O mundo está cada vez mais competitivo e a sobrevivência das empresas, dependem cada vez mais do domínio das informações sobre os mercados.
Informações como os avanços tecnológicos e as tendências do mercado, os produtos que competidores estão desenvolvendo, as direções que competidores estão tomando, as tendências do mercado financeiro, os melhores e os mais confiáveis fornecedores de materiais de insumo nos processos produtivos, a situação financeira de fornecedores e clientes entre outras informações, ficaram cada vez mais importantes para que as empresas consigam manter uma posição favorável nos segmentos onde atuam. (DVIR, 2003. p. 17)
Conhecer o negócio de sua empresa é fundamental para o seu crescimento, mas também conhecer as suas falhas pode significar o futuro dela nesse tão concorrido mundo dos negócios.
Infelizmente para sair na frente dos concorrentes vale tudo, até o roubo de informação, com isso a espionagem industrial se tornou algo muito comum e não existe limite para ações de espionagem. Por isso que precisa testar sua empresa, verificar sua rede, ter um time de colaboradores bem preparado para perceber e conter qualquer tipo de ação que possa ameaçar a empresa e sempre se manter atualizado para poder evoluir o seu produto e também evoluir a sua segurança, com isso a empresa poderá terá como continuar a crescer e ter mais chances de se manter segura.
O que podemos fazer para manter nossas empresas seguras?
Sabendo que no menor dos vacilos de nossa segurança podemos perder uma grande fatia do mercado para o concorrente. Os meios usados para conseguir a fatia do mercado de outra empresa é quase imperceptível na maioria das vezes, então por isso temos que estar preparados para qualquer sinal de que algo está errado.
Como justificativa entende-se que o maior bem da empresa são as suas informações do negócio, mas essas informações também são valiosas para outras empresas e até para outras pessoas. Com isso meios ilegais como o roubo são utilizados para consegui-las.
Como a tecnologia está cada vez mais avançada o roubo das informações não está sendo tão realizados através da invasão de indivíduos armados na organização, mas sim através de dispositivos conectados na internet, como computador, tablets, celulares etc.
Mas entende-se como óbvio que as informações também estão suscetíveis a ataques de dentro da empresa, efetuados pelos próprios funcionários, que as roubam e vendem ou se a segurança física é deficiente facilitando o roubo da informação. Por isso precisa analisar a empresa para encontrar e corrigir suas falhas na segurança da informação.
A informação é um ativo muito importante para a organização, dá até para afirmar que é o ativo mais importante então precisa ser muito bem protegido. A segurança da Informação protege a informação de diversos tipos de ameaças garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e das oportunidades. (NICOLAU, 2003, p. 1)
Com a chegada dos computadores pessoais e a conexão com o mundo pela internet fazer a segurança da informação está cada vez mais difícil, exigindo assim pessoas cada vez mais especializadas.
A segurança da informação é constituída de alguns pilares. Os três principais são:
I. Confidencialidade: Garantia de que a informação só é acessível somente por pessoas autorizadas.
II. Integridade: Garantia de que a informação não foi apagada, adulterada, roubada, não tenha sofrido nada que possa gerar dúvidas sobre a sua integridade.
III. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Porém existem mais dois pilares de apoio:
IV. Autenticidade: Garantia de que a informação veio da fonte que diz que a originou, de modo que seja impossível de contestar a sua autoria e originalidade.
V. Legalidade: Criação de políticas de Segurança para assegurar que todos os procedimentos relacionados à informação dentro da empresa sejam feitos de acordo com a lei.
Obvio que deve ser considerado é a segurança física e ambiental, de forma a garantir que o ambiente possua acesso restrito protegido contra desastres naturais, falhas estruturais, sabotagens, fraudes e roubos.
A criação de políticas ajuda muito, pois ensinam os procedimentos necessários para o manuseio das informações dentro e fora da empresa.
As políticas possuem:
• A hierarquia que cada funcionário pertence; e
• O que não se pode portar dentro dos departamentos. (Por exemplo, o uso de celulares em um escritório de arquitetura); e
• Nível de acesso que cada um deve possuir; e
• Classificação da informação, que depende do nível de importância que ela tem; e
• Regras.
As políticas devem estar sempre atualizadas, na medida em que as mudanças ocorrem. E todos dentro da empresa (do dono até os estagiários, seguranças a limpeza) devem conhecer essas políticas e cumprir à risca, sob pena de punição para quem desrespeitar. (NICOLAU e TADEU, 2008, p. 36)
É preciso testar para encontrar as falhas, e um grande ponto de falha dentro da empresa é o fator humano:
Infelizmente ainda não é da cultura das empresas investirem no treinamento e na conscientização dos seus funcionários, afinal eles também fazem parte da segurança da informação, mas as empresas acabam deixando de lado outro aspecto tão importante quanto à tecnologia, que é o fator humano, que por sinal é o elo mais fraco da segurança da informação. (MITNICK, 2006, p. 3)
Há somente uma maneira de combater a questão do fator humano e isso deve ser feito através de treinamentos e conscientização dos funcionários.
Empregados devem ser treinados e orientados sobre o que a informação precisa para estar protegida.
“A engenharia social, propriamente dita, está inserida como um dos desafios (se não o maior deles) mais complexos no âmbito das vulnerabilidades encontradas na gestão da segurança da informação.” (PEIXOTO, 2006, p. 36).
A falta de consciência das pessoas a respeito das técnicas de Engenharia Social e o seu excesso de autoconfiança são os principais aspectos que favorecem o sucesso da Engenharia Social. Uma empresa que realmente leva a sério a questão da segurança da informação e considera isso como uma prioridade em sua cultura corporativa passa a treinar seus funcionários assim que são admitidos, de maneira que nenhum funcionário possa receber acesso a um microcomputador antes de participar de pelo menos uma palestra básica sobre conscientização em segurança da informação.
O termo Engenharia Social é utilizado para descrever um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Engenharia Social é uma modalidade de estelionato prevista no artigo 171 do código penal brasileiro. (PEIXOTO, 2006, p. 38)
Os engenheiros sociais são pessoas cultas, de um papo agradável e que conseguem fazer com que você caia em suas armadilhas. Utilizando meios digitais, telefônicos e até pessoalmente, observam e estudam você sem que sejam percebidos. E isso não é algo novo que surgiu com a informática, há décadas esses engenheiros vêm agindo. Por aqui, normalmente conhecemos essas pessoas por “estelionatários”.
Geralmente, esses estelionatários “Engenheiros sociais” atuam de três maneiras: (ASSUNÇÃO, 2010, p.33)
- Por e-mail: O engenheiro envia um e-mail para seu alvo contendo alguma solicitação, um link para clicar, um cadastro a fazer. Pode ser pedindo um documento importante ou fingindo ser do Centro de Processamento de Dados e requerendo uma mudança de senha. Eles utilizam o logotipo da empresa, marca d’água e e-mail de origem parecendo que vem mesmo da empresa. Tudo para gerar confiança, fazendo com que a vítima envie a informação solicitada
- Pessoalmente: É o método mais arriscado, mas também o mais eficiente. O engenheiro arruma um bom terno, um relógio com aparência de caro e uma maleta com um notebook. Pode se passar por um cliente, por um funcionário ou mesmo parceiro de negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais em alguém muito bem vestido.
- Pelo telefone: O engenheiro se passa por alguém importante, finge precisar de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o sentimento das pessoas, fazendo com que elas acabem entregando o que ele deseja sem, muitas vezes, nem saberem disso.
O ataque mais usado atualmente para roubos de informação é o “Phishing”
Para falar sobre Phishing, primeiro é importante definir Engenharia Social, que são técnicas para manipulação de pessoas com intuito de obter alguma “vantagem”. Essa “vantagem” no mundo cybernético pode ser a sua senha da conta bancária, seus usuários, números de documentos, informações sobre novas aquisições, segredos industriais, estratégias de marketing, estratégias de vendas, informações de lançamentos, informações sobre o planejamento futuro, dependendo do objetivo do atacante.
O Phishing é a principal técnica utilizada na engenharia social. Esse ataque consiste em enviar mensagens via e-mails, e ou SMS para as possíveis vítimas. Geralmente o ataque chega na forma de um e-mail, dizendo que sua conta bancária precisa ser atualizada ou e-mails similares.
O nome “Phishing” é derivado do termo “fishing” que significa pescaria em inglês. O “PH” foi colocado em mensão ao ataque “phreaking” que é o hacking em telefonia.
Meios de evitar Phishing
- Ficar atento as mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links; e
- Fique atento a mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos; e
- Seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web; e
- Utilize mecanismos de segurança, como programas antimalware, firewall, filtros antiphishing; e
- Mais importante, “CONSCIENTIZAÇÃO”.
Referências
– ASSUNÇÃO, Marcos Flávio Araujo. Segredos do Hacker Ético. 3ª ed. 276 páginas. Florianópolis: Ed.Visual Books. 2010
– DVIR, Avir. Espionagem Empresarial. 1ª ed. São Paulo: Ed. Novatec, 2003.
– FERREIRA, Fernando Nicolau Freitas e ARAÚJO, Marcio Tadeu. Política de Segurança da Informação. 2ª ed. Rio de Janeiro: Ed. Ciência Moderna, 2008.
– FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. 1ª ed. Rio de Janeiro: Ed. Ciência Moderna, 2003.
– MARTINS, G. A. Estudo de caso: uma estratégia de pesquisa. 2 ed. São Paulo: Atlas, 2008.
– MITNICK, Kevin. A Arte de Enganar. 1ª ed. São Paulo: Ed: Makron Books, 2003.
– PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Ed. Brasport, 2006.
Visits: 60
