Segurança da Informação

A título de conhecimento passo texto do Curso da Academia Latino Americana de Segurança da Informação/TecNet - Microsoft, o qual fiz parte, a respeito de Engenharia Social.

Abraços

Luiz Fernando Viscenheski
Analista de Suporte
TJRO



Academia Latino Americana de Segurança da Informação
Microsoft TechNet Brasil


É indiscutível que a preocupação com os aspectos tecnológicos associados à segurança da informação aumentou consideravelmente no mundo dos negócios. No entanto, são pouquíssimas as pessoas que avançaram na proteção de um dos elos mais fracos na cadeia de segurança, o fator humano. Isso permitiu que, utilizando técnicas de Engenharia Social, uma das antigas técnicas de invasão, fosse possível burlar os controles tecnológicos estabelecidos, simplesmente enganando as pessoas que possuem a informação requerida ou que conhecem a forma de chegar a ela.
Ocorre que a Engenharia Social consiste precisamente nas diversas técnicas com as quais se busca obter informações de outras pessoas sem que estas percebam que estão revelando informações importantes ou realizando ações não-autorizadas. Na realidade, associa-se muito ao que é a espionagem industrial ou corporativa. Um exemplo clássico é o do indivíduo que se faz passar por um alto executivo. Bem-vestido, com elegância e firmeza para falar, quem se negaria a lhe conceder um favor ou, ainda, uma ordem? Assim, ele obtém facilmente as informações ou realiza as ações que necessita para entrar no sistema, o que consiste, na verdade, em seu objetivo final.
A pessoa que entregou as informações fica feliz por ter ajudado ou em paz consigo mesma por ter atendido um superior, não ficando nem com a mais remota suspeita do equívoco cometido.
Presa fácil dessas técnicas são as pessoas que, sem considerar os controles de segurança, são muito confiantes, buscam sempre ajudar ou ser úteis sem avaliar a quem, ou se intimidam facilmente, por medo de perder algo ou ter problemas. Da mesma forma, também são sinônimos de vulnerabilidades a ignorância, a curiosidade excessiva, o manuseio descuidado das informações ou a tentativa de devolver falsos favores.
Em geral, a Engenharia Social tenta fazer com que essas pessoas realizem tarefas não autorizadas como parte de suas tarefas habituais de trabalho e de uma forma natural, para que não se dêem conta que estão apoiando uma ação indevida. Por isso, o primeiro objetivo do invasor é obter a confiança da vítima, que ele pode ganhar construindo uma relação baseada em conversas inocentes. Uma vez conquistada, ele continua a buscar as informações importantes que realmente busca. Não se pode confiar tanto nos outros. Não é necessário ser paranóicos, mas é realmente importante perceber que esses fatos são cada vez mais habituais e é fundamental ficar atento.
Uma boa forma de comprovar se estão fazendo algum ataque é recolher estatísticas de não cumprimento dos procedimentos. Por exemplo, analisar o número de pessoas que ligaram para o Suporte Técnico e aos quais não entregaram as informações porque eles não forneceram todos os dados de identificação solicitados. Outra maneira clara de ficar alerta é poder reconhecer certos sinais típicos de uma ação dessa natureza, como recusar-se a entregar informações de contato, ter muito cuidado, fazer menção a uma pessoa importante e intimar ou requerer informações esquecidas, para enumerar as mais comuns. De qualquer maneira, hoje em dia é fundamental educar, capacitar, sensibilizar e estabelecer políticas e procedimentos relativos a esse tema.
Uma forma de defesa contra esses ataques é conhecer os conceitos básicos que podem ser utilizados contra uma pessoa ou empresa a que ela pertence e que abrem brechas para conseguir dados. Com esse conhecimento, deve-se adotar uma atitude proativa que alerte e conscientize os funcionários para que comuniquem qualquer pergunta ou atitude suspeita.
Assim, as políticas de segurança devem ser realistas, com regras concisas e concretas que possam ser cumpridas.