No artigo anterior procurei abordar sobre o que é Engenharia Social e suas formas de ataques, tentei escrever de forma que todos pudessem extrair algo acerca do assunto, neste artigo pretendo mostrar formas de se prevenir e evitar a Engenharia Social. Especialistas afirmam que à medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das organizações. Entretanto, embora as situações apresentadas no artigo anterior sejam um tanto indesejáveis e até certo ponto preocupantes, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:
1- Orientação e Conscientização; Importante orientar e conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre a forma de agir de um engenheiro social é fundamental.
2- Crie uma política de senha; Fazer uso de uma política de senha “forte” com caracteres especiais e números, além de letras em maiscúlos e minúsculos, com a troca periódica da mesma e não deixando os famosos “bilhetinhos” com a senha colada no monitor, ajuda muito.
3- Quanto ao telefone; Não forneça informação alguma sem que se tenha certeza de estar falando com o órgão ou empresa desejada, eu particularmente não trato de informações pessoais ou bancárias por telefone, prefiro perder um tempinho e fazer isso direto na agência ou órgão responsável e em caso de tentativa de extorsão entre em contato com 190 ou peça ajuda em uma Delegacia de Polícia imediatamente.
4- Segurança Física; Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização, porém com a devida competência para tal.
5- Política de Segurança; Estabelecer procedimentos que definam normas quanto ao uso dos recursos de TI da empresa como, internet, email, sistemas, entre outros, delimitando assim a área de atuação de cada usuário e tornando os recursos de TI da empresa exclusivo ao uso profissional (esta é uma tarefa e tanto) estimular o uso de senhas de difícil descoberta como citado acima, além de remover contas de usuários que deixaram a instituição.
6- Controle de Acesso; Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos à organização, a Auditoria é uma ferramenta que muito ajuda nestes casos.
Estas são algumas medidas de proteção, percebam que falar de Segurança não se trata de uma “receita de bolo”, em meus 10 anos de Polícia onde também atuei em Segurança da Informação, aprendi a diferença entre Segurança Efetiva e Sensação de Segurança, agora temos que escolher qual delas queremos para nós e nossas organizações, porém o que difere uma da outra muitas vezes é o investimento que será feito sobre todos os aspectos, a maioria das empresas acredita que a solução, unicamente técnica garantem a segurança dos sistemas, embora eu concorde que a solução técnica seja necessária, ela por si só não é suficiente. É preciso também considerar o componente humano de um sistema de segurança da informação a fim de minimizar a vulnerabilidade de sistemas. Para este artigo contei com ajuda de um grande amigo Andrei de Oliveira, além de consultar materiais de outros especialistas a quem estendo meus agradecimentos.
Certificado Microsoft e com experiência de mais de 14 anos na área de TI como Consultor de Infraestrutura, atuando em Projetos que envolvem Tecnologia Microsoft (Windows Server NT, 2000, 2003, 2008 e 2012, Exchange e Hyper-v). Meu Perfil no Linkedin: Linkedin , Meu Perfil no Microsoft TechNet: Microsoft TechNet e Siga-me no Twitter @alexsilva2012
You must be logged in to post a comment.
9:59:36 am
Alex,
Se os usuários se conscientizassem de forma a evitar punições e controles de acesso rígidos facilitaria tanto o nosso trabalho… Suas dicas realmente são relevantes quanto à Segurança das informações que trafegam pelas redes corporativas.
Obrigada pelo artigo! Abs.
1:19:42 pm
Olá Daliane,
Agradeço por suas palvaras e concordo plenamente com você no que diz respeito a conscientização dos usuários, eles precisam saber que são uma parte importante na prevenção e segurança das informações.
Abraços
10:20:39 am
Muito bom artigo! Acredito que hoje vivemos uma fase da história em que a tecnologia se faz mais presente a cada dia.
A engenharia social explora brechas onde a falha humana permanece, não adianta investimento maciço em segurança técnologica se ainda houver vulnerabilidade no fator humano. A inserção de conhecimento para que as pessoas possam se defender e lidar com uso indevido da engenharia social é um item muito importante para que não criemos uma população desinformada e exposta a esse tipo de perigo!
1:22:28 pm
Olá Uzzum,
Muito obrigado por seu comentário.
Realmente a engenharia social tende a ser uma preocupação ainda maior no que diz respeito a segurança da informação.
Abraços