Engenharia social – Pessoas: o elo fraco da corrente

A informação sempre teve um papel importante na história da humanidade e por conta disso o desenvolvimento de mecanismos de proteção e codificação da informação existe há tempos, principalmente em momentos críticos como guerras ou no cenário competitivo do mercado capitalista.

Com a evolução tecnológica e o surgimento da sociedade da informação, esses mecanismos de codificação avançaram cada vez mais; da mesma forma, as táticas e estratégias dos decifradores da codificação também se desenvolveram.

Todavia, seja nos primórdios da sociedade, seja na atualidade, um dos elos mais fracos dos elementos que compõem a proteção à informação continua sendo o mesmo: o ser humano. Isso porque, por mais avançados que sejam os instrumentos de codificação e proteção à informação, as pessoas ainda são peças essenciais na composição dos recursos de proteção –no desenvolvimento do código ou no cuidado/manuseio das informações protegidas –, porém, são peças passíveis de serem corrompidas de inúmeras formas que nem sempre seguem uma lógica racional e previsível, daí a dificuldade de prevenir o ataque à informação por essa via.

Por conta disso, as estratégias de gestão da segurança da informação devem considerar as falhas humanas na hora de desenvolver um sistema de segurança, sendo que, entre as propriedades da proteção à informação, a confidencialidade, a integridade e a disponibilidade¹ são itens de primordial importância, já que trabalham diretamente com o comportamento e a possibilidade de acesso humano. Pautados nesses aspectos e princípios, os sistemas de proteção à informação devem criar estratégias para prevenir e proteger a informação também dos mecanismos de engenharia social.

De forma resumida, engenharia social pode ser compreendida como um conjunto de práticas e ações aplicadas na busca de informações sigilosas ou de grande importância e valor, pertencentes a uma pessoa ou a uma empresa, de maneira que essas práticas utilizam a manipulação, a persuasão e a influência sobre o comportamento humano como estratégia de ataque.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) compreende a engenharia social como:

Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações […] é considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas e importantes (CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL, 2012, p. 115).

Como se pode notar, a engenharia social² é um mecanismo adotado pelos invasores que buscam a obtenção de informações protegidas mediante desenvolvimento e aplicação de estratégias para corromper o comportamento humano.

O uso de tecnologia não é intrínseco à prática da engenharia social, mas o desenvolvimento dos meios digitais, o grande alcance e as inúmeras possibilidades de comunicação e interação trazidos com a popularização da internet permitiram que essas técnicas também pudessem se desenvolver.

Apesar da relevante importância da proteção dos indivíduos às técnicas utilizadas pelos engenheiros sociais no cotidiano, no ambiente corporativo essa proteção deve ser ainda mais estimulada, tendo em vista que as organizações trabalham não só com informações valiosas em relação a si mesmas, mas também com os dados pessoais de seus clientes ou até mesmo de outras corporações.

Com isso em mente, é de primordial pertinência que a empresa se preocupe com a engenharia social, seja através da conscientização dos funcionários, seja por meio da criação de mecanismos que dificultem a quebra dos protocolos de acesso à informação pela via humana.

Autora: Larissa Lotufo

CLIQUE E CONHEÇA O LIVRO

LEIA TAMBÉM

• LGPD aplicada: saiba tudo sobre a segunda edição
• A Inteligência Artificial pode ser inventora?
• LGPD: governança de dados, confidencialidade e terceirização

NOTAS

1 Sêmola (2006) resume a conceituação de tais elementos de forma clara e concisa: “(1) confidencialidade – acessibilidade da informação aos agentes autorizados de alteração da informação para os agentes autorizados e impedimento de altee inacessibilidade aos agentes não autorizados; (2) integridade – possibilidade ração para os agentes não autorizados; e (3) disponibilidade – acessibilidade da informação apenas aos agentes autorizados a qualquer momento”.

2 De forma mais conceitual, a engenharia social pode ser apontada como “a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação), e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos” (KONSULTEX INFORMÁTICA, 1993 apud PEIXOTO, 2004, p. 15).