quinta-feira, 16 de julho de 2015

Pequeno ensaio sobre Gestão de Projetos!!

Pequeno ensaio sobre Gestão de Projetos!!

O início do projeto ocorre quando surge uma série de atividades a serem executadas com a finalidade de atender a um objetivo. Dessa forma, as empresas procuram estabelecer estratégias que as mantenham no mercado e que lhes permita crescer. Assim, o projeto exige esforço de pessoas visando atender os objetivos propostos e chegar a um resultado comum: a execução do projeto com êxito.
Segundo Kerzner (2010), os executivos começaram a perceber que as empresas deviam ser mais dinamizadas, ou seja, elas devem poder se reestruturar de forma mais rápida conforme as mudanças de mercado.

O gerenciamento do projeto está presente nas organizações como forma de organizar e sistematizar os processos, a fim de gerar e manter a vantagem competitiva da empresa, pois através do gerenciamento, do projeto a qual se propõe, sendo executado de forma ágil, inovadora e desafiadora mesmo sendo uma atividade temporária com começo, meio e fim programados.
Para sabermos ao certo todas as etapas que serão desenvolvidas, precisamos definir o escopo do projeto. Kerzner (2006) define escopo como sendo a soma de todas as energias necessárias que fazem parte do projeto, incluindo todos os produtos, resultados esperados e serviços executados. Assim, podemos criar um planejamento adequado, preciso, a fim de obter as informações mais relevantes do projeto a ser desenvolvido e assim, evitar incertezas que levam à oneração do projeto.
O ciclo de vida do projeto está divido em cinco etapas:
· Iniciação: estabelecer a fusão entre as empresas A e B, para assim criar um dos maiores grupos em atividade no âmbito nacional e mundial respectivamente, sem perda de postos de trabalho ou onerações à comunidade.
· Planejamento: garantir que o escopo seja efetuado em sua plenitude; analisar as empresas A e B a fim de reconhecer suas características internas para garantir a transição entre o corpo funcional da melhor forma possível; analisar as estruturas físicas para promover as adequações necessárias; garantir que a participação societária e acionistas tenham seus direitos preservados; analisar as melhores formas de penetração no mercado com a oferta de novos serviços e produtos.
· Execução: executar de forma linear os objetos planejados para incorrer junto ao CADE sanções que possam prejudicar a fusão entre as empresas, sem que haja necessidade de novos investimentos ao que fora planejado para o desenvolvimento do projeto.
· Controle: assumir responsabilidades sobre o cronograma do projeto, a fim de garantir a execução das atividades com eficiência e eficácia desejada, de forma tal onde for detectado uma anormalidade na execução, possa permitir uma ação corretiva ou preventiva no mínimo espaço de tempo possível.
· Finalização: fechamento do trabalho dentro das ações propostas e ser auditada interna e externamente.
A formação da equipe de trabalho é de vital importância e é constituída por pessoas e passos que levarão o projeto a correta execução. Segundo Menezes (2003), ao longo do desenvolvimento do projeto as pessoas envolvidas é que garantirão um corpo forte de trabalho e seu constante envolvimento para garantir o comprometimento com relação às pretensões aos resultados esperados do projeto.
A formação da equipe é um fator muito importante para o desempenho do projeto como um todo. As pessoas relacionadas para o desenvolvimento, a interação e objetivos intrínsecos ao relacionamento sustentarão a eficácia do projeto.

REFERÊNCIAS:
              MENEZES, Luís C. M. Gestão de projetos. 2ª ed. São Paulo: Atlas, 2003.
              KERZNER, H. Gestão de projetos: as melhores práticas. Porto Alegre: Bookman, 2010

Mais informações
Entendendo mais sobre Engenharia Social - Parte 2

Entendendo mais sobre Engenharia Social - Parte 2

No ambiente empresarial deve prevalecer o bom-senso quanto às questões sobre segurança da informação, onde o departamento de tecnologia da informação deve ser estruturado para procedimentos contra engenheiros sociais, prevenindo toda a corporação quanto às vulnerabilidades não somente de sistema, mas também de responsabilidade dos usuários. Desta forma, políticas de segurança bem desenvolvidas e aplicadas corretamente visam minimizar o impacto decorrente de investidas de engenheiros sociais.
A utilização de senhas seguras é um dos pontos fundamentais para a estratégia de segurança, pois identificam os usuários e concedem acesso aos sistemas de informação. Engenheiros sociais têm como um dos principais objetivos conseguirem-nas por meio do usuário, por que desta forma terá acesso às mesmas informações que outras pessoas, responsabilizando o titular pelos danos que irá causar.
Nas empresas, a política deve ser aplicada em todos os setores, para assim evitar que novos colaboradores sejam admitidos sem a devida instrução sobre a segurança interna. Setores como Recursos Humanos e Tecnologia da Informação devem trabalhar em conjunto, informando-os sobre confidencialidade de documentos, inserção em contas de e-mail empresarial e suas responsabilidades sobre os mesmos e conseqüentemente, as punições cabíveis. A cada membro desligado da empresa deve ser imediatamente encaminhado comunicado ao setor de TI para desligamento de todos os acessos a que tinha direito junto à organização, visando assim, não comprometer a estrutura implantada e mantê-la com o devido nível de segurança que o departamento almeja.
Conclui-se assim que a engenharia social não é um ataque propriamente dito, e sim, um meio-fim, no qual as técnicas aplicadas pelos indivíduos são altamente definidas e estudas, pois somente assim é que podem arquitetar a forma e meio que estarão agindo contra suas vítimas.
A engenharia social deve ser combatida por todas as pessoas que estejam direta ou indiretamente voltadas para o setor de informática, para somente assim, ser minimizada. O combate tem de ser levado aos grandes meios de comunicação (rádio, TV e principalmente Internet) para assim, com maior informação da sociedade é que esta poderá ser libertada das artimanhas armadas pelos engenheiros que por sua vez procuram outros meios para chegarem ao seu objetivo final: o roubo de informações ou prejuízo financeiro das vítimas.

Por maior que seja o valor investido em segurança, tanto patrimonial (circuitos interno de TV, monitoramentos diversos) e de informações (anti-vírus, anti-spyware, entre outros) a maior garantia de que o que hora fora planejado para que o ambiente esteja seguro é o investimento em capacitação funcional, bem como divulgação, pesquisa sobre o tema Engenharia social, ao qual convive-se diariamente com inúmeras possibilidades de ataques, seja telefônico, eletrônico ou pessoalmente ou outra forma que seja desenvolvida com o intuito de enganar, prejudicar ou ludibriar suas vítimas. Desta forma, por mais que empresas e pessoas físicas invistam em tecnologia para garantir a segurança da informação, é fundamental que os usuários participem ativamente com ações, muitas vezes simples, para garantir a integridade dos dados e garantir a segurança das informações.
Assim, para garantir a proteção dos usuários, deve-se pensar em praticamente todas as técnicas utilizadas pelos atacantes para não engrossas mais as estatísticas de intrusões no país.
Mais informações
Entendendo mais sobre Engenharia Social - Parte 1

Entendendo mais sobre Engenharia Social - Parte 1

A Engenharia Social não é um termo novo, provém de tempos antigos no qual pessoas desenvolviam técnicas para ludibriar outras e conseguir não somente informações, mas também lucros com falsas declarações.
A informação é base de conhecimento, desta forma a Engenharia Social vem sendo aprimorada com a chegada de novos recursos tecnológicos como e-mail, sites de relacionamentos, mensageiros instantâneos, entre outras possibilidades. A segurança da informação é baseada na proteção de vários tipos de ameaças para garantir a continuidade do negócio e minimizar o risco à organização e conseguir retorno sobre este investimento com novas oportunidades de negócio.
A segurança é caracterizada pela confidencialidade, integridade e disponibilidade que propõe aos dados e informações existentes, tanto em empresas quanto nas residências de milhares de pessoas no qual são o alvo mais procurado por engenheiros – o elo mais fraco da corrente.
Mas, a segurança não é absoluta, existem inúmeros riscos provenientes de meios externos ou internos. O meio exterior de qualquer sistema deve ser analisado com cuidado para não haver distorções sobre o que é realmente certo e errado, visto que a linha é tênue e obscura, pois não se sabe ao certo qual é a verdadeira intenção de uma mensagem eletrônica de pessoa desconhecida, supostamente representando papel de bondosa, amigável, que por outro lado procura somente uma brecha para efetuar o ataque e conseguir obter informações do usuário.
As inovações tecnológicas proporcionam atualmente inúmeras possibilidades de comunicação entre pessoas ou sistemas. Desta forma, a interconectividade entre empresas, processos e usuários forma um conjunto dependente de uma base: a Internet. Esta por sua vez não é detenção de nenhum órgão mundial, ou seja, é livre, todos têm acesso a sua utilização em todo o globo.
Os fraudadores (hackers) utilizam a engenharia social como meio de atacar as vítimas, pode ser de maneira individual ou combinando diversos métodos e técnicas, somente com um propósito: obter informações ou dados sigilosos das pessoas. Os métodos utilizados são normalmente simples (do ponto de vista técnico), mas bem estruturado, onde existe pesquisas, reflexões, métodos (engenharia), na qual pode se iniciar como por exemplo, uma ligação telefônica à secretária da empresa ou membro da família, a fim de recolher dados que a partir deste ponto arquitetar sua investida contra a vítima.
As investidas projetadas pelos engenheiros sociais têm a finalidade de obter vantagem sobre a vítima, na forma de algum tipo de método para captura de senha; persuasão contra as pessoas e conseguir desta as informações que precisa; espalhamento de vírus, trojans, worms ou outra espécie qualquer, com o propósito de vingança ou se auto-promover e se exibir para comunidades que tenham esta finalidade; divulgação de informação sigilosa da vítima.
Toda informação tem seu real valor para cada indivíduo, desta maneira, qualquer dado perdido, simples ou complexo e cada local conhece a sua importância e o meio que está sendo divulgada.

Uma das características encontradas pelo engenheiro é o vasculhar o lixo de organizações ou regiões que possuam pessoas com grandes posses e influência social, com o propósito de “colher” alguma informação que seja relevante para o início da investida contra este ou aquele organismo. O fator humano é sempre questionado, pois de uma forma ou de outra, o elo da corrente mais fraco é a pessoa, de forma que nenhum sistema de segurança é planamente seguro, caso haja insegurança no ambiente interno das empresas.
Mais informações

segunda-feira, 29 de junho de 2015

Técnicas da Engenharia Social como forma de enganar sua vítima

Técnicas da Engenharia Social como forma de enganar sua vítima

A engenharia social não é o final do ataque para conseguir seu objetivo, mas sim uma porta de entrada segura para os seus propósitos. É o termo utilizado para a obtenção de informações importantes de uma empresa ou de um usuário. Tais informações são obtidas pela grande ingenuidade das pessoas ou confiança depositada em conhecidos ou que se dizem conhecidos de outras pessoas. Os ataques de engenharia social podem ser utilizando-se de telefonemas (estelionatários e detentos em presídios, por exemplo), envio de e-mail falso (propagandas de banco, órgãos públicos, etc.), salas de bate-papo e, até mesmo pessoalmente, passando-se por outra pessoa (funcionário de empresa de energia que deseja entrar na residência sem o chamado técnico).
Um dos ataques usados pelo engenheiro social é utilizar a Internet para contaminar ou retirar informações das vítimas. Deste modo, o atacante acredita ter encontrando um meio de penetrar na sua rede ou invadir seus acessos pessoais, como conta bancária, listas de contatos, entre outros.
São vários os meios utilizados pelos engenheiros sociais em busca das informações. Através destes ataques principalmente pela Internet.
Os fraudadores que utilizam a engenharia social como meios de atacar vítimas, tanto de maneira individual ou combinando métodos de ataques levam à obtenção de informações ou ferramentas que ajudam a invadir sistemas e até mesmo contas pessoais das vítimas para concretizar suas intenções de danificar, fraudar e até mesmo roubar.
Usando e-mail como forma de atrair as vítimas oferecendo algo de importância, forçando um acesso a link dentro do e-mail para instalar algum tipo de vírus que roubam informações para servir de acesso, liberando uma porta de entrada para os fraudadores.
Várias técnicas podem ser utilizadas por engenheiros sociais para buscar informações na qual auxilia na elaboração dos ataques às empresas e até mesmo à vítima em particular.
Os objetivos desses ataques são a invasão em redes de empresas para colher informações confidenciais para a prática da espionagem comercial e industrial e até mesmo a invasão da privacidade das pessoas, a fim de obter informação da intimidade da vítima ou números de contas bancárias e senhas para roubos de dados ou saques diretos passando-se pelo titular da conta.
Existem muitos vírus que são espalhados pela Internet em falsos e-mails. Os criadores usam técnicas para despertar a curiosidade dos usuários para que fiquem tentados a abrir os anexos contidos. Procuram afetar o lado emotivo das pessoas usando temas que abordam sexo, amor, apelos à amizade como, por exemplo, cartões virtuais.
O despertar da curiosidade faz com que vírus, trojans, entre outros sejam executados. Nesse momento acontece o ataque propriamente dito.  Existem vírus que são conhecidos como worms (vermes) que se proliferam através de e-mails roubando a lista de contatos do usuário e espalhando-se por toda a rede, esse e-mail é remetido a todos os usuários da lista usando o nome do remetente e assim que seja executado fará o mesmo se espalhando infinitamente em várias máquinas como se fossem realmente vermes que contaminam facilmente todos que entram em contato.

Os engenheiros sociais procuram se aproximar das pessoas que são alvos, tornando-se amigos e merecedores de total confiança dos mesmos para que possam, assim, retirar o máximo de informação que necessitem. Esse método é muito utilizado, pois agem em área bastante vulnerável: as pessoas. São indivíduos que, às vezes, não tem a devida noção sobre o quanto é importante as informações da empresa, e até mesmo pessoal. 
Mais informações
O que sabemos sobre o conceito de informação?

O que sabemos sobre o conceito de informação?

O conceito de informação é muito vasto e sem a necessidade de ser precisa, pois encontra-se em eterna mutação. Desta forma são efetuadas inúmeras mudanças com o passar do tempo e isso as tornam fonte de pesquisa para que sejam modificadas e assim, continuar o ciclo do movimento do conhecimento.
A informação existe em diversas formas: escrita, falada, armazenamento eletrônico, transmitida via correio ou por meios eletrônicos, ou seja, são meios de enviar informações a outras pessoas, bem como diferentes formas de apresentá-las, por isso, a proteção adequada é altamente recomendada.
A informação pode ser traduzida como tudo que diminui a incerteza de alguma compreensão do mundo e qualquer ação que sobre ele age. Informação pode ser identificada como um conjunto de dados e regras na qual se deve seguir para se obter um denominado “valor informacional”, ou seja, o resultado adequado de um processo e procedimento para se obter uma base sólida de conhecimento.
Pode-se dizer que a informação é a necessidade de sempre buscar novas tecnologias, novos argumentos, novos conhecimentos e assim, outras possibilidades de observar o dia-a-dia e transformá-lo em algo concreto.
A necessidade de preservar os dados tornou-se crescente e indispensável, tanto para organizações, como para as pessoas, pois atualmente o principal ativo de governos, indústrias, comércios e indivíduos são as informações. Estas não podem ser comparadas às linhas de produção. Desta forma, é importante que todos os envolvidos no processo de criação, organização, manipulação e guarda destes dados sejam capacitados a conscientizar outras pessoas, com a finalidade de que as informações têm valor fundamental para os organismos públicos, particulares e individuais e desta forma, devem ser protegidos contra agentes externos, bem como internos.
A manipulação das informações bem como a sua organização representa o conhecimento gerado a partir de dados obtidos com o passar dos tempos e desta forma, pode-se continuar a obter mais a partir de um primeiro fato que é traduzido em informação. Então pode-se analisar a informação como um ativo, um objeto que possui valor, sendo esse, atualmente, essencialmente importante para os negócios de uma organização e consequentemente necessita ser protegida de forma eficaz e condizente com o nível que esta informação traz e também, qual a importância dessa informação no ambiente do negócios, onde cada vez estão mais interconectados e dependentes de sistemas de informação mais robustos e adequados à necessidade dos usuários.
Os documentos gerados por uma pessoa ou organização empresarial devem ser exibidos de maneira clara e com graus de acessibilidade, ou seja, o sigilo, na qual identifica e classifica todas as informações segundo o grau de importância e âmbito de acesso. Pode-se classificar como: Confidenciais – só podem ser acessadas e disseminadas para colaboradores com alto nível de privilégio; Corporativas – informações que refere-se ao âmbito da empresa, não podendo ser divulgado à sociedade sem a devida instrução adequada; e Públicas – toda informação que pode ser divulgada ao público em geral, sem a necessidade de privação de conteúdo.
Dessa forma, as informações são resultados de classificação por parte de indivíduos e organizações conforme a sua visão. Assim, para alguns pode ter alto grau de integridade, disponibilidade e confidencialidade, enquanto que para outros possa haver menor grau de intensidade.
Como toda informação é criada para o uso das pessoas, seja em qualquer forma: escrita, falada, televisiva ou digital e exige-se a devida proteção para que não seja instrumento de caos social ou digital.
Mais informações
O torna e Engenharia Social perigosa?

O torna e Engenharia Social perigosa?

O mundo atualmente vive a era da informação, cercado de pessoas, todos conectados e em pontos equidistantes, não se conhece as faces das outras pessoas na qual se comunicam. Em detrimento disto, há indivíduos na qual não se adaptam totalmente à vida em sociedade e, por isso, vivem em ambiente próprio, o chamado “mundo virtual”, onde buscam realizações pessoais quais sejam, ora para pesquisar ou para gerar transtornos às outras pessoas espalhadas neste ambiente globalizado interconectado.
A tecnologia surgiu para otimizar os processos dos trabalhadores, e com isso, alguns setores esquecem-se do seu bem mais precioso, as pessoas. Estas organizações na questão da informatização e mecanização de procedimentos deixou-os desinformados acerca sobre o ponto de vista segurança da informação. Pois, onde há falta de informação na área de Tecnologia da Informação (TI), Haverá falhas quanto às políticas adotadas pelas empresas.
O ser humano naturalmente é deixado em segundo plano quando retrata segurança de informações. Deixam-no somente com as funções de obedecer e seguir regras impostas por políticas adotadas em detrimento da confidencialidade, integridade e disponibilidade dos dados na qual a empresa possui. Desta forma, a imperfeição humana, devido à confiabilidade em outros, faz com que a estrutura organizacional montada para assegurar a integridade dos dados seja discutível, quanto ao ponto de vista da engenharia social.
Esta por sua vez não é um meio novo de ataques tanto contra empresas quanto indivíduos, e desta forma utiliza-se do fator humano para conseguir chegar ao seu objetivo final: a aquisição de informação utilizando-se dos próprios usuários dos sistemas. A segurança não deve ser tratada somente no ambiente de trabalho, tendo o alvo principal a integridade das informações, mas também como prevenir as pessoas para que não sejam enganadas por técnicas difíceis de serem prevenidas no dia-a-dia.
A engenharia social é um dos meios de ataques, virtuais ou não, na qual fazem com que o usuário seja enganado para a quebra da segurança da informação. É um perigo eminente, as quais organizações e usuários domésticos devem estar prevenidos contra este tipo de ameaça.
O patrimônio de uma empresa não consiste somente em bens capitais, mas também, em informações, no qual este trabalho visa enfatizar e também sobre os aspectos da segurança pessoal acerca das próprias informações contidas em computadores presentes na empresa ou em seu ambiente familiar e como as pessoas estão informadas sobre o assunto Segurança da Informação e Engenharia Social.
Com base nisso propõe-se não somente as empresas, mas também aos usuários domésticos o interesse em avaliar a segurança da informação no que diz respeito a engenharia social, onde a metodologia e dados levantados neste trabalho sejam utilizados como base para implantação de controles efetivos e aumento de conscientização daqueles que utilizam os sistemas informáticos, para assim, minimizar as falhas no acesso à informação, aumentando a segurança nas pessoas para torná-los “agentes” da segurança da informação, cumprindo seu papel e obrigações em deixar o ambiente seguro.
Desta forma, de nada adianta executar políticas de segurança, implementar firewalls, IDS (Sistema de Detecção de Intrusão), sistemas de biometria, ou qualquer outro modo de prevenção, pois demonstrará ser ineficaz contra a engenharia social, visto que o ataque é ocorrido de dentro para fora da empresa, ou seja, não enfrentando as técnicas de defesa existentes.
Mais informações
Página inicial

quinta-feira, 16 de julho de 2015

Pequeno ensaio sobre Gestão de Projetos!!

O início do projeto ocorre quando surge uma série de atividades a serem executadas com a finalidade de atender a um objetivo. Dessa forma, as empresas procuram estabelecer estratégias que as mantenham no mercado e que lhes permita crescer. Assim, o projeto exige esforço de pessoas visando atender os objetivos propostos e chegar a um resultado comum: a execução do projeto com êxito.
Segundo Kerzner (2010), os executivos começaram a perceber que as empresas deviam ser mais dinamizadas, ou seja, elas devem poder se reestruturar de forma mais rápida conforme as mudanças de mercado.

O gerenciamento do projeto está presente nas organizações como forma de organizar e sistematizar os processos, a fim de gerar e manter a vantagem competitiva da empresa, pois através do gerenciamento, do projeto a qual se propõe, sendo executado de forma ágil, inovadora e desafiadora mesmo sendo uma atividade temporária com começo, meio e fim programados.
Para sabermos ao certo todas as etapas que serão desenvolvidas, precisamos definir o escopo do projeto. Kerzner (2006) define escopo como sendo a soma de todas as energias necessárias que fazem parte do projeto, incluindo todos os produtos, resultados esperados e serviços executados. Assim, podemos criar um planejamento adequado, preciso, a fim de obter as informações mais relevantes do projeto a ser desenvolvido e assim, evitar incertezas que levam à oneração do projeto.
O ciclo de vida do projeto está divido em cinco etapas:
· Iniciação: estabelecer a fusão entre as empresas A e B, para assim criar um dos maiores grupos em atividade no âmbito nacional e mundial respectivamente, sem perda de postos de trabalho ou onerações à comunidade.
· Planejamento: garantir que o escopo seja efetuado em sua plenitude; analisar as empresas A e B a fim de reconhecer suas características internas para garantir a transição entre o corpo funcional da melhor forma possível; analisar as estruturas físicas para promover as adequações necessárias; garantir que a participação societária e acionistas tenham seus direitos preservados; analisar as melhores formas de penetração no mercado com a oferta de novos serviços e produtos.
· Execução: executar de forma linear os objetos planejados para incorrer junto ao CADE sanções que possam prejudicar a fusão entre as empresas, sem que haja necessidade de novos investimentos ao que fora planejado para o desenvolvimento do projeto.
· Controle: assumir responsabilidades sobre o cronograma do projeto, a fim de garantir a execução das atividades com eficiência e eficácia desejada, de forma tal onde for detectado uma anormalidade na execução, possa permitir uma ação corretiva ou preventiva no mínimo espaço de tempo possível.
· Finalização: fechamento do trabalho dentro das ações propostas e ser auditada interna e externamente.
A formação da equipe de trabalho é de vital importância e é constituída por pessoas e passos que levarão o projeto a correta execução. Segundo Menezes (2003), ao longo do desenvolvimento do projeto as pessoas envolvidas é que garantirão um corpo forte de trabalho e seu constante envolvimento para garantir o comprometimento com relação às pretensões aos resultados esperados do projeto.
A formação da equipe é um fator muito importante para o desempenho do projeto como um todo. As pessoas relacionadas para o desenvolvimento, a interação e objetivos intrínsecos ao relacionamento sustentarão a eficácia do projeto.

REFERÊNCIAS:
              MENEZES, Luís C. M. Gestão de projetos. 2ª ed. São Paulo: Atlas, 2003.
              KERZNER, H. Gestão de projetos: as melhores práticas. Porto Alegre: Bookman, 2010

Entendendo mais sobre Engenharia Social - Parte 2

No ambiente empresarial deve prevalecer o bom-senso quanto às questões sobre segurança da informação, onde o departamento de tecnologia da informação deve ser estruturado para procedimentos contra engenheiros sociais, prevenindo toda a corporação quanto às vulnerabilidades não somente de sistema, mas também de responsabilidade dos usuários. Desta forma, políticas de segurança bem desenvolvidas e aplicadas corretamente visam minimizar o impacto decorrente de investidas de engenheiros sociais.
A utilização de senhas seguras é um dos pontos fundamentais para a estratégia de segurança, pois identificam os usuários e concedem acesso aos sistemas de informação. Engenheiros sociais têm como um dos principais objetivos conseguirem-nas por meio do usuário, por que desta forma terá acesso às mesmas informações que outras pessoas, responsabilizando o titular pelos danos que irá causar.
Nas empresas, a política deve ser aplicada em todos os setores, para assim evitar que novos colaboradores sejam admitidos sem a devida instrução sobre a segurança interna. Setores como Recursos Humanos e Tecnologia da Informação devem trabalhar em conjunto, informando-os sobre confidencialidade de documentos, inserção em contas de e-mail empresarial e suas responsabilidades sobre os mesmos e conseqüentemente, as punições cabíveis. A cada membro desligado da empresa deve ser imediatamente encaminhado comunicado ao setor de TI para desligamento de todos os acessos a que tinha direito junto à organização, visando assim, não comprometer a estrutura implantada e mantê-la com o devido nível de segurança que o departamento almeja.
Conclui-se assim que a engenharia social não é um ataque propriamente dito, e sim, um meio-fim, no qual as técnicas aplicadas pelos indivíduos são altamente definidas e estudas, pois somente assim é que podem arquitetar a forma e meio que estarão agindo contra suas vítimas.
A engenharia social deve ser combatida por todas as pessoas que estejam direta ou indiretamente voltadas para o setor de informática, para somente assim, ser minimizada. O combate tem de ser levado aos grandes meios de comunicação (rádio, TV e principalmente Internet) para assim, com maior informação da sociedade é que esta poderá ser libertada das artimanhas armadas pelos engenheiros que por sua vez procuram outros meios para chegarem ao seu objetivo final: o roubo de informações ou prejuízo financeiro das vítimas.

Por maior que seja o valor investido em segurança, tanto patrimonial (circuitos interno de TV, monitoramentos diversos) e de informações (anti-vírus, anti-spyware, entre outros) a maior garantia de que o que hora fora planejado para que o ambiente esteja seguro é o investimento em capacitação funcional, bem como divulgação, pesquisa sobre o tema Engenharia social, ao qual convive-se diariamente com inúmeras possibilidades de ataques, seja telefônico, eletrônico ou pessoalmente ou outra forma que seja desenvolvida com o intuito de enganar, prejudicar ou ludibriar suas vítimas. Desta forma, por mais que empresas e pessoas físicas invistam em tecnologia para garantir a segurança da informação, é fundamental que os usuários participem ativamente com ações, muitas vezes simples, para garantir a integridade dos dados e garantir a segurança das informações.
Assim, para garantir a proteção dos usuários, deve-se pensar em praticamente todas as técnicas utilizadas pelos atacantes para não engrossas mais as estatísticas de intrusões no país.

Entendendo mais sobre Engenharia Social - Parte 1

A Engenharia Social não é um termo novo, provém de tempos antigos no qual pessoas desenvolviam técnicas para ludibriar outras e conseguir não somente informações, mas também lucros com falsas declarações.
A informação é base de conhecimento, desta forma a Engenharia Social vem sendo aprimorada com a chegada de novos recursos tecnológicos como e-mail, sites de relacionamentos, mensageiros instantâneos, entre outras possibilidades. A segurança da informação é baseada na proteção de vários tipos de ameaças para garantir a continuidade do negócio e minimizar o risco à organização e conseguir retorno sobre este investimento com novas oportunidades de negócio.
A segurança é caracterizada pela confidencialidade, integridade e disponibilidade que propõe aos dados e informações existentes, tanto em empresas quanto nas residências de milhares de pessoas no qual são o alvo mais procurado por engenheiros – o elo mais fraco da corrente.
Mas, a segurança não é absoluta, existem inúmeros riscos provenientes de meios externos ou internos. O meio exterior de qualquer sistema deve ser analisado com cuidado para não haver distorções sobre o que é realmente certo e errado, visto que a linha é tênue e obscura, pois não se sabe ao certo qual é a verdadeira intenção de uma mensagem eletrônica de pessoa desconhecida, supostamente representando papel de bondosa, amigável, que por outro lado procura somente uma brecha para efetuar o ataque e conseguir obter informações do usuário.
As inovações tecnológicas proporcionam atualmente inúmeras possibilidades de comunicação entre pessoas ou sistemas. Desta forma, a interconectividade entre empresas, processos e usuários forma um conjunto dependente de uma base: a Internet. Esta por sua vez não é detenção de nenhum órgão mundial, ou seja, é livre, todos têm acesso a sua utilização em todo o globo.
Os fraudadores (hackers) utilizam a engenharia social como meio de atacar as vítimas, pode ser de maneira individual ou combinando diversos métodos e técnicas, somente com um propósito: obter informações ou dados sigilosos das pessoas. Os métodos utilizados são normalmente simples (do ponto de vista técnico), mas bem estruturado, onde existe pesquisas, reflexões, métodos (engenharia), na qual pode se iniciar como por exemplo, uma ligação telefônica à secretária da empresa ou membro da família, a fim de recolher dados que a partir deste ponto arquitetar sua investida contra a vítima.
As investidas projetadas pelos engenheiros sociais têm a finalidade de obter vantagem sobre a vítima, na forma de algum tipo de método para captura de senha; persuasão contra as pessoas e conseguir desta as informações que precisa; espalhamento de vírus, trojans, worms ou outra espécie qualquer, com o propósito de vingança ou se auto-promover e se exibir para comunidades que tenham esta finalidade; divulgação de informação sigilosa da vítima.
Toda informação tem seu real valor para cada indivíduo, desta maneira, qualquer dado perdido, simples ou complexo e cada local conhece a sua importância e o meio que está sendo divulgada.

Uma das características encontradas pelo engenheiro é o vasculhar o lixo de organizações ou regiões que possuam pessoas com grandes posses e influência social, com o propósito de “colher” alguma informação que seja relevante para o início da investida contra este ou aquele organismo. O fator humano é sempre questionado, pois de uma forma ou de outra, o elo da corrente mais fraco é a pessoa, de forma que nenhum sistema de segurança é planamente seguro, caso haja insegurança no ambiente interno das empresas.

segunda-feira, 29 de junho de 2015

Técnicas da Engenharia Social como forma de enganar sua vítima

A engenharia social não é o final do ataque para conseguir seu objetivo, mas sim uma porta de entrada segura para os seus propósitos. É o termo utilizado para a obtenção de informações importantes de uma empresa ou de um usuário. Tais informações são obtidas pela grande ingenuidade das pessoas ou confiança depositada em conhecidos ou que se dizem conhecidos de outras pessoas. Os ataques de engenharia social podem ser utilizando-se de telefonemas (estelionatários e detentos em presídios, por exemplo), envio de e-mail falso (propagandas de banco, órgãos públicos, etc.), salas de bate-papo e, até mesmo pessoalmente, passando-se por outra pessoa (funcionário de empresa de energia que deseja entrar na residência sem o chamado técnico).
Um dos ataques usados pelo engenheiro social é utilizar a Internet para contaminar ou retirar informações das vítimas. Deste modo, o atacante acredita ter encontrando um meio de penetrar na sua rede ou invadir seus acessos pessoais, como conta bancária, listas de contatos, entre outros.
São vários os meios utilizados pelos engenheiros sociais em busca das informações. Através destes ataques principalmente pela Internet.
Os fraudadores que utilizam a engenharia social como meios de atacar vítimas, tanto de maneira individual ou combinando métodos de ataques levam à obtenção de informações ou ferramentas que ajudam a invadir sistemas e até mesmo contas pessoais das vítimas para concretizar suas intenções de danificar, fraudar e até mesmo roubar.
Usando e-mail como forma de atrair as vítimas oferecendo algo de importância, forçando um acesso a link dentro do e-mail para instalar algum tipo de vírus que roubam informações para servir de acesso, liberando uma porta de entrada para os fraudadores.
Várias técnicas podem ser utilizadas por engenheiros sociais para buscar informações na qual auxilia na elaboração dos ataques às empresas e até mesmo à vítima em particular.
Os objetivos desses ataques são a invasão em redes de empresas para colher informações confidenciais para a prática da espionagem comercial e industrial e até mesmo a invasão da privacidade das pessoas, a fim de obter informação da intimidade da vítima ou números de contas bancárias e senhas para roubos de dados ou saques diretos passando-se pelo titular da conta.
Existem muitos vírus que são espalhados pela Internet em falsos e-mails. Os criadores usam técnicas para despertar a curiosidade dos usuários para que fiquem tentados a abrir os anexos contidos. Procuram afetar o lado emotivo das pessoas usando temas que abordam sexo, amor, apelos à amizade como, por exemplo, cartões virtuais.
O despertar da curiosidade faz com que vírus, trojans, entre outros sejam executados. Nesse momento acontece o ataque propriamente dito.  Existem vírus que são conhecidos como worms (vermes) que se proliferam através de e-mails roubando a lista de contatos do usuário e espalhando-se por toda a rede, esse e-mail é remetido a todos os usuários da lista usando o nome do remetente e assim que seja executado fará o mesmo se espalhando infinitamente em várias máquinas como se fossem realmente vermes que contaminam facilmente todos que entram em contato.

Os engenheiros sociais procuram se aproximar das pessoas que são alvos, tornando-se amigos e merecedores de total confiança dos mesmos para que possam, assim, retirar o máximo de informação que necessitem. Esse método é muito utilizado, pois agem em área bastante vulnerável: as pessoas. São indivíduos que, às vezes, não tem a devida noção sobre o quanto é importante as informações da empresa, e até mesmo pessoal. 

O que sabemos sobre o conceito de informação?

O conceito de informação é muito vasto e sem a necessidade de ser precisa, pois encontra-se em eterna mutação. Desta forma são efetuadas inúmeras mudanças com o passar do tempo e isso as tornam fonte de pesquisa para que sejam modificadas e assim, continuar o ciclo do movimento do conhecimento.
A informação existe em diversas formas: escrita, falada, armazenamento eletrônico, transmitida via correio ou por meios eletrônicos, ou seja, são meios de enviar informações a outras pessoas, bem como diferentes formas de apresentá-las, por isso, a proteção adequada é altamente recomendada.
A informação pode ser traduzida como tudo que diminui a incerteza de alguma compreensão do mundo e qualquer ação que sobre ele age. Informação pode ser identificada como um conjunto de dados e regras na qual se deve seguir para se obter um denominado “valor informacional”, ou seja, o resultado adequado de um processo e procedimento para se obter uma base sólida de conhecimento.
Pode-se dizer que a informação é a necessidade de sempre buscar novas tecnologias, novos argumentos, novos conhecimentos e assim, outras possibilidades de observar o dia-a-dia e transformá-lo em algo concreto.
A necessidade de preservar os dados tornou-se crescente e indispensável, tanto para organizações, como para as pessoas, pois atualmente o principal ativo de governos, indústrias, comércios e indivíduos são as informações. Estas não podem ser comparadas às linhas de produção. Desta forma, é importante que todos os envolvidos no processo de criação, organização, manipulação e guarda destes dados sejam capacitados a conscientizar outras pessoas, com a finalidade de que as informações têm valor fundamental para os organismos públicos, particulares e individuais e desta forma, devem ser protegidos contra agentes externos, bem como internos.
A manipulação das informações bem como a sua organização representa o conhecimento gerado a partir de dados obtidos com o passar dos tempos e desta forma, pode-se continuar a obter mais a partir de um primeiro fato que é traduzido em informação. Então pode-se analisar a informação como um ativo, um objeto que possui valor, sendo esse, atualmente, essencialmente importante para os negócios de uma organização e consequentemente necessita ser protegida de forma eficaz e condizente com o nível que esta informação traz e também, qual a importância dessa informação no ambiente do negócios, onde cada vez estão mais interconectados e dependentes de sistemas de informação mais robustos e adequados à necessidade dos usuários.
Os documentos gerados por uma pessoa ou organização empresarial devem ser exibidos de maneira clara e com graus de acessibilidade, ou seja, o sigilo, na qual identifica e classifica todas as informações segundo o grau de importância e âmbito de acesso. Pode-se classificar como: Confidenciais – só podem ser acessadas e disseminadas para colaboradores com alto nível de privilégio; Corporativas – informações que refere-se ao âmbito da empresa, não podendo ser divulgado à sociedade sem a devida instrução adequada; e Públicas – toda informação que pode ser divulgada ao público em geral, sem a necessidade de privação de conteúdo.
Dessa forma, as informações são resultados de classificação por parte de indivíduos e organizações conforme a sua visão. Assim, para alguns pode ter alto grau de integridade, disponibilidade e confidencialidade, enquanto que para outros possa haver menor grau de intensidade.
Como toda informação é criada para o uso das pessoas, seja em qualquer forma: escrita, falada, televisiva ou digital e exige-se a devida proteção para que não seja instrumento de caos social ou digital.

O torna e Engenharia Social perigosa?

O mundo atualmente vive a era da informação, cercado de pessoas, todos conectados e em pontos equidistantes, não se conhece as faces das outras pessoas na qual se comunicam. Em detrimento disto, há indivíduos na qual não se adaptam totalmente à vida em sociedade e, por isso, vivem em ambiente próprio, o chamado “mundo virtual”, onde buscam realizações pessoais quais sejam, ora para pesquisar ou para gerar transtornos às outras pessoas espalhadas neste ambiente globalizado interconectado.
A tecnologia surgiu para otimizar os processos dos trabalhadores, e com isso, alguns setores esquecem-se do seu bem mais precioso, as pessoas. Estas organizações na questão da informatização e mecanização de procedimentos deixou-os desinformados acerca sobre o ponto de vista segurança da informação. Pois, onde há falta de informação na área de Tecnologia da Informação (TI), Haverá falhas quanto às políticas adotadas pelas empresas.
O ser humano naturalmente é deixado em segundo plano quando retrata segurança de informações. Deixam-no somente com as funções de obedecer e seguir regras impostas por políticas adotadas em detrimento da confidencialidade, integridade e disponibilidade dos dados na qual a empresa possui. Desta forma, a imperfeição humana, devido à confiabilidade em outros, faz com que a estrutura organizacional montada para assegurar a integridade dos dados seja discutível, quanto ao ponto de vista da engenharia social.
Esta por sua vez não é um meio novo de ataques tanto contra empresas quanto indivíduos, e desta forma utiliza-se do fator humano para conseguir chegar ao seu objetivo final: a aquisição de informação utilizando-se dos próprios usuários dos sistemas. A segurança não deve ser tratada somente no ambiente de trabalho, tendo o alvo principal a integridade das informações, mas também como prevenir as pessoas para que não sejam enganadas por técnicas difíceis de serem prevenidas no dia-a-dia.
A engenharia social é um dos meios de ataques, virtuais ou não, na qual fazem com que o usuário seja enganado para a quebra da segurança da informação. É um perigo eminente, as quais organizações e usuários domésticos devem estar prevenidos contra este tipo de ameaça.
O patrimônio de uma empresa não consiste somente em bens capitais, mas também, em informações, no qual este trabalho visa enfatizar e também sobre os aspectos da segurança pessoal acerca das próprias informações contidas em computadores presentes na empresa ou em seu ambiente familiar e como as pessoas estão informadas sobre o assunto Segurança da Informação e Engenharia Social.
Com base nisso propõe-se não somente as empresas, mas também aos usuários domésticos o interesse em avaliar a segurança da informação no que diz respeito a engenharia social, onde a metodologia e dados levantados neste trabalho sejam utilizados como base para implantação de controles efetivos e aumento de conscientização daqueles que utilizam os sistemas informáticos, para assim, minimizar as falhas no acesso à informação, aumentando a segurança nas pessoas para torná-los “agentes” da segurança da informação, cumprindo seu papel e obrigações em deixar o ambiente seguro.
Desta forma, de nada adianta executar políticas de segurança, implementar firewalls, IDS (Sistema de Detecção de Intrusão), sistemas de biometria, ou qualquer outro modo de prevenção, pois demonstrará ser ineficaz contra a engenharia social, visto que o ataque é ocorrido de dentro para fora da empresa, ou seja, não enfrentando as técnicas de defesa existentes.