TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Engenharia Social

Trabalho Escolar: Engenharia Social. Pesquise 862.000+ trabalhos acadêmicos

Por:   •  23/4/2014  •  4.012 Palavras (17 Páginas)  •  768 Visualizações

Página 1 de 17

RESUMO P1

FATOR HUMANO: PRINCIPAL RISCO A SEGURANÇA DA INFORMAÇÃO

Segundo Kevin Mitnick:

Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.(MITNICK; SIMON,2003, p. 3).

Em qualquer organização, por maior que seja a sua segurança, sempre haverá um fator de desequilíbrio chamado ”fator humano”. O velho ditado que diz que um segredo deixa de ser um segredo quando mais alguém sabe é uma das máximas existentes dentro da segurança da informação. Os maiores engenheiros sociais tiram proveito das fraquezas ou gostos pessoais de seus alvos para assim aproximar e conseguir alcançar seus objetivos. (MARCELO; PEREIRA, 2005).

Um dos maiores problemas hoje em dia na segurança da informação está relacionado ao ser humano e sua ignorância. Práticas que permitem o acesso não autorizado a dados, lugares, objetos e entre outros, fragiliza qualquer esquema de segurança da informação, uma vez que as pessoas acabam tendo acesso a informações indevidas, colocando em risco a segurança da informação. A questão comportamental pode afetar significativamente as demais medidas de segurança, por mais modernas que elas sejam. (SILVA, M.; COSTA, 2009)

Um dos grandes assuntos discutidos atualmente é a questão da inclusão do fator humano como um dos elementos base da segurança da informação. Existem propostas de modelos para inclusão desse fator primordial como um dos pilares fundamentais da segurança da informação, pois o modelo atual considera o fator humano em um nível não base.

O fator humano é uma das maiores causas de invasões e ataques, devido a vários motivos, por exemplo, a escolha de senhas fracas ou pelo esquecimento de algum cuidado básico de segurança.

Algo que pode ser facilmente percebido é que usuários não ligam para a empresa na qual trabalha. Eles só se preocupam mesmo com o pagamento, sua avaliação e aumento de salário. (SCHWARTAU, 2010).

Partindo do princípio de que não existe zero por cento de risco, por mais que todas as portas estejam protegidas e que os processos sejam bem-estruturados, há normas e código de ética, dando origem ao “elo” mais fraco da segurança – as pessoas. Não há maior vulnerabilidade que o funcionário insatisfeito, ou seja, todo o imenso investimento para proteger as informações cruciais pode ser prejudicial se a companhia descuidar do que ela tem de mais importante – os profissionais que ali trabalham.

Especialistas em segurança assinalam que o descontentamento do colaborador pode levá-lo a cometer infrações. A desmotivação somada à identificação de alguma irregularidade na segurança representa um motivo para causar um entrave. Um funcionário que tem metas inatingíveis trabalha em uma estrutura de opressão, não se sente confortável, não tem perspectivas de desenvolvimento na carreira, não está capacitado ou habilitado ao trabalho propriamente dito, cria um ambiente propício para executar uma falha.

Então, a primeira medida para impedir o vazamento de informações é deixar o colaborador do lado da empresa. Segundo Prescott (2007), não há uma fórmula pronta. O contrate certo, a implantação de programas de engajamento, os quais fazem com que as pessoas sintam que vale a pena trabalhar na empresa, melhoram o conhecimento, as habilidades e as atitudes dos funcionários.

ENGENHARIA SOCIAL

Engenharia Social são técnicas utilizadas para obter informações importantes e sensíveis de uma corporação ou de um indivíduo por meio da enganação, realizada de forma pessoal (face-to-face) ou por meio de recursos de tecnológicos.O elemento mais vulnerável de qualquer sistema de segurança é o próprio indivíduo, ao qual possui traços comportamentais e psicológicos que o torna suscetível aos ataques de engenharia social.

As técnicas utilizadas pelos Engenheiros Sociais são diversificadas, entre elas estão: a exploração de confiança das pessoas utilizando da vaidade pessoal, da autoconfiança, da formação profissional, da busca de amizades e persuasão ou utilizando a engenharia social inversa, quando um cracker cria uma personalidade e aparece numa posição de autoridade, de modo que os usuários lhe pedirão informação que permite ao cracker extrair dos funcionários informações muito valiosas, como a seguinte situação: O cracker causa problemas na rede, então divulga que possui a solução e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o cracker todas as informações por ele solicitadas. Após atingir o seu objetivo, o cracker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um cracker.

A utilização de meios como pharming, phisching e footprint também são comuns na engenharia social; o envio de emails maliciosos contendo vírus ou softwares como keyloggers (software que coletam senhas) ou de emails em nome de uma instituição bancária solicitando uma atualização cadastral fazem parte do rol de ações dos Engenheiros Sociais. O phisching, por exemplo, é uma fraude eletrônica caracterizada por tentativas de adquirir informações confidenciais das vitimas por meio da enganação. Veja abaixo um exemplo de phisching, onde um suposto banco (ocultado na imagem) envia um email solicitando uma confirmação de dados. Observe que o link citado no email não parece pertencer a um domínio confiável: "golferonline. co. th", o que pode ser observado quando passamos mouse por cima do link de confirmação de dados.

Outros meios utilizados pelos Engenheiros Sociais para coletar informações é vasculhar o lixo das vitimas na procura de dados pessoais. Os locais ou meios em que estas ações podem ocorrer são diversificados: redes sociais, SMS, chat, telefone, reuniões, email e o no próprio local de trabalho. Os autores desta exploração

...

Baixar como (para membros premium)  txt (25.1 Kb)  
Continuar por mais 16 páginas »
Disponível apenas no TrabalhosGratuitos.com