Recursos Humanos Como Factor de Risco na Administracao de Sistemas

...

Exemplo 4: um mal-intencionado, liga e diz ser do suporte técnico do provedor. Nesta ligação ele diz que a conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi-la. Caso o funcionário entregue sua senha, o suposto técnico poderá realizar uma infinidade de actividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais actividades ao seu nome.

Como Evitar a Engenharia Social

À medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, há mecanismos que as organizações podem implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:

Educação e Treino – Importante consciencializar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar aos usuários sobre como age um engenheiro social.

Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar as entradas e saídas de locais estratégicos dentro da organização.

Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas entre os funcionários, ou que um administrador solicite tenha acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.

Controle de Acesso – Os mecanismos de controlo de acesso tem o objectivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas actividades. O controlo de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar softwares danosos a organização.

Como dito anteriormente, para o sucesso da engenharia social, é necessário uma “vítima”, alguém que de forma intencional ou não intencional, divulga informação sensível ou confidencial e dessa forma coloca em risco o bom funcionamento da Organização pois o sucesso deste tipo de ataque depende exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

.

http://www.dgti.ufla.br/site/?p=631

https://www.microsoft.com/pt-br/security/online-privacy/phishing-scams.aspx

https://pt.wikipedia.org/wiki/Engenharia_social_(seguran%C3%A7a)

https://www.Microsoft.com/pt-br/security/resources/socialengineering-whatis.aspx