Engenharia Social e Seguranca

Outros trabalhos em:
www.ProjetodeRedes.com.br
UNIVERSIDADE TIRADENTES
LUCIANO ALVES LUNGUINHO SANTOS
O IMPACTO DA ENGENHARIA SOCIAL NA

SEGURANA DA INFORMAO
Aracaju
2004
m.br/pdfFactory
O IMPACTO DA ENGENHARIA SOCIAL NA

SEGURANA DA INFORMAO
Monografia apresentada
UniversidadeTiradentes,
como
pr-requisito
de
concluso do curso de PsGraduao em redes de
computadores.
MARIO VASCONCELOS
Aracaju
2004
O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANA DA

INFORMAO
Monografia
apresentada
Universidade Tiradentes, como prrequisito de concluso do curso de

Ps-Graduao
em
redes
de
computadores.
APROVADA EM :___/___/____
BANCA EXAMINADORA
______________________________
Orientador(a)
UNIT
______________________________
Examinador(a)
UNIT
______________________________
Examinador(a)
UNIT
minha esposa, por seu auxlio

e pacincia e aos meus filhos,
simplesmente por existirem e,
atravs de seus sorrisos,
contriburem
para
meu
crescimento.
AGRADECIMENTOS
Para a concluso deste trabalho foi fundamental a colaborao de:
Minha filha Jssica cuidando de seu irmo Gustavo para que eu pudesse
estudar, da minha esposa Ivnia que me motivou em meus momentos de fraqueza,
dos gerentes de informtica e de recursos humanos das empresas que formam o
ambiente de pesquisa que, apesar de no poder citar seus nomes aqui por questes
de segurana, agradeo sua ateno e presteza, alm dos usurios que
forneceram as informaes que formam a base deste trabalho.
Professor Ronaldo Linhares, que me orientou na fase inicial de construo

deste projeto, ao professor Domingos que, na matria de segurana em redes,
abordou com competncia a norma NBR ISSO 17799 e os demais assuntos que
esto contidos neste trabalho, dos professores Exson, Hugo, Marco Simes e Othon
que contriburam excelentemente com o meu aprendizado e, conseqentemente,
com o meu desenvolvimento profissional e do professor Mrio Vasconcelos que
ampliou a minha viso deste trabalho ao mesmo tempo em que me motivou durante
todo o processo de desenvolvimento do mesmo, sempre com ateno e simpatia.
Agradeo a todos que contriburam direta ou indiretamente durante todo o

projeto, desde as aulas iniciais do curso at as ltimas linhas desta monografia.
"Mentes grandes discutem idias; mentes medianas

discutem eventos; mentes pequenas discutem
pessoas".
Blaise Pascal
fsico, matemtico e filsofo
FRA, 1623-1662....
RESUMO
O principal objetivo deste trabalho criar uma metodologia para diagnosticar

a conscincia dos usurios quanto ao risco de ataques de engenharia social no
ambiente corporativo e saber qual o nvel de conscientizao de seus colaboradores
quanto a confidencialidade, integridade e disponibilidade da informao. Para isso
dividimos o trabalho em basicamente trs etapas: A pesquisa, a tabulao e anlise
dos dados
e a proposta de solues.
Antes de abordarmos a metodologia,
iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e

engenharia social, como ela funciona e qual o papel do usurio na segurana da
informao.
Visando uma abordagem sistmica, a pesquisa foi feita com os
usurios, com o setor de recursos humanos e com a rea responsvel pela

tecnologia da informao, com questionrios criados para abordar os principais
pontos da engenharia social como por exemplo a confidencialidade de senhas.
Aplicamos os questionrios em empresas com modelos administrativos distintos,
sendo uma da administrao pblica e a outra, uma empresa privada. Aps a
tabulao dos dados, analisamos os principais pontos, cruzando respostas dos trs
questionrios, analisando de acordo com o tipo da empresa, se o usurio da rea
gerencial, operacional ou um usurio temporrio, como por exemplo um
terceirizado ou um estagirio. Finalmente, utilizando como base os questionamentos
elencados na metodologia e o resultado da anlise, elaboramos uma proposta com
sugestes de implementao de controles e aes para minimizar os riscos de
ataques de engenharia social. Para isso utilizamos controles que achamos mais
relevantes no tratamento dos riscos de ataques de engenharia social existentes na
norma ISO/IEC 17799 - Cdigo de Prtica para Gesto da segurana da Informao

nas Empresas.
LISTAS
LISTAS DE FIGURAS
Fig. 1.
A empresa possui poltica de segurana da informao? .......................... 50
Fig. 2.
Os usurios conhecem as informaes vitais para a empresa?................. 52
Fig. 3.
Tabela Informaes confidenciais / vitais x comunicao interna .............. 53
Fig. 4.
Freqncia de alterao de senhas dos usurios com acesso informaes
confidenciais...................................................................................................... 55
Fig. 5.
Quantos usurios divulgam as senhas ....................................................... 55
Fig. 6.
Sistemas com usurios que divulgam/anotam suas senhas em locais de
fcil acesso........................................................................................................ 56
LISTAS DE TABELAS
Tab 1.
Quantidade de questionrios por empresa................................................. 33
Tab 2.
Distribuio dos usurios por funo Pblica .......................................... 34
Tab 3.
Distribuio dos usurios por funo - Privada .......................................... 35
Tab 4.
Usurios e Computadores .......................................................................... 36
Tab 5.
Faixa Etria ................................................................................................ 36
Tab 6.
Sexo ........................................................................................................... 36
Tab 7.
Funo........................................................................................................ 37
Tab 8.
Tempo de empresa..................................................................................... 37
Tab 9.
Possui outro emprego................................................................................. 37
Tab 10.
Senha aberta .......................................................................................... 37
Tab 11.
Senha de terceiros.................................................................................. 38
Tab 12.
Anota Senha ........................................................................................... 38
Tab 13.
Cede em caso de trabalhos rpidos ....................................................... 38
Tab 14.
Freqncia de alterao de senhas........................................................ 38
Tab 15.
Informaes por telefone ........................................................................ 39
Tab 16.
Outras respostas - Informaes por telefone.......................................... 39
Tab 17.
Poltica de comunicao interna ............................................................. 39
Tab 18.
Classificao de informaes ................................................................. 40
Tab 19.
Comunicao Externa............................................................................. 40
Tab 20.
Divulgao de informaes..................................................................... 40
Tab 21.
Informaes vitais................................................................................... 40
Tab 22.
Poltica de segurana da informao...................................................... 40
Tab 23.
Papel na mesa ........................................................................................ 41
Tab 24.
Poltica de mesa limpa............................................................................ 41
Tab 25.
Bloqueio de estaes de trabalho........................................................... 41
Tab 26.
informaes confidenciais....................................................................... 41
Tab 27.
Conscincia da importncia da informao ............................................ 41
Tab 28.
Acesso informao por pessoas externas ........................................... 42
Tab 29.
Acesso por tipo de informao................................................................ 42
Tab 30.
Sistemas utilizados ................................................................................. 42
Tab 31.
Novos contratados - RH.......................................................................... 43
Tab 32.
Termo de confidencialidade - RH............................................................ 43
Tab 33.
Orienta utilizao de e-mail, Internet ou telefone - RH ................................. 43
www.divertire.com.br/pdfFactory
Tab 34.
Orienta utilizao de e-mail, Internet ou telefone /outros - RH ..................... 43
Tab 35.
Checa currculos- RH.............................................................................. 43
Tab 36.
Checa currculos/outros - RH.................................................................. 44
Tab 37.
Recm contratados - RH ........................................................................ 44
Tab 38.
Recm contratados/Outros RH ............................................................ 44
Tab 39.
Funcionrios Transferidos - RH .............................................................. 44
Tab 40.
Recm contratados - RH ........................................................................ 44
Tab 41.
Demitidos - RH........................................................................................ 44
Tab 42.
Demitidos/Outros - RH............................................................................ 45
Tab 43.
Acesso fsico dos Demitidos - RH........................................................... 45
Tab 44.
Acesso fsico dos Demitidos/Outros - RH ............................................... 45
Tab 45.
Poltica de segurana aos terceiros - RH................................................ 45
Tab 46.
Termos de responsabilidade aos terceiros - RH .................................... 45
Tab 47.
Terceiros recm contratados- RH ........................................................... 46
Tab 48.
Observaes - RH .................................................................................. 46
Tab 49.
Funcionrios novos TI.......................................................................... 46
Tab 50.
Funcionrios Transferidos TI ............................................................... 46
Tab 51.
Demisso de Funcionrios TI .............................................................. 46
Tab 52.
Poltica de senhas TI ........................................................................... 47
Tab 53.
Expirao de senhas da rede TI ........................................................... 47
Tab 54.
Poltica de senhas dos demais sistemas TI ......................................... 47
Tab 55.
Senhas compartilhadas TI ................................................................... 47
Tab 56.
Identificao de terceiros TI................................................................. 47
Tab 57.
Controle de Atendimento de terceiros TI ............................................. 48
Tab 58.
Poltica de Segurana TI...................................................................... 48
Tab 59.
Restries de Acesso TI ...................................................................... 48
Tab 60.
Quais restries de acesso TI.............................................................. 48
Tab 61.
Proteo de Equipamentos TI.............................................................. 48
Tab 62.
Descarte d Mdias removveis TI.......................................................... 48
Tab 63.
Criptografia TI ...................................................................................... 49
Tab 64.
Antivrus corporativo TI ........................................................................ 49
Tab 65.
Senha para computao mvel TI ....................................................... 49
Tab 66.
Orientaes aos usurios de computao mvel TI ............................ 49
Tab 67.
Acesso remoto TI................................................................................. 49
Tab 68.
Controles para acesso remoto TI......................................................... 49
SUMRIO
RESUMO .......................................................................................................... 7
1. INTRODUO .......................................................................................... 16
1.1. JUSTIFICATIVA ................................................................................... 19
1.2. OBJETIVOS ......................................................................................... 20
1.2.1. OBJETIVO GERAL ....................................................................... 20
1.2.2. OBJETIVOS ESPECFICOS......................................................... 20
2. ENGENHARIA SOCIAL ............................................................................ 21
2.1. CONCEITO DE INFORMAO ........................................................... 21
2.2. DEFINIO DE ENGENHARIA SOCIAL ............................................. 22
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL .................................... 24
2.4. A SEGURANA E O USURIO........................................................... 26
2.5. EXEMPLOS DE ATAQUES ................................................................. 26
3. METODOLOGIA ....................................................................................... 28
4. ESTUDO DE CASO .................................................................................. 33
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS ................... 33
4.1.1. APLICAO DOS QUESTIONRIOS .......................................... 33
4.1.2. EMPRESA PBLICA .................................................................... 34
4.1.3. EMPRESA PRIVADA.................................................................... 35
4.2. PESQUISA APLICADA ........................................................................ 36
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS ................. 36
4.2.2. SOBRE O FUNCIONRIO............................................................ 36
4.2.3. SOBRE SENHAS.......................................................................... 37
4.2.4. SOBRE DIVULGAO DE INFORMAES ............................... 39
4.2.5. SOBRE A EMPRESA ................................................................... 39
4.2.6. SOBRE ACESSO INFORMAO ............................................. 41

4.2.7. SOBRE OS SISTEMAS UTILIZADOS .......................................... 42
4.3. TABULAO DO QUESTIONRIO DO RH ........................................ 43
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS ....................... 43
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS................................ 44
4.3.3. SOBRE A CONTRATAO DE TERCEIROS.............................. 45
4.4. TABULAO DO QUESTIONRIO DA TI .......................................... 46
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS ... 46
4.4.2. SOBRE SENHAS.......................................................................... 47
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO ................ 47
4.4.4. SOBRE SEGURANA DA INFORMAO................................... 48
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO ......... 49
4.5. ANLISE DA PESQUISA..................................................................... 50
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO ........... 50
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS .................... 51
4.5.3. SOBRE TERMO DE RESPONSABILIDADE ................................ 53
4.5.4. SOBRE SENHAS......................................................................... 54
4.5.5. SOBRE ACESSO S INFORMAES ....................................... 57
4.5.6. COMPUTAO MVEL E ACESSO REMOTO........................... 58
4.5.7. PROCESSOS DO RH................................................................... 58
4.5.8. PROCESSOS DA TI ..................................................................... 59
4.6. SOLUES PROPOSTAS .................................................................. 61
4.6.1. CONTROLES SUGERIDOS ......................................................... 61
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA............... 62
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS ................... 62
4.6.4. POLTICA DE SENHAS FORTES ................................................ 63

4.6.5. TREINAMENTO DOS USURIOS ............................................... 64
4.6.6. CONTROLE NO ACESSO DE TERCEIROS ................................ 65
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET .................. 65
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS ................ 66
4.6.9. DESCARTE DE MDIAS REMOVVEIS ........................................ 66
4.6.10. CRIPTOGRAFIA ....................................................................... 67
4.6.11. COMPUTAO MVEL E ACESSO REMOTO ....................... 67
4.6.12. CONTROLES GERAIS ............................................................. 68
4.6.13. FRUM DE SEGURANA ....................................................... 69
5. CONCLUSO ........................................................................................... 70
6. ANEXOS ................................................................................................... 72
6.1. ANEXO I QUESTIONRIO APLICADO AOS USURIOS ................ 72
6.2. ANEXO-II QUESTIONRIO APLICADO AO RH.................................. 74
6.3. ANEXO-III QUESTIONRIO APLICADO INFORMTICA ................ 76
6.4. ANEXO III CRONOGRAMA .............................................................. 79
7. GLOSSRIO ............................................................................................. 80
8. REFERENCIAS BIBLIOGRFICAS ......................................................... 82
16
1. INTRODUO
Homo homini lupus:
O homem o lobo do homem. Das palavras do
dramaturgo Plauto, resgatadas pelos filsofos Francis Bacon e Thomas

Hobbes, temos o mote para uma das maiores preocupaes em termos de
segurana: como prevenir as pessoas contra as prprias pessoas. [7]
Os fatores humanos sempre ficam, naturalmente, em segundo plano,

quando existem diversos aparatos tecnolgicos de ltima gerao para garantir a
segurana. Porm, deixar as pessoas desinformadas sobre as questes de
segurana pode expor uma organizao a riscos desnecessrios, uma vez que os
invasores utilizam a habilidade de enganar os usurios, alinhada inclinao
natural das pessoas de confiar uma nas outras e de querer ajudar, para persuadi-las
a abrir-lhes a porta de entrada, quebrando a segurana da informao atravs da
explorao de falhas ou, pior ainda, do prprio nome e senha do usurio.
Por
comportamento
sermos
natural
humanos,
em
seres
situaes
imperfeitos,
de
riscos,
modificamos
fazendo
com
nosso
que,
inconscientemente, tomemos decises baseados em confiana e no grau de

criticidade da situao, permitindo assim que o engenheiro social possa explorar de
maneira eficaz nossas falhas para burlar a segurana da informao.[7]
Um dos principais problemas que a segurana da informao deve tratar

a segurana em pessoas. A cooperao dos usurios essencial para a eficcia
da segurana. Eles exercem um forte impacto sobre a confidencialidade, a
17
integridade e a disponibilidade da informao, pois, por exemplo, o usurio que no

mantiver a confidencialidade da senha, no evitar o registro da mesma em papis
que no esto guardados em locais seguros, no utilizar senhas de qualidade ou
ainda que compartilha senhas individuais, compromete a segurana da informao.
Chamamos de Engenharia social a habilidade de enganar um ou mais

usurios para quebrar a segurana da informao. Ela um perigo real e sutil e
fundamental que as organizaes assegurem-se que seus usurios sejam atuantes
defensores da sua informao e que no sejam facilmente ludibriados por pessoas
mal intencionadas e no autorizadas, abrindo assim o caminho para o acesso a
informao. Por esses e outros motivos, antes de qualquer coisa, todos os usurios
devem saber o que a informao para sua empresa, qual a sua importncia e por
que a segurana da informao fundamental.
A segurana da informao pode ser caracterizada pela preservao de

trs fatores [14]:
Confidencialidade: Garantia de que a informao acessvel

somente por pessoas autorizadas a terem acesso;
Integridade: Exatido, completeza da informao e dos mtodos de

processamento;
Disponibilidade: Garantia de que os usurios autorizados obtenham

acesso informao e aos ativos correspondentes sempre que
necessrio.
18
A informao de uma empresa o seu principal patrimnio. O cdigo de

prtica para a gesto da segurana da informao diz que:
A informao um ativo que, como qualquer outro, importante para os

negcios, tem um valor para a organizao. A segurana da informao
protege a informao de diversos tipos de ameaas para garantir a
continuidade dos negcios, minimizar os danos ao negcio e maximizar o
retorno dos investimentos e as oportunidades de negcios.
(NBR ISO/IEC 17799:2001, pg. 2).
Este trabalho visa avaliar a conscincia que os usurios possuem sobre a

segurana da informao, sugerindo aes para evitar problemas com a engenharia
social e orientar a implementao de controles de segurana em pessoas no
ambiente estudado.
19
1.1. JUSTIFICATIVA
A informao de uma empresa o seu principal patrimnio, fundamental

para o seu funcionamento, garantindo a competitividade no mercado. Por conta
disso, concorrentes, utilizando-se da engenharia social, podem vir a obter
informaes confidenciais sobre a estratgia, metas e planejamento.
Com base nisso propomos s empresas que tenham o interesse de

avaliar a segurana da informao, no que diz respeito engenharia social, seguir a
metodologia utilizada aqui como base para implementao de controles que
minimizem as falhas no acesso informao, aumentando a segurana nas pessoas
e conscientizando seus usurios da importncia da informao da empresa,
tornando-os um agente da segurana da informao, cumprindo o seu papel e
suas obrigaes de, por exemplo, manter a sua senha segura.
A sociedade que possuir pessoas que tenham o devido cuidado com a

informao ser uma sociedade mais segura, pois ser muito mais difcil utilizar a
engenharia social para conseguir burlar a segurana da informao, seja ela de uma
empresa, da conta bancria de um usurio ou de um projeto comunitrio importante,
evitando assim golpes que venham a lesar algum desta comunidade.
Este projeto tem o intuito de, baseando-se em um estudo de caso real,

criar uma orientao dos passos para tratar o problema da engenharia social,
prevenindo que pessoas no autorizadas utilizem os usurios desinformados e
desatentos para conseguir acesso a informaes importantes.
20
1.2. OBJETIVOS
1.2.1.
OBJETIVO GERAL
Desenvolver um procedimento que nos permita, atravs da aplicao

de questionrios, conhecer as falhas que podem ser utilizadas pela
engenharia social para quebrar a segurana da informao em instituies
com caractersticas diferentes, propondo solues para estas falhas.
1.2.2.
OBJETIVOS ESPECFICOS
Avaliar a conscincia dos usurios sobre a importncia da informao

que eles tm acesso e sobre o problema da engenharia social, atravs de
pesquisa aplicada ;
Propor melhorias nos processos que envolvem o RH e a engenharia

social;
Sugerir a implementao de controles e aes para minimizar os riscos

de ataque de engenharia social;
Servir como modelo na preveno do problema de engenharia social,

desenvolvendo um procedimento para avaliao da conscincia dos usurios
sobre o referido problema.
21
2. ENGENHARIA SOCIAL
Antes de entendermos como a engenharia social funciona, fundamental que

conheamos seu conceito, bem como o conceito de informao.
2.1. CONCEITO DE INFORMAO

Podemos dizer que Informao um processo que visa o conhecimento, ou,
mais simplesmente, Informao tudo o que reduz a incerteza. Um instrumento de
compreenso do mundo e da ao sobre ele" [10].
Toda informao est associada a um dado ou valor representando o suporte

lgico para a mesma. o uso que ser feito deste dado e dos conceitos a ele
relacionados, que o torna til ou no.
A informao desempenha um papel estratgico dentro das organizaes,

tornando-se uma necessidade crescente e indispensvel para qualquer setor da
atividade humana. Justamente por isso, surge a preocupao em garantir a sua
segurana e proteg-la de acessos indevidos. Sendo assim, seja qual for a forma
que a informao apresentada (impressa, escrita, falada, entre outras) faz-se
necessrio que ela seja sempre protegida adequadamente.
22
Independente do meio em que a informao circula, ela sempre destinada

a pessoas, que a priori podem e devem acessa-las. exatamente este o alvo da
engenharia social.
2.2. DEFINIO DE ENGENHARIA SOCIAL

A arte de trapacear, construir mtodos e estratgias de enganar em cima de
informaes cedidas por pessoas ou ganhar a confiana para obter informaes,
so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo:
Engenharia Social.
Engenharia por que constri, em cima de informaes, tticas de acesso a

sistemas e informaes sigilosas, de forma indevida. Social por que se utiliza de
pessoas que trabalham e vivem em grupos organizados.
Podemos dizer que a engenharia social um tipo de ataque utilizado por

hackers, onde a principal arma utilizada a habilidade de lhe dar com pessoas,
induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer
senhas de acesso.
A segurana compreende trs componentes pessoas, processos e

tecnologia , e o resultado final deve ser a preservao da confiana.
MCCARTTHY e CAMPBELL (2003, p. 44), citando MacLean, a vicepresidente snior e diretora de proteo da informao do Bank of Amrica.
A engenharia social visa explorar as pessoas no intuito de ocasionar a

perda, a indisponibilidade ou a violao da informao. Ela vai diretamente para o
elo mais fraco de qualquer sistema de segurana: pessoas. O chamado engenheiro
23
social utiliza a sua criatividade, poder de persuaso e habilidade, para envolver a

vtima em uma situao onde, muitas vezes, ela nem percebe que abriu as portas
para um invasor.
O ataque do engenheiro social pode ocorrer atravs de um bom papo,

numa mesa de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo.
O sucesso deste ataque esta no fato de o usurio abordado nem seque se dar
conta do que acabou de acontecer. Ou seja, o engenheiro social, alm de obter a
informao que deseja ainda mantm as portas abertas com o seu informante.
Os alvos principais so os usurios detentores de privilgios equivalentes

aos dos chefes como, por exemplo, auxiliares e secretrios, que muitas vezes tm
acesso ao correio eletrnico, aos sistemas gerenciais e sabem at a senha utilizada
pelo seu superior.
Geralmente as pessoas so o ponto mais suscetvel em um esquema de

segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525)
A falta de conscincia das tcnicas de engenharia social utilizadas e o

excesso de autoconfiana das pessoas (por no se considerarem ingnuas e
acharem que no podem ser manipuladas) so os principais fatores que favorecem
ao sucesso da Engenharia Social.
24
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL

Muitos so os meios e tcnicas para se obter acesso indevido
informao, esteja ela em formato eletrnico, em papel ou em outros formatos. A
engenharia social muito utilizada para o levantamento de informaes preliminares
que possam tornar a tentativa de invaso mais eficiente.
Um ataque de engenharia social pode ser feito atravs email, telefone,

fax, Chat e at, em ltimo caso, pessoalmente. A ingenuidade ou a confiana de um
usurio utilizada pelos engenheiros sociais para se conseguir informaes, que
muitas vezes parecem sem importncia, mas que nas mos erradas podem causar
bastante estrago.
Uma das tticas fundamentais de engenharia social obter acesso a

informaes que os funcionrios da empresa tratam como inofensivas e utiliz-las
para ganhar a confiana de outros usurios e conseguir as informaes que ele
realmente deseja.[8]
Muitos acreditam que os engenheiros sociais utilizam ataques com

mentiras elaboradas bastante complexas, porm, muitos ataques so diretos,
rpidos e muito simples, onde eles simplesmente pedem a informao desejada.
Os grupos de atacantes no se restringem a pessoas externas
empresa, pois, visto que a motivao, a habilidade e a oportunidade so essenciais
a um atacante que deseja ter acesso informao de uma empresa, (ex)
funcionrios e (ex) contratados so os mais perigosos grupos de atacantes, pois
eles so capacitados pelas empresas para dominarem as habilidades e, muitas
25
vezes eles se sentem frustrados, o que pode ser um motivo para idealizarem um
ataque. Sendo eles conhecidos e se transmitem confiana a outros funcionrios, ou
pior, se ainda fazem parte do quadro funcional da empresa, eles possuem a
oportunidade necessria para um ataque [3].
Geralmente as pessoas so o ponto mais suscetvel em um esquema de

segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525).
As tcnicas mais costumeiras, que podem ser usadas de maneira individual

ou combinadas, so: [7]
Contatos telefnicos, simulando atendimento de suporte ou uma ao

de emergncia;
Contato atravs de e-mail, atuando como estudante com interesse em

pesquisa sobre determinado assunto ou como pessoa com interesse
especfico em assunto de conhecimento da vtima;
Contato atravs de ferramentas de Instant Messaging (Yahoo

Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com
afinidades com a vtima;
Obteno de informaes vazadas por parte da administrao de rede

e funcionrios em geral em listas de discusso ou comunidades
virtuais na Internet, o que motivaria tambm um contato posterior mais
estruturado;
Uso de telefone pblico, para dificultar deteco;
Varredura do lixo informtico, para obteno de informaes adicionais

para tentativas posteriores de contato;
Disfarce de equipe de manuteno;
26
Visita em pessoa, como estudante, estagirio ou pessoa com disfarce

de ingenuidade.
2.4. A SEGURANA E O USURIO

indiscutvel que todos os usurios desejam segurana, porm quando
eles tm que interagir com ela e tomar decises baseando-se em procedimentos de
segurana, a maioria acha que ela atrapalha. comum que usurios nem pensem
duas vezes para contornar os procedimentos de segurana em determinadas
situaes, como por exemplo quando se aproxima um prazo para entrega de um
trabalho importante. Eles podem desativar um firewall ou at mesmo fornecer uma
senha, pois o trabalho precisa ser feito.[12]
Os engenheiros sociais sabem que esta maneira de agir dos usurios e

exploram este comportamento criando este tipo de situao para que a segurana
seja quebrada.
2.5. EXEMPLOS DE ATAQUES

A engenharia social tambm pode ser utilizada como ttica no terrorismo
fsico. O mundo presenciou os ataques Nova York (World Trade Center) e
Washington D.C. em setembro de 2001 que imputaram tristeza e medo em nossos
coraes, aumentando temporariamente os nveis de nossa conscincia de
segurana, e nos colocando em alerta quanto ao do terrorismo no mundo.
Porm, a conscincia deste perigo deve permanecer conosco, visto, por exemplo,
PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory
27
que os terroristas utilizam identidades falsas, assumem os papeis de alunos e

vizinhos, misturando-se multido enquanto conspiram contra as pessoas e
escondem suas verdadeiras crenas e intenes.
Esto cada vez mais comuns notcias de tentativas de fraude utilizando

diversos meios de comunicao, onde a Internet o mais popular, sendo registrado
pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de
segurana, 1.358 incidentes envolvendo fraudes pela Internet somente nos ltimos 6
meses [15]. Um dos principais alvos dos fraudadores o internet banking. Eles
utilizam, alm de outras tcnicas, a engenharia social para, por exemplo, tentar se
passar por funcionrios de confiana do banco, como um gerente ou o administrador
do site, ou ainda, enviam um link por e-mail que aponta para o site clonado de um
banco, na tentativa de fazer o usurio digitar seus dados, inclusive a sua senha.
Alm das fraudes, os vrus, spywares e outros malwares, utilizam a

engenharia social tentando diversos truques para persuadir as pessoas a abri-los.
Os Cavalos de Tria, por exemplo, necessitam da interveno de um usurio para
que possam atingir seus objetivos.
Alm dos ataques que utilizam
tecnologias como Internet, e-mails e
programas de Chats, muitas informaes so conseguidas em documentos

impressos, at mesmo no lixo, e em entrevistas para emprego, onde os engenheiros
sociais, por exemplo, fingem interesse em uma vaga e participam da seleo
somente para levantar informaes para um concorrente.
28
3. METODOLOGIA
Para entender como as empresas tratam do assunto engenharia social,

desenvolvemos um procedimento para aplicao de uma pesquisa descritiva com
questes relativas Segurana da Informao. A idia central desta pesquisa
consiste em identificar como o ambiente estudado trata suas informaes e qual o
nvel de conscientizao de seus colaboradores quanto a confidencialidade,
integridade e disponibilidade da informao.
Para tal, foram elaborados 03 (trs) instrumentais de pesquisas (vide anexos

I,II e III), sendo o Questionrio I direcionado a todos os colaboradores do escopo,
com acesso a computadores, abrangendo todos os cargos, o Questionrio II
destinado ao setor de Recursos Humanos e o Questionrio III, destinado ao setor de
Informtica.
Em todos os questionrios foram abordadas questes direcionadas a senhas,

tipos de informaes que circulam pela empresa, existncia de uma poltica de
comunicao interna e externa, poltica de segurana, dentre outras questes
relevantes para identificao dos pontos mais crticos que refletem o nvel de
conscientizao dos usurios, quanto Segurana da Informao.
O primeiro passo a pesquisa aplicada, que visa conhecer como est a

conscincia dos funcionrios. Esta pesquisa tem o intuito de levantar se os usurios
tm conscincia do valor da informao, se eles sabem quais podem ser
disseminadas e quais no podem ser discutidas fora do ambiente seguro, que o
29
seu grupo de trabalho, se existe uma cultura de divulgao de aes de segurana

como poltica de utilizao de senhas, de e-mails, termos de confidencialidade e
responsabilidade, entre outros.
O Questionrio do ANEXO I foi elaborado visando permitir identificar se

os usurios tm conscincia da engenharia social e de seus riscos, se suas senhas
so realmente individuais, se confiam em todas as informaes que chegam por email, se existe uma poltica de segurana conhecida na empresa, quais os sistemas
utilizados, se trabalham em outras empresas atuantes na mesma rea da empresa
pesquisada, entre outros.
Em paralelo com a pesquisa dos usurios, os processos que envolvem o

setor de recursos humanos e de tecnologia da informao com a engenharia social,
tais como de admisso e demisso, devem ser re-avaliados visando identificar
oportunidades de melhorias e a integrao dos processos de ambos os setores,
como por exemplo no caso da demisso de um funcionrio, onde o setor de TI deve
ser informado imediatamente para cancelamento de todos os acessos rede e aos
sistemas. Foi com esse intuito que os questionrios dos
ANEXO II e III foram
elaborados: Padronizar o levantamento das informaes no setor de recursos

humanos e de informtica.
Aps a tabulao dos dados, deve-se analisar a pesquisa, levantando os

pontos fortes e fracos em relao conscincia da importncia da segurana da
informao. Visando facilitar esta anlise, sugerimos caracterizar em trs grupos
identificados aqui como:
30
1. Gerencial: Composto pelos principais lderes da organizao. Estes

usurios detm acesso s principais informaes da empresa. So
conhecedores das estratgias utilizadas para alcanar as metas da
instituio, dos e projetos existentes e dos indicadores de desempenho
estratgicos.
2. Operacional: So os tcnicos que possuem conhecimentos especficos

dos processos de cada rea e tm acesso aos sistemas que fornecem a
informao para tomadas de deciso. Esto includos os agentes
administrativos, os oficiais administrativo, os auxiliares de Gabinete entre
outros.
3. Temporrio: So usurios prestadores de servios e estagirios que, em

sua maioria, acabam saindo da empresa com informaes importantes.
A Anlise da pesquisa deve cruzar as informaes colhidas nos trs
questionrios, buscando responder os questionamentos abaixo:
1. A empresa possui uma poltica de segurana da informao

amplamente divulgada aos seus usurios?
2. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa possui poltica de comunicao interna?
3. Quantos usurios sabem quais as informaes vitais para a empresa,
por grupo?
31
4. Se os funcionrios assinam algum termo de responsabilidade e/ou de

confidencialidade sobre as informaes da empresa?
se a empresa possui responsvel pela comunicao externa e interna?
se a empresa orienta quanto a divulgao de informaes?
7. Qual a freqncia de alterao de senhas das pessoas que acessam
informaes confidenciais?
8. Quantos usurios divulgam suas senhas?
9. Quantos usurios permitem que outros utilizem suas senhas?
10. Quantos usurios anotam suas senhas em locais que podem no ser
seguros?
11. Quais sistemas tm usurios que divulgam ou anotam suas senhas?
12.Os usurios bloqueiam seus computadores ao sair e fazem a poltica
de mesa limpa?
13. O setor de RH contribui para a segurana da informao?
14. Existe restrio quanto a utilizao de e-mail, Internet e telefone?
15. Quais os principais controles utilizados pelo setor de informtica para
minimizar os riscos de acessos indevidos informao?
16. Os setores de RH e informtica trabalham integrados para garantir a
segurana da informao?
17. Existe controle de acesso aos prestadores de servio/Terceirizados?
Esses questionamentos formam a base para o dimensionamento do

impacto da engenharia social na segurana da informao, avaliando a conscincia
32
dos usurios sobre a importncia da informao que eles tm acesso e sobre o

problema da engenharia social.
Finalmente, elabora-se uma proposta contendo melhorias nos processos

que envolvem o RH, a Tecnologia da Informao e a engenharia social, com
sugestes de implementao de controles e aes para minimizar os riscos de
ataque de engenharia social;
33
4. ESTUDO DE CASO
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS

Por questes de segurana e privacidade, os nomes das empresas, bem
como outras informaes sigilosas sero preservadas, evitando assim que estas
sejam utilizadas indevidamente em possveis ataques. As empresas sero
identificadas aqui como Pblica e Privada.
4.1.1.
APLICAO DOS QUESTIONRIOS
Ao todo foram respondidos 91 questionrios, sendo 47 da empresa

Pblica e 44 da empresa Privada, conforme quadro abaixo:
EMPRESA
PBLICA
EMPRESA
PRIVADA
QUESTIONRIO I
45
42
(Funcionrios)
QUESTIONRIO II
01
01
(Recursos humanos)
QUESTIONRIO III
01
01
(Informtica)
TOTAL
47
44
* Percentual em relao ao total de questionrios
TOTAL
% EMPRESA
PBLICA*
% EMPRESA
PRIVADA*
87
51,72 %
48,27 %
50 %
50%
50%
50%
91
48,36%
51,64 %
Tab 1. Quantidade de questionrios por empresa
34
4.1.2.
EMPRESA PBLICA
Trata-se de um rgo integrante da Administrao Estadual Direta, tendo

como propsito fomentar a poltica governamental para o desenvolvimento
econmico do estado de Sergipe.
Atualmente possui 67 funcionrios, incluindo estagirios e terceirizados,

dos quais foram entrevistados todos os usurios que fazem parte do escopo, num
total de 45 (quarenta e cinco), sendo que:
- 53,33% possuem mais de 40 anos;
- 31,11% no possui mais do que 1 (um) ano de trabalho na empresa;
- 28,89% trabalha nela h mais de 10 anos;
- 22,22% possui outro emprego, dos quais 8,89% na mesma rea em
que trabalha na empresa;
- 62,22% do sexo feminino;
Os usurios do escopo esto distribudos por funo, de acordo com a

figura abaixo:
Funo
Quantidade.
Gerencial
12
26,67%
Operacional
22
48,89%
Terceirizado
15,56%
Sem resposta
8,89%
TOTAL.
45
100%
Tab 2. Distribuio dos usurios por funo Pblica
35
4.1.3.
EMPRESA PRIVADA
Trata-se de uma instituio que tem o propsito de atuar na rea de

sade em todo estado de Sergipe, destacando-se tambm em aes para o
desenvolvimento de programas sociais.
Atualmente possui 142 funcionrios, incluindo estagirios e terceirizados,

dos quais foram entrevistados 42 (Quarenta e dois) usurios, sendo que somente
2,38% tem menos de 21 anos e 47,62% do sexo feminino, distribudos por funo,
de acordo com a tabela abaixo:
Funo
Quantidade.
Gerencial
14,29%
Operacional
24
57,14%
Terceirizado
11,90%
Sem resposta
16,67%
TOTAL.
42
100%
Tab 3. Distribuio dos usurios por funo - Privada
O escopo do projeto compreende todos os usurios de informtica da

empresa Pblica, e uma amostra de usurios da empresa Privada de maneira que
todas as reas foram abrangidas. Qualquer funcionrio deste universo que tiver
acesso rede e s informaes contidas em seus principais sistemas foi
entrevistado e faz parte deste projeto.
36
Atualmente as empresas estudadas possuem a seguinte estrutura:

Empresa
N de
N de
Funcionrios por
Computadores
Funcionrios
Mquina
Pblica
24
67
2,79
Privada
104
142
1,36
TOTAL
128
209
1,6
Tab 4. Usurios e Computadores
4.2. PESQUISA APLICADA

4.2.1.
TABULAO DO QUESTIONRIO DOS USURIOS
A seguir demonstramos a tabulao do questionrio aplicado a todos os

usurios de informtica do ambiente estudado, estratificado por tipo de empresa,
4.2.2.
SOBRE O FUNCIONRIO
1.Faixa etria
Faixa etria
At 20 Anos
De 21 a 30 anos
De 31 a 40 anos
Acima de 40 anos
No Respondeu
TOTAL
Publica
2,22%
22,22%
22,22%
53,33%
0,00%
100%
Tab 5. Faixa Etria
Privada
2,38%
45,24%
45,24%
7,14%
0,00%
100%
TOTAL
2,30%
33,33%
33,33%
31,03%
0,00%
100%
2.Sexo
Sexo
Publica
Privada
TOTAL
Masculino
28,89%
35,71% 32,18%
Feminino
62,22%
47,62% 55,17%
No respondeu
8,89%
16,67% 12,64%
TOTAL
100%
100%
100%
Tab 6. Sexo
37
3.Funo
Funo na Empresa
Gerencial
Operacional
Terceirizado
No Respondeu
TOTAL
Publica
26,67%
49%
16%
8,89%
100%
Tab 7. Funo
Privada
14,29%
57,14%
11,90%
16,67%
100%
TOTAL
20,69%
52,87%
13,79%
12,64%
100%
4.Trabalha na empresa a
Anos de Trabalho na empresa
Publica
Menos de 1 ano
31,11%
De 1 a 5 anos
22,22%
De 6 a 10 anos
6,67%
Acima de 10 Anos
28,89%
No respondeu
11,11%
TOTAL
100%
Tab 8. Tempo de empresa
Privada
28,57%
50,00%
4,76%
11,90%
4,76%
100%
TOTAL
29,89%
35,63%
5,75%
20,69%
8,05%
100%
5.Possui outro emprego?

Possui outro Emprego
Publica
Sim, na mesma rea em que trabalho na
8,89%
EMPRESA
Sim, em outra rea
13,33%
No
51,11%
No respondeu
26,67%
TOTAL
100%
Tab 9. Possui outro emprego
4.2.3.
Privada
TOTAL
0,00%
4,60%
9,52%
69,05%
21,43%
100%
11,49%
59,77%
24,14%
100%
SOBRE SENHAS
6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
empresa?
Algum mais sabe sua senha
Sim
No
No respondeu
TOTAL
Publica
11,11%
84,44%
4,44%
100%
Tab 10. Senha aberta
Privada
4,76%
90,48%
4,76%
100%
TOTAL
8,05%
87,36%
4,60%
100%
38
7.Voc utiliza a senha de algum outro funcionrio para acesso a informaes da empresa?
Sabe a senha de outro usurio
Publica
Privada
Sim
15,56%
11,90%
No
73,33%
85,71%
No respondeu
11,11%
2,38%
TOTAL
100%
100%
Tab 11. Senha de terceiros
TOTAL
13,79%
79,31%
6,90%
100%
8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local
similar?
Anota Senha
Publica Privada
Sim
6,67%
7,14%
No
82,22% 92,86%
No respondeu
11,11% 0,00%
TOTAL
100%
100%
Tab 12. Anota Senha
TOTAL
6,90%
87,36%
5,75%
100%
9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido?
Trabalho Rpido
Publica Privada TOTAL
Sim
33,33% 30,95% 32,18%
No
57,78% 66,67% 62,07%
No respondeu
8,89%
2,38%
5,75%
TOTAL
100%
100%
100%
Tab 13. Cede em caso de trabalhos rpidos
10.Com que freqncia voc altera (s) sua(s) senha(s):

Freqncia que Altera Senhas
Publica
Privada
Mensalmente
2,22%
0,00%
Trimestralmente
6,67%
2,38%
Semestralmente
4,44%
2,38%
Somente quando o sistema solicita alterao
64,44%
35,71%
Sempre utilizo a mesma senha
20,00%
59,52%
no respondeu
2,22%
0,00%
TOTAL
100%
100%
Tab 14. Freqncia de alterao de senhas
TOTAL
1,15%
4,60%
3,45%
50,57%
39,08%
1,15%
100%
39
4.2.4.
SOBRE DIVULGAO DE INFORMAES
11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por
telefone ou e-mail?
Fornece informaes por telefone
Publica
No respondeu
2,22%
Forneo a informao, pois no h nada
4,44%
confidencial em minha rea
Forneo a informao, aps identificar o
33,33%
solicitante
Solicito autorizao ao meu superior para
57,78%
liberar a informao
Outros
6,67%
TOTAL
100%
Tab 15. Informaes por telefone
Privada
2,38%
TOTAL
2,30%
4,76%
4,60%
47,62%
40,23%
33,33%
45,98%
14,29%
100%
10,34%
100%
Fornece Informaes por telefone - outros

Empresa
Depende do tipo de informao solicitada
Pblica
No forneo
NO ESPECIFICOU
Minha prtica fornecer informaes por escrito
e no por telefone, autorizado pelo Gestor
S dou informaes aos gestores da empresa
Depende de quem seja o solicitante, qual
informao solicitada e se foi liberado pelo
Privada
coordenador
Forneo somente quando a informao no for
confidencial
S forneo a partir de quando ele pede somente
para confirmar os dados
Depende da informao
Tab 16. Outras respostas - Informaes por telefone
4.2.5.
SOBRE A EMPRESA
12.A Empresa possui poltica de comunicao interna?

Poltica de Comunicao Interna
Publica
Privada
Sim
64,44%
73,81%
No
24,44%
9,52%
No respondeu
11,11%
16,67%
TOTAL
100%
100%
Tab 17. Poltica de comunicao interna
TOTAL
68,97%
17,24%
13,79%
100%
40
13.As informaes so classificadas na Empresa (confidencial, secreta, pblica etc....)

As informaes so classificadas
Publica
Privada
Sim
37,78%
40,48%
No
42,22%
40,48%
No respondeu
20,00%
19,05%
TOTAL
100%
100%
Tab 18. Classificao de informaes
TOTAL
39,08%
41,38%
19,54%
100%
14.A Empresa possui um responsvel pela comunicao externa?

H um responsvel pela
Publica Privada
comunicao Externa
Sim
55,56% 66,67%
No
24,44% 21,43%
No respondeu
20,00% 11,90%
TOTAL
100%
100%
Tab 19. Comunicao Externa
TOTAL
60,92%
22,99%
16,09%
100%
15.A Empresa possui alguma orientao quanto divulgao de informao?

Orientado quanto divulgao de informaes
Publica
Sim
42,22%
No
37,78%
No respondeu
20,00%
TOTAL
100%
Tab 20. Divulgao de informaes
Privada
71,43%
19,05%
9,52%
100%
TOTAL
56,32%
28,74%
14,94%
100%
16.Voc sabe quais as informaes so vitais para o negcio da empresa?

Sabe quais so as informaes Vitais
Publica
para a empresa
Sim
40,00%
No
44,44%
No respondeu
15,56%
TOTAL
100%
Tab 21. Informaes vitais
Privada
TOTAL
59,52%
28,57%
11,90%
100%
49,43%
36,78%
13,79%
100%
17.A empresa possui poltica de segurana da informao?

Existe uma poltica
segurana
Sim
42,22% 40,48% 41,38%
No
42,22% 35,71% 39,08%
No respondeu
15,56% 23,81% 19,54%
TOTAL
100%
100%
100%
Tab 22. Poltica de segurana da informao
41
4.2.6.
SOBRE ACESSO INFORMAO
18.Neste momento existe algum papel sobre sua mesa com informaes sobre a empresa?
H papel na mesa com
Publica
Privada
informaes da empresa
Sim
46,67%
40,48%
No
44,44%
50,00%
No respondeu
8,89%
9,52%
TOTAL
100%
100%
Tab 23. Papel na mesa
TOTAL
43,68%
47,13%
9,20%
100%
19.Ao sair voc costuma deixar suas mesa limpa, sem papis?
Mesa_Limpa/Empresa Publica Privada
Sim
77,78% 69,05%
No
20,00% 30,95%
No respondeu
2,22%
0,00%
TOTAL
100%
100%
Tab 24. Poltica de mesa limpa
TOTAL
73,56%
25,29%
1,15%
100%
20.Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
Bloqueia Equipamento
Publica
Privada
TOTAL
Sim
86,67%
71,43%
No
8,89%
23,81%
No respondeu
4,44%
4,76%
TOTAL
100%
100%
Tab 25. Bloqueio de estaes de trabalho
79,31%
16,09%
4,60%
100%
21.O seu setor possui informaes consideradas confidenciais?

Setor com Informaes
Confidenciais
Sim
75,56% 71,43% 73,56%
No
22,22% 23,81% 22,99%
No respondeu
2,22%
4,76%
3,45%
TOTAL
100%
100%
100%
Tab 26. informaes confidenciais
22.Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
empresa?
Sabem a Importncia das Informaes
Sim
62,22% 78,57% 70,11%
No
31,11% 16,67% 24,14%
No respondeu
6,67%
4,76%
5,75%
TOTAL
100%
100%
100%
Tab 27. Conscincia da importncia da informao
42
23.Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
empresa?
difcil pessoas Externas conseguirem
informaes
Sim
53,33% 45,24% 49,43%
No
33,33% 47,62% 40,23%
No respondeu
13,33%
7,14% 10,34%
TOTAL
100%
100%
100%
Tab 28. Acesso informao por pessoas externas
24.Quais os tipos de informaes que voc tem acesso?

Tipo de informaes que tem acesso
Informaes operacionais
66,67% 92,86% 79,31%
Informaes Gerenciais
31,11% 47,62% 39,08%
Informaes Confidenciais da Empresa
28,89% 30,95% 29,89%
Informaes imprescindveis continuidade
22,22% 23,81% 22,99%
do negcio da Empresa
No tenho acesso a nenhuma informao
22,22%
4,76% 13,79%
importante
No respondeu
2,22%
0,00%
1,15%
TOTAL
100%
100%
100%
Tab 29. Acesso por tipo de informao
4.2.7.
SOBRE OS SISTEMAS UTILIZADOS
25.Dos sistemas abaixo, quais voc utiliza?

Sistemas que utiliza
No respondeu
22,22% 16,67% 19,54%
Sistema de ponto
22,22% 50,00% 35,63%
Sistema Financeiro/Contbil
22,22% 19,05% 20,69%
Sistema de patrimnio
2,22%
4,76%
3,45%
Folha de pagamento
17,78% 14,29% 16,09%
Sistema oramentrio
17,78%
4,76% 11,49%
Sistema com informaes gerenciais
8,89% 28,57% 18,39%
Outros
35,56% 11,90% 24,14%
TOTAL
100%
100%
100%
Tab 30. Sistemas utilizados
43
4.3. TABULAO DO QUESTIONRIO DO RH

4.3.1.
SOBRE A CONTRATAO DE FUNCIONRIOS
1. A poltica de segurana da informao divulgada aos novos contratados?

Empresa
Resposta
Publica
No
Privada
Sim
Tab 31. Novos contratados - RH
2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade

sobre as informaes da empresa?
Empresa
Resposta
Publica
No
Privada
No
Tab 32. Termo de confidencialidade - RH
3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou

telefone?
Empresa
Resposta
Sim, atravs do servidor da redes e da central
Publica
telefnica;
Privada
Outros
Tab 33. Orienta utilizao de e-mail, Internet ou telefone - RH
4. Em caso de outros, qual?
Empresa
Resposta
Publica
Divulgao da melhor forma de utilizar as

ferramentas Intranet, e-mail e Internet por
parte da assessoria de informtica.
Tab 34. Orienta utilizao de e-mail, Internet ou telefone /outros - RH
Privada
5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no

processo de seleo, so checadas antes da contratao?
Empresa
Publica
Privada
Resposta
Outros
Sim
Tab 35. Checa currculos- RH
44

Empresa
Publica
Resposta
Contrato ou decreto so feitos pela secretaria
de estado da administrao.
Privada
Tab 36. Checa currculos/outros - RH
7. Os funcionrios recm contratados ...

Empresa
Publica
Privada
Resposta
So encaminhados diretamente TI para
cadastro na rede e demais sistemas.
Aguardam o processo de criao de e-mail
aps um documento ser enviado do RH para o
setor de TI informando quais sistemas o
mesmo ter acesso.
Tab 37. Recm contratados - RH

Empresa
Publica
Privada
Resposta
So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
demais sistemas;
Tab 38. Recm contratados/Outros RH
9. Os funcionrios que so transferidos de funo...

Empresa
Publica
Privada
Resposta
para alterao do cadastro na rede e nos
demais sistemas
Tab 39. Funcionrios Transferidos - RH

Empresa
Resposta
Publica
Privada
Tab 40. Recm contratados - RH
4.3.2.
SOBRE A DEMISSO DE FUNCIONRIOS
11. O acesso aos sistemas e rede dos funcionrios demitidos ...

Empresa
Publica
Privada
Resposta
Outros
So bloqueados antes da demisso
Tab 41. Demitidos - RH
45

Empresa
Publica
Privada
Resposta
So bloqueados aps a demisso
Tab 42. Demitidos/Outros - RH
13. O acesso dos funcionrios demitidos s instalaes da empresa...

Empresa
Resposta
Publica
No mais permitido
Privada
restrito recepo
Tab 43. Acesso fsico dos Demitidos - RH

Empresa
Resposta
Publica
Privada
Tab 44. Acesso fsico dos Demitidos/Outros - RH
4.3.3.
SOBRE A CONTRATAO DE TERCEIROS
15. A poltica de segurana da informao divulgada sempre na contratao de

terceirizados?
Empresa
Publica
Resposta
No existe poltica de
informao na empresa
Sim
segurana
da
Privada
Tab 45. Poltica de segurana aos terceiros - RH
16. Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade

sobre as informaes da empresa?
Empresa
Resposta
Publica
No
Privada
No
Tab 46. Termos de responsabilidade aos terceiros - RH
46
17. Os terceirizados recm contratados ...

Empresa
Publica
Privada
Resposta
para cadastro na rede e nos demais sistemas
Aguardam o processo de criao de e-mail e
senhas aps um documento interno ser
enviado do RH para o setor de TI informando
quais sistemas o mesmo ter acesso
Tab 47. Terceiros recm contratados- RH
18. Observaes:
Empresa
Resposta
-
Publica
Privada
Tab 48. Observaes - RH
4.4. TABULAO DO QUESTIONRIO DA TI

4.4.1.
SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. O cadastro de senha de funcionrios novos...

Empresa
Resposta
Publica
Basta o usurio comparecer TI e solicitar
Privada
Com solicitao por e-mail do Gerente da rea
Tab 49. Funcionrios novos TI

Empresa
Publica
Privada
Resposta
Solicitam a transferncia diretamente informtica
So transferidos mediante solicitao por e-mail do Gerente da rea
Tab 50. Funcionrios Transferidos TI
3. No processo de Demisso de funcionrios, a informtica...

Empresa
Publica
Privada
Resposta
no houve demisso ainda
A informtica faz backup da informao da mquina do usurio antes da
demisso.
Tab 51. Demisso de Funcionrios TI
47
4.4.2.
SOBRE SENHAS
4. Existe uma poltica para utilizao de senhas fortes?

Empresa
Publica
Privada
Resposta
No
No
Tab 52. Poltica de senhas TI
5. As senhas de acesso rede expiram automaticamente em um determinado

perodo de tempo?
Empresa Resposta
Publica
Sim
Privada
Sim
Tab 53. Expirao de senhas da rede TI
6. As senhas dos sistemas corporativos so mudadas com que freqncia?

Empresa Resposta
Publica
Nunca
Privada
Esporadicamente em manutenes do sistema
Tab 54. Poltica de senhas dos demais sistemas TI
7. permitida a utilizao de senhas compartilhadas (uma senha nica para

usurios de um setor por exemplo)?
Empresa
Publica
Privada
4.4.3.
Resposta
No
No
Tab 55. Senhas compartilhadas TI
SOBRE TERCEIROS/PRESTADORES DE SERVIO
8. Existe algum mecanismo para identificao dos terceiros, prestadores de

servio e funcionrios, (Crach com foto, Uniforme, etc)?
Empresa
Publica
Privada
Resposta
Sim
Sim
Tab 56. Identificao de terceiros TI
48
9. O atendimento de prestadores de servio e terceiros controlado por algum

tipo de ordem de servio com a logomarca da empresa em que ele trabalha?
Empresa
Publica
Privada
Tab 57.
4.4.4.
Resposta
No
No
Controle de Atendimento de terceiros TI
SOBRE SEGURANA DA INFORMAO
10. Existe uma poltica de segurana da informao na empresa?

Empresa
Publica
Privada
Resposta
Em fase de desenvolvimento
Em fase de desenvolvimento
Tab 58. Poltica de Segurana TI
11. Existem restries de acesso Internet e e-mail?

Empresa
Publica
Privada
Resposta
Sim
Sim
Tab 59. Restries de Acesso TI
12. Em caso de sim, quais?

Empresa
Publica
Resposta
Sites pornogrficos
Nem todas as mquinas acessam a internet. Existe uma black list
Privada
com os sites proibidos;
Tab 60. Quais restries de acesso TI
13. Os Principais equipamentos de informtica (Switches,Servidorer,

Roteadores,...) esto realmente protegidos de acesso no autorizado?
Empresa Resposta
Publica
Parcialmente
Privada
Parcialmente
Tab 61. Proteo de Equipamentos TI
14. Existe cuidado com o descarte de mdia removvel (Documentos impressos,

fitas magnticas, CDR, CDRW entre outros)?
Empresa Resposta
Publica
No
Privada
Sim
Tab 62. Descarte d Mdias removveis TI
49
15. Utilizam criptografia na comunicao que envolva informaes da empresa?

Empresa
Publica
Privada
Resposta
No
No
Tab 63. Criptografia TI
16. Existe antivrus corporativo com atualizao automtica das estaes?

Empresa
Publica
Privada
4.4.5.
Resposta
Sim
Sim
Tab 64. Antivrus corporativo TI
SOBRE COMPUTAO MVEL E TRABALHO REMOTO
17. Os computadores mveis possuem validao de senha antes do acesso ao

sistema operacional?
Empresa Resposta
Publica
No
Privada
Sim
Tab 65. Senha para computao mvel TI
18. Os usurios da computao mvel so orientados quanto aos cuidados

especiais que devem ter com, por exemplo, atualizao de antivrus, acesso no
autorizado e divulgao de informaes ali armazenadas?
Empresa Resposta
Publica
No
Privada
No
Tab 66. Orientaes aos usurios de computao mvel TI
19. Existe acesso remoto aos sistemas da empresa?

Empresa
Publica
Privada
Resposta
No
Sim, aos funcionrios da empresa
Tab 67. Acesso remoto TI
20. Se sim, quais os controles utilizados para estes acessos?

Empresa Resposta
Publica
Privada
Orientao aos usurios e anlise de logs de acesso
Tab 68. Controles para acesso remoto TI
50
4.5. ANLISE DA PESQUISA

A anlise da pesquisa foi feita com o intuito de responder a todos os
questionamentos levantados na descrio da metodologia, caracterizada de acordo
com as informaes dos questionrios, destacando os pontos fortes e fracos,
quando existirem, e ainda comparando por tipo de empresa (Pblica e privada).
4.5.1.
SOBRE POLTICA DE SEGURANA DA INFORMAO
Em ambas as empresas existem polticas de segurana da informao

sendo desenvolvida, porm ainda no est muito claro para os usurios o que esta
poltica, pois, em mdia, somente 41,38% dos usurios afirmam a existncia da
mesma.
No respondeu
100%
15,56%
23,81%
80%
42,22%
60%
No
Sim
35,71%
40%
20%
0%
42,22%
Publica
40,48%
Privada
Fig. 1.A empresa possui poltica de segurana da informao?
A questo de existir uma poltica de segurana em desenvolvimento

demonstra conscincia da sua necessidade, porm, a falta desta poltica atualmente
uma das principais falhas no combate aos ataques que utilizam a engenharia
social.
51
Desta forma, as duas empresas devem Priorizar a finalizao da poltica

de segurana da informao e garantir a sua divulgao para todos os usurios,
atravs de aes como uma campanha de lanamento,
distribuio de folders,
informativos, palestras, auditorias internas e outros meios de divulgao e

conscientizao.
O comprometimento da alta direo fundamental para a implantao da

poltica de segurana da informao. Ela deve estar envolvida em todo o processo e
motivar os funcionrios.
4.5.2.
SOBRE INFORMAES VITAIS/CONFIDENCIAIS
Para a segurana da informao fundamental que os usurios

conheam, entre as informaes que ele tem acesso, quais so confidenciais e
vitais para a continuidade do seu negcio, evitando assim que elas sejam divulgadas
ou violadas inadvertidamente.
Na empresa privada 59,52% dos usurios afirmam conhecer as

informaes consideradas vitais para a empresa, enquanto que na empresa pblica,
o percentual cai para 40%. Esta conscincia deve ser trabalhada, de maneira que
cada usurio saiba quais informaes, dentre as que ele tem acesso, so
fundamentais para a empresa.
52
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
1
15,56%
1
11,90%
1
28,57%
No respondeu
44,44%
No
4
40,00%
Publica
Sim
59,52%
Privada
Fig. 2. Os usurios conhecem as informaes vitais para a empresa?
Tanto na empresa Privada quanto na empresa pblica h
um
responsvel pela comunicao interna e externa. Ele deve ter uma viso sistmica
do impacto causado ao se divulgar uma informao, principalmente uma informao
considerada vital e, alm disso, deve orientar a forma como as informaes so
repassadas, de maneira padronizada, tornando este padro conhecido por todos da
empresa.
Dos 87 (oitenta e sete) entrevistados, 86,21% afirmam acessar

informaes vitais ou informaes confidenciais. Desse universo, 18,67% no
possuem conhecimento quanto existncia de um responsvel pela comunicao
interna, sendo que na empresa publica so 26,32% do seu escopo, enquanto que na
empresa privada este percentual cai para 10,81%, conforme demonstrado no quadro
abaixo.
53
H um responsvel pela comunicao
interna?
Sim
No
No respondeu
TOTAL
Publica
63,16%
26,32%
10,53%
100%
Privada
72,97%
10,81%
16,22%
100%
TOTAL
68,00%
18,67%
13,33%
100%
Fig. 3.Tabela Informaes confidenciais / vitais x comunicao interna
Dos usurios que acessam informaes confidenciais, menos da metade

(47,06%) na empresa pblica afirma que a empresa orienta quanto divulgao de
informaes e na empresa Privada este percentual sobre para 73,33%.
4.5.3.
SOBRE TERMO DE RESPONSABILIDADE
Quando um usurio assina um termo responsabilizando-se pela

informao, ele ser um defensor da segurana desta informao e pensar duas
vezes antes de quebrar qualquer procedimento de segurana que ele saiba que
existe.
Em ambas as empresas, nem funcionrios nem terceiros assinam

nenhum termo ou acordo de responsabilidade / confidencialidade.
Em mdia, nas duas empresas, 73,56% dos usurios tm acesso a

informaes consideradas confidenciais, dos quais menos da metade (45,31%)
afirma saber que as informaes so classificadas dentro da empresa e pouco mais
da metade deles (aproximadamente 60%) sabem da existncia de um responsvel
pela comunicao externa/Interna e das orientaes sobre divulgao da
informao.
54
Dos usurios que acessam informaes confidencias, em ambas as

empresas, metade s altera a senha quando o sistema solicita e, praticamente, a
outra metade (40,63%) sempre utiliza a mesma senha.
4.5.4.
SOBRE SENHAS
As senhas so comumente utilizadas para validar a identificao dos

usurios e conceder acesso aos sistemas de informao. Para os engenheiros
sociais conseguir uma senha de acesso com um usurio o prmio que ele mais
deseja, pois, desta forma ter acesso s mesmas informaes que o usurio e o
dono da senha ser responsabilizado por quaisquer problemas que venham a
ocorrer.
Os usurios que tm acesso informaes confidenciais e vitais para a

empresa devem ter um cuidado especial, pois so os principais alvos dos ataques
contra a segurana da informao. O grfico da Fig. 4 mostra que, dos usurios que
acessam informaes confidencias, em ambas as empresas, metade s altera a
senha quando o sistema solicita e, praticamente, a outra metade (40,63%) sempre
utiliza a mesma senha.
55
Mensalmente
1,56%
Sempre utilizo a
mesma senha
40,63%
Trimestralmente
6,25%
Semestralmente
1,56%
Somente quando o
sistema solicita
alterao
50,00%
Fig. 4.Freqncia de alterao de senhas dos usurios com acesso

informaes confidenciais
Em ambas as empresas, a grande maioria dos usurios afirma no

divulgar as suas senhas, conforme Fig. 5.
100%
4,44%
4,76%
80%
60%
84,44%
90,48%
40%
No respondeu
No Divulga senha
Divulga senha
20%
11,11%
0%
Publica
4,76%
Privada
Fig. 5.Quantos usurios divulgam as senhas
Em mdia, 87,36% dos usurios entrevistados tm suas senhas

individuais, no permitindo que outros usurios a conheam. Na divulgao de
56
senhas, chama a ateno o fato de que 20% dos gerentes da empresa Pblica tm
sua senha conhecida por outros funcionrios e que 32,18% dos usurios deixa que
outros utilizem a sua senha para realizar algum trabalho rpido.
Somente 6,90% afirmam anotar suas senhas em algum local prximo ao

computador, na agenda ou similar.
Na empresa Pblica, 15,56% afirma que sabe a senha de outros usurios,

contra 11,90% da empresa Privada.
Dentre usurios que afirmam divulgar e/ou anotar senhas em locais que
podem no ser seguros, levantamos quais sistemas de ambas as empresas tem ao
menos um funcionrio que realiza esta prtica, conforme Fig. 6:
Sistemas que tm usurios que Sistemas que tm usurios que anotam

Empresa
divulgam senhas
- Sistema Financeiro/Contbil
PBLICA - Sistema Oramentrio
- Outros sistemas corporativos
suas senhas
- Sistema Financeiro/Contbil
- Sistema Oramentrio
- Sistema de ponto
- Sistema de ponto
- Folha de Pagamento
- Folha de Pagamento
- Sistema com informaes gerenciais
PRIVADA
Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de fcil acesso
57
Vemos que os principais sistemas
como por exemplo, folha de
pagamento , Financeiro/Contbil e alguns sistemas coorporativos, possuem ao

menos uma senha compartilhada com mais de um usurio.
4.5.5.
SOBRE ACESSO S INFORMAES
Por mais que uma empresa invista em tecnologia para garantir a

segurana da informao, fundamental que os seus usurios participem
ativamente com aes, muitas vezes simples, como manter a mesa sem
documentos expostos e no deixar um sistema conectado com a sua senha ao sair.
O bloqueio dos computadores feito pela grande maioria dos usurios,

86,67% na empresa Pblica e 71,31% na Privada. O mesmo ocorre com a poltica
de mesa limpa, onde 77,78% dos usurios da empresa Pblica e 69,05% da
Privada, afirmam ter o costume de deixar a mesa limpa, sem papeis, evitando assim
que informaes, muitas vezes sigilosas, fiquem expostas.
Praticamente metade dos usurios da empresa Privada (47,62%) acha que

no seria difcil que pessoas externas consigam informaes importantes da
empresa. Na empresa pblica, este percentual cai para 33,33%.
58
4.5.6.
COMPUTAO MVEL E ACESSO REMOTO
Somente a empresa privada afirma utilizar validao de senha antes do

acesso ao sistema operacional e nenhuma das duas empresas orienta os usurios
da computao mvel quanto aos cuidados como, por exemplo, a atualizao de
antivrus e acesso de pessoas no autorizadas, incluindo parentes e amigos.
Somente a empresa privada faz acesso remoto aos seus sistemas e j realiza
a orientao aos usurios e analisa os logs de acesso.
4.5.7.
PROCESSOS DO RH
necessrio, em ambas as empresas, uma ao de procedimentar os

principais processos que envolvem riscos segurana da informao, como por
exemplo todos os processos onde h uma interao com o setor responsvel pela
tecnologia da informao, como no caso de contratao, demisso e transferncia
de funcionrios e terceiros onde, temos falhas como:
1. Na empresa Pblica, basta que o usurio comparea rea de TI

informando que um novo funcionrio para que seja criada uma senha de acesso
rede e aos sistemas;
2. Na empresa Privada, a TI libera o acesso com uma requisio do

gerente da rea, enquanto que o RH informa que necessrio um documento do
59
RH para a TI, informando quais sistemas o funcionrio novo, transferido ou

Terceirizado ir acessar.
Alm do termo de responsabilidade, o RH deve solicitar a assinatura de

termos como o de utilizao de e-mail e Internet, de confidencialidade de senhas e,
principalmente realizar treinamentos da poltica de segurana, assim que o
funcionrio admitido.
Aes como estas permitiro uma maior contribuio do setor de RH em

ambas as empresas, minimizando os riscos de falhas na segurana da informao.
4.5.8.
PROCESSOS DA TI
A rea de TI deve ter uma atuao decisiva no processo de segurana da

informao. Vrios controles podem ser implementados para minimizar os riscos
sobre a segurana da informao e abaixo citamos os controles existentes no
ambiente estudado:
Controle de senhas: A expirao automtica de senhas de aceso rede,

em um perodo pr-definido, que j utilizado em ambas as empresas. Porm,
deve-se atentar para situaes como as dos sistemas corporativos, que, na empresa
Pblica, nunca mudam as senhas e, na empresa privada, mudam somente
esporadicamente nas manutenes dos sistemas.
Controle sobre prestadores de servios e terceiros: Apesar dos

prestadores de servios e terceiros possurem mecanismos de identificao como
60
crachs com fotos, senhas, ou uniformes, no existe um controle sobre os servios

executados, atravs de uma ordem de servio, por exemplo.
Controle no acesso Internet: Existe algum controle de acesso Internet,

como por exemplo uma lista de usurios com acesso negado (Black list) ou o
bloqueio a sites pornogrficos.
Controle de segurana dos equipamentos: Em ambas as empresas existe

um controle parcial sobre o acesso no autorizado. necessrio realizar um
levantamento mais detalhado de quais so os equipamentos que no esto
protegidos .
Antivrus: Em ambas as empresas existe um antivrus coorporativo
implementado.
61
4.6. SOLUES PROPOSTAS
Como vimos, existem diversas tcnicas que podem ser utilizadas em

ataques de engenharia social e todas elas usam a boa f e a ingenuidade das
pessoas, conquistando sua confiana para conseguir quebrar a segurana.
Ainda nos dias de hoje,
a viso de segurana da informao est
atrelada apenas a tecnologia, esquecendo que por trs de cada mquina h pelo
menos uma pessoa. Implantar controles de segurana exige uma estrutura complexa
de pessoas, meios e processos, interagindo de maneira a preservar a
confidencialidade, integridade e disponibilidade das informaes.
Mitnick (2003, p. 4) diz que A segurana no um produto, ela um

processo. Para ele, a grande maioria das empresas investe em ferramentas que
ajudam somente na proteo dos intrusos amadores, que em sua maioria so
crianas (script kiddies) que s causam aborrecimento. Elas no esto realmente
protegidas contra os atacantes sofisticados, com alvos bem definidos e motivados
pelo ganho financeiro.
4.6.1.
CONTROLES SUGERIDOS
Para minimizar os riscos da segurana da informao, baseados na

anlise da pesquisa aplicada, sugerimos alguns controles que podem ser
implementados tanto na empresa Pblica quanto na Privada, so eles:
62
4.6.2.
IMPLANTAO DE UMA POLTICA DE SEGURANA
A finalizao da poltica de segurana fundamental e prioritrio para as

duas empresas estudadas. Ela deve ser elaborada com a participao do RH e da
TI, baseando-se nas melhores prticas da norma NBR ISO 17799, divulgando para
todos os funcionrios na contratao (atravs do RH) e em meio eletrnico com por
e-mail e na intranet (gerenciado pela TI). Ela deve abordar questes como a
privacidade, direitos de acesso, responsabilidades e deve refletir os objetivos do
negcio alm de estar de acordo com a cultura organizacional de cada empresa.
importante frisar que deve ser avaliado o custo da implantao de tal

poltica, para que no seja superior ao valor da informao que se est protegendo,
levando-se em conta fatores, como por exemplo a imagem da empresa em caso de
uma falha na segurana da informao.
4.6.3.
NA ADMISSO E DEMISSO DE FUNCIONRIOS
Em nenhuma das empresas existe um procedimento padro e seguro

para contratar, demitir ou transferir usurios. Convm que os usurios assinem
termos de responsabilidade e/ou acordos de confidencialidade ou no divulgao no
incio da sua contratao ou antes do acesso s instalaes de processamento da
informao [13]. As responsabilidades e direitos legais dos usurios devem ser
claros e formais, sendo recomendado que sejam inseridos dentro dos termos e
condies de trabalho;
63
O RH deve checar as informaes contidas nos currculos e os

certificados dos cursos apresentados pelos candidatos pr-selecionados para uma
contratao, para confirmar a veracidade das informaes. No caso da empresa
Pblica, deve-se avaliar se o funcionrio est apto a exercer a funo que lhe
assiste e tomar as providencias cabveis como transferncia de funo ou
treinamento.
A rea de TI deve criar, transferir ou bloquear um usurio, somente com

uma autorizao do responsvel pela contratao, em geral do RH, por escrito, com
todas as informaes necessrias, como nome completo, setor de destino, funo,
entre outros. At que o novo acesso seja liberado, o futuro usurio no deve utilizar
senha de nenhum outro funcionrio.
No caso da demisso, o responsvel pelo bloqueio de senhas no setor de

TI deve ser comunicado antes do usurio que ser demitido, para que as devidas
providncias de segurana sejam tomadas, de acordo com a prtica da empresa,
seja ela bloquear o usurio, fazer backup dos dados, alterar o acesso para somente
leitura, etc.
4.6.4.
POLTICA DE SENHAS FORTES
Nenhuma das empresas utiliza uma poltica de senhas fortes e nem

orienta seus usurios neste sentido. Esta poltica deve estar inserida na poltica de
segurana da informao e conter pelo menos as condies a seguir:
64
- As senhas devem ser nicas e individuais, permitindo a identificao de

cada usurio e responsabilizandoo por suas aes, .
- Os usurios devem estar cientes, formalmente, que devem manter a

confidencialidade de sua(a) senha(s), atravs de um documento escrito sobre seus
direitos de acesso;
- As senhas devem expirar automaticamente em um perodo pr-definido,

solicitando que o usurio altere-a de maneira que ele no possa repetir senhas
antigas e seja obrigado a misturar, no mnimo, letras e nmeros;
- As senhas dos sistemas coorporativos devem ser alteradas com uma

determinada freqncia.
4.6.5.
TREINAMENTO DOS USURIOS
Visando assegurar que os usurios esto cientes das ameaas e

transform-los em defensores da segurana da informao, eles devem ser
treinados nos procedimentos de segurana e no uso correto das instalaes da
empresa. Isso inclui os prestadores de servio e terceiros.
Como j foi dito neste trabalho, no importa o valor que uma empresa
invista em tecnologia para a segurana da informao, pois a cooperao dos
usurios autorizados fundamental para eficcia da segurana
65
4.6.6.
CONTROLE NO ACESSO DE TERCEIROS
Para o controle de acesso de terceiros e/ou prestadores de servio, devese verificar o tipo de acesso (Lgico ou fsico), as razes para acesso, questes
relativas a confidencialidade das informaes (conforme controle sugerido na
contratao, demisso e transferncia de funcionrios e terceiros).
Para o acesso fsico interno,
deve-se verificar a utilizao de uma
identificao que permita rpida confirmao de identidade como um crach com

foto e se possvel o uso de um uniforme e a execuo de um servio deve ser
acompanhada por um documento com a logomarca da empresa (Ordem de servio),
contendo no mnimo o motivo da interveno, a data, a hora e o nome do tcnico;
Deve estar claro, e em contrato, a questo sobre definio de

responsabilidade (Em caso de acidentes) e, antes de qualquer acesso s
instalaes, os tcnicos devem ser treinados nos procedimentos de segurana;
4.6.7.
RESTRIES DE ACESSO A E-MAIL E INTERNET
Existem pequenas medidas de restries de acesso Internet, em ambas

empresas, que utilizam a tecnologia, mas no existe nenhum termo de uso de e-mail
e Internet para orientao e conscientizao dos usurios.
A criao de um termo que regulamenta o uso do e-mail e Internet

fundamental e deve ser includa na poltica de segurana da informao. Ele deve
66
incluir proteo de anexos, orientao de quando no se deve utiliz-los,

responsabilidade sobre o uso indevido, uso de criptografia em mesagens com
informaes da empresa, entre outros. Alm disso, a TI deve monitorar os acessos
Internet e bloquear os acessos a sites que no agregam valor ao negcio.
4.6.8.
SEGURANA FSICA AOS EQUIPAMENTOS VITAIS
Em ambas as empresas os principais equipamentos que podem por em

risco a segurana da informao (Servidores, switchs,
entre outros) s esto
parcialmente protegidos do acesso a pessoas no autorizadas.
Deve-se realizar um levantamento de todos os equipamentos crticos e

definir a melhor maneira para proteg-los, verificando inclusive a necessidade de
Implementao de mecanismos de segurana fsica como por exemplo circuitos
fechados de TV e fechaduras eletrnicas.
4.6.9.
DESCARTE DE MDIAS REMOVVEIS
Informaes importantes podem ser divulgadas atravs da eliminao de

mdias de maneira descuidada. A empresa privada afirma ter um cuidado com o
descarte de mdias removveis, mas no informa quais. Sugerimos a utilizao de
um triturador de papel em reas com informaes consideradas confidenciais como
a T.I. e o RH, alm de um controle sobre as mdias removveis, desabilitando este
recurso nas mquinas que no devem utiliz-lo, alm da orientao aos usurios na
utilizao das mesmas.
67
Pode-se criar uma coleta de descarte seguro, de maneira que todas as

mdias removveis a serem inutilizadas sejam encaminhadas para um responsvel
pelo descarte seguro das mesmas.
4.6.10.
CRIPTOGRAFIA
No existe cultura de utilizao da criptografia em nenhuma das empresas.

Sugerimos que esta cultura seja inserida em ambas as empresas de forma
gradativa, iniciando com um grupo de usurios, sugerimos a T.I., e em seguida seja
expandido para outros usurios, como os que utilizam notebook, os do RH e os
demais usurios que trocam informaes confidenciais das empresas.
4.6.11.
COMPUTAO MVEL E ACESSO REMOTO
Cuidados especiais so necessrios para a utilizao de computao

mvel. Convm que os usurios sejam formalmente alertados dos riscos para a
segurana da informao com a computao mvel.
Alguns controles podem ser implementados como precauo para

diminuir estes riscos, como a orientao de que o usurio sempre mantenha o
equipamento longe de acesso de pessoas no autorizadas como parentes e
visinhos, atualize seu antivrus freqentemente, utilizao de senha na inicializao
68
do equipamento, cuidados contra roubo dos equipamentos e o uso freqente da

criptografia em arquivos com informaes da empresa;
Para a empresa privada que utiliza acesso remoto, o acesso remoto deve
ser autorizado e controlado o desenvolvimento de polticas, procedimentos e normas
especficas, que abordem questes como por exemplo, qual trabalho permitido, as
horas de trabalho e o acesso de pessoas no autorizadas ao equipamento de onde
se faz o acesso remoto.
4.6.12.
CONTROLES GERAIS
Para minimizar os riscos de roubo e exposio de informaes, ambas

instituies, devem adotar a poltica de mesa limpa em toda a instituio,
principalmente na empresa pblica, onde o percentual de usurios que tem esse
costume menor.
Sugerimos que seja feito uma sensibilizao para que os
usurios mantenham vista somente os papeis que esto sendo utilizados no

momento, bloqueiem
os terminais quando no estiverem em uso, informaes
impressas devem ser retiradas imediatamente da impressora e, ao sarem da

empresa, mantenham os micros desligados e os papeis com informaes
confidenciais em gavetas adequadas, preferencialmente com fechadura.
Todos os usurios devem estar cientes, formalmente, que equipamentos,

informaes ou softwares so de propriedade da empresa e no devem ser retirados
da mesma sem autorizao.
69
4.6.13.
FRUM DE SEGURANA
O processo de segurana da informao responsabilidade de todos os

usurios da direo da empresa, porm, natural que, ao menos nas empresas
estudadas, os setores de RH e TI liderem a implantao dos controles citados.
Desta forma, com base na norma NBR ISO 17788, sugerimos que seja
criado um frum de gesto da segurana da informao, multifuncional onde os
setores mais relevantes na empresa estejam representados. Seu principal objetivo
de garantir uma implantao adequada, realizando anlises crticas e monitorao
necessrias para que a segurana seja parte de todo e qualquer processo na
empresa.
70
5. CONCLUSO
O procedimento proposto neste trabalho nos permitiu realizar um

levantamento da atual conscincia dos usurios, quanto importncia da
informao acessada pelos mesmos, de maneira que o impacto da engenharia
social na segurana da informao pde ser avaliado com base na anlise dos
questionrios aplicados.
Alinhado anlise da conscincia dos usurios, foram analisados os

processos das reas de recursos humanos e de tecnologia da informao, no que
diz respeito engenharia social. Toda a anlise foi realizada em duas empresas
com caractersticas diferentes, permitindo assim que o procedimento criado possa
ser utilizado em vrios tipos de empresas, independente de suas caractersticas.
Aps a anlise da pesquisa, utilizamos a norma NBR ISO 17799, Cdigo

de Prtica para Gesto da segurana da Informao, como base para propor um
leque de controles que visam minimizar as falhas de segurana da informao e os
riscos de ataques bem sucedidos de engenharia social, aumentando a segurana
nas pessoas e conscientizando seus usurios da importncia da informao da
empresa para que eles cumpram seu papel de agentes da segurana da informao.
Porm este trabalho limita-se apenas ao diagnstico do problema. As

aes necessrias implantao dos controles so de responsabilidade de cada
empresa que, aps este trabalho, j esto com os seus pontos crticos na segurana
71
da informao identificados e, para cada um deles, existe aqui um ou mais controles

que visam eliminar as falhas existentes.
Muitas empresas investem nas melhores tecnologias de segurana e,

muitas vezes esquecem de tratar o elo mais fraco na segurana da informao: o
fator humano. Desta forma, a metodologia utilizada neste trabalho permite que
empresas implementem controles que minimizem o risco de ataques de engenharia
social com um baixo custo.
72
6. ANEXOS
6.1.ANEXO I
USURIOS
QUESTIONRIO
APLICADO
AOS
PESQUISA SOBRE A SEGURANA DA INFORMAO

ARACAJU, ____ / ____ DE 2004
SOBRE O FUNCIONRIO
2.Sexo
3.Funo
1.Faixa etria
a) [ ]Masculino a) [ ]Gerencial (Chefe de diviso, Chefe de Gabinete, Diretoria, etc...)
a) [ ]At 20 anos
b) [ ]De 21 a 30 anos b) [ ]Feminino b) [ ]Operacional (Agente administrativo, Oficial administrativo,
Auxiliar de Gabinete, etc...)
c) [ ]De 31 a 40 anos
c) [ ]Terceirizados (Prestadores de Servios, estagirios, etc...)
d) [ ]Acima de 40
5.Possui outro emprego?
4.Trabalha na EMPRESA a
a) [ ]Sim, na mesma rea em que trabalho na EMPRESA
a) [ ]Menos de 1 ano
b) [ ]Sim, em outra rea
b) [ ]De 1 a 5 anos
c) [ ]No
c) [ ]De 6 a 10 anos
d) [ ]Acima de 10 anos
SOBRE SENHAS
6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
EMPRESA? [ ] Sim [ ] No
7.Voc utiliza a senha de algum outro funcionrio para acesso informaes da EMPRESA?
[ ] Sim [ ] No
8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local similar?
[ ] Sim [ ] No
9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido? [ ] Sim [ ] No
10.Com que freqncia voc altera (s) sua(s) senha(s):
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Somente quando o sistema solicita alterao
e) [ ]Sempre utilizo mesma senha
SOBRE DIVULGAO DE INFORMAES

11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por telefone ou email?
a) [ ]Forneo a informao, pois no h nada confidencial em minha rea.
b) [ ]Forneo a informao aps identificar o solicitante
c) [ ]Solicito autorizao a meu superior para liberar a informao;
d) [ ]Outros:
_________________________________________________________________________________
SOBRE A EMPRESA
12. A EMPRESA possui poltica de comunicao interna?[ ] Sim [ ] No
13. As informaes so classificadas na EMPRESA (confidencial, secreta, pblica etc.) [ ] Sim [ ] No
14. A EMPRESA possui um responsvel pela comunicao externa?[ ] Sim [ ] No
15. A EMPRESA possui alguma orientao quanto divulgao de informao?[ ] Sim [ ] No
16. Voc sabe quais as informaes so vitais para o negcio da EMPRESA?[ ] Sim [ ] No
17. A EMPRESA possui poltica de segurana da informao?[ ] Sim [ ] No
SOBRE ACESSO INFORMAO

18. Neste momento existe algum papel sobre sua mesa com informaes sobre a EMPRESA?
[ ] Sim [ ] No
73
19. Ao sair voc costuma deixar suas mesa limpa, sem papis?
[ ] Sim [ ] No
20. Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
[ ] Sim [ ] No
21. O seu setor possui informaes consideradas confidenciais?
[ ] Sim [ ] No
22. Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
EMPRESA?
[ ] Sim [ ] No
23. Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
EMPRESA?
[ ] Sim [ ] No
24.Quais os tipos de informaes que voc tem acesso?
a) [ ]Informaes operacionais
b) [ ]Informaes gerenciais
c) [ ]Informaes confidenciais
d) [ ]Informaes imprescindveis continuidade do negcio
e) [ ]No tenho acesso a nenhuma informao importante
SOBRE OS SISTEMAS UTILIZADOS

25.Dos sistemas abaixo, quais voc utiliza?
a) [ ]Sistema de Ponto
b) [ ]Sistema Financeiro e/ou Contbil
c) [ ]Sistema de Patrimnio
d) [ ]Folha de Pagamento
e) [ ]Sistema oramentrio
f) [ ]Sistemas com informaes gerenciais
g) [ ]Outros__________________________________
_____________________________________________
OBSERVAES
26. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:
74
6.2.ANEXO-II QUESTIONRIO APLICADO AO RH

PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA AO RH
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO DE FUNCIONRIOS
1. A poltica de segurana da informao divulgada aos novos contratados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou telefone?
a) [ ]Sim, por escrito e assinada;
b) [ ]Sim, atravs do Servidor da rede e da central telefnica
c) [ ]No existe
d) [ ]Outros
5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no processo de

seleo, so checadas antes da contratao?
a) [ ]Sim
b) [ ]No
c) [ ]Outros
7. Os funcionrios recm contratados ...

a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros

a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que seu novo acesso
seja liberado;
b) [ ]So encaminhados diretamente ao setor de TI para alterao do cadastro na rede e nos demais
sistemas;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o
setor de TI solicitando a transferncia;
d) [ ]Tm seus nomes e funes (novas e antigas) informados ao setor de TI, via e-mail ou fax, para
providencias de bloqueio e liberao de acesso.
e) [ ]Outros
10.Em caso de outros, qual?
75
SOBRE A DEMISSO DE FUNCIONRIOS

11.O acesso aos sistemas e rede dos funcionrios demitidos ...
a) [ ]So bloqueados antes da demisso;
b) [ ]So bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
c) [ ]Nunca so bloqueados;
d) [ ]Outros
13. O acesso dos funcionrios demitidos s instalaes da empresa...

a) [ ]Continua o mesmo sem restries;
b) [ ] restrito recepo;
c) [ ]No mais permitido
d) [ ]Outros
SOBRE A CONTRATAO DE TERCEIROS

15.A poltica de segurana da informao divulgada sempre na contratao de terceirizados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
16.Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
17.Os terceirizados recm contratados ...
a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros
OBSERVAES
18. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:
76
6.3.ANEXO-III QUESTIONRIO APLICADO INFORMTICA

PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA TI
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. O cadastro de senha de funcionrios novos...
a) [ ]Basta que o usurio comparea sala da informtica solicitando a criao da senha;
b) [ ] realizado mediante solicitao por e-mail do Gerente da rea;
c) [ ]Somente aps um documento interno ser enviado do RH para o setor de TI informando quais sistemas o
mesmo ter acesso;
d) [ ]Outros

a) [ ]Solicitam a transferncia diretamente informtica;
b) [ ]So transferidos mediante solicitao por e-mail do Gerente da rea;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o setor de
TI solicitando a transferncia;
d) [ ]Outros
5.
a) [
b) [
c) [
d) [
No processo de Demisso de funcionrios, a informtica...

]Bloqueia os acessos rede e dos sistemas corporativos antes da demisso;
]Os acessos so bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
]Os acessos nunca so bloqueados;
]Outros
SOBRE SENHAS
7. Existe uma poltica para utilizao de senhas fortes?
[ ] Sim, ainda no divulgada;
[ ] Sim, em pleno funcionamento
[ ] No
8. As senhas de acesso rede expiram automaticamente em um determinado perodo de tempo?

[ ] Sim [ ] No
9.
a) [
b) [
c) [
d) [
e) [
As senhas dos sistemas corporativos so mudadas com que freqncia?

]Mensalmente
]Trimestralmente
]Semestralmente
]Esporadicamente em manutenes do sistema
]Nunca
77
10. permitida a utilizao de senhas compartilhadas (uma senha nica para usurios de um
setor por exemplo)?
[ ] Sim [ ] No
SOBRE TERCEIROS/PRESTADORES DE SERVIO

11. Existe algum mecanismo para identificao dos terceiros, prestadores de servio e
funcionrios, (Crach com foto, Uniforme, etc)?
a) [ ] Sim;
b) [ ] No;
12. O atendimento de prestadores de servio e terceiros controlado por algum tipo de ordem de
servio com a logomarca da empresa em que ele trabalha??
a) [ ] Sim;
b) [ ] No;
SOBRE SEGURANA DA INFORMAO
13.
a) [
b) [
c) [
Existe uma poltica de segurana da informao na empresa?

]Sim
]No
]Em fase de desenvolvimento
14. Existem restries de acesso Internet e e-mail?

a) [ ]Sim
b) [ ]No
15. Em caso de sim, quais?
16. Os Principais equipamentos de informtIca (Switches,Servidorer, Roteadores,...) esto

realmente protegidos de acesso no autorizado?
a) [ ]Sim;
b) [ ]Parcialmente;
c) [ ]No;
17. Existe cuidado com o descarte de mdia removvel (Documentos impressos, fitas magnticas,
CDR, CDRW entre outros)?
a) [ ]Sim;
b) [ ]No;
18. Utilizam criptografia na comunicao que envolva informaes da empresa?

a) [ ]Sim;
b) [ ]No;
19. Existe antivrus corporativo com atualizao automtica das estaes?

a) [ ]Sim;
b) [ ]No;
78
SOBRE COMPUTAO MVEL E TRABALHO REMOTO

20. Os computadores mveis possuem validao de senha antes do acesso ao sistema
operacional?
a) [ ]Sim;
b) [ ]No;
c) [ ]No h computadores mveis
21. Os usurios da computao mvel so orientados quanto aos cuidados especiais que devem
ter com, por exemplo, atualizao de antivrus, acesso no autorizado e divulgao de
informaes ali armazenadas?
a) [ ]Sim;
b) [ ]No;
c) [ ]No h usurios de computao mvel
22. Existe acesso remoto aos sistemas da empresa?

a) [ ]Sim, aos funcionrios;
b) [ ]Sim, para terceiros;
c) [ ]No;
23. Se sim, quais os controles utilizados para estes acessos?

a) [
b) [
c) [
d) [
e) [
]Alteraes de senhas com maior freqncia;

]Orientao aos usurios;
]Definio de horrios para acesso;
]Anlise de logs de acesso;
]Nenhum
OBSERVAES
Nov
Dez
Jan
Fev
Mar
Abr
Mai
Jun
Jul
Ago
Set
Out
Nov
Dez
* Incio do projeto: Nov de 2003.
Levantamento bibliogrfico
Elaborao do Projeto
Elaborao dos Questionrios
Aplicao dos questionrios
Estudo dos Processos do RH
Avaliao da Pesquisa
Criao dos Controles e Aes
Elaborao do Relatrio Final
Apresentao
Atividade
6.4.ANEXO III CRONOGRAMA
Jan
Fev
Mar
Abr
Mai
Jun
Jul
7. GLOSSRIO
Biometria
Sistema de identificao de usurios que utiliza caractersticas fsicas, como por exemplo
a impresso digital, a ris, a voz entre outros.
Cavalos de Tria
Programas que so aparentemente inofensivos, mas que, ao serem executados, iniciam
de forma escondida, ataques ao sistema.[16]
Engenheiro social
Geralmente Hackers que tentam ganhar a confiana dos usurios no intuito de conseguir
informaes teis em seus ataques. Tentam se passar por um usurio autorizado e
ganhar o acesso ilcito aos sistemas. [16]
Hackers
Pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. [16]
internet banking
a Home Page de um banco. O site onde so oferecidos basicamente os mesmos
servios de uma agencia bancria. Atravs do site de um banco um cliente pode realizar
transferncias bancrias, pagamentos, etc.
Malware
Os vrus, trojans, worms , entre outros, so batizados a genericamente de Malwares;
Poltica de Segurana
O conjunto das leis, diretrizes, regras, e das prticas que regulam como uma organizao
controla, protege, e distribui a sua informao.[16]
Procedimentar:
Padronizar uma ao ou um processo em documento oficial.
Script kiddies
So, em geral, adolescentes que utilizam ferramentas e receitas prontas para ataques
virtuais. Atacam somente pela curiosidade e muitas vezes no esto interessados em
pegar informaes, mas sim por a prova seus conhecimentos.
Smart cards
Carto semelhantes aos cartes de crditos e que geralmente so utilizados na
identificao do usurio para controle de acesso, convnios mdicos e tambm como
dinheiro eletrnico.
Spywares
Spyware geralmente includo na instalao de algum outro software gratuito. Tem o
objetivo de coletar informaes sem o conhecimento do usurio, e envi-las para
anunciantes ou para o desenvolvedor do software. Ele pode coletar e transmitir
informaes sobre teclas pressionadas, hbitos de navegao na Web, senhas,
endereos de e-mail entre outros.
TI
Sigla que significa Tecnologia da informao. Aqui citado como sendo o setor
responsvel em manter a tecnologia utilizada na empresa de maneira a garantir que a
informao esteja disponvel e segura para todos que possuem acesso mesma.
Corresponde ao ento setor de informtica.
Usurio
Pessoa que opera um microcommputador, que tem acesso informaes da empresa
atravs e que faz parte do escopo deste projeto.
8. REFERENCIAS BIBLIOGRFICAS
[1] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de
dezembro de 2000.
[2] LIMA, MAYKA DE SOUZA. Metodologia para Desenvolvimento de Polticas de
Segurana. Aracaju,2001. 152p. Monografia de Graduao de curso de Cincia da
Computao. UNIT- Universidade Tiradentes, 2001.
[3] WADLOW, Thomas A. Segurana de Redes : Projeto e gerenciamento de redes

seguras. Traduo : Fbio Freitas da Silva. Rio de Janeiro : Campus, 2000. 269 p.
[4] COMER, Douglas E. Interligao em redes com TCP/IP: Princpios, protocolos e
arquitetura. Traduo : ARX Publicaes. Rio de Janeiro : Campus, 1998. 672 p.
[5] MCCARTTHY, Mary pat; CAMPBELL, Stuart. Transformao na Segurana
Eletrnica: Estratgia e gesto da Defesa Digital. Traduo: Celso Roberto Paschoa.
So Paulo: Pearson Education do brasil, 2003. 184 p.
[6]Agencia
Folha
Entrevista
com
Kevin
Mitnick.
Disponvel
em:
<
http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de

novembro de 2003.
[7] MODULO SECURITY SOLUTIONS. Ameaa alm do firewal: Por que as empresas
devem se preparar contra a Engenharia social. Disponvel em: <www.modulo.com.br>.
Acesso em: 08 de novembro de 2003.
[8] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurana da Informao. Traduo : Ktia Aparecida
Roque. So Paulo: Pearson Education do brasil, 2003. 278 p.
[9] CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de

informao. So Paulo: Administrao regional do SENAC , 1999. 367 p.
[10] ZORRINHO, C. (1995)-Gesto da Informao. Condio para Vencer. Iapmei

pg.15.
[11]. Computarword. O Brasil ainda investe pouco em segurana da informao.

Disponvel em: <http://idgnow.terra.com.br/idgnow/corporate/2002/04/0033>. Acesso em:
24 de abril de 2004.
[12] SCHNEIER, Bruce. Segurana .com: Segredos e mentiras sobre a proteo na vida
digital. Rio de janeiro: Campus, 2001. 403 p.
[13] NORMA NBR ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas: itens 6.1.3 e 6.1.4. ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.
[14] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da

Informao nas Empresas: itens 2.1
ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.

[15] MODULO SECURITY SOLUTIONS. Ferramenta gratuita ajuda usurios no
combate
fraudes
de
internet.
Disponvel
em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=3139&pagenumber=0&idi
om=0. Acesso em: 27 de julho de 2004.
[16]
MODULO
SECURITY
SOLUTIONS.
Glossrio.
Disponvel
em:
http://www.modulo.com.br/pt/page_i.jsp?page=50&tipoid=12&pagecounter=0. Acesso em:

27 de julho de 2004.

Engenharia Social e Seguranca

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Engenharia Social e Seguranca

Загружено:

Авторское право:

Доступные форматы

Outros trabalhos em:

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANA DA

Universidade Tiradentes, como prrequisito de concluso do curso de

minha esposa, por seu auxlio

Para a concluso deste trabalho foi fundamental a colaborao de:

Professor Ronaldo Linhares, que me orientou na fase inicial de construo

Agradeo a todos que contriburam direta ou indiretamente durante todo o

"Mentes grandes discutem idias; mentes medianas

O principal objetivo deste trabalho criar uma metodologia para diagnosticar

Antes de abordarmos a metodologia,

iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e

Visando uma abordagem sistmica, a pesquisa foi feita com os

usurios, com o setor de recursos humanos e com a rea responsvel pela

norma ISO/IEC 17799 - Cdigo de Prtica para Gesto da segurana da Informao

A empresa possui poltica de segurana da informao? .......................... 50

Os usurios conhecem as informaes vitais para a empresa?................. 52

Tabela Informaes confidenciais / vitais x comunicao interna .............. 53

Freqncia de alterao de senhas dos usurios com acesso informaes

Quantos usurios divulgam as senhas ....................................................... 55

Sistemas com usurios que divulgam/anotam suas senhas em locais de

Quantidade de questionrios por empresa................................................. 33

Distribuio dos usurios por funo Pblica .......................................... 34

Distribuio dos usurios por funo - Privada .......................................... 35

Usurios e Computadores .......................................................................... 36

Faixa Etria ................................................................................................ 36

Possui outro emprego................................................................................. 37

Senha aberta .......................................................................................... 37

Anota Senha ........................................................................................... 38

Cede em caso de trabalhos rpidos ....................................................... 38

Freqncia de alterao de senhas........................................................ 38

Informaes por telefone ........................................................................ 39

Outras respostas - Informaes por telefone.......................................... 39

Poltica de comunicao interna ............................................................. 39

Classificao de informaes ................................................................. 40

Poltica de segurana da informao...................................................... 40

Papel na mesa ........................................................................................ 41

Poltica de mesa limpa............................................................................ 41

Bloqueio de estaes de trabalho........................................................... 41

Conscincia da importncia da informao ............................................ 41

Acesso informao por pessoas externas ........................................... 42

Acesso por tipo de informao................................................................ 42

Sistemas utilizados ................................................................................. 42

Novos contratados - RH.......................................................................... 43

Termo de confidencialidade - RH............................................................ 43

Orienta utilizao de e-mail, Internet ou telefone - RH ................................. 43

Orienta utilizao de e-mail, Internet ou telefone /outros - RH ..................... 43

Checa currculos- RH.............................................................................. 43

Checa currculos/outros - RH.................................................................. 44

Recm contratados - RH ........................................................................ 44

Recm contratados/Outros RH ............................................................ 44

Funcionrios Transferidos - RH .............................................................. 44

Recm contratados - RH ........................................................................ 44

Acesso fsico dos Demitidos - RH........................................................... 45

Acesso fsico dos Demitidos/Outros - RH ............................................... 45

Poltica de segurana aos terceiros - RH................................................ 45

Termos de responsabilidade aos terceiros - RH .................................... 45

Terceiros recm contratados- RH ........................................................... 46

Funcionrios novos TI.......................................................................... 46

Funcionrios Transferidos TI ............................................................... 46