O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO

[pic 1]

DIEGO FERNANDO DE ALMEIDA DA SILVA

MARCOS DE SOUSA BEZERRA

MARCELO CARDOSO GUIMARÃES

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO

Brasília

2008

DIEGO FERNANDO DE ALMEIDA DA SILVA

MARCOS DE SOUSA BEZERRA

MARCELO CARDOSO GUIMARÃES

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO

Trabalho de Conclusão de Curso com objetivo de obter a graduação no Curso de Tecnologia em Segurança da Informação; Faculdades Unisaber.

Orientador Professor Eduardo Wallier Vianna

Brasília

2008

Silva, Diego Fernando Almeida; Bezerra, Marcos de Sousa; Guimarães, Marcelo Cardoso.

    O impacto da engenharia social na segurança da informação/ Diego Fernando de Almeida da Silva; Marcos de Sousa Bezerra; Marcelo Cardoso Guimarães. Brasília: UNISABER, Departamento de Tecnologia da Informação, 2008.

    59 p.: il.; 30 cm.

    Orientador: Eduardo Wallier Vianna

    Monografia (graduação): Faculdade Unisaber, Departamento de Tecnologia da Informação / Tecnologia em Segurança da Informação, 2008.

    1. Conceito e Aplicação da Engenharia Social. 2. A segurança e o usuário. 3. Metodologias de controle de acesso. 4. Ataques de Engenharia. 5. ISO/IEC 17799 – Monografia. I. Eduardo Wallier Vianna. II. Faculdade Unisaber – Departamento de Tecnologia da Informação. III - O impacto da engenharia social na segurança da informação.                 

DIEGO FERNANDO DE ALMEIDA DA SILVA

MARCOS DE SOUSA BEZERRA

MARCELO CARDOSO GUIMARÃES

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO

Trabalho de Conclusão de Curso com objetivo de obter a graduação no Curso de Tecnologia em Segurança da Informação; Faculdades Unisaber.

Aprovada em 01 de Julho de 2008.

BANCA EXAMINADORA

_______________________________________

Prof. Eduardo Wallier Vianna

Faculdade Unisaber

_______________________________________

Prof. Carlos Maurício de Borges Mello

Faculdade Unisaber

_______________________________________

Prof. Elvis Roberto Barreto

Faculdade Unisaber

Dedicamos este trabalho aos nossos pais que sempre nos deram toda a atenção e apoio para irmos ao encontro dos nossos objetivos.

AGRADECIMENTOS

Agradecemos a Deus por nos proporcionar essa oportunidade, aos nossos pais pela compreensão e pelo apoio diário, aos nossos professores pelo conhecimento e experiências compartilhadas durante esta jornada e a todos que contribuíram direta ou indiretamente durante todas as etapas deste trabalho de conclusão de curso.

"A segurança não é um produto, ela é um processo."

          Kevin Mitnick

RESUMO

Tendo como foco principal a segurança da informação foi criada uma política de boas maneiras para evitar e/ou minimizar eventuais ataques de Hacker’s, levando em consideração o nível de maturidade e consciência dos usuários em relação à ação da engenharia social, seus ataques, ameaças e métodos. Para isso definiu-se o que é informação e qual importância da mesma para as organizações. O que venha a ser o engenheiro social, como ele age diante do usuário comum que é o principal agente detentor da informação e por isto o principal alvo do engenheiro social. Qual a responsabilidade de cada usuário no que diz respeito à segurança da informação, como também as áreas das instituições que mais tem risco de ataque numa organização. É apresentado o resultado de uma pesquisa realizada através de questionários aplicados ao departamento de Tecnologia da Informação (TI), ao departamento de Recursos Humanos (RH) e aos Usuários em duas organizações com negócios diferentes, aqui chamadas de pública e privada. Envolvendo a segurança da informação, também é tratado sobre a confidencialidade de senhas e privacidade das informações. Com o resultado da aplicação dos questionários, foi feito um cruzamento de dados e levantamento das principais vulnerabilidades para comparação das empresas, e de acordo com o negócio de cada uma, foi elaborado um controle de riscos evidentes em todas as áreas, desde a inclusão de um usuário no sistema, como o tratamento que é dado à informação de terceiros e a disponibilização desta informação dentro das organizações.

Palavras-chave: Engenharia Social. Segurança. Usuário. Ataques de Engenharia. Controle de Acesso. ISSO/IEC 17799.

LISTA DE TABELAS

Tabela - 1 Quantidade de questionários por empresa        29

Tabela - 2 Descrição do sexo dos usuários        30

Tabela - 3 Descrição da função organizacional dos usuários        30

Tabela - 4 Usuários que fornecem senha pessoal da empresa para outros        31

Tabela - 5 Usuários que fornecem sua senha pessoal para trabalhos rápidos        31

Tabela - 6 Usuários que registram suas senhas e agendas ou similares        31

Tabela - 7 Reação dos usuários ao dar informações da empresa ao telefone ou por e-mail        32

Tabela - 8 Resultado da classificação das informações organizacionais        32

Tabela - 9 Conhecimento das informações vitais da empresa pelos usuários        32

Tabela - 10 Existência de política de Segurança da informação        32

Tabela - 11 Usuários que aplicam a postura de mesa limpa        33

Tabela - 12 Usuários que costumam bloquear o computador ao sair        33

Tabela - 13 Divulgação da política de segurança da informação aos novos contratados        33

...