..................................................
Gráfico 27
Existência de informações confidenciais no setor de trabalho ..................
Gráfico 28
Conhecimento dos funcionários sobre a importância das informações da
empresa ......................................................................................................
Gráfico 29
Existência de dificuldade para pessoas externas conseguirem
informações importantes na empresa ........................................................
Gráfico 30
Tipos de informações que se tem acesso ...................................................
Gráfico 31
Divulgação da Política de Segurança da Informação para os novos
contratados ................................................................................................
Gráfico 32
Assinatura dos funcionários de algum Termo de Responsabilidade e/ou
Confidencialidade sobre as informações da empresa ................................
Gráfico 33
Existência de controle de mudanças operacionais ....................................
Gráfico 34
Existência de procedimentos para cópias de segurança ............................
Gráfico 35
Existência de controles e gerenciamento de rede ......................................
Gráfico 36
Existência de mecanismos de segurança e tratamento de mídias ..............
Gráfico 37
Existência de mecanismos de segurança de correio eletrônico .................
Gráfico 38
Existência de algum procedimento para documentação dos sistemas ......
x
78
79
79
80
80
81
81
82
82
83
83
83
84
LISTA DE FIGURAS
PÁG
Figura 1
Classificação das informações ..................................................................
Figura 2
Pilares da segurança da Informação segundo FILHO (2004) ...................
Figura 3
Ciclo de ataque do engenheiro social ........................................................
xi
24
28
47
SUMÁRIO
1. INTRODUÇÃO ........................................................................................................
Pág.
14
2. OBJETIVOS .............................................................................................................
18
3. METODOLOGIA ....................................................................................................
19
4. FUNDAMENTAÇÃO TEÓRICA ..........................................................................
22
4.1 Informação ..............................................................................................................
22
4.1.1 Classificação das Informações ..........................................................................
24
4.2 Segurança da Informação nas Empresas .................................................................
26
4.2.1 Princípios da Segurança da Informação ............................................................
27
4.2.2 Ciclo de vida da informação .............................................................................
29
4.2.3 Ameaça X Vulnerabilidade ...............................................................................
30
4.2.4 Aspectos da Segurança da Informação .............................................................
33
4.2.5 Segurança Física da Informação .......................................................................
34
4.2.6 Segurança Tecnológica da Informação .............................................................
34
4.2.6.1 Tecnologia da Informação para Segurança da Informação .........................
34
4.2.6.1.1 Autentificação e Autorização ................................................................
35
4.2.6.1.2 Combate a ataques e invasões ...............................................................
36
4.2.6.1.2.1 Firewalls .........................................................................................
36
4.2.6.1.3 Privacidade das Comunicações ............................................................
37
4.2.6.1.3.1 Criptografia ....................................................................................
37
4.2.7 Segurança Humana ...........................................................................................
38
4.2.8 Medidas de Segurança ......................................................................................
39
4.2.9 Política de Segurança da Informação.................................................................
41
4.2.10 Plano de Continuidade de Negócios ...............................................................
42
4.4 Engenharia Social nas Empresas .............................................................................
43
4.4.1 Perfil do Engenheiro Social ..............................................................................
44
4.4.2 Características da vulnerabilidade humana exploradas pelo Engenheiro
Social ..........................................................................................................................
45
4.4.3 Ciclo de Ataque do Engenheiro Social .............................................................
47
4.4.4 Métodos de Ataque da Engenheira Social ........................................................
49
4.4.4.1 Ferramentas utilizadas pelo Engenheiro Social ..........................................
53
xii
4.4.5 Engenharia Social na Internet ...........................................................................
54
4.4.6 Medidas de Defesa contra a Engenharia Social ................................................
54
4.4.6.1 Medidas de defesa quanto a senhas ............................................................
57
4.4.6.2 Medidas de defesa quanto ao lixo ...............................................................
58
4.5 Treinamento e conscientização em segurança ........................................................
59
4.6 Engenharia Social, Segurança da Informação e o Profissional de Secretariado
Executivo ......................................................................................................................
63
5.
OBJETO DE ESTUDO ........................................................................................
66
6.
ANÁLISE E DISCUSSÃO DE DADOS ..............................................................
67
7.
CONCLUSÃO .......................................................................................................
86
8.
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................
88
9.
APÊNDICE ............................................................................................................
91
Questionário Aplicado ............................................................................................
91
10.
GLOSSÁRIO .........................................................................................................
100
11.
ANEXOS ...............................................................................................................
105
Anexo1: Código Penal sobre “Engenheiros Sociais” .............................................
105
Anexo2: Lei de Regulamentação da Profissão de Secretariado Executivo .............
108
Anexo3: O “Jogo da Segurança” ............................................................................
111
Anexo4: Entrevista com Kevin D. Mitnick ............................................................
115
Anexo5: Exemplo de uma história real de Engenharia Social ................................
121
xiii
1. INTRODUÇÃO
As mudanças que marcaram a sociedade produtiva nas últimas décadas, como descrito
por Siqueira (2005), fizeram com que vários estudiosos chamassem essa nova sociedade pósrevolução industrial de “Sociedade da Informação”. O quadro abaixo descreve como a
informação e sua importância que tiveram diferentes aspectos em épocas distintas.
Quadro 1: Evolução da informação e sua importância
PERÍODO
Anos 50
CONCEITO DE INFORMAÇÃO
IMPORTÂNCIA
Requisito burocrático necessário.
Redução do custo de
processamento de muitos papéis.
Anos 60 e 70
Suporte aos propósitos gerais.
Auxiliar no gerenciamento de
diversas tarefas da organização.
Anos 70 e 80
Controle do gerenciamento da
organização
Auxiliar e acelerar os processos de
tomada de decisão
Vantagem competitiva
Garantir a sobrevivência e
prosperidade da organização
Anos 90
Fonte: SIQUEIRA, 2005:60
A Tecnologia da Informação avançou rapidamente em pouco tempo e o computador
começava a fazer parte dos lares. As instituições utilizam destes avanços tecnológicos para
melhorar as operações empresariais e o potencial de mercado. Podem-se fazer compras em
shoppings on-line, fazer pagamentos e transferências em bancos também on-line e comunicarse por e-mail (TURBAN et al., 2004).
14
15
Para Siqueira (2005), os mercados também se modificam com essa nova realidade.
Cada vez mais no ambiente corporativo se ouve falar em: videoconferência, aplicações
remotas, conectividade, e-commerce1, fibra-ótica, correio eletrônico, biblioteca, virtual,
certificados digitais, ensino à distância, moeda eletrônica, assinatura digital, telefonia digital,
lixo eletrônico, entre outros.
À medida que o uso dessas facilidades abriu novas fronteiras para a tecnologia da
informação, também foram abertas novas possibilidades para ações contra a segurança.
Pessoas maliciosas usam estas possibilidades para roubar senhas e ganhar acesso à
informação e/ou causar diversos danos a uma organização.
No âmbito corporativo, Sêmola (2003) diz que compartilhar informação passou a ser
considerada uma prática moderna de gestão, necessária a empresas que buscavam maior
velocidade nas ações.
A informação e o conhecimento tornaram-se os principais recursos econômicos para a
competitividade das empresas, criando uma necessidade de valorização, manutenção e
desenvolvimento nas organizações de forma plena e organizada. (SIQUEIRA, 2005)
Esse panorama leva a perceber o alto grau de dependência que as empresas têm da
informação – muito mais digitalizada, compartilhada e distribuída – além, consequentemente,
de todos os elementos da infra-estrutura que a mantém.
O tema ”Segurança da Informação” é extremamente abrangente, cobrindo desde a
avaliação do conteúdo que deve ser objeto de proteção até os fatores ambientais, como a rede
de relacionamentos do indivíduo e o conhecimento externo que as pessoas têm a seu respeito
(LAUDON e LAUDON, 2004).
A formação e a descoberta de vários grupos especializados na prática de crimes
baseados na exploração de falhas de arquiteturas e sistemas, com uma grande atividade no
ambiente de correspondência eletrônica, demonstram a necessidade de atenção voltada para
segurança da informação. Entretanto a maior das falhas constatada ainda é a ingenuidade
humana. Enquanto firewalls (vide 4.2.6.1.2.1 Firewalls, págs. 36-37) vem sendo usados para
1
E-commerce: palavra oriunda da língua inglesa que significa comércio eletrônico, em português.
16
prevenir que os tradicionais hackers de computador adentrem nos computadores da empresa,
eles não fazem nada para impedir a mais significante fonte dos crimes: os colaboradores.
(GARTNER, 2002)
Segundo Daniel Aisenberg (1999),
“A espionagem industrial é muito mais eficaz quando realizada dentro de casa, por
pessoas com acesso às informações certas e armadas de intenções erradas. O
vazamento de dados promovido por funcionários merece a atenção de qualquer
empresa que decida proteger seu maior capital: a informação”. (AISENBERG,
1999:68)
De acordo com Sêmola (2003), muitas empresas e seus executivos têm uma
deficiência de percepção do problema da segurança da informação, chamada por ele de
“Visão de Iceberg” (a porção de gelo fora da linha da água corresponde apenas à 1/5 de todo o
bloco de gelo que permanece submerso). Normalmente, eles possuem essa “miopia”,
percebendo apenas uma pequena fração do problema da segurança: os aspectos tecnológicos.
Normalmente associam os riscos apenas a redes, computadores, vírus, harckers e Internet,
enquanto ainda há outros, tão importantes e relevantes para a segurança do negócio.
O impacto de uma invasão, seja ela interna ou externa, causando roubo de
informações, não é fácil de ser calculado, como afirma Sêmola (2003). Muitas vezes não se
sabe que fim levou aquela informação e, muito menos, como ela será explorada. O impacto à
imagem é coisa séria e custosa para ser revertida. Gasta-se muito mais recurso tentando
reconstruir uma imagem sólida, segura, eficiente e compromissada com o cliente, do que o
que foi gasto para construí-la. Isso sem mencionar nos novos negócios que dependerão da
segurança para sua viabilidade.
Mediante o contexto em que se encontra todo tipo de organização ao se tratar de suas
informações, sejam elas confidenciais ou não, torna-se fundamental, tanto ao profissional da
área de Tecnologia da Informação quanto os demais responsáveis por algum tipo de
informação comprometedora, orientá-los, instruí-los e comprometê-los a melhorar o
tratamento e cuidado com as informações (PEIXOTO, 2006).
É fato que um dos principais alvos de Engenheiros Sociais (vide 4.4.1 Perfil do
Engenheiro Social, págs. 44-45) no ambiente corporativo são exatamente os profissionais da
área de Secretariado Executivo. Isso porque são profissionais que detêm informações e
17
detalhes da vida dos diretores que podem comprometer as estratégias empresarias da
organização.
Medeiros e Hernandes (1999), Guimarães (2001) e Natalense (1998), em suas
respectivas obras, dizem que os profissionais de Secretariado Executivo, dentre outras muitas
funções, fazem uso constante da Tecnologia da Informação elaborando planilhas eletrônicas,
banco de dados, processadores de texto, correio eletrônico, internet, vídeo conferência e fone
conferência, e gerenciam eficazmente a transmissão e difusão da informação.
“As tarefas de uma secretária compreendiam recepção e envio de documentos,
atendimento telefônico, de visitas, manutenção de arquivo e agenda, marcação de
reuniões, provisão de material de escritório. Hoje, as tarefas de uma secretária
compreendem gerenciamento e operação de sistemas de informação; gerenciamento
de serviços e de treinamento, atendimento a clientes, objetivando oferecer maior
qualidade dos produtos ou serviços da empresa para qual trabalha; apoio logístico à
reuniões”. MEDEIROS e HERNANDES (1999:18)
O presente estudo, através de sua metodologia, pretende deixar claro que, assim como
cada pessoa deve ter cuidado com seus documentos pessoais, as organizações devem ter
cuidado com todo o tipo de informação que circula dentro dela, referente, sobretudo às
pessoas que por elas são responsáveis, como por exemplo, os profissionais de Secretariado
Executivo.
2. OBJETIVOS
Segurança é um tópico muito extenso, principalmente se for levado em consideração a
grande variedade de problemas que poderão estar relacionados ao tema. Dentro desta ótica,
este trabalho tem por objetivo geral possibilitar uma orientação aos profissionais da área
Administrativa nas principais questões ligadas à segurança da informação, para minimizar
vulnerabilidades que possam comprometer a imagem e o negócio das empresas, já que a
literatura é unânime em afirmar que não existe um ambiente 100% seguro.
Para alcançá-lo, têm-se os seguintes objetivos específicos:
•
Apresentar elementos de segurança da informação, no âmbito físico,
tecnológico e humano;
•
Apresentar a importância da gestão da segurança das informações para os
profissionais de Secretariado Executivo;
•
Expor questões de ética quanto à segurança da informação para os
profissionais da área de Secretariado Executivo;
•
Difundir o conceito de Engenharia Social entre os profissionais da área de
Secretariado Executivo.
18
3. METODOLOGIA
O estudo proposto usou como método a abordagem dedutiva, através de levantamento
bibliográfico e estudos de dados e informações que visem compreender a problemática da
quebra da segurança da informação no ambiente corporativo.
De acordo com Roesch (1999) apud Castro (2006), “a revisão da literatura, na prática,
implica seleção, leitura e análise de textos relevantes ao tema do projeto, seguida de um relato
por escrito”. Portanto, o conteúdo do referencial teórico desta pesquisa foi composto por
dados e informações contidos em livros e artigos na Internet referentes à Gestão da
Informação, Segurança da Informação, Engenharia Social e Atividades do Profissional de
Secretariado Executivo.
Antes de tratar da Segurança da Informação foi feita a contextualização de
Informação. Em seguida foram apresentados os principais modos de Segurança da Informação
física, tecnológica e humana. Também foram apresentados os conceitos de Política de
Segurança da Informação e Plano de Continuidade de Negócios.
Após, tem-se a apresentação conceitual do termo “Engenharia Social” e seus
elementos mais relevantes ao ambiente corporativo. Ou seja, seus ataques, técnicas e medidas
de defesa.
19
20
Ao fim do referencial teórico, foi feita uma conexão entre as atividades dos
profissionais de Secretariado Executivo quanto às Informações e, principalmente, a Segurança
das Informações e Engenharia Social.
Foi feita uma pesquisa de campo com Secretárias Executivas de empresas de vários
setores (automobilístico, financeiro, mobiliário e terceiro setor) e porte, a cerca do tratamento
que elas e suas empresas dão às informações da organização. O objetivo foi apresentar uma
visão prática de erros reais e comuns, bem como alguns mecanismos de defesa contra a falha
na segurança da informação.
Não se pode apresentar um estudo de caso específico sobre o assunto de apenas uma
empresa por uma questão de ética; para não registrar falhas, portas abertas e pontos fortes
e/ou fracos das empresas quando se trata de controle e Segurança da Informação.
A coleta de dados foi feita através da aplicação de questionários (vide págs. 91-99)
que tiveram as questões divididas em sessões de acordo com o que se queria avaliar. Essas
sessões foram sobre o funcionário, quanto a senhas, quanto a divulgação das informações,
quanto a empresa, quanto ao acesso às informações, quanto a contratação de funcionários e
quanto ao gerenciamento das operações e comunicações. Dos 55 questionários enviados via email para profissionais de Secretariado Executivo, apenas 20 foram devolvidos. Considerando
o fato de que as informações foram oriundas de profissionais de Secretariado Executivo
ligados a diferentes segmentos de atuação empresarial, torna-se representativo a análise de
suas respostas.
O questionário aplicado nesta pesquisa de campo foi baseado no “Teste de
Conformidade”, apresentado na obra de Sêmola (2003) também citada apud em Peixoto
(2006). Com esse instrumento será possível perceber o grau de aderência de uma empresa –
generalizando para não comprometer nenhuma empresa – em relação às recomendações de
Segurança da Informação. O questionário é composto por perguntas objetivas e apenas dois
espaços para alguma explanação sobre o assunto e exposição de algum ataque. Pelo resultado
genérico, teve-se uma pontuação associada a este teste que revelou um índice geral de
conformidade encontrado nas empresas em geral.
Pode-se dizer que a análise de conteúdo compreendeu três etapas básicas: (a) préanálise; (b) exploração do material; (c) tratamento dos dados e interpretação (BARDIN, 1977
apud VERGARA, 2005: 18).
21
Assim, os dados coletados foram agrupados para possibilitar as análises. Utilizou-se
da planilha excel para padronizações dos gráficos relativos às respostas. Após todos os dados
coletados e analisados, foram apresentadas as conclusões com base no referencial teórico e
elaborado um texto final. A análise dos dados foi tratada em um capítulo a parte.
4. FUNDAMENTAÇÃO TEÓRICA
4.1 INFORMAÇÃO
Para chegar a um conceito de informação, precisa-se primeiramente entender um
conceito base para a informação: os dados.
De acordo com Turban et al (2004), dados são itens referentes a uma descrição
primária de objetivos, eventos, atividades e transações que são gravados, classificados e
armazenados, mas não chegam a ser organizados de forma a transmitir algum significado
específico. Os dados podem ser numéricos, alfanuméricos, figuras, sons ou imagens.
Concordando com o conceito acima, Laudon e Laudon (2004) diz que dados de
representam eventos que estão ocorrendo nas organizações ou no ambiente físico, antes de
terem sido organizados e arranjados de uma forma que as pessoas possam entendê-los e usálos.
Para Turban et al. (2004) informação é todo conjunto de dados organizados de forma a
terem sentido e valor para seu destinatário. Este interpreta o significado e tira conclusões do
material desenvolvido pelos dados.
Laudon e Laudon (2004) expõem de uma maneira simplificada o conceito de
informação: dados apresentados em uma forma significativa e útil para os seres humanos.
22
23
Filho (2004) diz que informação compreende qualquer conteúdo que possa ser
armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de
utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento.
Sêmola (2003) define como informação:
“(...) conjunto de dados utilizados para a transferência de uma mensagem entre
indivíduos e/ou máquinas em processos comunicativos ou transacionais. (...) A
informação pode estar presente ou ser manipulada por inúmeros elementos deste
processo, chamados ativos, os quais são alvos de proteção da segurança da
informação” SÊMOLA (2003:45).
Segundo Sêmola (2003 apud Peixoto, 2006), a informação representa a inteligência
competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional
da empresa.
Nesse sentido, Filho (2004) fala que a informação digital é um dos principais, senão o
mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas
maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes,
percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais diversos fins,
possibilitando ela ser lida, modificada ou até mesmo apagada.
Para Sêmola (2003) a informação é o sangue da empresa. Distribuída por todos os
processos de negócio e circulando por diversos ativos (tudo que manipula direta ou
indiretamente a informação, inclusive ela própria), ambientes e tecnologias, a informação
cumpre um papel importante para fornecer instrumento para gestão do negócio.
A informação é transmitida de e para a empresa e entre seus integrantes. Assim, os
recursos físicos de sistema de informações, dados, software, procedimentos e quaisquer outros
recursos de informação ficam vulneráveis em muitos lugares e a todo instante. (TURBAN et
al., 2004).
Na grande maioria das situações, usuários de informações desconhecem seu valor e
podem colocar a si ou uma instituição numa condição vulnerável, principalmente, quando
diante de um engenheiro social (FILHO, 2004).
24
4.1.1 Classificação das Informações
A definição da classificação das informações se torna necessária para uma filtragem
mais apurada da importância de cada tipo de informação dentro das empresas.
A forma mais detalhada está apresentada na Figura 1:
Figura 1: Classificação das informações
Fonte: PEIXOTO, 2006:60
Segundo Peixoto, (2006), o Engenheiro Social (vide 4.4.1 Perfil do Engenheiro Social,
págs. 44-45) buscará a coleta de informações em todas as categorias, mas geralmente em um
grau de dificuldade diretamente proporcional à escala de importância das informações.
Portanto, para Peixoto (2006), as informações podem ser públicas ou internas e
particular ou confidencial.
•
Pública: São informações deliberadamente voltadas ao público, distribuídas
livremente sem restrições para as pessoas, como forma de divulgação; por
exemplo, Internet, livros, revistas, jornais, dentre outras formas;
•
Interna: São as informações voltadas mais especificamente ao interesse dos
próprios funcionários da empresa, e que podem ser úteis ao Engenheiro Social,
para se passar por um empregado autorizado, contratado ou por algum
fornecedor, ou saber os melhores horários para se infiltrar na empresa;
•
Particular: É a categoria de informações de âmbito mais pessoal que, se cair
em mãos erradas prejudicará não somente a empresa, como principalmente o
próprio funcionário. Tais itens de dados particulares são caracterizados como
informações de conta bancária, histórico de salário, histórico médico de
empregados, benefícios de saúde ou qualquer outro tipo de informação pessoal
que não deva ser pública;
25
•
Confidencial: Tipo de informação mais valorizada pela empresa. Disponível a
um número limitado de pessoas, de modo que se não tratada com a devida
importância, comprometerá às vezes de forma irreversível toda uma estrutura
de gestão administrativa e, de diversos departamentos. Podem ser informações
operacionais da empresa, de estratégias de negócios, informações de marketing
e financeiras, além de informações voltadas aos segredos comerciais da
empresa, como códigos – fonte proprietário, especificações técnicas ou
funcionais.
Tais informações, segundo Siqueira (2005), precisam ser classificadas de acordo com
o público que a utiliza e o objetivo que esse público precisa alcançar. O objetivo dever ser
principalmente alcançar um fim estratégico para as informações, de modo que possam dar
suporte estratégico, gerando a informação relevante que apoiará a tomada de decisão ou criará
um produto de informação.
Níveis organizacionais diversos normalmente necessitam de níveis de informações
distintos. Seguindo esse preceito, Siqueira (2005), classifica as informações, em função do
nível organizacional, da seguinte maneira:
•
Informações Estratégicas: Informações que podem exercer influência sobre a
estratégia da empresa, tanto internamente, quanto na relação da organização
com seu meio. Auxiliam a alta gerência na tomada de decisão e no
monitoramento dos planos e dos indicadores estratégicos. Precisa ser relevante
para o planejamento estratégico e estar disponível a tempo ou em tempo real.
•
Informações Táticas: Informações que auxiliam, principalmente, os gerentes
de nível médio na tomada de decisão sobre as situações, tanto do ambiente
interno quanto externo. Auxiliam no controle e avaliação dos seus projetos,
processos e planejamento das ações sob sua responsabilidade.
•
Informações Operacionais: Informações que auxiliam o pessoal do nível
operacional na execução de suas atividades e tarefas. Permite também o
planejamento das ações operacionais, bem como suas eventuais decisões.
26
4.2 SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS
O termo “segurança” abarca políticas, procedimentos e medidas técnicas usados para
impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação.
Ela pode se dar por um conjunto de técnicas e ferramentas, destinadas a salvaguardar
hardwares, softwares, rede de comunicação e dados. (LAUDON e LAUDON, 2004)
Peixoto (2006) diz que o termo Segurança da Informação pode ser designado como
uma área do conhecimento que salvaguarda os chamados ativos da informação contra acessos
indevidos, modificações não autorizadas ou até mesmo sua não disponibilidade.
Segundo Sêmola (2003), a expressão “Segurança da Informação” é um termo
ambíguo, podendo assumir dupla interpretação:
1. Segurança como uma prática adotada para tornar um ambiente seguro (atividade, ação,
preservação dos princípios), de caráter interdisciplinar, composta de um conjunto de
metodologias e aplicações que visam estabelecer: controles de segurança dos elementos
constituintes de uma rede de comunicação e/ou que manipulem a informação (por
exemplo, de autentificação, autorização e auditoria); e procedimentos para garantir a
continuidade de negócios na ocorrência de acidentes.
2. Resultado da prática adotada, objetivo a ser alcançado. É a característica que a
informação adquire ao ser alvo de uma prática de segurança (segura é adjetivo, objetivo é
prática).
Logo, ao se utilizar este termo, SÊMOLA (2003:44) diz que deve-se ter consciência
desta ambigüidade, a fim de identificar o conceito mais apropriado. Por exemplo:
•
Segurança como “meio”: A segurança da informação visa garantir a
confidencialidade,
integridade
e
disponibilidade
da
informação,
a
impossibilidade de que agentes participantes em transações ou na comunicação
repudiem a autoria de suas mensagens, a conformidade com a legislação
vigente e a continuidade dos negócios.
•
Segurança como “fim”: A segurança da informação é alcançada por meio de
práticas e políticas voltadas a uma adequada padronização operacional e
gerencial dos ativos, e processos que manipulam e executem a informação.
27
4.2.1 Princípios da Segurança da Informação
Atualmente, numa era onde conhecimento e informação são fatores de suma
importância para qualquer organização, Segurança da Informação é um pré-requisito para
todo e qualquer sistema de informações.
De uma forma mais ampla, Sêmola (2003) considera a Segurança da Informação como
a prática de gestão de riscos e incidentes que impliquem no comprometimento dos três
principais conceitos da segurança: confidencialidade, integridade e disponibilidade da
informação. Em conformidade com Peixoto (2003), são descritos esses três princípios:
•
Confidencialidade: Toda informação deve ser protegida de acordo com o grau
de sigilo de seu conteúdo, visando a limitação de seu acesso e uso apenas às
pessoas para quem elas são destinadas. A tramitação das informações deve
contar com a segurança de que elas cheguem ao seu destino final, sem que se
dissipem para outros meios ou lugares onde não deveriam passar. Recursos
como criptografar (vide 4.3.6.1.3.1 Criptografia, págs. 37-38) as informações
enviadas, autentificações, dentre outros, são válidos desde que mantenham
também a integridade destas informações;
•
Integridade: Toda informação deve ser mantida na mesma condição em que
foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações
indevidas, intencionais ou acidentais. As informações não podem ter sofrido
nenhum tipo de modificação ou alteração comprometendo sua real veracidade,
levando à perda da integridade que continham quando partiram da origem;
•
Disponibilidade: Toda informação gerada ou adquirida por um indivíduo ou
instituição deve estar disponível aos seus usuários no momento em que ele
necessitarem delas para qualquer finalidade. Conseguir manter essa estrutura
da passagem destas informações de forma confiável e íntegra sem que haja a
enorme dificuldade ou até mesmo a impossibilidade de captar de forma viável
tais informações
Filho (2004) em seu artigo coloca a segurança da informação sob cinco pilares:
28
“Segurança da informação compreende um conjunto de medidas que visam
proteger e preservar informações e sistemas de informações, assegurando-lhes
integridade, disponibilidade, não repúdio, autenticidade e confidencialidade”
(FILHO, 20042).
Figura 2: Pilares da segurança da Informação segundo FILHO (2004)
Fonte: FILHO, 20043
Baseando no artigo de Filho (2004), observamos que dentro desse contexto, a
confidencialidade oferece suporte a prevenção de revelação não autorizada de informações,
além de manter dados e recursos ocultos a usuários sem privilégio de acesso. Já a integridade
previne a modificação não autorizada de informações. Por outro lado, a disponibilidade
prover suporte a um acesso confiável e prontamente disponível a informações. Isto implica
dados e sistemas prontamente disponíveis e confiáveis. Adicionalmente, o não repúdio e
autenticidade compreendem o que poderia ser denominado de responsabilidade final e, dessa
forma, busca-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente
externo de um sistema a fim de assegurar a integridade de origem.
Para Siqueira (2005), a preservação da confidencialidade é a garantia de acesso à
informação somente por pessoas autorizadas, limitando o acesso às entidades autenticadas,
sejam elas pessoas, máquinas ou processos. A preservação da integridade é a garantia de
exatidão e completeza da informação, ou seja, garantir que toda vez que uma informação seja
2
Disponível no endereço: http://www.espacoacademico.com.br/042/42amsf.htm
29
manipulada, ela esteja consistente e íntegra. A preservação da disponibilidade garante que o
acesso autorizado à informação esteja disponível a quem precisa dela para fins de negócio,
com acesso contínuo, sem falhas, ininterrupto, constante e atemporal às informações.
4.2.2 Ciclo de vida da informação
O ciclo de vida é composto e identificado pelos momentos vividos pela informação
que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos,
tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez,
mantêm a operação da empresa (SÊMOLA, 2003).
Correspondendo às situações em que a informação é exposta a ameaças que colocam
em risco suas propriedades, atingindo a sua segurança, Sêmola (2003) revela os 4 momentos
do ciclo de vida da informação.
•
Manuseio: Momento em que a informação é criada e manipulada, seja ao
folhear um maço de papéis, ao digitar informações recém geradas em uma
aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para
autentificação.
•
Armazenamento: Momento em que a informação é armazenada, seja em um
banco de dados compartilhado, em uma anotação de papel posteriormente
postada em um arquivo ferro, ou, ainda, em uma mídia de disquete depositada
na gaveta da mesa de trabalho.
•
Transporte: Momento em que a informação é transportada, seja ao caminhar
informações por correio eletrônico (e-mail), ao postar um documento via
aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial,
por exemplo.
•
Descarte: Momento em que a informação é descartada, seja ao depositar na
lixeira da empresa um material impresso, seja ao eliminar um arquivo
eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROM
usado que apresentou falha na leitura.
30
4.2.3 Ameaça X Vulnerabilidade
A todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos
são alvo de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco
compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essa possibilidade
aparece, a quebra da segurança é consumada. (SÊMOLA, 2003)
O autor Sêmola (2003) define ameaças como
“(...) agentes ou condições que causam incidentes que comprometem as
informações e seus ativos por meio da exploração de vulnerabilidades, provocando
perdas de confidencialidade, integridade e disponibilidade e, consequentemente,
causando impactos aos negócios de uma organização” SÊMOLA (2003:47)
Peixoto (2006), em conformidade com Sêmola (2003), escreve que as ameaças são
muitas vezes conseqüências das vulnerabilidades existentes, provocando assim perdas de
confidencialidade, integridade e disponibilidade. Elas podem ser classificadas quanto à sua
intencionalidade nos seguintes grupos:
•
Ameaças naturais: Fenômenos da natureza, como incêndios naturais,
enchentes,
terremotos,
tempestades
eletromagnéticas,
maremotos,
aquecimento, poluição, etc.;
•
Ameaças involuntárias: Ameaças inconscientes, que ocorrem quase sempre
devido ao desconhecimento. Podem ser causadas por acidentes, erros, falta de
energia, etc.;
•
Ameaças voluntárias: São ameaças propositais que mais se relacionam com a
Engenharia Social. Causadas por agentes humanos como harckers, invasores,
espiões, ladrões, criadores e disseminadores de vírus de computador,
incendiários.
Para Turban et al. (2004) as ameaças não-intencionais ou involuntárias podem ser
dividas em três categorias principais:
•
Falhas humanas: Pode ocorrer no projeto do hardware e/ou sistema de
informação, na fase da programação, de testes, de coleta de dados, de inserção
de dados, de autorização ou de instrução. Elas correspondem à 55% dos
problemas relacionados ao controle e segurança em inúmeras empresas.
31
•
Perigos do ambiente: Incluem terremotos, tufões, tempestades de neve ou de
areia, tornados, enchentes, blackouts3, incêndios, etc.
•
Falhas do sistema computacional: As falhas de sistemas computacionais
podem ocorrer em virtude de defeitos de fabricação ou de material. Também
podem ocorrer por falta de experiência ou insuficiência de testes.
Já as ameaças intencionais ou voluntárias para Turban et al. (2004) são as que
consistem em roubos de dados; uso indevido dos dados; roubo de tempo do computador
mainframe4; roubo de equipamento e/ou programas; manipulação deliberada no manuseio,
entrada, processamento, transferência ou programação de dados; greves, sabotagem ou
tumultos; dano proposital aos recursos computacionais, destruição por vírus ou ataques
semelhantes; abusos e crimes diversos contra os computadores.
As vulnerabilidades, segundo Peixoto (2006) são também frutos de ameaças
generalizadas e exploradas, afetando assim a segurança das informações.
De acordo com Sêmola (2003) as vulnerabilidades por si só não provocam incidentes,
pois são elementos passivos, necessitando para tanto de um agente causador ou condição
favorável, que são as ameaças.
A vulnerabilidade dos sistemas de informação aumenta à medida que nos movemos
em direção a um mundo onde prevalece a computação em rede. Teoricamente, existem
centenas de pontos nos sistemas de informação de uma empresa sujeitos a ameaças. O risco
que uma organização corre está relacionado à exploração de vulnerabilidades que permitam
comprometer a integridade, disponibilidade e confidencialidade das informações. (SÊMOLA,
2003)
Juntando conceitos de Sêmola (2003) e de Peixoto (2006) pode-se exemplificar como
vulnerabilidades dentro de um ambiente corporativo:
3
Blackouts: palavra oriunda da língua inglesa que significa blecaute em português.
Mainframe: palavra oriunda da língua inglesa que denomina, em português, um servidor central de
computadores ligados em rede.
4
32
•
Físicas: Instalações prediais fora do padrão, salas de CPD mal planejadas,
estrutura de segurança fora dos padrões exigidos (falta de extintores; detectores
de fumaça e outros recursos de combate a incêndio; risco de explosões e
vazamentos);
•
Naturais: Computadores são suscetíveis a danos naturais, como tempestades,
incêndio, além, por exemplo, de falta de energia, acúmulo de poeira, aumento
da umidade e temperatura;
•
Hardware: Desgaste do equipamento, obsolescência, má utilização, erros
durante a instalação;
•
Software: Erros na instalação ou configuração que acarretam acessos
indevidos, vazamento de informações e, dependendo do caso, perda de dados
ou indisponibilidade de recursos;
•
Mídias: Disquetes, fitas, relatórios e CD’s podem ser perdidos ou danificados,
e a radiação eletromagnética pode causar danos às mídias magnéticas às vezes
irreparáveis;
•
Comunicação: Acessos não autorizados ou perda de comunicação;
•
Humanas: Técnicas de Engenharia Social (vide 4.4.4 Métodos de Ataque da
Engenharia Social, págs. 49-54) e vulnerabilidades referindo-se ao fator
humano, como falta de treinamento, compartilhamento de informações
confidenciais, erros ou omissões, falta de equipamentos, conscientização, o não
segmento das políticas de segurança; ameaça de bomba, sabotagem, distúrbios
civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões
ou guerras.
Vale ressaltar alguns fatores, de acordo com Mitnick e Simon (2003 apud Peixoto,
2006) que tornam as empresas cada vez mais vulneráveis aos ataques do Engenheiro Social
(vide 4.4 Engenharia Social nas Empresas págs. 43-59) fazendo com que haja uma reflexão
melhor quando se trata de informações: um número grande de funcionários; diversas
instalações; informações sobre o paradeiro dos empregados deixadas nas mensagens de voice-
33
mail5; informações de ramal de telefone disponíveis; falta de treinamento em segurança; falta
de sistema de classificação de dados; e nenhum plano ou grupo de resposta aos incidentes de
segurança.
4.2.4 Aspectos da Segurança da Informação
De acordo com Sêmola (2003) apud Peixoto (2006), muitos percebem os aspectos da
segurança considerando apenas os problemas associados à tecnologia, mais precisamente
Internet, redes, computadores, e-mail, vírus e harckers.
Em função desse entendimento, Sêmola (2003) enumera alguns pecados praticados
com relação à segurança da informação que podem refletir negativamente no negócio: atribuir
a segurança da informação exclusivamente à área de tecnologia; posicionar hierarquicamente
essa equipe abaixo da diretoria de TI; definir investimentos subestimados e limitados à
abrangência dessa diretoria; elaborar planos de ação orientados à reatividades; não perceber a
interferência direta da segurança com o negócio; tratar as atividades como despesa e não
como investimento; adotar ferramentas pontuais como medida paliativa; satisfazer-se com a
sensação de segurança provocada por ações isoladas; não cultivar corporativamente a
mentalidade de segurança; e tratar a segurança como um projeto e não como um processo.
Assim como Sêmola (2003) e Peixoto (2006), Siqueira (2005) diz que muitas
empresas têm como foco da política de segurança da informação (vide 4.2.9 Política de
Segurança da Informação, págs. 41-42) o hábito de restringir, monitorar e inspecionar acessos
à intranet, Internet e correio eletrônico, sob o argumento de que estes são a forma mais fácil
de vazamento de informações estratégicas do negócio. Apesar de questionável, esta é uma
prática comum e de fácil justificativa: é mais fácil um gerente de segurança explicar a
negativa de acesso de um analista de sistemas aos dados de produção do que justificar o
vazamento dessas informações à concorrência, quando setores indiretamente ligados à
produção têm acesso a essas informações.
5
Voice-mai: palavra oriunda da língua inglesa, significa correio de voz em português.
34
Segundo Peixoto (2006) deve-se ter em mente que o alicerce que assegura os
princípios
básicos
da
Segurança
da
Informação
(confidencialidade/integridade/
disponibilidade) tange como principais questionamentos, quando da ocorrência de alguma
ameaça surgida, em três aspectos: Segurança Física; Segurança Tecnológica; e Segurança
Humana.
4.2.5 Segurança Física da Informação
De acordo com Sêmola (2003), o ambiente físico deve receber a implementação de um
conjunto de mecanismos voltados a controlar o acesso e as condições de ambientes físicos,
sinalizando, registrando, impedindo e autorizando acessos e estados; como por exemplo,
roletas de controle de acesso físico, acionadores de água para combate a incêndios, detectores
de fumaça, dispositivos de biometria, circuitos internos de televisão, alarmes e sirenes,
fragmentadores de papel, entre outros.
4.2.6 Segurança Tecnológica da Informação
Segundo Gamboa (1997 apud Siqueira, 2005), o uso excessivo de tecnologias que vise
a restrição ao acesso à informação pode se tornar perigosas, principalmente quando tentam
“controlar a rotina das pessoas” de foram irracional ou impor barreiras invisíveis, que
regridam ao modelo industrial na tentativa de criar sistemas fechados.
Sêmola (2003) diz que a lista de dispositivos aplicáveis aos ativos tecnológicos é
extensa, pois, além da diversidade e heterogeneidade de tecnologias, ainda tem-se que
considerar a velocidade criativa do setor que apresenta uma nova ferramenta ou equipamento
praticamente todo dia.
4.2.6.1 Tecnologia da Informação para Segurança da Informação
Os instrumentos aplicáveis aos ativos tecnológicos são divididos por Sêmola (2003)
em três famílias: autentificação e autorização; combate a ataques e invasões; e privacidade das
comunicações.
35
4.2.6.1.1 Autentificação e Autorização
Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e
agentes em geral, os mecanismos de autentificação mostram-se fundamentais para os atuais
padrões de informatização, automação e compartilhamento de informações, para Sêmola
(2003). Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável
realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a
compartilhar informações valiosas sem controle.
Diante tantas opções de autentificação e da oferta de diferentes níveis de segurança
proporcionados por cada método, é fator crítico de sucesso para o gestor de segurança analisar
em detalhes do ambiente de autentificação, as reais necessidades de proteção impostas pela
criticidade das informações e os impactos relacionados ao desempenho e montante de
investimento demandado. Mesmo assim, podem surgir situações em que um único método
não atenda aos requisitos mínimos de segurança, tornando necessário combinar um ou mais
métodos (SÊMOLA, 2003).
Os métodos de autentificação são divididos pelo autor em três grupos, devido ao grau
de segurança que oferecem: o que você sabe, o que você tem e o que você é.
“O que você sabe” é o método muito utilizado e baseado na definição de uma senha,
portanto, uma spring pessoal e intransferível entregue ao agente autorizado a empregá-la,
sendo mantida uma cópia de comprovação no instrumento controlador. De início este método
já revela fragilidades, pois a segurança depende de fatores internos, como a estrutura de
construção e manutenção da senha, bem como de fatores externos ao método como o
comportamento dos agentes que podem ter desvios de conduta, levando ao comprometimento
do mecanismo. Para Sêmola (2003), uma senha pode assumir o rótulo de forte ou fraca
dependendo de três fatores: do valor e importância das informações protegidas por ela, do
tempo em que a senha estará cumprindo o papel de proteção, e pelo poderio, interesse e
disposição que um suposto interessado despenderia para obter à informação protegida.
“O que você tem” é o método onde há um grande conjunto de dispositivos que se
encaixam neste perfil. A escolha do melhor mecanismo está diretamente atrelada ao nível de
segurança necessário para as informações e inevitavelmente o orçamento disponível
(SÊMOLA, 2003).
36
O método “O que você é” ainda está em fase de popularização e barateamento, este
método emprega dispositivos físicos que realizam biométricas para identificar pessoas que
exercem o direito de acesso a informações, ambientes, etc. Normalmente são equipamentos
dispendiosos devido à tecnologia de ponta empregada, pois se baseiam na leitura de
informações do corpo humano, que são únicas em cada indivíduo. (SÊMOLA, 2003).
4.2.6.1.2 Combate a Ataques e Invasões
Destinados a suprir a infra-estrutura tecnológica com dispositivos de software e
hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, este
grupo de mecanismos tem papel importante no modelo de gestão de segurança, à medida que
as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente
(SÊMOLA, 2003).
Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e
registro de acessos lógicos, bem como dispositivos voltados para a segmentação de
perímetros, identificação e tratamento de tentativas de ataque. O mais conhecido é o sistema
de firewall.
4.2.6.1.2.1 Firewalls
De acordo com a Wikipédia (2007), firewall é o nome dado ao dispositivo de uma
rede de computadores que tem por função regular o tráfego de rede entre redes distintas e
impedir a transmissão e/ou recepção de dados nocivos ou não autorizados de uma rede a
outra.
Segundo Lopes (1997), um firewall é um separador, um bloqueador e um analisador,
enquanto a implementação física varia de site para site, podendo ser, por exemplo, um
roteador, um computador, ou uma combinação de roteadores e computadores
O termo inglês firewall faz alusão comparativa à função que desempenha, executando
comandos de filtragem previamente especializiados com base nas necessidades de
compartilharmento, acesso e proteção requeridos pela rede e pelas informações disponíveis
através delaç da mesma forma que uma parede corta-fogo (firewall) evita o alastramento de
incêndios pelos cômodos de uma edificação (WIKIPÉDIA, 2007 e SÊMOLA, 2003).
37
4.2.6.1.3 Privacidade das Comunicações
Quando o assunto é privacidade das comunicações, é inevitável falar de criptografia,
que é a maneira principal de combate com relação a esse aspecto.
4.2.6.1.3.1 Criptografia
Para Sêmola (2003), a criptografia é uma ciência que estuda os princípios, meios e
métodos para proteger a confidencialidade das informações através da codificação ou
processo de cifração e que permite a restauração da informação original através do processo
de decifração.
Baseado em Misaghi (2004), define-se a criptografia como uma parte da criptologia, a
ciência das mensagens secretas. A história, estudo e desenvolvimento das técnicas de
ocultação das mensagens são baseados nesta ciência. A criptografia aborda maneiras para
processamento (computacional ou não) de documentos com o objetivo de esconder seu
conteúdo, validar sua integridade e proteger seu uso contra pessoas não autorizadas.
Muitas organizações confiam na criptografia para proteger informações sensíveis
transmitidas pela internet e outras redes públicas, por definição menos seguras que as
privadas. Ela salvaguarda a transmissão de dados de pagamento, tais como informações de
cartão de crédito, e envolve questões de autenticação e integridade de mensagem (LAUDON
e LAUDON, 2004).
Muito aplicada na comunicação de dados, esta ciência se utiliza de algoritmos
matemáticos e da criptoanálise para conferir maior ou menor proteção de acordo com a
complexidade e estrutura de desenvolvimento (SÊMOLA, 2003:122).
A criptoanálise é um conjunto de métodos para analisar mensagens cifradas com o
objetivo de decifrá-las. Seria o lado contrário da criptografia onde a mesma é concebida como
a ciência de quebrar códigos, desvendar segredos, violar esquemas de autenticação e efetuar a
quebra de protocolos criptográficos (SULZBACH, 2003).
Os
componentes
criptográficos
da
segurança
da
informação
tratam
da
confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o
uso desses pilares é feito em conformidade com as necessidades específicas de cada
organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das
38
informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras
decisões de gestão de riscos (FILHO, 2004).
4.2.7 Segurança Humana
Como já mencionado por vários autores, o fator humano é crucial para a Segurança da
Informação no âmbito pessoal e corporativo. Na pesquisa da empresa Módulo Security – veja
no Gráfico 1 abaixo – os “funcionários insatisfeitos” aparecem em segundo lugar no quesito
de quebra de segurança nas empresas, perdendo somente para os “vírus”.
Gráfico 1: Elementos responsáveis pela quebra da Segurança da Informação em
empresas
Ao pensar em peopleware, ou seja, no capital humano como um dos elos mais críticos
e relevantes para a redução dos riscos, Sêmola (2003) aponta os seguintes controles:
seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de
segurança; crachás de identificação; procedimentos específicos para demissão e admissão de
funcionários; procedimentos específicos para tratamento de recursos terceirizados; termo de
responsabilidade; termo de confidencialidade; softwares de auditoria de acessos; e softwares
de monitoramento e filtragem de conteúdo, etc.
De acordo com Peixoto (2006), assim como o funcionário que trabalha na empresa, o
ex-funcionário representa um grande fator de risco em se tratando de informações
confidenciais. Funcionários insatisfeitos ou revoltados por uma demissão devem ser sempre
pontos de suspeita em casos às vezes inexplicáveis de perdas de documentos importantes,
39
entrega de informações que somente aquele setor deveria saber, dentre inúmeros outros
problemas quanto à seguridade de informações internas da empresa.
Quando se demite um funcionário, isso deve ser comunicado imediatamente ao setor
de TI da empresa caso existam identificações em âmbito tecnológico com responsabilidade
perante armazenamento da entrada/saída de funcionários no banco de dados, conta de e-mail
criada para este funcionário, id, senha, dentre outros meios existentes que autentiquem este
funcionário como integrante da empresa (PEIXOTO, 2006).
Tratando-se de Segurança da Informação mediante os cuidados que se deve ter com
um ex-empregado, Peixoto (2006) destaca as principais medidas a serem tomadas:
•
Um checklist completo das etapas a serem tomadas quando um empregado vai
embora, com providências especiais para os funcionários que tinham acesso a
dados confidenciais;
•
Uma política de encerramento imediato do acesso do empregado ao
computador – da preferência antes da pessoa deixar o prédio;
•
Um procedimento para recuperar o crachá de identificação da pessoa, bem
como de todas as chaves ou dispositivos de acesso eletrônico;
•
Medidas que exijam que os guardas da segurança vejam o ID com foto antes
de admitir qualquer empregado que não tenha o seu passe de segurança, e a
verificação do nome em uma lista para saber se a pessoa ainda é funcionária da
organização.
4.2.8 Medidas de Segurança
Conforme escrito por Sêmola (2003), medidas de segurança são práticas,
procedimentos e mecanismos usados para proteção da informação e seus ativos, que podem
impedir que as ameaças explorem vulnerabilidades, a redução das vulnerabilidades, a
limitação do impacto ou minimização do risco de qualquer forma.
Sêmola (2003) considera as medidas de segurança como controles que podem ter as
seguintes características:
40
•
Preventivas: Medidas de segurança que tem como objetivo evitar que
incidentes venham a ocorrer. Visam manter a segurança já implementada por
meio de mecanismos que estabeleçam a conduta e a ética da segurança na
instituição. Como exemplos, podem-se citar as políticas de segurança (vide
4.2.9 Políticas de Segurança da Informação, págs. 41-42), instruções e
procedimentos de trabalho, especificação de segurança, campanhas e palestras
de conscientização de usuários; ferramentas para implementação da política de
segurança, por exemplo, firewall (vide 4.2.6.1.2.1 Fiewalls, pág. 36-37),
antivírus, configurações adequadas de roteadores e dos sistemas operacionais,
entre outros.
•
Detectáveis: Medidas de segurança que visam identificam condições ou
indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem
vulnerabilidades. Alguns exemplos são: análise de riscos, sistemas de detecção
de intrusão, alertas de segurança; câmeras de vigilância, alarmes, entre outros.
•
Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana
para que as mesmas se adaptem às condições de segurança estabelecidas pela
instituição, ou voltadas à redução dos impactos: equipes para emergências,
restauração de backup, plano de continuidade operacional, plano de
recuperação de desastres.
Por se tratar de um problema generalizado e corporativo, envolvendo os aspectos
físicos, tecnológicos e humanos que sustentam a operação do negócio, torna-se necessário,
que se inicie os trabalhos mobilizando primeiro os executivos da diretoria da empresa, para
depois atingir os demais da hierarquia; e as ações tem seu início no nível operacional.
As ações precisam estar intimamente alinhadas com as diretrizes estratégicas da
empresa e, para isso, é necessário ter uma visão corporativa, global e ampla, capaz de criar
sinergia entre as atividades. Sêmola (2003) diz que importante conseguir a eliminação de
ações redundantes e, muitas vezes conflitantes, que depreciam o plano corporativo de
segurança da informação.
41
4.2.9 Política de Segurança da Informação
Com o propósito de fornecer orientação e apoio às ações de gestão de segurança, a
política, segundo Sêmola (2003), tem papel fundamental. Uma política estabelece padrões,
responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das
informações dentro do nível de segurança estabelecido sob medida pela e para a empresa;
portanto, a mesma deve ser personalizada.
É muito importante o envolvimento da alta direção, refletida pelo caráter oficial com
que a política é comunicada e compartilhada junto aos funcionários. Este instrumento deve
expressar as preocupações dos executivos e definir as linhas de ação que orientarão as
atividades táticas e operacionais (SÊMOLA, 2003).
Critérios normatizados para admissão e demissão de funcionários; criação de
manutenção de senhas; descarte de informação em mídia magnética; desenvolvimento e
manutenção de sistemas; uso da Internet; acesso remoto; uso de notebook6; contratação de
serviços terceirizados; e classificação da informação são bons exemplos de normas de uma
típica política de segurança para Sêmola (2003).
Pode-se perceber, portanto o quão complexo é desenvolver e, principalmente, manter
atualizada a política de segurança da informação com todos os seus componentes. Esta
percepção torna-se ainda mais latente ao ser considerado o dinamismo do parque tecnológico
de uma empresa, e, ainda, mudanças previsíveis e imprevisíveis que o negócio poderá sofrer
(SÊMOLA, 2003).
Desta forma, o importante é iniciar com um grupo de trabalho formado por
representantes das áreas e departamentos mais representativos, integrando visões, percepções
e necessidades múltiplas que tenderão a convergir e gerar os instrumentos da política. Sêmola
(2003) indica os seguintes passos:
•
Comece elaborando as diretrizes, envolva os executivos e conquiste apoio;
•
Estabeleça os responsáveis e os gestores diretos da manutenção política;
Notebook: palavra oriunda da língua inglesa, utilizada para denominar, em português, um
computador portátil.
6
42
•
Desenvolva um programa de divulgação das diretrizes, normas, procedimentos
e instruções da política como instrumento para disseminação de cultura e
conscientização dos funcionários;
•
Lance mão de seminário, cartazes, brindes, comunicações oficiais de
executivos, cursos convencionais ou on-line, protetores de tela e tudo mais que
se aplicar ao perfil da empresa e a natureza de sua atividade;
•
Envolva todos os funcionários, fazendo-os sentir co-responsáveis pela saúde da
segurança do negócio e, principalmente, responsáveis pela proteção das
informações por eles custodiadas.
A conformidade com os requisitos legais, envolvendo obrigações contratuais, direitos
de propriedade intelectual, direitos autorais de software e todas as possíveis regulamentações
que iniciam no negócio da empresa devem ser respeitados e, logo, deve ser a linha de conduta
da construção da política de segurança. (SÊMOLA, 2003)
4.2.10 Plano de Continuidade de Negócios
Garantir a continuidade de processos e informações vitais à sobrevivência da empresa,
no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre.
Com este propósito e formado pelas etapas de análise se impactos no negócio, estratégias de
contingência e três planos de contingência, o Plano de Continuidade de Negócios deve ser
elaborado com o claro objetivo de contingenciar situações e incidentes de segurança que não
puderem ser evitados (SÊMOLA, 2003).
Assim, segundo Sêmola (2003) o Plano de Continuidade tem, por sua natureza, um
alto nível de complexidade, podendo assumir diversas formas em função do objeto a ser
contingenciado e a abrangência de sua atuação.
“Diferente do que muitos imaginam, uma empresa não possuirá um plano único,
mas diversos planos integrados e focados em diferentes perímetros, sejam físicos,
tecnológicos ou humanos e, ainda, preocupada com múltiplas ameaças potenciais.
Essa segmentação é importante, afinal, uma empresa tem processos cuja tolerância
à falha é variável, os impactos idem, assim como o nível de segurança necessário à
natureza das informações manipuladas” SÊMOLA (2003:99)
43
Seja qual for o objeto de contingência – uma aplicação, um processo de negócio, um
ambiente físico e, até mesmo uma equipe de funcionários –, a empresa deverá selecionar a
estratégia que melhor conduza o objeto a operar sob nível de risco controlado.
4.2 ENGENHARIA SOCIAL NAS EMPRESAS
O termo ”Engenharia Social” abrange diretamente o assunto referente aos fatores
externos que, superficialmente, significa o estudo dos meios pelos quais um indivíduo pode
ser capaz de induzir outro a agir de determinada maneira.
A Engenharia Social é tratada na mesma linha de pensamento dentre vários autores.
Peixoto (2006), em sua obra, leva em conta o significado das palavras supostamente
separadas:
“Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas
habilitações específicas à criação de estruturas, dispositivos e processos que se
utilizam para converter recursos naturais em formas adequadas ao atendimento das
necessidades humanas.” (FERREIRA, 1995:687 apud PEIXOTO 2006:4)
“Social: Da sociedade, ou relativo a ela. Sociável. Que interessa à sociedade.”
(FERREIRA, 1995:687 apud PEIXOTO 2006:4)
A melhor definição encontrada por Peixoto (2006) é da Konsultex Informática,
empresa de software especializada em gerenciamento de projetos.
“Engenharia Social é a ciência que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não
se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são
amplamente utilizadas por detetives (para obter informações) e magistrados (para
comprovar se um declarante fala a verdade). Também é utilizada para lograr todo
tipo de fraudes, inclusive invasão de sistemas eletrônicos.” (KONSULTEX, 1993
apud PEIXOTO, 2006:4)
Assim também a define Engenharia Social Nakamura e Geus (2003)
“A engenharia social é a técnica que explora as fraquezas humanas e sociais, em
vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras
informações que possam comprometer a segurança da organização”
(NAKAMURA,GEUS, 2003:70).
Segundo um dos maiores especialistas na arte da Engenharia Social, Kevin Mitnick, a
Engenharia Social “é um termo diferente para definir o uso de persuasão para influenciar as
pessoas a concordar com um pedido”. (MITNICK, 2003 apud PEIXOTO, 2006)
44
Gartner (2002) em seu artigo, também diz que a Engenharia Social, envolve a
manipulação de pessoas mais do que de tecnologia, para encontrar uma brecha perfeita num
sistema de segurança da empresa. Ela ataca o sistema de segurança de uma empresa usando
uma combinação de habilidades interpessoais, pesquisa e habilidades técnicas para explorar
uma brecha que revele dados privados em âmbito corporativo e pessoal.
De acordo com Peixoto (2006) a Engenharia Social retrata três aspectos fundamentais
que englobam sua verdadeira essência. Uma delas é como ciência, na forma de estudo,
pesquisa e descobrimento que o Engenheiro Social deve ter consigo. A técnica, como modelo
de aplicação de suas habilidades envolvendo características propriamente padronizadas como
principalmente personalizadas ou incrementadas. Por fim, a arte como o meio mais criativo e
envolvente que o Engenheiro Social pode trazer levando em conta o senso lógico, mas,
sobretudo emocional, que é muito bem explorado por esse mestre articulador das
vulnerabilidades humanas.
4.4.1 Perfil do Engenheiro Social
De acordo com Peixoto (2006), geralmente o Engenheiro Social é um tipo de pessoal
agradável. Ou seja, uma pessoa educada, simpática, carismática. Mas, sobretudo, criativa,
flexível e dinâmica, possuindo uma conversa bastante envolvente.
Peixoto (2006) diz que os indivíduos manipuladores em geral têm personalidades
muito envolventes. Eles geralmente são astutos e bem articulados. Os Engenheiros Sociais
também são especialistas na arte de distrair os processos de pensamento das pessoas para que
elas cooperem com seu objetivo. Imaginar que determinada pessoa não é vulnerável a essa
manipulação é subestimar a inteligência e o instinto do Engenheiro Social.
Turban et al. (2004) em sua obra traçou um perfil básico de um Engenheiro Social,
bem como escreveu suas principais motivações para realizar os ataques. Para melhor
apresentação, confeccionaram-se estes quadros:
45
Quadro 2: Perfil do Engenheiro Social
Homens brancos, com idades entre 19 e 30 anos, sem
Sexo
antecedentes criminais. (As mulheres têm tendência de serem
cúmplices)
Ocupação
Programador de aplicativos, usuário de sistema, pessoal
administrativo, estudantes, gerentes.
QI
QI elevado, inteligente, boa aparência e criativo.
Aparência
Aparentemente autoconfiante, ambiciosa e dinâmico
Abordagem ao trabalho
Gosta de aventuras, disposto a aceitar desafios tecnológicos,
altamente motivado.
Fonte: TURBAN et al. (2004), adaptado por BALDIM (2007).
Quadro 3: Elementos Motivadores para os Engenheiros Sociais
Econômica
Necessidade urgente de dinheiro
Ideológica
Enganar o sistema é visto como jogo limpo, uma vez que o
“sistema engana todo mundo”
Egocêntrica
É divertido, desafiante e emocionante enganar o sistema. O
egocentrismo parece ser o principal motivador desses criminosos.
Psicológica
Vingar-se do patrão, que é visto como frio, indiferente e
impessoal
Diversão
Divertir-se invadindo um sistema, roubando senhas, etc.
Outras
O funcionário acredita que está “tomando um software
emprestado” e não o roubando
Fonte: TURBAN et al. (2004), adaptado por BALDIM (2007).
4.4.2 Características da Vulnerabilidade Humana exploradas pelos Engenheiros Sociais
O Engenheiro Social trabalha como ninguém os pontos relativos à psicologia humana.
46
Gartner (2002) diz que a Engenharia Social compreende em entender o
comportamento humano, e nas habilidades de persuadir os outros para conseguir informações
ou fingir que é outra pessoa. Persuasão por si mesma é uma arte e uma ciência; estudos
mostram que humanos tem certas tendências de comportamento que são exploráveis por uma
cuidadosa manipulação. Alguns indivíduos têm uma habilidade natural de manipular,
enquanto outros desenvolvem essa habilidade através de prática usando reforços positivos, e
negativamente. Engenheiros sociais brincam com essas tendências e motivações para excitar
certas respostas de seus alvos.
Para Filho (2004), é importante salientar que, independente do hardware, software e
plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual
possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia
social; como por exemplo: vontade de ser útil, busca por novas amizades e propagação de
responsabilidade.
De acordo com Mitnick e Simon (2003) apud Peixoto (2006), quando um Engenheiro
Social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse
conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam
estar preparadas para os ataques da Engenharia Social vindos de empregados atuais ou exempregados, que podem ter um motivo de descontentamento.
Para Peixoto (2006), qualquer coisa que conserve ou forneça informações está
vulnerável ao engenheiro social, e ninguém em qualquer nível da empresa está a salvo dele.
Toda e qualquer informação é valiosa para um atacante. É importante lembrar que
engenheiros sociais são cíclicos, com pequenos ataques regulares, eles ganham informações
até conseguir seu objetivo. Informações podem ser públicas ou privadas, acessíveis ou não
acessíveis. Infelizmente, a maioria das informações é pública e acessível, como dados
financeiros, dados pessoais (por exemplo, nome de sua mãe, número da carteira de motorista,
número da identidade), que formam detalhes que podem ligar a documentos secretos.
(GARTNER, 2002)
Garnter (2002) em seu artigo aponta seis tendências básicas de comportamento
humano que ajuda a gerar uma resposta positiva para os engenheiros sociais:
47
Quadro 4: Seis Comportamentos humanos para resposta positiva
Comportamento
Definição
Exemplo
Reciprocidade
Alguém é estigado e se sente
obrigado a fazer algo sobre
alguma coisa.
Você compra uma rodada de queijo
quando eles te dão desconto.
Coerência
Certos comportamentos
moldados são coerentes de uma
pessoa a outra.
Se você perguntar algo e esperar, a
pessoa vai se sentir obrigada a falar
algo.
Aceitação social - Alguém é obrigado a fazer o que
todo mundo faz.
Medo
Parar no meio de uma rua
movimentada e olhar para cima;
pessoas eventualmente irão parar e
fazer o mesmo.
Simpatia
Pessoas tendem a dizer sim para
aqueles que ele gosta ou sentem
atraídos.
Bonitas modelos são usadas em
publicidade
Autoridade
Pessoas tendem a escultar ou
“Quatro entre cinco médicos
prestar atenção nos avisos de
recomendam..”
quem tem posição de autoridade.
Escassez
Se alguém está com poucos
suplementos, isso se torna mais
“precioso” e, portanto, mais
apelativo.
Furbees ou Sony Playstation 2.
Fonte: Gartner Research (2002); tradução adaptada por BALDIM (2007)
4.4.3 Ciclo de Ataque do Engenheiro Social
Os autores Gartner (2002) e Filho (2004) descrevem, nos mesmos aspectos, o ciclo de
ataque de um engenheiro social:
Figura 3: Ciclo de ataque do engenheiro social
Fonte: Gartner Research (2002)
48
•
Coletar informações: Atacantes usam uma variedade de
técnicas para juntar informações sobre seus alvos, como número de CPF, data
de nascimento, nomes dos pais, manuais da empresa, etc. Isso pode ser através
de coisas simples como uma lista telefônica, arquitetura de sistemas ou
estruturas/procedimentos organizacionais. Todas essas informações serão
usadas como base para construir uma relação, mesmo que temporária, com
alguém conectado ao eventual objetivo.
•
Desenvolvimento da relação: É da natureza humana ser de
alguma maneira confiável. Atacantes exploram essa tendência para
desenvolver uma afinidade com seus alvos. Em alguns casos, isso é feito por
uma simples ligação telefônica; em outros, pode demorar semanas ou mais.
Desenvolvendo uma relação, os atacantes se colocam numa posição de
confiança, para que assim esta possa ser explorada.
•
Explorando a relação: O atacante explora o alvo fazendo com
que ele revele informações (por exemplo, senhas, números de cartão de crédito
ou período de ferias) ou que faça algo (como por exemplo, abrir uma conta)
que ele não faria eventualmente naquele momento. A informação ou ação pode
ser o objetivo final ou pode ser usado como uma etapa para o próximo ataque
ou próxima fase do ataque.
•
Executando do ataque: O atacante executa o ciclo para realizar
o ataque contra empresa ou vítima, usando todas as informações e recursos
obtidos. Normalmente, um ataque pode incluir um certo número desses ciclos,
combinados com tradicionais métodos de cracking e alguma informação física,
para alcançar o objetivo final.
Uma série de sucessos pequenos, aparentemente não relacionados, podem dar base à
um ataque mais-sério. Essa informação pode então ser usada para infiltrar mais na empresa,
até que finalmente o atacante convença seus alvos de liberar a informação de que necessita
para comprometer a segurança da empresa (GARTNER, 2002).
49
4.4.4 Métodos de Ataque do Engenheiro Social
Com a Engenharia Social, nada parece ser o que é. A atividade primordial da
engenharia social é de manipulação de pessoas usando uma combinação de espionagem,
roubo e engano para ser bem sucedido em encontrar brechas no sistema de segurança das
empresas. Atacantes usam artimanhas psicológicas para tirar vantagem da boa vontade,
confiança e desejo de ser útil aos usuários. Os usuários, portanto, são levados a fazer coisas
pessoalmente ou on-line em favor do atacante. GARTNER (2002).
Como mostra GARTNER (2002), o atacante pode ser uma pessoa de dentro ou de fora
da empresa que finge ser outra pessoa, no telefone, por e-mail e através de programas
maliciosos disfarçados de mensagens interessantes ou programas legítimos.
Em seu artigo, GARTNER (2002) expõe alguns métodos de conseguir informações
normalmente empregados pelos engenheiros sociais:
•
Fingindo ser autoridade: Com algum conhecimento, os atacantes podem
personificar figuras com pressão da autoridade e enganar alvos humanos.
•
Fingindo ser alguém necessitado: Os humanos têm uma tendência de ajudar
ao outro com necessidade, tal como os usuários que têm a dificuldade alcançar
seus clientes. Com pouca pesquisa, os atacantes podem aprender bastante
informação sobre um usuário real (por exemplo, número ou gerente do
empregado) e enganar a atendente de ajuda a revelar uma senha.
•
Roubo de identidade: Este é um problema crescente para indivíduos e
empresas. Muitas informações que nós usamos para nos identificar ao mundo
está facilmente disponível. Não é incomum atualmente que os criminosos
tenham bastante informação sobre você para “roubar” sua identidade e criar
um novo cartão de banco ou de crédito dos clientes já existentes.
•
Manutenção e suporte: Uma das maneiras mais fáceis de adentrar em uma
empresa é trabalhar lá. Quando um novo empregado for visível, poucas
empresas prestam atenção à equipe de funcionários da limpeza, aos
trabalhadores provisórios, aos telefonistas ou aos empregados da manutenção
que têm o acesso cheio às informações administrativas.
50
•
Softwares maliciosos: Muitos dos vírus que mais se proliferam são realmente
ataques da engenharia social, tais como o “Melissa” ou o ILOVEU. Estes vírus
trabalham somente se os usuários os executarem em seu sistema. Os usuários
são levados a fazer isso pelo índice compelindo do E-mail, pelo assunto ou
porque a origem da suposta mensagem é conhecida e confiável.
•
Pesquisa: Na era da informação, há muito pouco sobre nós e com quem
trabalhamos que um bom pesquisador não consiga descobrir.
Peixoto (2006) também aponta certas técnicas clássicas de ataque de um Engenheiro
Social. São elas:
a) Informações Inofensivas X Valiosas
Como um jogo de quebra-cabeças, as informações são postas como “pedaços”
importantes, que se juntando aos outros “pedaços” formarão o resultado final do que se
espera. Assim, informações que parecem ser irrelevantes ou tampouco consideradas como
importantes, quando juntadas a outras também assim consideradas, tomam forma diferente
daquilo que imaginávamos inofensivo. Isso faz com que o Engenheiro Social tenha acesso a
informações que até então eram confidenciais.
Vale a seguinte regra: Não dê nenhuma informação pessoal ou interna da empresa,
nem identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante tenha
necessidade de saber a informação.
Segundo Kevin Mtinick (2006):
“Como diz o ditado: até mesmo os verdadeiros paranóicos provavelmente têm
inimigos. Devemos assumir que cada empresa também tem os seus – os atacantes
que visam a infra-estrutura da rede para comprometer os segredos da empresa. Não
acabe sendo uma estatística nos crimes de computadores; está mais do que na hora
de armazenar as defesas necessárias implementando controles adequados por meio
de políticas de segurança e procedimentos bem planejados” (MITNICK e SIMON,
2003 apud PEIXOTO, 2006:8)
GARTNER (2002), em seu artigo, montou um quadro que resume bem essa técnica de
ataque de um Engenheiro Social:
b) Criando confiança
É um dos elementos que compõe o Ciclo de Ataque da Engenharia Social. Segundo
Yamagishi (1998) segurança está muito próximo da confiança.
51
“... a confiança generalizada é a expectativa básica de um comportamento não
explorador da contraparte, até que prova em contrário” (YAMAGISHI, 1998 apud
PEIXOTO, 2006:8)
O que o Engenheiro Social faz é simplesmente adquirir esta confiança primeiro para
que, depois de reforçado o “vínculo” de amizade criado, possa então atacar e conseguir as
informações. Ele prepara toda a teia de situações que podem vir a ocorrer, como
questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar ou
demonstrar insegurança, a ponto da vítima não ter motivo de desconfiar de algo estranho
nessa conversa.
Quando as pessoas não têm um determinado motivo para suspeitar, o Engenheiro
Social ganha a confiança mais facilmente. O hábito de aprender a se educar a observar, pensar
e questionar a autoridade que aparenta ser no momento é de fundamental importância para ao
menos dificultar a entrega de informações preciosas, ou até mesmo de informações
consideradas sem importância serem compartilhadas.
c) Simplesmente pedindo
Considerada literalmente a técnica mais simples de se conseguir informação. Quando
você tem alguma dúvida ou quer saber alguma informação, o que você faz naturalmente é
pedir. Então nada mais prático do que simplesmente solicitar o pedido da informação
interessada para a suposta vítima.
Primeiramente o Engenheiro Social deve sim ter ao menos conhecimento de alguns
jargões comumente utilizados naquele ambiente onde se fará o ataque. O saber da linguagem
de uma empresa e de sua estrutura corporativa, bem como os departamentos ali existentes e
suas funções, fazem parte da bagagem essencial de truques que um Engenheiro Social bem
sucedido deve ter consigo.
Segundo Kevin Mitnick (2003), em sua entrevista para a Information Week Brasil, das
características do comportamento humano que podem ser exploradas pelo Engenheiro Social,
duas são destaque neste contexto dessa técnica: a autoridade e o medo. Autoridade, devido a
credibilidade. Quando ele demonstra que sabe do que está falando, manipulando de uma
forma segura e convicta, a vítima se sente sufocada a dispor a informação requerida. Isso
também pelo fator conseqüente: o medo.
GARTNER (2002) apresenta um quadro demonstrando esse tipo de ataque:
52
Quadro 5: Uma simples requisição pessoal
O que é
Como funciona
Como se defender
Um tipo comum de
jogo de pessoa-parapessoa – envolvendo
impersonificação e
mentira – que explora
a boa vontade da
vítima.
O empregado responde a um
inocente pedido de ajuda com
um problema ou emergência,
normalmente de alguém que diz
estar “sem tempo” para resolvêlos pelos meios burocráticos. O
objetivo é obter o usuário e
senha. O atacante pode:
• Pedir ajuda para “trocar a
senha”
• “Esquecer” o sistema de senha
e perguntar à pessoas na
vizinhança.
• Dizer, “Deixei minhas coisas
na outra bolsa e eu realmente
preciso entrar no laboratório”.
Técnicas
• Técnicas/procedimento para
verificar a identidade de quem
liga.
• Fingir ser um executivo e –
tirando vantagem do novo
administrador do sistema –
requisitar acesso a conta do
verdadeiro executivo.
• Identificar-se como
representante do suporte técnico,
que precisa de ajuda com um
teste – por exemplo, “me passe
seu usuário e senha” ou “você
poderia mudar sua senha para..”
Processo
• O desejo de ser útil faz a pessoa
ficar vulnerável; entretanto, um
esforço extra deve ser gasto para
reforçar as políticas e processos
de segurança da informação.
Prevenção
• Educação sobre políticas de
segurança, começando quando
novos empregados são
contratados.
• Apresentação da política de
segurança em lugares sugestivos
– por exemplo, a mensagem
“Administradores do sistema
nunca perguntarão sua senha”
pode aparecer como uma nova
janela quando o usuário for
acessado.
• Cursos freqüentes para
administradores para que os
empregados sintam-se a vontade
para dizer “só um momento, por
favor, enquanto eu limpo seu
pedido com meu chefe."
d) Engenharia Social inversa
O atacante, com essa técnica, consegue criar um problema para você que somente ele
consegue resolver. Assim, gera uma teia para convencer o alvo de que ele tem um problema
sendo que este na verdade não existe ou ainda não aconteceu, mas que ele sabe que vai
acontecer porque ele vai causá-lo. Em seguida, ele se apresenta como a pessoa que pode
fornecer a solução (MITNICK e SIMON, 2003 apud PEIXOTO, 2006).
53
Esse tipo de ataque é extremamente poderoso, pois parte-se da premissa de que o
Engenheiro Social tem absoluta credibilidade para conseguir as informações que deseja.
4.4.4.1 Ferramentas utilizadas pelo Engenheiro Social
Peixoto (2006) apresenta em sua obra as principais ferramentas utilizadas pelo
praticante da Engenharia Social. São elas:
a) Telefone ou VoIP (voz sobre IP): Passar-se por alguém que não seria um dos
típicos ataques da Engenharia Social;
b) Internet (coleta de informações): Como, por exemplo, sites que fornecem id e
passwords default (DEFAULT, 2007 apud PEIXOTO, 2006), sites clonados ou via FTP,
Orkut, registro.br, Google, dentre outros;
c) Intranet (acesso remoto): Algo extremamente possível de acontecer. Como por
exemplo, por acesso remoto, capturando-se o micro de determinado usuário da rede e se
passando por alguém que na verdade não é. Como já visto, o funcionário insatisfeito é uma
das maiores ameaças existentes;
d) Email: utilizando fakemails ou e-mail falsos;
e) Pessoalmente (In Person Social Engineering): Poder de persuasão, habilidade em
saber conversar, tipo de ataque mais raro. O Engenheiro Social faz-se passar por alguém que
na verdade não é. Adota toda uma encenação, e, como um verdadeiro artista, busca manipular
a vítima de forma a ser bastante convincente no que diz.
f) Chats (bate-papo): Fazer-se passar por alguém que na verdade não é fica muito
mais fácil pelos canais de bate-papo. Além de tudo, mandar fotos fica mais atrativo e seduz
mais facilmente a conseguir informações que se deseja;
g) Fax: Primeiramente, obter o número do fax da pessoa física ou jurídica para que se
possa começar o ataque. Seguindo praticamente os mesmos princípios do e-mail, enviando,
por exemplo, pedidos de requisição, formulários de preenchimento, dentre outros, para
posterior retorno do que se deseja obter.
54
h) Cartas/correspondência: Não é o meio mais moderno sem dúvida, mas é um
recurso poderoso que faz como uma das maiores vítimas as pessoas mais velhas que aquelas
com certa resistência à tecnologia.
i) Spyware: Software “espião” usado para monitorar de modo oculto as atividades do
computador de um alvo;
j) Mergulho no lixo (“Dumpster diving”): Várias coisas que são descartadas para o
lixo muitas vezes contêm informações essenciais ao suposto Engenheiro Social, como por
exemplo, cadernetas com telefones; memorandos; manuais de políticas internas da empresa;
calendários com informações sobre eventos, cursos ou férias; manuais de sistemas utilizados;
nomes de usuários e senhas; disquetes; CD’s ou HD’s aparentemente inutilizáveis; papéis
timbrados da empresa, etc. E não se pode esquecer do lixo virtual, que deve ser esvaziado de
vez em quando;
k) Surfar sobre os ombros: É o ato de observar uma pessoa digitando no teclado do
computador para descobrir e roubar sua senha ou outras informações de usuário;
l) P2P (Peer-to-Peer): Tecnologia empregada para estabelecer comunicação entre
inúmeros computadores, como uma rede, onde cada estação possui capacidades e
responsabilidades equivalentes.
4.4.5 Engenharia Social na Internet
Mensagens de e-mails com títulos familiares podem fazer com que você acredite ser
alguém que na verdade não é. Links que lhe direcionam para determinada página que na
verdade não é realmente a original é outro ponto a ser destacado de vital importância
(PEIXOTO, 2006).
A Internet é um excelente recurso para coleta de informações, assim como para
“incrementar” a finalização de um ataque de Engenharia Social. Armadilhas como sites
clonados, mensagens enganosas que chegam a nosso correio eletrônico – fakemail (e-mails
falsos) – com anexos aparentemente inofensivos e chats (bate-papos) são ferramentas
frequentemente utilizadas pelo Engenheiro Social. O Quadro 7 exemplifica esse ataque.
55
Quadro 6: Um email “bastante interessante”
O que é
Como funciona
Como se defender
Os e-mails que
oferecem novos
amigos, diversão e
presentes de graça
tiram vantagem do
anonimato da Internet
ao código malicioso
da planta.
O empregado abre os e-mails e
os aplicativos fazem com que
vírus e worms encontrem a sua
maneira de entrar em sistemas e
em redes. Ele ou ela é motivado
a abrir porque lá aparece:
• Oferta de informação útil, tal
como observações da segurança
ou verificação de uma compra.
• Promessa de diversão, tal
como fofocas, desenhos de
humor ou fotografias.
• Oferece coisas de graça, como
músicas, vídeos ou programas de
download.
Assim como todos os vírus e
worms, o resultado pode variar
quanto à destruição ou à
alteração dos registros.
Técnicas
• Defesas técnicas quanto a
monitoramento e segurança dos
anexos de e-mail dos clientes.
•Atualização freqüente do antivírus.
Processo
• Publicar os procedimentos que
instruam os empregados em que
fazer exame e a quem contatar
quando encontrem mensagens
suspeitas.
Conscientização
• Instrução a respeito dos sinais
indicadores de E-mails chamados
“falsos amigos.”
4.4.6 Medidas de Defesa contra a Engenharia Social
Kevin Mitnick, um dos maiores especialistas no assunto, diz que:
“A verdade é que não existe tecnologia no mundo que evite o ataque de um
Engenheiro Social (MITNICK e SIMON, 2003 apud PEIXOTO, 2006:56).”
Contudo a idéia é dificultar ao máximo a concretização dos planos que o Engenheiro
Social tem em mente e deseja por em prática.
Quanto à segurança em relação a vírus, Peixoto (2006) aponta uma regra básica: ter
um antivírus instalado. Também, se possível, deixar ativado o firewall do Sistema
Operacional ou instalar algum disponível facilmente na Internet. Ele também registra que o
melhor antivírus é aquele que está sempre atualizado, preferencialmente, diariamente.
De acordo com Peixoto (2006) o hacker pode ser considerado o primo longe do
Engenheiro Social. Nem todo Engenheiro Social é um hacker, mas em alguns casos o hacker
chega a ser um Engenheiro Social, com condutas semelhantes à captura de informações. O
56
hacker age de forma a explorar muito mais as vulnerabilidades técnicas, enquanto o
Engenheiro Social explora as vulnerabilidades humanas.
Filho (2004) em seu artigo diz que especialistas afirmam que a medida que nossa
sociedade torna-se cada vez mais dependente da informação, a Engenharia Social tende a
crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes)
organizações. Essas medidas compreendem:
•
Educação e Treinamento: Importante conscientizar as pessoas sobre o valor
da informação que elas dispõem e manipulam, seja ela de uso pessoal ou
institucional. Informar os usuários sobre como age um engenheiro social.
•
Segurança Física: Permitir o acesso a dependências de uma organização
apenas às pessoas devidamente autorizadas, bem como dispor de funcionários
de segurança a fim de monitorar entrada e saída da organização.
•
Política de Segurança: Estabelecer procedimentos que eliminem quaisquer
trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha
e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso
de senhas de difícil descoberta, além de remover contas de usuários que
deixaram a instituição.
•
Controle de Acesso: Os mecanismos de controle de acesso tem o objetivo de
implementar privilégios mínimos a usuários a fim de que estes possam realizar
suas atividades. O controle de acesso pode também evitar que usuários sem
permissão possam criar/remover/alterar contas e instalar software danosos a
organização.
Gartner (2002) ratifica a idéia de Filho (2004) quando expõe que a defesa contra os
ataques da Engenharia Social começa com as políticas claras, consistentes, detalhadas e
reforçadas de segurança escritas em um plano de segurança.
Ainda em seu artigo, Gartner (2002) apresenta algumas alternativas de segurança para
as empresas e empregados contra a Engenharia Social:
•
Defina claramente, distribua e discuta as políticas e os procedimentos da
segurança que cobrem as principais áreas de vulnerabilidade aos ataques da
Engenharia Social;
57
•
Programas educacionais da conduta em todos os níveis de a empresa. Realizar
um “backup” desse programa fazendo uma simulação em que um gerente finge
ser um engenheiro social para testar o nível de instrução dos empregados,
dando uma visão prática da situação;
•
Crie um modelo de uma comunicação em que os empregados sabem onde e
como relatar situações suspeitas nos telefonemas, e-mails ou pessoas. O
relatório deve ser tratado com respeito, registrado e analisado - se não, os
empregados ficarão desanimados a observar ou do relatar ataques suspeitos da
Engenharia Social;
•
Estabeleça os procedimentos que eliminam toda troca de senhas, e então
eduque usuários e administradores nestes procedimentos. Um administrador de
sistemas nunca deve pedir a um usuário sua senha, nem mesmo poder ver
qualquer a senha em qualquer sistema.
Quando os ataques da Engenharia Social sucedem não é por causa de uma falta da
segurança, nem é porque os usuários são estúpidos. Normalmente é porque os usuários são
humanos. Pessoas de todos os níveis de uma empresa podem ser vítima do engenheiro social e
podem ser iludidos a fazer algo do interesse do atacante que viole as políticas e procedimentos
da segurança. Seria um erro supor que qualquer um é imune. (GARTNER, 2002)
4.4.6.1 Medidas de defesa quanto a senhas
Peixoto (2006) escreve sobre uma técnica para burlar ataques de Engenheiros Sociais
que querem obter senhas e usuários. Primeiramente, durante o cadastro por telefone, além dos
eventuais dados, pedir que o cliente faça uma pergunta pessoal e, obviamente, uma resposta
que ficará armazenada no cadastro. Assim, quando o cliente perguntar sua senha, será feita a
pergunta do cadastro. Caso a resposta também seja correta, a informação poderá ser passada.
O autor frisa ser importante que tal pergunta seja de cunho pessoal e que não sobreponha
nenhum dos dados. Muitas vezes é muito mais confortável para o cliente responder o CPF ou
RG e a pergunta do que todos os dados do seu cadastro.
Sêmola (2003) desmistifica a classificação popular de senha fraca ou forte, tome como
base os critérios de classificação Acadêmica e Prática. Academicamente falando, uma senha
58
pode ser classificada como forte se possuir mais de seis caracteres, misturar números, letras
em maiúsculo e em minúsculo e caracteres especiais como colchete, asterisco, etc. E pode ser
classificada como fraca se possuir menos de seis caracteres, se for constituída de apenas
números, letras maiúsculas ou minúsculas e, principalmente, mesmo sendo de tamanho maior,
representar alguma informação do mundo real, por exemplo, nomes próprios, placa de
automóveis, datas de nascimento, etc. Sua força está na informação que está sendo protegida.
Contudo, segundo Peixoto (2006), as senhas aleatórias são esquecidas freqüentemente
e quando armazenado, é mais provável colocar num lugar vulnerável. As datas significativas,
nomes dos animais de estimação, números do empregado, nomes do membro da família,
podem ser descobertos sem demasiada dificuldade. Mesmo as perguntas usadas pelas
ferramentas da restauração da senha devem ser selecionadas para minimizar a possibilidade
de descoberta por um atacante. As possibilidades alternativas incluem:
•
Combinando os nomes dos personagens de filmes, livros ou televisão não
relacionados;
•
Usando a parte de uma popular, contudo obscura, citação;
•
Combinando palavras, nomes, números e datas significativos que não são
relacionadas entre si e que são muito obscuros para serem revelados por um
atacante;
•
Intencionalmente soletrar erradamente uma palavra aleatória.
4.4.6.2 Medidas de defesa quanto ao lixo
Como mostrado anteriormente, o lixo é um dos meios utilizados para ataque dos
Engenheiros Sociais. Mitnick e Simon (2003 apud PEIXOTO, 2006:) enumeram “oito
segredos” para tratar o lixo com mais sabedoria:
•
Classificar todas as informações confidenciais com base no grau de
confidencialidade;
•
Estabelecer procedimentos em toda a empresa para descartar as informações
confidenciais;
59
•
Insistir para que todas as informações confidenciais descartadas passem
primeiro pela máquina cortadora de papel e fornecer um modo seguro de se
livrar das informações importantes em pedaços de papel que são pequenos
demais e passam pela máquina. As máquinas não devem ser muito baratas, as
quais resultam em tiras de papel que podem ser montadas novamente por um
atacante determinado e com paciência. Elas devem ser do tipo que faz cortes
cruzados ou do tipo que transforma a saída em polpa inútil;
•
Fornecer um modo de inutilizar ou apagar completamente a mídia de
computador – os disquetes, discos Zip, CD’s, e DVD’s usados para armazenar
arquivos, fitas removíveis ou unidades de disco rígido antigas e outras mídias
de computador – antes de descartá-la. Importante lembrar que os arquivos
apagados não são realmente removidos; eles ainda podem ser recuperados;
•
Manter um nível de controle apropriado sobre a seleção das pessoas da sua
equipe de limpeza usando a verificação de antecedentes, se for apropriado;
•
Fazer com que os empregados pensem periodicamente na natureza do material
que estão jogando no lixo;
•
Trancar os contêineres de lixo;
•
Usar contêineres separados para material confidencial e fazer com que os
materiais dispensados sejam manuseados pro uma empresa especializada nesse
trabalho.
4.5 TREINAMENTO E CONSCIENTIZAÇÃO EM SEGURANÇA
Apesar de ter em mente que os planos para o desenvolvimento de um programa de
conscientização partam quase exclusivamente do departamento de TI, por estar envolvendo
tecnologias e estruturas físicas, não se pode esquecer que envolve também o mais importante
de todos: o ser humano.
Inclusive, para Sêmola (2003), os recursos humanos são responsáveis por uma ou mais
fases de processo de segurança da informação, portanto é o elemento que mais precisa de
atenção.
60
“O ser humano é uma máquina complexa, dotada de iniciativa, criatividade e que
sofre interferência de fatores externos, provocando comportamentos nunca antes
experimentados. O fator surpresa é um dos pontos nevrálgicos dos processos de
segurança que dependem das pessoas” (SÊMOLA, 2003:129).
Segundo Peixoto (2006), o importante é haver conscientização por parte de todos os
empregados, para assim ao menos amenizar as ameaças da Engenharia Social. E essa
conscientização deverá ser combinada às políticas de segurança (personalizada de cada
empresa), juntamente com os hábitos das condutas corretas segmentadas às regras definidas,
completando com treinamentos.
Uma política de segurança desatualizada ou surrealista leva os usuários a burlá-la; e,
conseqüentemente, reconhecer uma ruptura da segurança se torna mais difícil. A gerência, os
usuários e os administradores devem ser treinados nas políticas e em questões de segurança. A
única defesa mais forte contra os ataques da Engenharia Social é um empregado treinado.
(GARTNER, 2002)
O programa de conscientização, de acordo com Peixoto (2006), deverá ser criativo,
dinâmico e convincente. Também para Sêmola (2003), as ações devem ter a estratégia de
compartilhar a responsabilidade com cada indivíduo, demonstrando que aquilo que está sendo
posto em prática é realmente necessário e, sobretudo importante.
Um bom e prático programa de treinamento e conscientização visando a segurança das
informações contidas também os aspectos do comportamento humano pode incluir, se acordo
com Mitnick e Simon (2003, apud PEIXOTO, 2006)
•
Uma descrição do modo como os atacantes usam habilidades da Engenharia
Social para enganar as pessoas;
•
Os métodos usados pelos Engenheiros Sociais para atingir seus objetivos;
•
Como reconhecer um provável ataque da Engenharia Social;
•
O procedimento para o tratamento de uma solicitação suspeita;
•
A quem relatar as tentativas de Engenharia Social ou os ataques bem
sucedidos;
•
A importância de questionar todos os que fazem uma solicitação suspeita,
independente da posição ou importância que a pessoa alegar ter;
61
•
O fato de que os funcionários não devem confiar implicitamente nas outras
pessoas sem uma verificação adequada, embora o seu impulso seja dar aos
outros o benefício da dúvida;
•
A importância de verificar a identidade e a autoridade de qualquer pessoa que
faça uma solicitação de informações ou ação;
•
Procedimentos para proteger as informações confidenciais, entre eles a
familiaridade com todo o sistema de classificação de dados;
•
A localização das políticas e dos procedimentos de segurança da empresa e sua
importância para a proteção das informações e dos sistemas de informações
corporativas;
•
Um resumo das principais políticas de segurança e uma explicação do seu
significado. Por exemplo, cada empregado deve ser instruído sobre como criar
uma senha difícil de adivinhar;
•
A obrigação de cada empregado de atender às políticas e as conseqüências do
seu não-atendimento.
Sêmola (2003) apresenta algumas formas de iniciar a construção da cultura de
segurança:
a) Seminários: O trabalho deve começar com seminários abertos voltados a compartilhar
a percepção dos riscos associados às atividades da empresas, os impactos potenciais
no negócio e, principalmente, o comprometimento dos processos críticos se alguma
ameaça se concretizar.
b) Campanha e divulgação: Suas diretrizes devem ser conhecidas por todos, e suas
normas, procedimentos e instruções específicas devem ser apresentados a cada grupo
com perfil de atividade semelhante. Desta forma, cada membro percebe suas
responsabilidades dentro de cada modelo de segurança único, motivando-o a
colaborar. Deve-se lembrar que os resultados efetivos de comprometimento ocorrem
lentamente e, muitas vezes requerem ações complementares. Por conta disso, a
campanha deverá lançar mão de diversos artifícios para comunicar os padrões,
critérios e instruções operacionais.
62
c) Carta do Presidente: Como instrumento de oficialização dos interesses da empresa
em adequar o nível de segurança de suas informações a partir do envolvimento de
todos os níveis hierárquicos é conveniente que o presidente, CEO ou CIO manifeste
esta vontade oficialmente. A Carta do Presidente tem esse papel e é disponibilizada ou
encaminhada a cada funcionário, dando caráter formal ao movimento.
d) Termo de Responsabilidade e Confidencialidade: Tem o propósito de formalizar o
compromisso e o entendimento do funcionário diante de suas novas responsabilidades
relacionadas à proteção das informações que manipula. Além disso, este termo se
encarrega de divulgar as punições cabíveis por desvios de conduta e, ainda, esclarecer
que a empresa é o legítimo proprietário dos ativos, incluindo as informações, que
fluem pelos processos de negócio e ora são temporariamente custodiadas pelas
pessoas.
e) Cursos de Capacitação e Certificação: Dentro do quadro de funcionários, existem
perfis profissionais que necessitam de maior domínio dos conceitos, métodos e
técnicas de segurança, podendo inclusive, variar sua área de interesse e profundidade.
O Security Offcer deve ter condições de definir, medir e avaliar os índices e
indicadores de segurança para subsidiar seus planos de gestão das ações e,
principalmente, alcançar os objetivos. Para todos esses casos, não bastam os
seminários, campanhas de conscientização ou a carta do presidente. Eles precisam de
capacitação formal através de cursos especializados, que propõem uma certificação
como instrumento de reconhecimento da competência.
Para Peixoto (2006), a motivação para que o funcionário aplique de forma mais eficaz
tais medidas de segurança das informações é promover, por exemplo, certificados pela
conclusão e acompanhamento dos programas de treinamento oferecidos pela empresa; brindes
ou prêmios por estar colaborando significativamente para a diminuição dos ataques sofridos,
dentre outras maneiras.
O mesmo autor ainda diz que seria muito importante fazer com que o funcionário
assinasse algum termo de comprometimento quanto ao seguimento das políticas e princípios
de segurança que foram ministrados pelo programa. Geralmente quando as pessoas assinam
algo, as chances de se esforçar para cumprir os procedimentos aumentam.
63
4.6
ENGENHARIA
SOCIAL,
SEGURANÇA
DA
INFORMAÇÃO
E
O
PROFISSIONAL DE SECRETARIADO EXECUTIVO
Segundo Natalense (1995), as empresas de grande porte têm utilizado com sucesso os
Secretários como importante instrumento na modernização administrativa para alcançar os
objetivos com mais rapidez e facilidade. Os gerentes com isso reconhecem a capacidade
desses profissionais de assimilar o novo e também seu poder de difundir informação e
reconhecimento dentro da empresa. Os Secretários também aprenderam nos últimos dez anos
que poder é conhecimento e informação; e que o melhor trabalho é aquele realizado em
equipe, e que correr risco é uma ferramenta de trabalho diário.
Para Beuren (1998) os Secretários Executivos exercem a função de controle e
gerenciamento das informações, assegurando uniformidade de referencial para diferentes
usuários.
Medeiros e Hernandes (1999) relatam que por ocupar uma posição estratégica dentro
das Organizações, o Secretário Executivo é capaz de gerenciar informações e dinamizar seu
trabalho, uma vez que lida com pessoas, facilitando relações.
Por isso Micheletti (2003) expõe sua opinião sobre a importância do desenvolvimento
das competências nos profissionais secretários. Também afirma que os secretários passam a
ser gestores de processos e pessoas e, que com a competitividade e o enxugamento das
empresas, eles começam a receber uma maior carga de trabalho e, conseqüentemente, mais
responsabilidades. E como os processos são dependentes de informações, é crucial que estes
profissionais saibam lidar com seus fluxos e com a devida segurança.
Peixoto (2006) fala em sua obra que os usuários de computador – no caso, sabe-se que
os profissionais de Secretariado Executivo da atualidade exercem suas atividades quase em
totalidade no computador – não têm concreta noção que nessa máquina estão guardados
documentos, texto, planilhas, slides e todo tipo de arquivo importante para seu setor. Assim,
mais sujeitos a não perceber o quão importante são aquelas informações que estão na sua
máquina. O Engenheiro Social explora precisamente esse tipo de funcionário, desatento com
os dados que estão em seu poder.
Ainda segundo este mesmo autor Peixoto (2006), no contexto de gerir a Segurança da
Informação, deve-se levar em conta que os ativos (tudo que manipula direta ou indiretamente
a informação, inclusive ela própria, ou seja; em termos de segurança das informações, um
64
ativo pode ser um computador, uma impressora, um fichário na mesa da secretária, ou até
mesmo o próprio usuário) têm que ser encarados minuciosamente como ponto chave para o
efetivo sucesso de administrar por onde passa, com quem passa e até onde chega essa
informação.
Nicolay (2006) aponta os profissionais de Secretariado Executivo como elemento
estratégico, na medida em que organiza e gerencia as informações. Essas exposições
exemplificam a relevância de se pesquisar sobre como os Secretários Executivos se
comportam quando o assunto é Segurança da Informação.
Em Sêmola (2003), encontramos um exemplo de como os profissionais de
Secretariado Executivo são cruciais para a Segurança da Informação nas empresas:
“Imagine...você gera, em uma reunião, uma nova definição: informação
estratégica confidencial. A mesma é anotada em papel e armazenada
posteriormente em um cofre adequado. No momento imediatamente
posterior, você delega à secretária que digite tal informação e a envie por
correio eletrônico aos envolvidos. Pense agora que, depois de completada a
tarefa, a secretária não tenha adotado os procedimentos adequados de
descarte, e consequentemente, tenha jogado, sem qualquer critério e
tratamento, o material original em papel na lixeira mais próxima. Neste
exato momento, instaurou-se uma vulnerabilidade ou um furo de segurança!
Agora imagine que haja efetivamente uma ameaça em potencial pronta para
explorar esta vulnerabilidade. Por exemplo: um outro funcionário no
perímetro físico da secretária, interessado, mas que não participara da
reunião e tenha objetivos obscuros” SÊMOLA (2003:11).
Por mais que tenha adotado um comportamento controlado e alinhado na política de
segurança nos momentos de manuseio, armazenamento e transporte, a informação – alvo e
motivo de todo o trabalho – estivera exposta no momento de descarte, pelas mãos do
profissional de Secretariado Executivo, comprometendo todos os demais, e ainda pondo toda
a segurança do negócio a perder.
Nota-se que o Secretário Executivo convive com a alta administração da empresa e
por muitas vezes estar em contato direto com os clientes, ele deverá estar preparado e ter
capacidade de discernimento quanto a possibilidade de ataques externos contra a empresa
através de sua pessoa.
Também se pode observar que o Secretário Executivo não deve esquecer que possui
um cargo significativo para a empresa, é seu dever obedecer ao conjunto de princípios que
regem a conduta funcional de sua profissão.
65
O comprometimento e responsabilidade desses profissionais com relação a gestão e
segurança da informação deve ser total. Não somente no aspecto de ataques externos que
podem prejudicar a empresa, mas também por uma questão de ética. Isso faz transparecer seu
profissionalismo que conquista maior prestígio e confiança dos executivos com quem
trabalha.
5. OBJETO DE ESTUDO
A fim de desenvolver uma pesquisa mais fundada sobre a Segurança da Informação,
Engenharia Social e os Profissionais de Secretariado Executivo, aplicaram-se os questionários
(vide págs. 91-99) em profissionais de empresas de diversos portes e diversos segmentos de
mercado (automobilístico, financeiro, mobiliário e terceiro setor). A amostra constituiu em
um número de 20 profissionais de Secretariado Executivo, solicitados via e-mail.
Importante frisar que esses profissionais não são necessariamente graduados em um
curso superior ou técnico de Secretariado Executivo. Conforme escrito no site da FENASSEC
– Federação Nacional das Secretárias e Secretários – no Art.2 da Lei nº 7.3777 assinada em
30/09/1985 que regulamenta a profissão de Secretariado Executivo está escrito que o
profissional de Secretariado Executivo pode ser considerado aquele:
Lei da Regulamentação da Profissão de Secretariado Executivo (Redação dada pela Lei nº
9.261, de 10.1.1996) . A lei completa se encontra no anexo 2, págs. 107-108.
7
66
6. ANÁLISE E DISCUSSÃO DE DADOS
Conforme informado anteriormente, os dados analisados foram coletados a partir de
questionários (vide págs. 91-99) respondidos por profissionais de Secretariado Executivo de
diversas empresas. As questões foram divididas por assunto de acordo com o que se queria
avaliar.
A primeira parte do questionário é relativa ao próprio profissional.
No gráfico 2 pode-se observar que a maioria dos entrevistados é composta por pessoas
jovens, com idade entre 21 e 30 anos.
Gráfico 2: Idade
Idade
0%
10%
0%
Até 20 anos
De 21 a 30 anos
De 31 a 40 anos
Acima de 40 anos
90%
Fonte: Dados da pesquisa
Cem por cento dos entrevistados que responderam o questionário são mulheres.
67
68
Os dados do gráfico 3 mostram que alguns dos profissionais de Secretariado
Executivo nas empresas ainda não se formaram em um curso superior. Mas é importante
observar que todos são ou estão se qualificando em um curso superior.
Gráfico 3: Nível de instrução
Nível de Instrução
Ensino fundamental incompleto
0%
30%
Ensino fundamental completo
Ensino médio incompleto
Ensino médio completo
Superior incompleto
Superior completo
70%
Técnico
Nesta pesquisa cem por cento dos profissionais entrevistados assessoram a Diretoria
das empresas. Isso está em conformidade com o gráfico anterior, onde mostra que os efetivos
profissionais são qualificados para assessoria direta do maior nível hierárquico da empresa.
A maioria dos profissionais responderam que trabalham na empresa num período de
até 5 anos; o que é muito pouco para um cargo de assessora de Diretoria. Apenas 10% delas
trabalham a mais de 10 anos na empresa, o que significa maior comprometimento e domínio
das atividades da empresa.
Gráfico 4: Tempo de trabalho na empresa
Tempo de trabalho na empresa
10%
0%
40%
Menos de 1 ano
De 1 a 5 anos
De 5 a 10 anos
50%
Mais de 10 anos
Todas as entrevistadas possuem somente um emprego; confirmando um caráter de
exclusividade do seu trabalho.
A segunda parte do questionário, que é quanto às senhas, apresenta dados onde é
possível observar que ainda há descuidos quanto a utilização de senhas no serviço.
69
O Gráfico 5 mostra que metade dos profissionais de Secretariado Executivo da
pesquisa divulgam suas senhas para algum outro funcionário. Por mais que devam ser pessoas
de confiança, é preocupante ter 50% das secretárias dividindo suas senhas.
Gráfico 5: Divulgação de sua(s) senha(s) utilizadas na empresa
Divulgação de sua(s) senha(s) utilizadas na empresa
Sim
50%
50%
Não
O Gráfico 6 apresenta uma situação inversa à mostrada no Gráfico 5. A maioria das
secretárias executivas entrevistadas utilizam as senhas do seu chefe para algum serviço
cotidiano. Pode-se deduzir que existe uma relação estreita de confiança entre o chefe e a
secretária, que inclusive é desejada. Contudo, a partir dos dados sobre o funcionário
apresentados acima, também pode ser alarmante, por causa do perfil jovial encontrado entre
as entrevistadas. Apenas 27% não utilizam qualquer tipo de senha que não seja a própria.
Gráfico 6: Utilização de senhas de outro funcionário para acessar informações da
empresa
Utilização de senhas de outro funcionário para acessar
informações da empresa
27%
Sim, do meu chef e
Sim, de outro funcionário
55%
Não
18%
Quanto à facilidade de acesso à sua senha, o Gráfico 7 mostra que ainda 30% das
secretárias executivas anotam suas senhas em algum lugar propício de roubo, como por
exemplo, perto do computador e na agenda, o que não condiz com uma postura de
profissionais que trabalham para assessorar uma Diretoria de uma empresa.
70
Gráfico 7: Senhas anotadas em algum lugar próximo ao computador, na agenda ou local
de fácil acesso
Senhas anotadas em algum lugar próximo ao
computador, na agenda ou local de fácil acesso
30%
Sim
Não
70%
O Gráfico 8 mostra que metade das secretárias executivas da pesquisa declarou
repassar sua senha para algum serviço rápido.
Gráfico 8: Permissão para utilizar sua(s) senha(s) para algum trabalho rápido
Permissão para utilizar sua(s) senha(s) para algum
trabalho rápido
Sim
50%
50%
Não
A troca contínua de senhas é um quesito relevante para a Segurança da Informação,
principalmente contra os Engenheiros Sociais, como descrito no trabalho. O Gráfico 9
apresenta justamente a periodicidade da alteração de senhas das secretárias executivas. A
maioria delas, 60%, ainda é acomodada quanto a esse assunto, pois esperam a solicitação do
sistema para efetuar a troca. É possível observar que 20% das entrevistadas nunca trocam suas
senhas; sendo uma facilitadora para possíveis invasores. É importante lembrar que tem que se
observar qual a senha escolhida. Por mais que Sêmola (2003) diga que não há senhas fracas,
também não se pode facilitar adotando uma senha obvia, de fácil adivinhação.
71
Gráfico 09: Freqüência de alteração de sua(s) senha(s)
Freqüência de alteração de sua(s) senha(s)
10%
Mensalmente
0%
20%
Trimestralmente
10%
Semestralmente
Somente quando o sistema solicita
a alteração
Nunca
60%
Quanto à divulgação de informações, na terceira parte do questionário, os resultados
observados foram bastante proveitosos.
No caso do procedimento sobre solicitação de informações por telefone ou e-mail,
representado no Gráfico 10, a maioria (65%) disse fornecer informações mediante o
conhecimento de quem solicitou, qual tipo de informação e se o chefe consente a divulgação
dessa informação. Importante observar que se teve 14% (a segunda maior resposta) das
secretárias dependem da aprovação do chefe para fornecer informações, mostrando pouco
grau de autonomia da secretária.
Gráfico 10: Procedimento para fornecer informações solicitadas por telefone ou e-mail
Procedimento para fornecer informações solicitadas por telefone ou e-mail
F o rne ç o a info rma ç ã o , po is nã o há na da
c o nf ide nc ia l e m m inha á re a
F o rne ç o a info rma ç ã o , a pó s ide ntif ic a r o
s o lic it a nte
0%
7% 0%
F o rne ç o s o me nt e qua ndo a inf o rma ç ã o nã o
f o r c o nf ide nc ia l
14%
F o rne ç o inf o rm a ç õ e s s o m e nt e a o s ge re nt e s
da e mpre s a
S o lic ito a ut o riza ç ã o a o me u s upe rio r pa ra
libe ra r a inf o rm a ç ã o
D e pe nde da inf o rm a ç ã o s o lic it a da
65%
14%
D e pe nde de que m s o lic ito u, qua l a inf o rm a ç ã o
s o lic it a da e s e fo i c o nc e dida pe lo s upe rio r
S ó f o rne ç o info rma ç õ e s po r e s c rit o e c o m
a ut o riza ç ã o do me u s upe rio r
S ó f o rne ç o a pa rt ir da c o nfirm a ç ã o do s da do s
N ã o fo rne ç o , inde pe nde nt e de que m f o r
O Gráfico 11 apresenta as ocorrências de tentativas de ataques típicos de Engenharias
Sociais. A maioria disse nunca ter sofrido esse tipo de ataque, ou, a não ser que não tenham
percebido. Contudo, uma das secretárias entrevistadas relatou que já ter presenciado esse tipo
de situação: “Interrogatórios sobre as questões administrativas da empresa, a estrutura
organizacional, membros do conselho, entre outras informações, as quais não tinha certeza se
72
podia passar ou não. É uma situação ruim. Por isso é muito importante que os superiores
digam claramente o que pode ser transmitido e o que não pode”.
Gráfico 11: Ocorrência de uma solicitação em que alguém utilizou de má-fé para obter
ou tentar obter informações
Ocorrência de uma solicitação em que alguém utilizou de má-fé
para obter ou tentar obter informações
20%
Sim
Não
80%
A quarta parte, quanto à empresa, a partir do que foi respondido pelas secretárias,
pode-se inferir genericamente que estas têm preocupação com a questão de Segurança da
Informação. Entretanto, a questão não é unânime.
O Gráfico 12 aponta que a maioria das empresas disponibilizam orientações sobre a
divulgação de informações.
Gráfico 12: Disponibilização da empresa de orientação sobre divulgação de informações
Disponibilização da empresa de orientação sobre divulgação de
informações
30%
Sim
Não
70%
Conforme é mostrado no Gráfico 13, 80% das secretárias executivas têm
conhecimento das informações vitais para o negócio da empresa. Sendo este percentual não
equivalente ao percentual do Gráfico 12, pode-se concluir que nem todas as secretárias têm
orientação sobre divulgação das informações, mas conhecem a relevância das informações
para a empresa. Importante frisar que ainda tem 20% das secretárias não sabem quais
informações são vitais para o negócio da empresa. O número é pequeno, mas é relevante visto
que, como descrito no trabalho segundo Beuren (1998), os profissionais de secretariado
73
também gerenciam informações. O desconhecimento de quais delas são cruciais para o
negócio da organização, pode torná-la bastante vulnerável e ser prejudicial à própria empresa.
Gráfico 13: Conhecimento das informações vitais para o negócio da empresa
Conhecimento das informações vitais para o negócio da
empresa
20%
Sim
Não
80%
Sessenta por cento da empresas possuem uma Política de Segurança da Informação,
como mostrado no Gráfico 14. Ainda é muito expressiva a porcentagem de empresas que têm
sua política desatualizada ou que simplesmente não tem. Ou seja, quase metade delas não está
devidamente preparada e/ou organizada para se defender de ataques maldosos ou ilícitos.
Gráfico 14: Existência de uma Política de Segurança da Informação
Existência de uma Política de Segurança da Informação
20%
Sim
Sim, porém desatualizada
20%
60%
Não
A mesma situação pode ser observada no Gráfico 15. A ausência de um departamento
de TI especializado é expressiva (cerca de 30%). Isso só aumenta a vulnerabilidade da
empresa e sua chance de ser atacada.
Com relação aos contratos de terceiros, depara-se com o mesmo tipo de situação, em
que se tem apenas 67% das empresas totalmente preparadas quanto a esse quesito, conforme
apresentado no Gráfico 16. Pode-se dizer que é uma situação mais agrave, pois se trata de
contratação de pessoas alheias para conviver e trabalhar todos os dias dentro da empresa. A
falta de compromisso do terceiro e/ou a ingenuidade de algum funcionário, pode acarretar
conseqüências desagradáveis para a empresa.
74
Gráfico 15: Existência de um Departamento de TI especializado
Existência de um Departamento de TI especializado
30%
Sim
Não
70%
Gráfico 16: Existência de requisitos de segurança nos contratos de terceirização
Existência de requisitos de segurança nos contratos de
terceirização
22%
Sim
Sim, porém desatualizado
11%
Não
67%
Os prestadores de serviços, assim como os terceiros contratados, merecem atenção
especial, pois são elementos externos que adentram na empresa sem ter compromisso e, neste
caso, mesmo que esporadicamente, podem oferecer riscos de segurança. Mais uma vez, como
demonstrado no Gráfico 17, não são todas as empresa que controlam o acesso específico de
prestadores de serviços, o que contribui para aumentar a vulnerabilidade da empresa.
Gráfico 17: Existência de controle de acesso específico para os prestadores de serviço
Existência de controle de acesso específico para os prestadores
de serviço
33%
Sim
Não
67%
Em 70% das empresas, como mostrado no Gráfico 18, há uma estrutura para notificar
e responder aos incidentes e falhas de segurança. Este dado está coerente com o Gráfico 15,
75
pois tem praticamente o mesmo percentual de empresas que apresentam essa estrutura e que
têm um departamento de TI. A construção dessa estrutura é uma das funções de um
departamento de TI.
Gráfico 18: Existência de uma estrutura para notificar e responder aos incidentes e
falhas de segurança
Existência de uma estrutura para notificar e responder aos
incidentes e falhas de segurança
33%
Sim
Não
0%
67%
A quinta parte do questionário é relativa ao controle e segurança do acesso a
informações dentro de uma empresa.
O Gráfico 19 mostra que, mesmo a maioria das empresas tendo o gerenciamento e
acesso de usuários aceitável, 30% delas ainda têm uma gestão defasada ou defeituosa. Isso
pode contribuir com um ataque anônimo à empresa.
Gráfico 19: Existência de gerenciamento de acessos do usuário
Existência de gerenciamento de acessos do usuário
20%
Sim
10%
70%
Não
O acesso à rede também é controlado pela maioria das empresas onde trabalham as
secretárias executivas entrevistadas, conforme Gráfico 20. Todavia, 20% delas não tem esse
controle. A rede é um dos meios mais eficientes e fáceis para um intruso conseguir lesar uma
companhia. Esse controle é imprescindível de ser feito.
76
Gráfico 20: Existência de controle de acesso à rede
Existência de controle de acesso à rede
20%
0%
Sim
Não
80%
Os aplicativos e diretórios também merecem atenção quando o assunto é segurança.
Tudo que fica gravado nos computadores da empresa está passível de consulta. E esse acesso
deve ser controlado, mesmo “contra” outros funcionários da empresa. Este foi o resultado
mais satisfatório, pois 90% das empresas onde trabalham as secretárias executivas
entrevistadas, têm esse controle. Os outros 10% são desatualizados, mas existem. Esses dados
podem ser observados no Gráfico 21.
Gráfico 21: Existência de controle de acesso às aplicações ou diretórios
Existência de controle de acesso às aplicações ou
diretórios
10%
0%
Sim
Não
90%
O Gráfico 22 mostra que apenas 9% das empresas onde trabalham as secretárias
executivas entrevistadas não tem esse monitoramento. É lamentável para essas empresas, no
entanto é satisfatório que 91% delas controlem o acesso aos sistemas internos.
O Gráfico 23 mostra o percentual das empresas que tem critérios para computação
móvel (notebooks, por exemplo) e trabalho remoto. Não é aceitável ter 40% das empresas sem
o controle nesta questão. Isso torna muito mais fácil sair com informações importantes para as
empresas, e assim, podendo prejudicar seu negócio.
77
Gráfico 22: Existência de monitoramento de uso e acesso ao sistema
Existência de monitoramento de uso e acesso ao sistema
9%
0%
Sim
Não
91%
Gráfico 23: Existência de critérios para computação móvel e trabalho remoto
Existência de critérios para computação móvel e trabalho
remoto
40%
Sim
60%
Não
0%
No Gráfico 24 observa-se que 80% das secretárias executivas entrevistadas tinham
algum papel com informações sobre a empresa em cima de sua mesa. É um fato comum, pelas
atribuições da profissão, e ratifica a preocupação com a segurança da informação que esses
profissionais devem ter.
Gráfico 24: Existência de algum papel sobre a mesa com informações sobre a empresa
no momento
Existência de algum papel sobre a mesa com informações
sobre a empresa no momento
20%
Sim
Não
80%
78
O Gráfico 25 mostra que ainda 10% das entrevistadas deixam papéis importantes em
cima de sua mesa quando se retiram para alguma outra atividade. É um número pequeno, mas
esse é um erro e é a maneira mais simples de se fazer um ataque contra a empresa.
Gráfico 25: Ao sair, tem-se a mesa limpa, sem papéis importantes
Ao sair, tem-se a mesa limpa, sem papéis importantes
10%
0%
Sim
Não
Nunca reparei
90%
Com relação a efetuação de bloqueio quando estiver ausente ao computador, o
resultado foi um pouco pior do que sobre os papéis na mesa. Como mostrado no Gráfico 26,
cerca de 20% das secretárias executivas entrevistadas não bloqueiam quando saem do
computador. Este equívoco pode colocar a empresa em uma situação vulnerável. Uma
secretária executiva deve saber controlar o seu espaço de trabalho, para não dar acesso a
pessoas estranhas. Isto mostra comprometimento com a gestão das informações da
organização.
Gráfico 26: Ao sair, tem-se o computador bloqueado
Ao sair, tem-se o computador bloqueado ou em logoff
20%
0%
Sim
Não
Nunca reparei
80%
Cerca de 91% das secretárias executivas entrevistadas, conforme apresentado no
Gráfico 27, trabalham com informações consideradas confidencias da empresa. Isso
demonstra o quão importante é para elas saberem assegurar a utilização, o transporte, o acesso
e descarte das mesmas, conforme dito por Sêmola (2003).
79
O Gráfico 28 demonstra uma opinião pessoal das entrevistadas a cerca do
conhecimento que os funcionários da empresa tem sobre a importância das informações da
empresa. A maioria respondeu afirmativamente (80%). Isso é coerente com os dados do
Gráfico 12, pois se uma empresa divulga orientações quanto à informações, logo seus
funcionários saberão a importância das informações da empresa.
Gráfico 27: Existência de informações confidenciais no setor de trabalho
Existência de informações confidenciais no setor de
trabalho
9%
Sim
Não
91%
Gráfico 28: Conhecimento dos funcionários sobre a importância das informações da
empresa
Conhecimento dos funcionários sobre a importância das
20%
Sim
Não
80%
O Gráfico 29 apresenta mais uma questão de opinião das entrevistadas. Inclusive é um
pouco preocupante, pois 50% das secretárias executivas alegam não achar difícil alguém
externo conseguir informações importantes sobre a empresa. Isso vai de encontro com os
dados sobre Segurança da Informação nas empresas das secretárias executivas entrevistas
vistos nos Gráficos 14 e 15 (págs. 73 e 74, respectivamente). Se a maioria das empresas tem
uma Política de Segurança da Informação e um departamento de TI especializado, e se
baseando nos dados deste gráfico, pode-se inferir que essa política e esse departamento são
precários e ineficientes por fazer pensar que seria fácil adquirir informações da empresa por
uma pessoa externa.
80
Tendo em mente que todas as entrevistadas são secretárias executivas de Diretoria,
pode-se concluir que este Gráfico 30 condiz muito com esse cargo de responsabilidade.
Somente 4% delas acreditam que não passa nenhuma informação importante da empresa em
sua mão. As informações operacionais e gerencias são bastante importantes e totalizam 45%
das informações com que as secretárias executivas convivem. As confidenciais e
imprescindíveis à continuidade do negócio da empresa são as mais relevantes e totalizam
43%. Devido a isso é indiscutível que os profissionais de Secretariado Executivo precisam ter
conhecimento e estarem preparados para garantir a segurança dos fluxos desses tipos de
informação.
Gráfico 29: Existência de dificuldade para pessoas externas conseguirem informações
importantes na empresa
Existência de dificuldade para pessoas externas
conseguirem informações importantes na empresa
Sim
50%
50%
Não
Gráfico 30: Tipos de informações que se tem acesso
Tipos de informações que se tem acesso
Informações Operacionais
4%
22%
26%
Informações Gerenciais
Informações Confidenciais da empresa
19%
29%
Informaçoes imprescindíveis à
continuidade do negócio da empresa
Não há acesso a nenhum tipo de
informação importante
A sexta parte do questionário é sobre a contratação de funcionários que são admitidos
para serem ativos na empresa. E, para passar de um elemento externo para interno, requer da
empresa bastante cuidado e atenção.
81
Cem por cento das empresas onde trabalham as entrevistadas têm critérios de seleção e
política de pessoal. Também unânime foi o resultado indicando que nas empresas das
entrevistadas existem processos para capacitação e treinamento dos usuários.
Pelo Gráfico 31 pode-se perceber que apenas 62% das empresas divulgam a Política
de Segurança da Informação aos novos contratados. E como a porcentagem de não divulgação
da política é maior que os dados de que a empresa possui uma Política de Segurança da
Informação (conforme mostrado no Gráfico 14, pág. 74), pode-se inferir que algumas
empresas que tem essa política não as divulgam para os novos contratados.
Gráfico 31: Divulgação da Política de Segurança da Informação para os novos
contratados
Divulgação da Política de Segurança da Informação para os
novos contratados
38%
Sim
Não
62%
A partir do Gráfico 32, percebe-se que apenas 67% das empresas se preocupam em
fazer um termo de responsabilidade e/ou confidencialidade sobre as informações da empresa
com os novos funcionários. O ideal seria que todas as empresas se preocupassem. Contudo
não é um resultado surpreso pois não são todas as empresas que tem uma Política de
Segurança da Informação (vide Gráfico 14, pág. 73) ou um departamento de TI especializado
(vide Gráfico 15, pág. 74), que são aspectos que podem motivar a utilização desses termos.
Gráfico 32: Assinatura dos funcionários de algum Termo de Responsabilidade e/ou
Confidencialidade sobre as informações da empresa
Assinatura dos funcionários de algum Termo de
Responsabilidade e/ou Confidencialidade sobre as
33%
Sim
Não
67%
82
A sétima e última parte do questionário é quanto ao gerenciamento das operações e
comunicações das empresas.
A maioria considerável das empresas (86%), pelo que está apresentado no Gráfico 33,
tem um controle de mudanças operacionais que ocorrem na empresa. Isto é importante para
um controle gerencial da informação inserido no sistema operacional.
Gráfico 33: Existência de controle de mudanças operacionais
Existência de controle de mudanças operacionais
14%
0%
Sim
Não
86%
Também a maioria das empresas das secretárias executivas entrevistadas fazem um
esquema de cópias de segurança. Pelo que foi exposto nos Gráficos 14 e 15 (Políticas de
Segurança da Informação, pág. 73 e existência de um departamento de TI especializado, pág.
74 respectivamente), pode-se inferir que esse procedimento de cópias de segurança é feito de
maneira independente, sem qualquer orientação de políticas ou de TI.
Gráfico 34: Existência de procedimentos para cópias de segurança
Existência de procedimentos para cópias de segurança
13%
13%
Sim
Não
74%
Conforme descrito no trabalho, os cuidados com os quesitos técnicos e tecnológicos
são mais vistos com atenção que as outras variáveis. Isso está confirmado no Gráfico 35, onde
constata-se que a maioria das empresas possui controle e gerenciamento de rede.
83
Conforme mostrado no Gráfico 36, apenas 57% das empresas tem mecanismos de
segurança e tratamento de mídias. Isso também pode dizer que esse assunto não está presente
em todas as Políticas de Segurança da Informação das empresas das entrevistadas (vide
Gráfico 15, pág. 74), por ser esta uma porcentagem menor do que a existência de política.
Gráfico 35: Existência de controles e gerenciamento de rede
Existência de controles e gerenciamento de rede
11%
0%
Sim
Não
89%
Gráfico 36: Existência de mecanismos de segurança e tratamento de mídias
Existência de mecanismos de segurança e tratamento de
mídias
43%
Sim
57%
Não
0%
Em conformidade com o que foi apresentado no trabalho sobre os cuidados técnicos e
ferramentas tecnológicas e com o Gráfico 36 acima, observa-se no Gráfico 37 que a maioria
das empresas controlam a segurança do correio eletrônico.
Gráfico 37: Existência de mecanismos de segurança de correio eletrônico
Existência de mecanismos de segurança de correio eletrônico
11%
0%
Sim
Não
89%
84
Por fim, tem-se no Gráfico 38 o dado de que as empresas têm importado com a
segurança da documentação de seus arquivos nos sistemas. E como esse número é divergente
da quantidade percentual das empresas que têm uma Política de Segurança da Informação,
pode-se concluir que esse assunto não está inserido em algumas políticas.
Gráfico 38: Existência de algum procedimento para documentação dos sistemas
Existência de algum procedimento para documentação dos
sistemas
29%
Sim
Não
0%
71%
Tomando por base essas respostas e em conformidade com o Teste de Conformidade
encontrado em Sêmola (2003), as respostas das secretárias executivas entrevistas resultaram
na seguinte análise sobre suas empresas pelo Teste de Conformidade:
“Parabéns! Sua empresa é uma exceção e deve estar em destaque em seu segmento
de mercado por conta da abrangência dos controles que aplica no negócio. Apesar
de não podermos ver a uniformidade das ações, (...). podemos dizer que sua
empresa está conscientizada da importância da segurança para a saúde dos
negócios. A situação estará ainda melhor se todas as ações e controles aplicados
tiverem sido decididos com base em uma análise de riscos integrada (...)”
(SÊMOLA, 2003:151).
Portanto, as empresas onde trabalham as secretárias executivas entrevistadas têm uma
boa noção de como proteger suas informações. Contudo, a defesa tecnológica ainda é a mais
visada e possui maiores investimentos. Não se pode afirmar que essas empresas estão seguras,
pois os recursos humanos ainda não detêm investimentos suficientes para garantir esta
segurança. Funcionários treinados e conscientes são eficazes inclusive para os recursos
tecnológicos, visto que muitas das invasões por meios tecnológicos precisam de alguma senha
de domínio de uma pessoa.
No geral, sob a ótica do perfil das secretárias executivas, pode-se concluir que o objeto
de estudo apresentou uma postura preocupante quanto ao domínio de segurança da
informação. Concorda-se que a maioria está consciente e treinada. Mas pela hierarquia que
85
assessoram, o perfil delas ainda precisa de mais treinamento e capacitação. Qualquer falha ou
distração põe em risco mais do que a imagem da empresa, mas também seu negócio.
Para finalizar a análise, registra-se um comentário de uma das secretárias executivas
entrevistadas sobre a gestão da informação no seu cotidiano: “Antes de fornecer qualquer
informação sobre a empresa que atua, seja por telefone ou por e-mail, a secretária executiva
deve se certificar de que ela está correta, se está autorizada a repassá-la e à quais pessoas.
Caso contrário, isso pode afetar diretamente a sua imagem, a imagem da empresa e seus
negócios”.
7. CONCLUSÃO
Atualmente, a maioria das empresas não tem nenhum meio de detectar o que deve ser
preservado, o que pode ser preservado e o que vale a pena ser preservado. É difícil para as
organizações determinar quão abertas ou quão fechadas devem ser e, ao mesmo tempo, ficar
protegidas. Se um sistema exigir muitas senhas, autorizações ou níveis de segurança para
acessar a informação, deixará de ser usado. Não se sabe quais são os pontos de
vulnerabilidades através dos quais se poderia comprometer desastrosamente as atividades e os
serviços prestados e esperados. A inserção das redes de computadores nas empresas
contribuiu para aumentar esta falta de segurança das informações. Cada ponto da rede é um
ponto potencial de vulnerabilidade o que fragiliza ainda mais as informações da corporação.
Observou-se que a maioria das empresas acredita que a solução, unicamente, técnica
garante a segurança dos sistemas. Embora se tenha que concordar que a solução técnica seja
necessária, ela por si só não é suficiente. É preciso também considerar o componente humano
de um sistema de segurança da informação a fim de minimizar a vulnerabilidade de sistemas.
Não existe segurança total e cada empresa precisará de um nível distinto de medidas
para controle da segurança da informação. Não é possível operar com risco zero. Sempre
haverá risco, e ele deve ser ajustado à natureza do negócio, considerando todas as variáveis
internas e externas a fim de viabilizar a operação da empresa.
86
Intrusos dos sistemas de segurança das empresas normalmente utilizam-se de
princípios da engenharia social para enganar usuários violando políticas e procedimentos de
segurança. O melhor impedimento é manter e reforçar essas políticas, assim como educar os
empregados.
Não existe ao certo uma receita milagrosa que defina como totalmente seguro
qualquer ambiente de trabalho que manipule informação. Ficam como medida para dificultar
a entrega destas informações: as condutas, os treinamentos, os hábitos, o conhecimento
dastécnicas de Engenharia Social, além da atenção e responsabilidade que se deve ter ao
manipular, transmitir ou descartas informações, sejam elas importantes para você ou não.
Destacando o assunto de comportamento e responsabilidade dos profissionais de
Secretariado Executivo pode-se inferir que é inquestionável a importância do conhecimento
da gestão da informação e, obviamente de sua segurança. Por ser um profissional com papel
estratégico dentro das empresas, deve-se conhecer e dominar todo o fluxo de informações que
move o negócio da empresa.
Não se pode deixar de frisar que esta posição estratégica requer postura e
comprometimento para criar confiança dos executivos. Porém a questão mais importante é a
menos tangível ou mensurável: a ética. Ter o poder do conhecimento dos processos e
negócios de uma empresa, implica exigir o mesmo grau de ética sobre o domínio das
informações com os outros funcionários e, principalmente, com os indivíduos externos.
87
8. REFERÊNCIAS BIBLIOGRÁFICAS
AISENBERG, Daniel. O feitiço contra o feiticeiro. In: Internet Business. Rio de Janeiro, v.
2, n. 18, 0, p. 68-71, fev.1999
BARDIN, L. Análise de conteúdo. Lisboa: Edições 70, 1977 apud VERGARA, S. C.
Métodos de pesquisa em administração. São Paulo: Atlas, 2005.
BEUREN, Ilse Maria. Gerenciamento da Informação. Editora Atlas, 1998. Disponível em:
http://www.univap.br/faculdades/fe/pp_se_2006.doc Acesso em: 10 mai. 2007
DEFAULT password list. In: PHENOELIT lans of packets. 2007. Disponível em :
http://www.phenoelit.de/dpl/dpl.html apud PEIXOTO, Mário César Pintaudi. Engenharia
Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro:
Brasport, 2006.
FENASSEC, Federação Nacional das Secretárias e Secretários. Lei de Regulamentação da
Profissão. Disponível em: http://www.fenassec.com.br/lei.htm Acesso em 03 jun. 2007.
FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio básico da língua portuguesa.
Rio de Janeiro: Nova Fronteira, 1995
FILHOa, Antônio Mendes da Silva. Entendendo e Evitando a Engenharia Social:
Protegendo Sistemas e Informações in Revista Espaço Acadêmico nº 43 – dezembro 2004;
Disponível em: http://www.espacoacademico.com.br/043/43amsf.htm Acesso em: 04 mai.
2007
88
89
FILHOb, Antônio Mendes da Silva. Segurança da Informação e Disponibilidade de
Serviços na Era da Internet in Revista Espaço Acadêmico nº 44 – janeiro 2005; Disponível
em: http://www.espacoacademico.com.br/044/44amsf.htm Acesso em 01 jun. 2007
FILHOc, Antônio Mendes da Silva. Segurança da Informação: Sobre a Necessidade de
Proteção de Sistemas de Informações in Revista Espaço Acadêmico nº 42 – novembro
2004; Disponível em: http://www.espacoacademico.com.br/042/42amsf.htm Acesso em 01
jun. 2007
GAMBOA, Sanches. Revolução Informacional: pontos de vista para o debate sobre a
sociedade da informação. Transformação, Campinas, v.9, n.1 p.32-42, 1997 apud
SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport,
2005.
GARTNERa, INC. Protect Against Social Engineering Attacks in Gartner's Information
Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em:
http://www.gartner.com/gc/webletter/security/issue1/article2.html Acesso em 01 jun. 2007
GARTNERb, INC. There Are No Secrets: Social Engineering and Privacy in Gartner's
Information Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em:
http://www.gartner.com/gc/webletter/security/issue1/index.html Acesso em 24 abr. 2007
GARTNERc, INC. Unmasking Social-Engineering Attacks in Gartner's Information
Security Strategies Research, Volume 1, Issue 1, February 2002; Disponível em:
http://www.gartner.com/gc/webletter/security/issue1/article1.html Acesso em 24 abr. 2007
GUIMARÃES, M. E. O livro Azul da Secretária. 20ª ed. São Paulo: Editora Atlas, 2001.
KONSULTEX Informática. 1993. Disponível em: http://www.konsultex.com.br/index.php
apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na
Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.
LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de Informação Gerenciais:
administrando a empresa digital. 5ª ed. São Paulo: Person Pretice Hall, 2004
LESCA, H.; ALMEIDA, F. C. Administração Estratégica da Informação. Revista de
Administração. São Paulo, b.29, n.3, p,66-75, jul./set. 1994 apud SIQUEIRA, Marcelo Costa.
Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.
MEDEIROS, J. B; HERNANDES, S. Manual da Secretária. 7ª ed. São Paulo: Editora Atlas,
1999.
MICHELETTI, Camila; Secretárias têm posição cada vez mais estratégica na empresa,
2003. Disponível em: http://www.empregos.com.br. Acesso em 24 abr. 2007
MISAGHI, Mehran. Segurança e auditoria em informática, 2004. Disponível em:
http://www.vision.ime.usp.br/ mehran/ensino/20042.html Acesso em 30 abr. 2007
MITNICK, Kevin. O conhecimento que assusta in InformationWeek Brasil. São Paulo,
2003. Entrevista. Disponível em: http://www.informationweek.com.br/iw70/mitnick/ apud
90
PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de harckers:
controlando o fator humano na segurança da informação. São Paulo: Person Education,
2003 apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da
Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio; Segurança de Redes em ambientes
Cooperativos; Editora Futura; 2003.
NATALENSE, Liana Castro. A Secretária do Futuro. 1ª ed. Rio de Janeiro: Editora
Qualitymark, 1998.
NATALENSE, Liana Castro. Manual Prático da Secretária Executiva, 1ª ed., São Paulo:
IOB Informações Objetivas, 1995
NICOLAY, Loinir Teresinha. Assessoria no Ensino Superior: um olhar profissional de
ediação e gestão no contexto da Pós-Graduação, in UNIrevista, Volume 1, n° 1, abril 2006.
Disponível em http://www.unirevista.unisinos.br/_pdf/UNIrev_Nicolay.pdf Acessado em 03
jun. 2007.
PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na
ROESCH, A. M. S. Projeto de estágio e de pesquisa em administração. 2. ed. São Paulo:
Atlas,1999 apud CASTRO, F. F. Processo de comunicação nas organizações virtuais: um
estudo de caso na Escola Aberta Superior do Brasil. 2006. Monografia (Graduação).
Universidade Federal de Viçosa, Viçosa, 2006.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva da
segurança da informação. 9ª reimpressão. Rio de Janeiro: Elsevier, 2003
SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport,
2005.
SULZBACH, Jaime André. Análise de viabilidade da criptografia quântica, 2003.
Disponível em: http://galileo.unisinos.br/alunos/arquivos/TCJaimeSulzbach.pdf. Acesso em:
01 abr 2007.
TURBAN, Efaim; MCLEAN, Ephraim; WETHERBE, James; trad. Renate Schinke.
Tecnologia da Informação para Gestão: transformando os negócios na economia digital.
3ª ed. Porto Alegre: Bookman, 2004
YAMAGISHI, T. Trust and social intelligence: the evolutionary game of mind and
society. Tóquio: Tokyo University Press, 1998.
WIKIPÉDIA, Wikipédia, a Enciclopédia livre. Disponível no endereço http://pt.wikipedia.org
Acesso em 01 jun 2007.
9. APÊNDICE
QUESTIONÁRIO APLICADO
91
92
SOBRE O FUNCIONÁRIO
1. Qual sua idade?
___ Até 20 anos
___ De 21 a 30 anos
___ De 31 a 40 anos
___ Acima de 40 anos
2. Qual seu Sexo?
___ Masculino
___ Feminino
3. Qual seu nível de instrução?
___ Ensino fundamental incompleto
___ Ensino fundamental completo
___ Ensino médio incompleto
___ Ensino médio completo
___ Superior incompleto
___ Superior completo
___ Técnico
4. A qual nível da empresa você assessora?
___ Diretoria
___ Gerência
___ Operacional
5. Quanto tempo você trabalha na empresa?
___ Menos de 1 ano
___ De 1 a 5 anos
___ De 6 a 10 anos
___ Acima de 10 anos
6. Você possui outro emprego?
___ Sim, na mesma área em que trabalho nesta empresa
___ Sim, em outra área
___ Não
93
QUANTO A SENHAS
1. Alguém mais, além de você, conhece a(s) sua(s) senha(s) utilizada(s) na empresa?
___ Sim
___ Não
2. Você utiliza a senha de algum outro funcionário para acessar informações da empresa?
___ Sim, do meu chefe
___ Sim, de outro funcionário
___ Não
3. Você anota suas senhas em algum local próximo ao computador, na agenda, ou local de
fácil acesso?
___ Sim
___ Não
4. Você permite que outras pessoas utilizem sua senha para algum tipo de trabalho rápido?
___ Sim
___ Não
5. Com que Freqüência você altera sua(s) senha(s)?
___ Mensalmente
___ Trimestralmente
___ Semestralmente
___ Somente quando o sistema solicita alteração
___ Nunca
94
QUANTO A DIVULGAÇÃO DE INFORMAÇÕES
1. Como você procede para fornecer informações solicitadas por telefone ou email?
___ Forneço a informação, pois não há nada confidencial em minha área
___ Forneço a informação, após identificar o solicitante
___ Forneço somente quando a informação não for confidencial
___ Forneço informações somente aos gerentes da empresa
___ Solicito autorização ao meu superior para liberar a informação
___ Depende da informação solicitada
___ Depende de quem solicitou, qual informação solicitada e se foi concedida pelo superior
___ Só forneço informações por escrito e com autorização do meu superior
___ Só forneço a partir de confirmação de dados
___ Não forneço, independente de quem for
2. Você já passou por uma situação em que alguém utilizou má-fé para obter ou tentar obter
informações que você tem acesso? Se possível descreva-a brevemente.
___ Sim
___ Não
Descrição:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
95
QUANTO À EMPRESA
1. A empresa disponibiliza orientação sobre a divulgação de informação?
___ Sim
___ Não
2. Você conhece quais são as informações vitais para o negócio da empresa?
___ Sim
___ Não
3. A empresa possui uma política de Segurança da Informação?
___ Sim
___ Sim, porém desatualizada
___ Não
4. A empresa possui um departamento de TI especializado?
___ Sim
___ Não
5. A empresa possui requisitos de segurança dos contratos de terceirização?
___ Sim
___ Sim, porém desatualizado
___ Não
6. A empresa possui controle de acesso específico para os prestadores de serviço?
___ Sim
___ Não
7. Há uma estrutura para notificar e responder aos incidentes e falhas de segurança?
___ Sim
___ Não
96
QUANTO AO ACESSO A INFORMAÇÕES
1. Existe o gerenciamento de acessos do usuário?
___ Sim
___ Não
2. Existe controle de acesso à rede?
___ Sim
___ Não
3. Há algum controle de acesso às aplicações ou diretórios?
___ Sim
___ Não
4. Existe monitoração do uso e acesso ao sistema?
___ Sim
___ Não
5. Há critérios para computação móvel e trabalho remoto?
___ Sim
___ Sim, porém desatualizados
___ Não
6. Neste momento, existe algum papel sobre sua mesa com informações sobre a empresa?
___ Sim
___ Não
7. Ao sair, você costuma deixar sua mesa limpa, sem papéis importantes?
___ Sim
___ Não
___ Nunca reparei
8. Ao sair, você costuma deixar seu computador bloqueado ou efetua Logoff?
___ Sim
___ Não
___ Nunca reparei
9. O setor em que trabalha, possui informações consideradas confidenciais?
___ Sim
___ Não
97
10. Na sua opinião, todos os funcionários do seu setor sabem a importância das informações
da empresa ?
___ Sim
___ Não
11. Você acha que seria difícil para pessoas externas, conseguirem informações importantes
na empresa?
___ Sim
___ Não
12. Quais os tipos de informações você possui acesso? (pode ter mais de uma resposta)
___ Informações Operacionais
___ Informações Gerenciais
___ Informações Confidenciais da Empresa
___ Informações imprescindíveis à continuidade do negócio da empresa
___ Não tenho acesso a nenhum tipo de informação importante
98
QUANTO A CONTRATAÇÃO DE FUNCIONÁRIOS
1. A empresa estabelece critérios de seleção e política de pessoal?
___ Sim
___ Não
2. Existem processos para capacitação e treinamento de usuários?
___ Sim
___ Não
3. A política de segurança da informação é divulgada aos novos contratados?
___ Sim
___ Não
4. Os funcionários assinam algum termo de responsabilidade e/ou confidencialidade sobre as
informações da empresa ?
___ Sim
___ Não
99
QUANTO AO GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
1. Há um controle de mudanças operacionais?
___ Sim
___ Não
2. É realizada a segregação de funções e ambientes?
___ Sim
___ Não
3. Existem procedimentos para cópias de segurança?
___ Sim
___ Não
4. Há controles e gerenciamento de rede?
___ Sim
___ Não
5. Existem mecanismos de segurança e tratamento de mídias?
___ Sim
___ Sim, porém desatualizadas
___ Não
6. Existem mecanismos de segurança de correio eletrônico?
___ Sim
___ Não
7. Existe algum procedimento padrão para documentação dos sisteamas?
___ Sim
___ Não
Algum comentário ou situação vivida interessante sobre a gestão da informação no seu dia-adia como secretária executiva?
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
10. GLOSSÁRIO
Ameaças (ou perigos): Os diversos perigos aos quais um sistema está exposto (TURBAN et
al., 2004).
Ataque de força bruta: Uma estratégia de descoberta de senha que tenta todas as
combinações possíveis de caracteres alfanuméricos e símbolos especiais (PEIXOTO, 2006).
Autentificação de dois fatores: O uso de dois tipos diferentes de autentificação para verificar
a identidade. Por exemplo, uma pessoa pode ter de identificar a si mesma ligando de uma
determinada localização identificável e sabendo uma senha (PEIXOTO, 2006).
Backdoor: Um ponto de entrada oculto que fornece um caminho secreto para o computador
de um usuário, o qual é desconhecido do usuário. Usado também pelos programadores que
desenvolvem um programa de software para que possam entrar no programa para corrigir
problemas (PEIXOTO, 2006).
Backup: Cópia extra dos dados e/ou programas, mantida em local seguro (TURBAN et al.,
2004).
Cavalo de Tróia: Um programa que contém um código malicioso ou prejudicial, criado para
gerenciar arquivos do computador da vítima ou para obter informações do computador ou da
rede da vítima. Alguns deles foram criados para ocultarem-se dentro do sistema operacional
do computador e espiar cada tecla digitada ou ação; ou para aceitar instruções por uma
conexão de rede para executar alguma função, tudo isso sem que a vítima tenha consciência
de sua presença (PEIXOTO, 2006).
Conexão direta: A expressão da empresa de telefonia para uma linha telefônica que vai
diretamente para um número específico quando o telefone é tirado do gancho (PEIXOTO,
2006).
100
101
Controles de sistemas de informação: Os procedimentos, dispositivos ou software que
procuram assegurar que o sistema opere como planejado (TURBAN et al., 2004).
Criptografar: Transformar dados em código criptografados antes de sua transmissão
(TURBAN et al., 2004).
Dead drop: Um lugar para deixar as informações, no qual é pouco provável que sejam
encontradas por outras pessoas. No mundo dos espiões tradicionais, isso poderia estar atrás de
um tijolo falso na parede; no mundo dos harckers de computadores, é comum haver um site
de Internet em um país remoto (PEIXOTO, 2006).
Decriptografar: Transformação de código criptografado em dados legíveis, após a
transmissão (TURBAN et al., 2004).
Engenharia Social inversa: Um ataque de Engenharia Social no qual o atacante cria uma
situação na qual a vítima tem um problema e entra em contato com ele para obter ajuda. Outra
forma de Engenharia Social inversa é aquela que se volta contra o atacante. O alvo reconhece
o ataque e usa princípios psicológicos de influência para tirar o máximo possível de
informações do atacante para que a empresa possa preservar os ativos visados (PEIXOTO,
2006).
Enumeração: Um processo que revela os serviços que estão ativos no sistema alvo, a
plataforma do sistema operacional e uma lista dos nomes de contas dos usuários que têm
acesso ao sistema (PEIXOTO, 2006).
Exposição: O dano, perda ou prejuízo que pode ocorrer, caso algo saia errado em um sistema
de informação (TURBAN et al., 2004).
FTP Anônimo: Um programa que fornece acesso a um computador remoto mesmo que você
não tenha uma conta e que use o File Transfeer Protocol (FTP). Embora o FTP anônimo
possa ser acessado sem uma senha, em geral os direitos de acesso de usuário a determinadas
pastas são restritos (PEIXOTO, 2006).
Golpe inverso: Um golpe no qual a pessoa atacada pede ajuda ao atacante (PEIXOTO, 2006).
Gzip: Classificar arquivos em um único arquivo compactado usando o utilitário GNU do
Linux (PEIXOTO, 2006).
Harckers: Originário do inglês, o termo é comumente utilizado no português sem
modificação. Na língua comum o termo designa programadores maliciosos e ciberpiratas que
agem com o intuito de violar ilegal ou imoralmente sistemas cibernéticos (WIKIPÉDIA,
2007).
Hardware: é a parte física do computador, ou seja, é o conjunto de componentes eletrônicos,
circuitos integrados e placas, que se comunicam através de barramentos (WIKIPÉDIA, 2007).
Instalação silenciosa: Um método de instalar um aplicativo de software sem que o usuário ou
operador do computador tenha conhecimento de que a ação está ocorrendo (PEIXOTO,
2006).
102
Integridade (dos dados): Uma garantia de precisão, integridade e confiabilidade dos dados.
A integridade do sistema é garantida pela integridade de seus componentes e sua integração
Intranet: é uma rede de computadores privativa que utiliza as mesmas tecnologias que são
utilizadas na Internet. O protololo de transmissão de dados de uma intranet é o TCP/IP e sobre
ele podemos encontrar varios tipos de serviços de rede comuns na Internet, como por exemplo
o e-mail, chat, grupo de notícias, HTTP, FTP entre outros (WIKIPÉDIA, 2007)
Mail Drop: O termo do Engenheiro Social para uma caixa postal alugada, em geral com um
nome fictício, a qual é usada para o recebimento de documentos ou pacotes que a vítima foi
convencida a enviar (PEIXOTO, 2006).
Malware: Gíria para o software malicioso, um programa de computador, tal como um vírus,
um worm ou um Cavalo-de-Tróia, que executa tarefas prejudiciais (PEIXOTO, 2006).
Mark: A vítima de uma conspiração (PEIXOTO, 2006).
Negar encerramento: Uma opção de serviço da empresa de telefonia na qual o equipamento
de comutação é definido para que as ligações não possam ser recebidas naquele número de
telefone (PEIXOTO, 2006).
Password default: senha para determinar valor e/ou informação assumida em determinada
situação, quando nenhuma outra é especificada para o seu lugar (disponível no endereço:
www.flaviowenzel.hpg.ig.com.br/informatiques/d.html)
Patch: Tradicionalmente uma parte do código que, quando colocado em um programa
executável, corrige um problema (PEIXOTO, 2006).
Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca
obter respostas específicas. Isto é possível porque as pessoas têm características
comportamentais que as tornam vulneráveis a manipulação (FILHO, 2004).
Queimar a fonte: Diz-se que um atacante queimou a fonte quando ele permite que uma
vítima reconheça que ocorreu um ataque. Após a vítima tomar conhecimento e notificar os
outros empregados ou a direção sobre a tentativa, fica muito difícil explorar a mesma fonte
em ataques futuros (PEIXOTO, 2006).
Risco: a probabilidade de que uma ameaça se concretize (TURBAN et al., 2004).
Secure Sockets Layer: Um protocolo desenvolvido pela Netscape que fornece a
autentificação para o cliente e o servidor em uma comunicação segura na Internet (PEIXOTO,
2006).
Security Officer: Empregados de um sistema de Política de Segurança da Informação.
(tradução
adaptada,
texto
original
disponível
no
endereço:
sig.nfc.usda.gov/pki/glossary/glossary.html)
Segurança através da obscuridade: Um método eficaz de segurança de computadores que
mantém em segredo os detalhes de como funciona o sistema (protocolos, algoritmos e
103
sistemas internos). A segurança através da obscuridade baseia-se na falsa suposição de que
ninguém que esteja fora de um grupo de pessoas de confiança poderá enganar o sistema
(PEIXOTO, 2006).
Segurança baseada em terminal: A segurança baseada em parte na identificação do terminal
de computador específico que está sendo usado. Esse método de segurança era
particularmente conhecido nos computadores mainframe da IBM (PEIXOTO, 2006).
Segurança Speakeasy: A segurança que depende do conhecimento do lugar onde estão as
informações desejadas e do uso de uma palavra ou nome para acessar aquelas informações ou
um sistema de computador (PEIXOTO, 2006).
Segurança Suave (Candy Security): Um termo criado por Belloin e Cheswick da Bell Labs
para descrever um cenário de segurança no qual o perímero externo (tal como um firewall) é
forte, mas a infra-estrutura é fraca. O termo refere-se ao confeito, que tem uma cãs ca externa
dura e um centro mole (PEIXOTO, 2006).
Senha hash: Uma string de coisas initeligíveis que resulta do processamento de uma senha
por meio de um processo de criptografia de uma via. O processo deve ser irreversível, ou seja,
acredita-se que não seja possível reconstruir a senha a partir do hash (PEIXOTO, 2006).
Shell de comandos remoto: Uma interface não-gráfica que aceita comando baseados em
texto para executar determinadas funções ou executar programas. Um atacante explora as
vulnerabilidades técnicas ou que pode instalar um programa Cavalo de Tróia no computador
da vítima pode obter o acesso remoto a um Shell de comandos (PEIXOTO, 2006).
Software: é a parte lógica, ou seja, o conjunto de instruções e dados que é processado pelos
circuitos eletrônicos do hardware (WIKIPÉDIA, 2007).
Sosh: Gíria da polícia para o número do seguro social (uma espécie de CPF aqui no Brasil)
(PEIXOTO, 2006).
Spyware: Software especializado usado para monitorar de modo oculto as atividades do
computador de um alvo. Um dos meios mais comuns dessa prática é usado para controlar sites
visitados pelos compradores da Internet para que os anúncios on-line possam ser adaptados
aos seus hábitos de pesquisa na Internet. A outra forma análoga é grampear um telefone,
exceto que o dispositivo alvo é um computador. O software captura as atividades do usuário,
incluindo as senhas e teclas digitadas, e-mails, conversas de chat, mensagens instantâneas,
todos os sites web visitados e capturas da tela (PEIXOTO, 2006).
Terminal burro: Um terminal que não contém seu próprio microprocessador. Os terminais
burros só aceitam comandos simples e exibem caracteres de texto e números (PEIXOTO,
2006).
Tolerância a falhas: A capacidade de um sistema de informação continuar operando,
normalmente por um tempo limitado e/ou a um nível reduzido, quando acontece uma falha
Virar Latas: Vasculhar o lixo de uma empresa (quase sempre em um lixo externo e
vulnerável) para encontrar informações descartadas que tivessem valor ou que fornecessem
104
uma ferramenta a ser usada em um ataque da Engenharia Social, tal como os números de
telefones internos ou os cargos (PEIXOTO, 2006).
Vulnerabilidade: A suscetibilidade do sistema ao dano causado pela ameaça (TURBAN et
al., 2004).
11. ANEXOS
ANEXO 1: CÓDIGO PENAL SOBRE “ENGENHEIROS SOCIAIS”
105
106
CÓDIGO PENAL SOBRE “ENGENHEIROS SOCIAIS”
ESTELIONATO
Art. 171 - Código penal: Obter para si ou para outrem, vantagem ilícita, em prejuízo
alheio, induzido ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro
meio fraudulento. Pena - Reclusão, 1 a 5 anos, e multa.
FALSA IDENTIDADE
Artigo 307 - Código penal: Atribuir-se ou atribuir a terceiros falsa identidade para
obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem. Pena Detenção - 3 meses a 1 ano, e multa
USURPAÇÃO DE FUNÇÃO PÚBLICA
Art. 238 - Código penal: Usurpar o exercício de função pública. Pena - Detenção, 3
meses a 2 anos, e multa.
Parágrafo único - Se do fato o agente aufere vantagem
Pena - Reclusão, 2 a 5 anos, e multa.
FALSIDADE IDEOLÓGICA
Art. 299 – Código penal: Omitir, em documento público ou particular, declaração que
dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser
escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato
juridicamente relevante:
Parágrafo único - Se o agente é funcionário público, e comete o crime prevalecendo-se
do cargo, ou se a falsificação ou alteração é de assentamento de registro civil, aumenta-se a
pena de sexta parte.
Pena - reclusão, de 1 (um) a 5 (cinco) anos, e multa, se o documento é público, e
reclusão de 1 (um) a 3 (três) anos, e multa, se o documento é particular.
107
USO DE DOCUMENTO FALSO
Art. 304 – Código penal: Fazer uso de qualquer dos papéis falsificados ou alterados, a
que se referem os arts. 297 a 302:
Pena - a cominada à falsificação ou à alteração.
Fonte: Código Penal
AENXO 2: LEI DE REGULAMENTAÇÃO DA PROFISSÃO DE SECRETARIADO
EXECUTIVO
108
Lei 7377, de 30/09/85 e Lei 9261, de 10/01/96
Dispõe sobre o exercício da profissão de secretário e dá outras providências
O Presidente da República.
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art.1º. O exercício da profissão de secretário é regulado pela presente Lei.
Art.2º. Para os efeitos desta Lei, é considerado:
I - Secretário Executivo
a) o profissional diplomado no Brasil por curso superior de Secretariado, reconhecido na
forma de Lei, ou diplomado no exterior por curso de Secretariado, cujo diploma seja
revalidado no Brasil, na forma de Lei.
b) o portador de qualquer diploma de nível superior que, na data de vigência desta Lei, houver
comprovado, através de declarações de empregadores, o exercício efetivo, durante pelo menos
trinta e seis meses, das atribuições mencionados no Art.4º. desta Lei.
II - Técnico em Secretariado
a) o profissional portador de certificado de conclusão de curso de Secretariado em nível de 2º.
grau
b) portador de certificado de conclusão do 2º. grau que, na data de início da vigência desta
Lei, houver comprovado, através de declarações de empregadores, o exercício efetivo, durante
pelo menos trinta e seis meses, das atribuições mencionados no Art.5º. desta Lei.
Art. 3º. É assegurado o direito ao exercício da profissão aos que, embora não habilitados nos
termos do artigo anterior, contém pelo menos cinco anos ininterruptos ou dez anos
intercalados de exercício de atividades próprias de secretaria na data de vigência desta Lei.
Art.4º. São atribuições do Secretário Executivo:
I - planejamento, organização e direção de serviços de secretaria;
II - assistência e assessoramento direto a executivos;
III - coleta de informações para a consecução de objetivos e metas de empresas;
IV - redação de textos profissionais especializados, inclusive em idioma estrangeiro;
V - interpretação e sintetização de textos e documentos;
VI - taquigrafia de ditados, discursos, conferências, palestras de explanações, inclusive em
idioma estrangeiro;
VII - versão e tradução em idioma estrangeiro, para atender às necessidades de comunicação
da empresa;
109
VIII - registro e distribuição de expediente e outras tarefas correlatas;
IX - orientação da avaliação e seleção da correspondência para fins de encaminhamento a
chefia;
X - conhecimentos protocolares.
Art.5º. São atribuições do Técnico em Secretariado:
I - organização e manutenção dos arquivos da secretaria;
II - classificação, registro e distribuição de correspondência;
III - redação e datilografia de correspondência ou documentos de rotina, inclusive em idioma
estrangeiro;
IV - execução de serviços típicos de escritório, tais como recepção, registro de compromissos,
informações e atendimento telefônico.
Art.6º. O exercício da profissão de Secretário requer prévio registro na Delegacia Regional do
Trabalho do Ministério do Trabalho e far-se-á mediante a apresentação de documento
comprobatório de conclusão dos cursos previstos nos incisos I e II do Art.2º. desta Lei e da
Carteira de Trabalho e Previdência Social - CTPS.
Parágrafo Único - No caso dos profissionais incluídos no Art.3º., a prova da atuação será
feita por meio de anotações na Carteira de Trabalho e Previdência Social e através de
declarações das empresas nas quais os profissionais tenham desenvolvido suas respectivas
atividades, discriminando as atribuições a serem confrontadas com os elencos especificados
nos Arts.4º. e 5º.
Art.7º. Esta Lei entra em vigor na data de sua publicação.
Art.8º. Revogam-se as disposições em contrário.
José Sarney
Almir Pazzianotto
Fernando Henrique Cardoso
Paulo Paiva
110
ANEXO 3: O “JOGO DA SEGURANÇA”
111
112
A empresa Módulo Security Solution, líder em Segurança da Informação na América
Latina, trouxe, dentre inúmeros outros artigos que sempre divulga em seu portal
http://www.modulo.com.br , um documento muito interessante e bastante prático
desenvolvido pelo Módulo Education Center, relativo à Segurança da Informação no
ambiente corporativo: “O jogo da segurança”.
Veja, na figura, demonstração de um ambiente de trabalho onde se encontram
inúmeras falhas de segurança no âmbito físico, técnico e humano.
Como percebido, realmente muitas medidas deverão ser tomadas para, se não resolver
todas, ao menos minimizar tamanha desordem, imprudência e insegurança.
É possível detectar algumas falhas agravantes que também são simples de serem
resolvidas, seguindo políticas de segurança e condutas educativas por parte dos funcionários
da empresa. Eis os erros:
•
Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de
informação, saber: com quem fala, de onde fala, conferir se o telefone de onde
se origina a ligação esteja batendo com o que mencionou (via BINA, por
exemplo) e por que quer aquela informação;
113
•
Fatores externos (visitantes) terem acesso à área interna na empresa, obtendo
contato com as informações confidenciais;
•
Entrega de informações sem o devido conhecimento real de quem as está
levando;
•
Entrada de pessoas não autorizadas ou principalmente sem identificação, com
portas abertas e expostas à entrada de qualquer um;
•
Recebimento de informações digitais (disquete, CD, etc.) sem o prévio
conhecimento da procedência (de onde realmente vem, de quem vem e do que
se trata), sem fazer primeiramente uma inspeção do material recebido em
algum lugar ou equipamento que não comprometa a empresa ou organização;
•
Descarte incorreto de material que se acha inútil depois de jogado no lixo. O
não picotamento em diversos pedaços e de preferência em diversos lixos;
•
Cabos e fios que interligam os computadores soltos no meio da sala, sem a
devida organização de estarem atrás do micro salvaguardado de qualquer
tropeço ou acidente;
•
Gavetas abertas, de fácil acesso a documentos;
•
Jogos via Internet ou mesmo por disquetes ou CD-ROM são passíveis de
conter armadilhas, como ativação de worms, cavalos de Tróia, vírus dentre
outros perigos que se escondem por trás dos envolventes jogos, ou diversões
oferecidas;
•
Deixar expostos arquivos de backup, não guardando em lugar seguro e
confiável, além de demonstrar explicitamente que é um backup e de colocar
em risco a perda de todo backup sem os devidos cuidados necessários à
segurança física, em caso de algum acidente como uma xícara de café cair em
cima do material de backup;
•
Nome de usuário e senhas expostos para qualquer um que passar, ver e ter
acesso;
114
•
Disquetes, CD’s, documentos, material particular como bolsas, carteiras em
cima da mesa ou expostos com grande facilidade de alguém se apoderar ou ter
acesso, principalmente se as portas ou janelas ficam sempre abertas;
•
Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se
trabalha, ainda mais se neste lugar tem carpetes;
•
Programas, documentos digitais gravados em disquete ou CD’s, não sendo
devidamente guardados em lugares seguros onde somente aqueles que podem
ter realmente acesso seriam portadores da informação;
•
Materiais eletro-eletrônicos perto das máquinas de trabalho;
•
Cabos de energia soltos, comprometendo a segurança física dos funcionários;
•
Computador ligado demonstrando informações confidenciais como senha,
usuário, códigos fontes;
•
Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da
empresa;
•
Computador ligado e, sobretudo, logado com a senha e nome de algum usuário
esquecido, deixando à mercê o uso da máquina por alguém não autorizado;
•
Sistema de alarme desativado, desligado ou inoperante, em caso de alguma
urgência ou emergência;
•
Material (software de aplicativos) exposto sem estar guardado em lugar
seguro; bem como livros, apostilas, etc., que contenham informações que
sirvam como facilitador em trazer palavras de cunho técnico de modo a
“achar” id, senhas, sejam elas default ou não;
•
Enfeites, como vasos, quadros, dentre outros, servindo como mera distração,
fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho,
quando surgem, podem ser alvo de suspeita, pois de trás desses “enfeites”
podem estar guardados, escondidos, implantados sistemas de escuta,
gravadores, dentre outros pequenos sistemas que podem colher informações
ditas ou vivenciadas naquele ambiente.
Fonte: Módulo Security Magazine, São Paulo, n.345, 14 jun. 2004.
ANEXO 4: ENTREVISTA COM KEVIN D. MITNICK
115
116
Hoje com 39 anos, Kevin Mitnick deu uma virada na sua vida e estabeleceu-se como
um dos especialistas em segurança de computadores mais requisitados de todo o mundo.
Consultor de segurança para corporações em vários países e co-fundador da Defensive
Thinking, empresa de consultoria com sede em Los Angeles (defensivethinking.com).
Ele testemunhou no Comitê do Senado para Assuntos Governamentais sobre a
necessidade de legislação que garanta a segurança dos sistemas de informações do governo.
Seus artigos já foram publicados na maioria das revistas e jornais especializados e ele foi
convidado dos programas Court TV, Good Morning América e 60 Minutes; do Burden of
Proof da CNN e do Headline News, além de ter ministrado palestras em inúmeros eventos da
área. Mitnick tem um programa de rádio semanal na KFI AM 640, em Los Angeles, EUA .
Kevin Mitnick, já foi considerado um dos hackers mais famosos no mundo.Esteve oito
meses em prisão solitária em 1988. Voltou a ser apanhado pelo FBI em 1995. Cumpriu outros
cinco anos de prisão até 2000, quando saiu em liberdade condicional, proibido de tocar em
qualquer computador com ligação à Internet, modem, pacote de software ou um telefone, sem
alguém por perto.
Em uma de suas vindas aqui no Brasil, disse na capital baiana que o nível de
segurança das empresas de internet varia muito. "Por causa da competitividade, as empresas
inserem no mercado softwares que não foram testados suficientemente. O hacker justamente
busca esta falha para tirar proveito da situação."
De acordo com o americano, enquanto as empresas não corrigirem estas falhas,
"sempre vai existir uma janela de vulnerabilidade". "No caso da Microsoft, por exemplo, isso
(falta de testes) vai permitir a invasão a milhares e milhares de computadores."
Apesar de ganhar fama mundial como hacker, Kevin Mitnick dá um conselho para os
"seus seguidores". "Não façam isso (invasão de sistemas). Se querem mesmo agir como
hackers, acho que deveriam criar o seu próprio sistema operacional e tentar encontrar
falhas”
Ele defendeu a contratação de "hackers regenerados" como a melhor ferramenta de
combate à insegurança da rede.
"O que você prefere: viajar com um piloto que tem 10 mil milhas de experiência em
um simulador ou contratar um profissional com três mil milhas de vôo?"
117
Numa das raras vindas de Mitnick ao Brasil, quando esteve presente em Salvador –
Bahia, no final do ano de 2003, ele concedeu diversas entrevistas dentre as quais para a
Information Week Brasil, onde falou sobre os riscos que as empresas correm, sua experiência
pessoal e formas de defesa para as corporações
INFORMATIONWEEK Brasil - Kevin, o que é exatamente a engenharia social?
Kevin Mitnick - Engenharia social, na verdade, é um termo diferente para definir o
uso de persuasão para influenciar as pessoas a concordar com um pedido. A diferença entre
usar engenharia social e ser um bom vendedor é que o primeiro usa técnicas para enganar as
pessoas para conseguir informações que podem ser usadas para um ataque, ou mesmo fazer
com que o outro tome alguma ação que permita o atacante colocar em prática uma invasão ao
computador ou à rede que é alvo da ação. Eu posso garantir que engenharia social é uma das
mais graves vulnerabilidades de segurança do mundo corporativo. Porque não importa que
tipo de tecnologia a empresa utilize - biometria, detecção de intrusos, ou o melhor firewall
que se pode encontrar no mercado -, a engenharia social passa por cima disso tudo, usando o
elemento humano como um proxy para conseguir o que quer que o atacante deseja.
IWB - O maior ponto de falha de segurança para empresas, então, são as
pessoas?
Mitnick - Com certeza é o elemento humano. Porque não importa que tipo de trancas
você coloque em sua casa: o que o engenheiro social faz é convencer a pessoa que está do
outro lado da porta a abri-la. Independente do tamanho do cadeado, o engenheiro social vai
manipular as pessoas a entregar as chaves ou abrir o cadeado.
IWB - Como as empresas podem se defender dessa ameaça?
Mitnick - A melhor maneira é trabalhar para que as pessoas conheçam os processos
seguros definidos pela companhia. Todos precisam saber quais são as formas de atuação e de
quais situações os engenheiros sociais tiram proveito. Uma das melhores defesas para as
empresas é que seus funcionários desenvolvam consciência sobre segurança, baseada em
políticas e processos que sejam largamente divulgados. Dessa forma, todas as pessoas terão
conhecimento de como agir mediante uma requisição. Porque o que um engenheiro social faz,
e é aí que está o perigo, é uma requisição, seja de uma informação ou que alguém faça algo.
Diante disso, a segurança se resume a duas coisas: identificação e autorização. O que a pessoa
que recebe o telefonema, fax, e-mail ou qualquer outra forma de contato tem de saber é, não
118
importa quão insignificante pareça o pedido, se ela está falando com quem ela foi levada a
pensar que está. É preciso que todos conheçam os mecanismos de verificação de identidade.
Essa simples preocupação protege a empresa da ação de ex-funcionários ou de outras pessoas
que conhecem a estrutura organizacional e afins.Em termos práticos, são basicamente duas
ações para se proteger da engenharia social. A primeira é sempre ter certeza absoluta de estar
falando com a pessoa correta. A menos que se conheça pessoalmente a outra parte, tem de se
usar métodos para tanto. A outra defesa é ter todas as informações da empresa classificadas,
com regras claras para verificação de identidade para uma eventual disponibilização da
informação, mesmo para outro funcionário da empresa.
IWB - Como um engenheiro social atua?
Mitnick - Ele tenta aprender o máximo possível sobre a estrutura organizacional, os
processos, as formas de troca de informação e as pessoas da empresa para que possa e passar
por um funcionário. Esse é o maior perigo do "insider" ou do ex-funcionário, que já têm essa
informação e a utiliza para conquistar a confiança, não importa quão efêmera seja, da pessoa
com quem está se comunicando. A partir daí, o engenheiro social explora essa confiança para
atingir seu objetivo. O processo de engenharia social começa com o recolhimento de
informações sobre a pessoa e a empresa para quem se vai ligar; essa informação é usada para
desenvolver uma relação de confiança, que pode ser de curto prazo; depois é hora de explorar
essa relação para fazer com que a outra parte faça o que se deseja, para que, no fim de tudo, o
atacante consiga seu objetivo. E é fácil recolher as informações. Um bom exemplo disso é
quando alguém quer ser contratado por uma empresa. Com uma simples pesquisa na Web é
possível descobrir quais são seus produtos, os fundadores, há quanto tempo está no mercado,
sua posição financeira ou o nome dos principais executivos. E é isso que o engenheiro social
faz, só que com o objetivo de se passar por outra pessoa e se fazer acreditar. O que as pessoas
que são alvo pensam é "se ele sabe tal informação, com certeza ele é da empresa". Mas esse é
um tipo de confiança errada.
IWB - O que você recomenda que as empresas façam para diminuir os riscos de
serem vítimas de engenharia social?
Mitnick - Informações internas, como ramais diretos, e-mails internos, os nomes dos
sistemas de tecnologia, os sistemas operacionais adotados e até mesmo quem são os
fornecedores de tecnologia, que podem ser usadas por um engenheiro social, não devem ser
119
abertas para pessoas de fora da empresa. Além disso, é recomendável que se adote acordos de
confidencialidade para todos os funcionários. Em linhas gerais, informações importantes não
devem ser espalhadas e os empregados têm de ser treinados para não divulgá-las. As
companhias precisam aprender a limitar as informações divulgadas.
IWB - Kevin, você certa vez disse que a engenharia social era a sua grande arma.
É possível você dar um exemplo de como essa técnica permitiu atingir seu objetivo?
Mitnick - Vou lhe dar alguns exemplos genéricos. Um é criar um disquete e escrever
na etiqueta algo como "Departamento Pessoal - Folha de Pagamento". Só que o disquete
carrega, na verdade, um programa invasivo que instala uma backdoor. Ou até mesmo um
programa mais sofisticado, que irá enviar informações para o atacante. Então o engenheiro
social vai fisicamente à empresa e espalha cópias desse disquete nas áreas comuns da
companhia. Inevitavelmente alguém vai pegar o disquete por curiosidade, rodá-lo em sua
máquina e boom! Esse é um exemplo onde a tecnologia envolvida é mínima. Mas há muitas
outras formas de ação. Uma delas é a engenharia reversa. Aqui nos EUA, por exemplo, os
bancos possuem códigos diários para autenticar ligações telefônicas entre suas agências. Um
método que eu usei no passado foi o de procurar alguém da agência - que eu sabia que não
estaria lá - me fazendo passar por um outro funcionário que está acompanhando o andamento
de uma requisição. Uma possibilidade era ligar para uma agência solicitando uma nova conta,
junto ao responsável por essa área. Eu ligava pela manhã, falava com a pessoa e fingia que
tinha de atender uma outra ligação. Nesse momento eu combinava de ligar depois do almoço e descobria a que horas ele sairia para o almoço. Eu voltava a ligar quando ele estava fora e
dizia a quem me atendia que estava ligando sobre o fax com as informações que ele havia
pedido. Quando o funcionário me dizia que quem eu procurava não estava, bastava dizer que
precisava passar o fax logo porque estava do outro lado do país e pedia o código para
autenticar a informação. O funcionário acabava sendo levado a acreditar que deveria fornecer
o código porque alguém estava esperando por essas informações. Isso é o que se chama de
engenharia reversa: você faz o alvo acreditar que você está acompanhando o andamento de
uma requisição legítima. Só que o detalhe é que a pessoa que recebeu a ligação não deveria
fornecer o código, já que a autenticação deveria vir do outro lado.
IWB - Kevin, há alguma coisa que você queira destacar sobre o assunto?
120
Mitnick - É importante destacar que há muitas técnicas que as pessoas podem usar. O
engenheiro social pode se passar por um representante do suporte técnico da companhia que
está tentando resolver uma falha - o que leva o usuário a colaborar. O mesmo vale para
alguém ligando para o suporte técnico se fazendo passar por um funcionário que esqueceu sua
senha, ou algo do gênero, com o objetivo de conseguir privilégios de acesso ou a troca da
senha. Muitas vezes, as pessoas não fazem a verificação de identidade. E é disso que o
engenheiro social se aproveita, criando uma relação de confiança que faz a outra parte se
sentir desconfortável ao questioná-lo. Essa é a razão psicológica que explica porque
engenharia social funciona. Há na verdade seis comportamentos humanos que podem ser
manipulados por um engenheiro social: reciprocidade, consistência, a busca por aprovação
social, simpatia, autoridade e medo Mesmo sendo considerado o maior especialista em
engenharia social do qual se tem notícias, o próprio Mitnick, em sua apresentação, conta que
foi vítima de engenharia social. “Foi perto do lançamento do meu livro, The Arte of
Deception”(A arte de enganar)”,lembra. O ex-hacker conta que recebeu uma ligação de um
jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na
palavra do jornalista e deu uma entrevista sobre o livro.”Quando a reportagem foi publicada
meu editor me ligou furioso. Afinal de contas, toda estratégia para o lançamento havia sido
prejudicada por aquela entrevista, que ele nunca autorizou. Só ai eu percebi que havia sido
enganado”.
Fonte: MITNICK, Kevin. O conhecimento que assusta in InformationWeek Brasil. São
Paulo, 2003. Entrevista. Disponível em: http://www.informationweek.com.br/iw70/mitnick/
ANEXO 5: EXEMPLO DE UMA HISTÓRIA REAL DE ENGENHARIA SOCIAL
121
122
A história contada a seguir foi retirada do livro “The Art of Deception”ou como
conhecido aqui no Brasil: “A arte de enganar” de Kevin D.Mitnick & William L.Simon.É
uma história contada pelo próprio Kevin, que demonstra a utilização de técnicas da
Engenharia Social abordadas com a ajuda de seu amigo e comparsa Vinny.
Dinheiro fácil
Quando fui apresentado aos computadores pela primeira vez no colégio, tínhamos de
nos conectar por modem a um minicomputador DEC PDP 11 no centro da cidade de Los
Angeles. Todos os colégios de Los Angeles compartilhavam desse mesmo minicomputador.
O sistema operacional daquele computador se chamava RSTS/E e esse foi o primeiro sistema
operacional com o qual aprendi a trabalhar.
Naquela época, em 1981, a DEC patrocinava uma conferência anual para seus
usuários de produto, e um ano li que a conferência seria realizada em Los Angeles.Uma
revista conhecida para os usuários desse sistema operacional trazia um anúncio sobre um
novo produto de segurança, o LOCK-11. O produto era promovido com uma campanha
publicitária inteligente que dizia algo do tipo “São 3:30 da manhã e Johnny, do final da rua,
descobriu o seu número de discagem, 555-0336, na sua 336_ tentativa. Ele está dentro e você
está fora. Use o LOCK-11”.O anúncio sugeria que o produto era à prova de hackers. E ele
seria exibido na conferência.
Eu estava ansioso para ver o produto. Um colega e amigo do colégio, Vinny, meu
parceiro de hacking durante vários anos e que se tornou mais tarde um informante dos
federais contra mim, compartilhava do meu interesse no novo produto da DEC e me
incentivou a ir à conferência com ele.
Dinheiro on-line
Chegamos lá e encontramos um grande movimento das pessoas que estavam na feira
ao redor do LOCK-11. Parece que os desenvolvedores estavam apostando dinheiro on-line
para ver quem conseguia quebrar a segurança do produto. Esse parecia um desafio ao qual eu
não poderia resistir.
Fomos direto ao stand do LOCK-11 e encontramos os três desenvolvedores do
produto. Eu os reconheci e eles me reconheceram – mesmo adolescente eu já tinha fama de
phreaker e hacker por causa de um artigo que o LA Times havia publicado sobre meu
primeiro contato juvenil com as autoridades. O artigo relatava que eu havia entrado no prédio
da Pacific Telephone no meio da noite e tirado manuais de computadores, bem debaixo do
123
nariz dos guardas de segurança. (Parece que o Times queria criar uma história sensacionalista
e a publicação do meu nome servia para isso; como eu era ainda m adolescente, o artigo
violou a prática, senão a lei, de não – divulgação dos nomes dos menores acusados de
infrações.)
Quando Vinny e eu chegamos, isso criou um certo interesse de ambos os lados. Havia
um interesse da parte deles porque eles me reconheceram como o hacker sobre quem haviam
lido e eles estavam um pouco chocados em me ver. Isso criou um interesse da nossa parte,
porque cada um dos três desenvolvedores estava lá com uma nota de US$ 100 pendurada no
crachá da exposição. O premio em dinheiro total para todos que pudessem invadir seu sistema
seria de US$ 300 – o que parecia bastante dinheiro para uma dupla de adolescentes. Mal
podíamos esperar para começar.
O LOCK-11 foi criado com base em um principio estabelecido que dependia de dois
níveis de segurança. Um usuário precisava te um ID e uma senha válida, como sempre, mas o
ID e a senha só funcionariam quando fossem inseridos em terminais autorizados, uma
abordagem chamada de segurança baseada em terminal. Para burlar o sistema, um hacker
precisaria não apenas ter um ID de conta e uma senha, mas também teria de inserir essas
informações no terminal correto. O método estava bem estabelecido e os inventores do
LOCK- 11 estavam convencidos de que isso manteria as pessoas más de fora.
Nós resolvemos que iríamos ensinar uma lição para eles e embolsar as 300 pratas. Um
rapaz que eu conhecia e que era considerado um guru do RSTS/E já havia nos derrotado.
Anos antes ele tinha me desafiado a entrar no computador interno de desenvolvimento da
DEC, e depois disso seus colegas me entregaram. Desde aquela época ele havia se tornado um
programador respeitado. Nós descobrimos que ele havia tentado burlar o programa de
segurança LOCK-11 pouco antes de chegarmos, mas não conseguiu. O incidente havia dado
aos desenvolvedores mais segurança de que o seu produto realmente era seguro.
O concurso era um grande desafio: vencer o sistema de segurança e levar o dinheiro.
Um bom golpe publicitário... a menos que alguém conseguisse e levasse o dinheiro. Eles
tinham tanta certeza de que o seu produto era seguro que até se atreveram a afixar no stand
uma lista com os números e senhas de algumas das contas do sistema. E não apenas as contas
comuns, mas também as contas privilegiadas.
Na verdade, isso era menos audacioso do que parecia. Eu sabia que nesse tipo de
configuração cada terminal esta conectado a uma porta do próprio computador. Não era
124
preciso ser um cientista aeroespacial para descobrir que eles haviam configurado cinco
terminais na sala de reuniões para que um visitante fizesse a conexão apenas como um usuário
não privilegiado – ou seja, os logins só eram possíveis para as contas que não tinham
privilégios de administradores de sistemas. Parecia que havia apenas duas rotas: desviar
totalmente do software de segurança – exatamente aquilo que o LOCK-11 deveria evitar, ou
burlar o software de alguma maneira que os desenvolvedores não haviam imaginado.
Aceitando o desafio
Vinny e eu fomos dar uma volta para conversar sobre o desafio e voltamos com um
plano. Ficamos por ali inocentemente e vigiamos o stand à distância. Na hora do almoço
quando o movimento diminuiu, os três desenvolvedores se aproveitaram do intervalo e saíram
juntos para comer alguma coisa , deixando lá uma mulher que poderia ser a mulher ou
namorada de um deles.Nós voltamos e eu distrai a mulher, conversando com ela sobre várias
coisas como “Há quanto tempo você trabalha na empresa?””Quais outros produtos a sua
empresa vende?” e assim por diante.
Nesse meio tempo, Vinny, que estava fora da sua linha de visão, estava trabalhando,
usando uma habilidade que nós dois havíamos desenvolvido. Além do fascínio por invadir
computadores e do meu próprio interesse em mágica, uma coisa que sempre nos interessou foi
aprender como abrir cadeados. Quando criança, eu havia percorrido as prateleiras de uma
livraria obscura no Vale de São Fernando, que tinha livros sobre como abrir cadeados, livrarse de algemas, criar identidades falsas; todo o tipo de coisas que uma criança não deveria
saber.
Assim como eu, Vinny havia praticado o arrombamento de cadeados até ficarmos
muito bons nos cadeados comuns que compram nas lojas de ferragens. Certa vez me diverti
encontrando alguém que usava dois cadeados como uma medida extra proteção. Eu troquei os
cadeados de lugar, o que irritaria e frustraria o proprietário quando ele tentasse abrir cada um
deles com a chave errada.
No recinto de exposições eu continuava distraindo a mulher enquanto Vinny se
esgueirava na parte de trás do stand para não ser visto e pegava o cadeado do gabinete que
abrigava o seu minicomputador PDP-11 e os terminais dos cabos. Dizer que o gabinete estava
trancado era quase piada. Ele estava fechado com aqueles cadeados chamados de cadeado de
biscoito, evidentemente fáceis de abrir até mesmo para arrombadores amadores como nós.
125
Vinny precisou de apenas um minuto para abrir o cadeado. Dentro do gabinete ele
encontrou o que havia previsto: a fila de portas para conectar os terminais de usuários e uma
porta para aquele que era chamado de terminal de console. Esse era o terminal usado pelo
operador do computador ou administrador do sistema para controlar todos os computadores.
Vinny conectou o cabo que ia da porta da console até um dos terminais da feira.
Isso significava que esse terminal agora reconhecido como terminal da console. Eu me
sentei na máquina com os cabos novos e me conectei usando uma senha que os
desenvolvedores haviam fornecido. Como o software LOCK-11 agora identificava que eu
estava me conectando de um terminal autorizado, ele me concedeu o acesso e eu estava
conectado com privilégios de administrador de sistema. Fiz o patch do sistema operacional
para que eu pudesse me conectar como usuário privilegiado de qualquer terminal do local.
Depois que o meu patch secreto estava instalado, Vinny voltou a trabalhar
desconectando o cabo de terminal e conectando-o de volta no lugar onde ele estava
originalmente. Em seguida pegou o cadeado mais uma vez, desta vez para trancar a porta do
gabinete. Pedi uma listagem de diretórios para saber quais arquivos havia no computador,
procurei o programa LOCK-11 e os arquivos associados e encontrei algo que achei chocante:
um diretório que não deveria estar naquela máquina. Os desenvolvedores estavam tão
confiantes, tão certos de que seu software era invencível que nem se importaram em remover
o código – fonte do novo produto. Fui até o terminal de impressão ao lado e comecei a
imprimir partes do código –fonte nas folhas de formulário continuo com listras verdes que
eram usadas naquela época.
Vinny havia acabado de fechar o cadeado e tinha se juntado a mim quando os
desenvolvedores voltaram do almoço. Eles me encontraram sentado no computador digitando
enquanto a impressora continuava trabalhando.”O que você esta fazendo, Kevin?”, um deles
me perguntou. “Ah, só estou imprimindo o seu código fonte”, respondi. Eles pensaram, é
claro, que eu estava brincando. Até que olharam a impressora e viram que aquilo realmente
era o código – fonte tão bem guardado do seu produto.
Eles não acreditaram que eu estivesse conectado como usuário privilegiado. “Digite
um Control –T” ordenou um dos desenvolvedores. Eu fiz isso. A tela confirmou o que eu
disse. O rapaz começou a bater na cabeça enquanto Vinny pedia: “Os US$ 300, por favor”.
Eles pagaram. Vinny e eu caminhamos pela exposição no restante do dia com as notas
de US$ 100 pregadas em nossos crachás da conferência. Todos que viam as notas sabiam o
126
que elas representavam. Obviamente, Vinny e eu burlamos o software deles, e se a equipe de
desenvolvedores tivesse pensado em definir regras melhores para o concurso, se tivessem
usado um cadeado realmente seguro ou se tivessem tomado conta do seu equipamento com
mais cuidado não teriam sofrido aquela humilhação naquele dia – a humilhação sofrida pelas
mãos de dois adolescentes.
Mais tarde descobri que a equipe de desenvolvedores teve de ir ao banco para tirar
dinheiro: aquelas notas de US$ 100 eram todo o dinheiro que tinham com eles para gastar
O que se acabou de ler foi exatamente um típico ataque da engenharia social
aproveitando como vulnerabilidade, não as falhas por questões supostamente técnicas, mas
sim como observado na história, o problema chave nesse aspecto quando se refere à
engenharia social – o elo mais fraco chamado: fator humano.
A vítima foi a moça, namorada ou esposa de um dos donos desenvolvedores do
projeto, que analogamente estaria fazendo o papel de um “guarda da segurança” de uma
empresa. Pena que ela não fora avisada ou devidamente instruída quanto a importância de seu
papel naquele momento, sozinha no stand aguardando o retorno dos desenvolvedores.
Imagine então que um engenheiro social consiga, com apenas um telefonema,
conversar com o guarda responsável pela segurança, de forma a manipulá-lo a entrar numa
sala que contenha computador (qualquer sala terá acesso, pois normalmente os seguranças
possuem todas as chaves, ou uma chave mestra para abrir qualquer porta) e fazer com que,
devidamente e pacientemente instruído, digite na console comandos que concederão acesso
indevido além de muitas outras proezas a serem realizadas com as informações ante coletadas
pelo habilidoso e articuloso engenheiro social.
O mesmo vale, e principalmente, para aqueles funcionários que estão iniciando na
empresa, seja de qualquer área ou setor. São alvos “suculentos” para qualquer engenheiro
social. Sobretudo para os que se acham muito espertos e convincentemente se declaram muito
bem preparados para qualquer eventual circunstância que venha ocorrer com eles próprios. A
subestimação é o que o engenheiro social mais quer que ocorra.
Será que toda empresa instrui seus guardas da segurança, assim como os empregados
que acabaram de iniciar na empresa, para evitarem esse tipo de incidente? Creio que não.
Sobre esse assunto Mitnick ressalta: “É prática comum pedir que um colega ou
subordinado faça um favor. Os engenheiros sociais sabem como explorar o desejo natural
das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano
127
positivo para enganar empregados desavisados para que executem ações que o coloquem
mais perto de seu objetivo. É importante entender esse conceito simples para que você
reconheça quando outra pessoa está tentando manipula-lo”.
Fonte: MITNICK e SIMON, “A arte de enganar” (Capítulo 11 – páginas 145a 148).

Natália Pimenta Baldim - Secretariado Executivo Trilíngue

Transcrição

Documentos relacionados

Senha Segura

Output file

Como trocar a senha do email institucional

Termo de Uso – Internet

Tutorial para criar senha de acesso ao curso no Moodle

Assistente de Secretariado/Administrativo

Eleições ANBP/SNBP

Agendamento Web 1º PASSO 2º PASSO 1

Como ativar sua conta de e

INSTRUÇÕES PARA DESBLOQUEIO DO PIN (SENHA) DO SEU E