Tudo sobre o universo tecnológico sob a ótica do mestre em TIC e especialista em segurança da informação, Mário Peixoto
MÁRIO PEIXOTO
A maior complexidade em resolver os problemas de segurança inerentes às informações não está na tecnologia empregada pela empresa e sim nos funcionários que nela trabalham. Assim, parte-se do princípio de que todos são responsáveis por todos.
Ou seja, idealmente, um determinado funcionário que trabalha no setor de limpeza, por exemplo, sabendo das condutas e práticas de segurança das informações, não poderá deixar de chamar a atenção de outro funcionário que trabalha no setor de contabilidade, ao perceber alguma falha.
A conscientização é literalmente a alma do negócio. Principalmente em se tratando de informações, sejam técnicas, táticas ou estratégicas. A maneira como a informação é entendida pelos funcionários é tida como subjetiva e esta mentalidade tem que ser mudada. Deve-se pensar como um todo, independente do funcionário ou do setor onde atua.
Como então moldar essa mentalidade a ponto de se chegar a uma conscientização quase que homogênea?
Começando por exemplo com planos de divulgação interna na empresa, educando, conduzindo e habituando o funcionário a compreender a enorme importância que possui naquele contexto.
Veja na figura abaixo uma análise de atuação deste engenheiro social:
OE= a organização, a empresa
ISE = Informações sigilosas da empresa (informações internas e confidenciais da empresa)
IGD = Informações gerais disponíveis (informações disponíveis na internet, livros, revistas, jornais, ou até mesmo no lixo)
VA = a vítima ativa (funcionários da empresa)
VS = a vítima superficial (parentes e/ou amigos da vítima ativa, ex-funcionários, serviços terceirizados, concorrentes)
Analisando a figura acima (estrutura de ataque) percebemos que o engenheiro social estipula seus ataques para chegar ao foco principal, que são as informações confidenciais da empresa, passando sempre pelo elo mais fraco que é o fator humano. Ou seja, a chamada vítima ativa (VA) ou vítima superficial (VS).
Os ataques do engenheiro social ganham mais força, ou conseguem atingir seus objetivos com mais eficiência, partindo do pressuposto de que a coleta primeiramente das informações a partir do fator externo (IGD + VS) leva a deduzir que será mais bem-sucedida a chegada às informações sigilosas da empresa (ISE) como também mais convincente a persuadir a vítima ativa (VA).
A ideia é fazer IGC + VS + VA para então finalmente chegar a estas informações confidenciais.
Porém o engenheiro social poderá optar por direcionar seu ataque diretamente à vítima ativa (VA), almejando logo em seguida as informações sigilosas da empresa (ISE). Este método é considerado mais válido para o engenheiro social com maior experiência.
Outro ponto a destacar é a importância da vítima superficial (VS) neste papel. Dependendo da origem desta vítima e da qualidade das informações obtidas, o engenheiro social terá grandes possibilidades de já conseguir atingir seu objetivo.
Assim como IGD + VS podem levar as informações confidenciais da empresa, também IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistência que a própria VA pode oferecer, levando-se em conta a falta de credibilidade e confiança transmitida pelo engenheiro social (por não ter passado pela coleta de informações com a vítima superficial, VS).
Enfim, a fórmula ideal para uma maior garantia do sucesso deste ataque será sem dúvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja:
IGD + VS + VA = ISE
Percebe-se, portanto, o quão frágil e despreparado estão a maioria das organizações hoje.
Sem dúvida existem inúmeras lacunas a serem fechadas pelas empresas. Uma análise TopDow já as identifica. Um diagnóstico mais minucioso identificará não mais simples lacunas e sim extensos buracos.
Muitas empresas de pequeno, mas principalmente de médio e grande porte, levam em conta que a implementação de determinadas ações e diretrizes sejam consideradas mais uma despesa, e não um investimento – que seria muito benéfico e relevante para evitar futuros agravantes aos ativos da empresa e consequente perda de capital, comprometendo o negócio.
Contudo fica a lição de que com toda a evolução que se perpetue ainda ao longo de muitos e muitos anos, a tecnologia mais tecnológica será sempre submissa ao humano mais humanístico.
*Este conteúdo é de responsabilidade do autor e não representa, necessariamente, a opinião do Diário de Uberlândia.
