Engenharia Social e segurança da informação na gestão de pessoas

Trituradora de papelNada se tornou mais importante para as organizações deste século que a informação. Ela constitui um bem tão valioso e de tamanha importância em qualquer segmento, que se tornou também o maior objeto de desejo dos “ladrões” virtuais e o alvo mais cobiçado de seus ataques.

Por mais bem elaborados sejam os meios de segurança voltados em tecnologias para este fim, tudo se mostra ineficaz diante de um ataque de engenharia social. Pois este tem como meta explorar as vulnerabilidades do comportamento humano.

O termo Engenharia Social tem se tornado muito popular na última década, apesar de tratar-se de uma das mais antigas técnicas de roubo de informações importantes. Nada mais é do que a habilidade de trapacear e persuadir pessoas com a finalidade de obter informações ou acesso não autorizado a determinado sistema ou ambiente organizacional.

Trata-se de uma intrusão não técnica que visa explorar as fragilidades do fator humano a fim de levantar informações chaves (senhas, códigos de segurança, informações confidenciais e estratégicas, etc.) que proporcionarão a violação de procedimentos de segurança, e assim, proporcionar a invasão e obtenção destas importantes informações.

É um termo moderno, dado a arte de trapacear ou construir métodos para enganar alguém, com a finalidade de extrair destas pessoas informações relevantes e cruciais que proporcionarão o acesso a ambientes ou informações realmente de grande valor. Os prejuízos causados às organizações pelo vazamento de informações, as quais deveriam ser preservadas pelos seus colaboradores se tornou iminente diante do despreparo dos funcionários em lidar e reconhecer situações de riscos tornando-se um dos fatores predominantes na “quebra” da confidencialidade dessas informações, causando impactos, às vezes, irreversíveis às empresas.

Os ataques são realizados a alvos bem definidos e geralmente se iniciam com o contato direto com a vítima a fim de estudar as suas características, os pontos relevantes do seu comportamento e as suas vulnerabilidades. As vítimas, geralmente, são colaboradores de todos os níveis, até mesmo aqueles que não usam um computador, ou pessoas correlatas dentro e fora da organização que possam fornecer qualquer tipo de informação relevante.

As etapas compreendem a coleta de informações sobre a empresa alvo e as vitimas, como: hábitos de funcionários, horários e jornada de trabalho, números de telefone e endereços eletrônicos, características de uma ou várias pessoas que estão associadas a cargos importantes.

A estratégia está baseada inicialmente em explorar o máximo de possibilidades e fontes para o levantamento dessas informações, como por exemplo: catálogos telefônicos, redes sociais, ligações para centrais de atendimento ao cliente, conversas informais em bares e demais lugares públicos, e até mesmo vasculhar lixos na tentativa de encontrar anotações, relatórios gerenciais e demais itens descartados pelo alvo, porém, com informações que para o engenheiro social possuem enorme valor.

A conquista de uma relação de confiança com colaboradores da empresa alvo é outra forte estratégia utilizada, e isso é perfeitamente possível caso o engenheiro social simplesmente se faça passar por um funcionário da empresa ou por alguém que foi enviado para algum tipo de serviço específico. Ao estabelecer a relação e a confiança o próximo passo será obter do funcionário algo que possa ajudar a invadir um sistema ou um ambiente.

O perigo também pode estar dentro da própria empresa. Colaboradores mal intencionados, visando a “entrega” de informações para empresas concorrentes, podem utilizar métodos como: autoridade (utilização do poder organizacional de forma que se intimide o funcionário para conseguir a informação), engenharia reversa (quando o engenheiro social cria uma situação onde os funcionários da empresa necessitem lhe pedir auxílio), amizade (visa transmitir a sensação de que o engenheiro social é uma pessoa confiável), são estratégias também utilizadas nos ataques de engenharia social.

Para cada fase o engenheiro social utiliza técnicas que geram um ambiente facilitador levando-o a avançar gradativamente em cada etapa, pelo tempo que precisar, até alcançar o seu objetivo que é o acesso às informações. As técnicas compreendem até mesmo a leitura da linguagem corporal na tentativa de interpretar as ações não verbais da vítima procurando entender como ela reage a estímulos, como elogios, por exemplo, deixando a sua vítima bem à vontade para “soltar” informações.

Muitos também se aproveitam da possibilidade de conquistar o sexo oposto, pois, se o engenheiro social for do sexo feminino as chances aumentam muito mais se este utilizar métodos de sedução para envolver a vítima. O próprio Kevin Mitnick, lendário engenheiro social americano, chegou a seduzir e a namorar uma secretária com o objetivo de obter informações sigilosas, comprovando assim que a conquista também pode funcionar caso o engenheiro social seja um homem.

Hoje em dia, técnicas que se utilizam de meios virtuais envolvendo a internet estão muito mais presentes no dia a dia das pessoas. Vírus que se espalham por e-mail, e-mails falsos, salas de bate papo, observação de comportamento em redes sociais, são algumas das técnicas utilizadas pela internet.

A melhor arma contra a engenharia social é a informação. As empresas podem munir-se dos melhores e mais avançados meios tecnológicos voltados à segurança, entretanto, se seus colaboradores não estiverem bem informados e bem treinados a respeito dos golpes que podem sofrer, de nada adiantará.

Para a minimização dessas brechas, algumas várias medidas de segurança com base em tecnologia poderiam ser tomadas, porém, a gestão de uma empresa deve considerar em alto grau de relevância, as suas informações. E assim prever em suas ações em gerir pessoas a criação de uma cultura corporativa que tenha como prioridade capacitar seus colaboradores a partir do momento em que são admitidos, através de programas de treinamento, que abordem no mínimo fundamentos de segurança da informação.

Dentro desta cultura deve ser evidenciado o esclarecimento de que informações vazadas não só compromete o futuro da empresa, mas, também pode comprometer a integridade e a imagem dos próprios colaboradores, pois, a empresa possui informações particulares sobre seus funcionários.

A Engenharia Social é geralmente a hábil manipulação da tendência humana natural de confiança. A persuasão por si mesma é uma arte e uma ciência; estudos mostram que humanos tem certas tendências de comportamento que podem ser explorados e manipulados. Assim sendo, alguns indivíduos têm uma habilidade natural de manipular, enquanto outros desenvolvem essa habilidade através da prática de técnicas, persuadindo positiva ou negativamente. Engenheiros sociais brincam com essas tendências e motivações exercendo influência sobre seus alvos.

Desta mesma maneira os planos de segurança de uma organização devem prever a atuação direta de seus gerentes na dispensação de tempo razoável aos seus subordinados, exercendo influência e gerando sinergia e confiança entre eles, surgindo assim o fortalecimento da motivação para que eles se familiarizem com as políticas e procedimentos de segurança.

Não se deve esperar que os colaboradores estudem as políticas em seus tempos vagos, e sim, promover diretamente a participação destes em treinamentos rotineiros como regra de responsabilidade de suas funções. Os empregados que mudarem de função devem também passar por um novo treinamento, adaptando-se às suas novas responsabilidades de segurança dentro da sua nova função.

A informação está exposta a diversos tipos de ataques, seja através de meios físicos, lógicos ou humanos. As organizações realizam grandes investimentos em tecnologias de última geração para proteger seus ambientes e sistemas que manipulam as informações contra acessos não autorizados, porém de nada adiantará se o fator humano for deixado em segundo plano. É justamente nesse ponto que o Engenheiro Social atua para poder ter acesso as informações confidenciais das organizações.

Para evitar que esse tipo de situação ocorra é necessário criar políticas de segurança e disseminá-las para que seus colaboradores possam ter uma referência sobre o que é segurança da informação, quais informações são confidenciais e de conhecimento público, o que eles devem fazer e a quem recorrerem em caso de dúvida sobre os riscos presente em determinadas situações, ou seja, é uma diretriz que visa diminuir as chances de que informações estratégicas saiam de dentro das organizações.

Como disse Kevin Mitinick, não existe tecnologia que evite um ataque de um Engenheiro Social, portanto é necessário um treinamento contínuo para que as pessoas sempre saibam quais são as novas técnicas utilizadas e como lidar com cada uma delas.

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

HTML tags are not allowed.