Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Resumo: A Engenharia Social é uma técnica que vem causando sérios danos aos ativos das
organizações. A implementação de mecanismos de gestão de políticas que incentivem ações
contra a Engenharia Social tem como pressuposto auxiliar organizações a disponibilizar
conteúdos de capacitação aos seus colaboradores. Através de mecanismos, como o uso de
periódicos Storyboards de Segurança, uma espécie de guia visual, no formato de tiras em
quadrinhos podemos auxiliar gestores da segurança da informação na elaboração e
divulgação das principais situações do dia a dia. Este artigo apresenta a modelagem de uma
possível solução baseada em software.
Abstract: Social Engineering is a technique that has been causing serious damage to the assets
of organizations. The implementation of policy management mechanisms that encourage
actions against Social Engineering has the assumption of helping organizations to provide
training content to their employees. Through mechanisms such as the use of periodical Safety
Storyboards, a kind of visual guide, in the format of comic strips can help information security
managers in the elaboration and dissemination of the main situations of the day to day. This
article presents the modeling of a possible software-based solution.
Keywords: Criminal Attacks, Social Engineering, Organizational Information Security,
Storyboards, Human Vulnerabilities.
1 INTRODUÇÃO
___________________________________
1. Bacharel em Sistemas de Informação pela Faculdade Estácio do Pará – FAP
58
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
2. Engenheiro de Computação – MSc; Professor da FAP – Estácio; Bolsista Pesquisa Produtividade da UNESA
3. Pedagoga – MSc; Doutoranda do Programa de Pós-Graduação em Geografia (PPGeo) – UFPA
Presente em ambientes físicos ou virtuais, ao longo desta pesquisa a Engenharia Social
irá ser apresentada como uma técnica, utilizada não exclusivamente para afetar ativos
tecnológicos, mas as falhas humanas. Em que os engenheiros sociais exploram as falhas de
segurança das pessoas, que no geral não são treinadas para este tipo de ataque, sendo facilmente
manipuladas. Logo, gerenciar os recursos humanos, proteger as informações e garantir sua
segurança, torna- se uma tarefa fundamental e um dos maiores desafios do Gestor de Segurança
da Informação.
Uma vez que, as informações são um dos ativos mais importantes para o
desenvolvimento das operações e projetos organizacionais. As empresas, constantemente
necessitam investir em as ações que visem tanto reduzir riscos, quanto aumentar à eficácia de
seus mecanismos de Segurança de Informações. E na Era da Informação, de recorrentes ataques
de Engenharia Social que as empresas estão suscetíveis a sofrer, mesmo que inconscientemente,
cabe ao Gestor de Normas e Políticas de Segurança da Informação buscar desenvolver as
habilidades pessoais de todos os seus colaboradores de qualquer área de atuação, através de
treinamentos e capacitações.
Até por que, ainda que se utilizem mecanismos de proteção, segurança e se coloque um
carimbo de confidencial em uma informação, por exemplo, na maioria das vezes, estas podem
estar vulneráveis. Pois, todo aquele que não compreende o valor da informação que detém, não
terá preocupação em proteger este bem de forma honesta, benéfica e ética. Cabendo ao gestor
desenvolver treinamentos de conscientização de seus colaboradores, aplicando como um dos
princípios básicos de suas Normas e Políticas de Segurança da Informação: a disponibilização
por meio impresso ou eletrônico de um documento detalhado e explicativo, de todas as
diretrizes e regras a serem executadas para proteção dos ativos organizacionais.
Por isso, neste artigo, será apresentado também além das características da Engenharia
Social, do Engenheiro Social, do fator humano como o elo mais fraco da Segurança da
Informação. As principais técnicas e ferramentas utilizadas pelos engenheiros diante seu alvo,
que podem variar desde o uso de disfarces, até o roubo de informações descartadas
incorretamente, redes de contato, apelo sentimental, programação neolinguística, pesquisas na
internet, que por ventura são uma das maiores armas do engenheiro social para obtenção de
informações sobre seu alvo. Propondo através de sugestões de mecanismo de gerenciamento de
informações, métodos de proteção, que auxiliaram empresas públicas ou privadas sobre a
importância da criação de políticas de proteção de quaisquer tipos de informações
organizacionais.
Demonstrando que através da conscientização e possíveis treinamentos de um dos
pilares fundamentais da Segurança da Informação Organizacional, que é o fator humano. Todos
consigam criar uma cultura corporativa que se estenda para seu dia a dia, desenvolvendo ainda
mais, a capacidade das pessoas que lidam com informações de maneira legal, saberem sobre
quais situações, técnicas e decisões podem, e devem ser executadas, diante de ameaças que
coloquem não só as tecnologias, mas o próprio fator humano, como um alvo vulnerável e
suscetível a ataques de Engenharia Social.
Foram propostas algumas soluções, dentre elas a criação de uma Storyboard de
Capacitação, ou seja, um guia de capacitação de colaboradores em forma de história em
quadrinhos que auxiliem de forma simples e objetiva conceitos de Engenharia Social,
Segurança da Informação, e auxilie todos os envolvidos no ambiente organizacional na
implementação de mecanismos de proteção contra ataques promovidos pelos engenheiros
59
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
sociais, assim como boas práticas de manipulação e proteção de toda e qualquer informação
que detenham.
Estimando- se que com essas medidas, gestores e usuários possam realizar treinamentos
semanais ou mesmo mensais, que aliados a tomadas de decisão corretas e responsáveis, a
identificação de falhas de segurança, e a implantação de medidas corretivas que possam
diminuir ao máximo as ameaças aos ativos organizacionais.
2 JUSTIFICATIVA
3 METODOLOGIA
4 REFERENCIAL TEÓRICO
Pois, ainda que as tecnologias sejam uma porta de entrada para muitas ameaças aos
ativos de uma organização, o fator humano precisa ser conscientizado e treinado para
desenvolver e manter um comportamento seguro e contínuo. Muitos dos ataques perfeitos de
roubo de informação não necessitam de nenhum artificio tecnológico, mas de uma simples
aproximação com o alvo, estudos de suas vulnerabilidades, percepção de seus gostos, ganho de
confiança e simples conversas ou bate papos, milhares de informações são reveladas sobre
assuntos insignificantes inicialmente, porém se analisados sob vários pontos de vistas diferentes
sempre revelaram informações significativas.
Segundo a Norma ABNT NBR ISO/IEC 27001 (2003, p.4):
Por isso um dos maiores problemas para combater a Engenharia Social é o fato da
ausência em muitas organizações de soluções que busquem tratar desta realidade que faz parte
de todo o contexto social que estamos envolvidos. A Engenharia Social apesar de poder tornar
qualquer pessoa uma vítima de um criminoso, continua afetando principalmente a indivíduos
leigos. Como afirma Pereira (2005, p.1),” a ferramenta que o engenheiro utiliza na maior parte
dos casos é a ignorância e a inocência das pessoas, aproveitando- se de ganchos para executar
diversos golpes”. Pois são desprovidos de qualquer defesa contra essa ameaça, que não pode
ser ignorada, mas sim tratadas com seriedade.
Segundo Mitnick (2003, p.8):
62
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
Investimentos na implantação de soluções para defesa e proteção frente à Engenharia
Social, como treinamentos contínuos de conscientização, disponibilização de guias internos
falando sobre o assunto, podem trazer resultados positivos a longo prazo. No entanto a ausência
pode trazer consequências irreversíveis e impactantes nos processos organizacionais. Uma vez
que nem sempre é possível mensurar o valor da perda de informações.
63
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
O Software escolhido para elaboração dos diagramas de atividades foi o Astah, como
mostra a Figura 02.
64
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
O ToonDoo é uma ferramenta gráfica, que oferece muitos recursos aos seus usuários
tanto para a criação de Histórias em Quadrinhos, como para tiras ou cartoons personalizados,
através de variados tipos de tirinhas, cenários, personagens e objetos a partir de um vasto menu.
Permite ainda após a criação da storyboard, a possibilidade de salvá-las em uma conta
ToonDoo e divulgá-la em blogs, sites ou outros serviços da rede.
65
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
armazená-los em uma galeria especial para, posteriormente, serem utilizados na criação de
histórias em quadrinhos.
Figura 05 - Disponibilização e Capacitação de Colaboradores com utilização da Storyboard
Fonte: Autora
7 CONSIDERAÇÕES FINAIS
BIBLIOGRAFIA
BALTZAN, Paige. Tecnologia Orientada para Gestão. Porto Alegre: AMGH, 6 ed., 2016.
Disponível em:
<https://books.google.com.br/books?id=pUCPCwAAQBAJ&printsec=frontcover&dq
=inauthor:%22Paige+Baltzan%22&hl=pt-
&sa=X&ved=0ahUKEwinyZKum8bWAhXHW5AKHWS-
Dj0Q6AEIKTAA#v=onepage&q&f=false>. Acesso em: Setembro/ 2017
BEZERRA, Edson Kowask; COELHO, Flávia Estélia Silva; ARAUJO, Luiz Geraldo Segadas
de. Gestão da segurança da Informação NBR 27001 e NBR 27002. Rio de Janeiro:
Escola Superior de Redes, 2014. Disponível em:
<https://www.portalgsti.com.br/2012/11/ebook-gratuito-gestao-da-seguranca-da-
informacao.html>. Acesso: 29/09/17.
66
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
CARVALHO, Verônica. Tutorial Toondoo; Gestão Escolar Dia a Dia Disponível em:
http://www.gestaoescolar.diaadia.pr.gov.br/arquivos/File/pdf/toondoo_tutorial.pdf.
Acesso em: Dezembro/ 2017
Como se proteger da engenharia social no setor corporativo; Inove dados. Disponível em:
https://inovedados.com.br/engenharia-social-no-setor-corporativo. Acesso em:
Outubro/ 2017
COELHO, Cristiano Farias; RASMA, Eline Tourinho; MORALES, Gudelia. Engenharia
Social: Uma ameaça à sociedade da informação. Perspectivas Online: Exatas e
Engenharia, Campos dos Goytacazes, Março, 2013, pp. 3 (5), 34- 44. Disponível em:
<http://www.seer.perspectivasonline.com.br/index.php/exatas_e_engenharia/article/vie
w/87/59>. Acesso em: setembro/ 2017
Entenda porque a gestão de vulnerabilidade é essencial para segurança da sua empresa; Vert.
Disponível em: <http://www.vert.com.br/blog-vert/entenda-porque-a-gestao-de-
vulnerabilidade-e-essencial-para-seguranca-da-sua-empresa/>. Acesso: Setembro/ 17.
MITNICK, Kevin D. A arte de Enganar. São Paulo: Pearson Education, 2003. Disponível em:
<https://www.docdroid.net/Mq0Edkm/kevin-mitnick-a-arte-de-enganar.pdf>. Acesso
em: Setembro/ 2017
67
Revista de Tecnologia da Informação e Comunicação da Faculdade Estácio do Pará
Volume 1, Número 1, Páginas 58 – 68 | Belém, Abril 2018
RIBEIRO, Sergio Murta. PETRACCA, Ricardo. SÁ, Lucia Maria Carvalho de. PAES,
Eduardo. RAMOS, Cleide. COSTIN, Claudia. Quadrinhos – Guia Prático. Disponível
em: https://labproducaotextual.files.wordpress.com/2014/09/quadrinhos-3.pdf. Acesso
em: Outubro/ 2017.
68