0% acharam este documento útil (0 voto)

26 visualizações6 páginas

Eng Soc Intro

Enviado por

thiagocouto636

Direitos autorais

Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.

Formatos disponíveis

Baixe no formato PDF, TXT ou leia on-line no Scribd

0% acharam este documento útil (0 voto)

26 visualizações6 páginas

Eng Soc Intro

Enviado por

thiagocouto636

Direitos autorais

Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.

Formatos disponíveis

Baixe no formato PDF, TXT ou leia on-line no Scribd

Você está na página 1/ 6

1.

Introdução ao Fator Humano na Segurança da Informação

A segurança da informação é uma preocupação fundamental para todas as

organizações, independentemente do seu tamanho ou setor. Em um mundo cada vez
mais digitalizado, os ativos digitais das organizações representam um dos seus
recursos mais valiosos. Proteger esses ativos contra ameaças cibernéticas é
essencial para garantir a continuidade dos negócios e a confiança dos clientes.

Nesta introdução ao fator humano na segurança da informação, exploraremos

os fundamentos da segurança da informação e destacaremos a importância do
controle de acesso como uma medida crucial para proteger os ativos digitais das
organizações.

a. Fundamentos da Segurança da Informação

A segurança da informação refere-se à proteção dos dados contra acesso não

autorizado, uso indevido, divulgação, interrupção, modificação ou destruição. Existem
diversos princípios fundamentais que norteiam a segurança da informação, incluindo:

Confidencialidade: Garantir que apenas pessoas autorizadas tenham acesso

às informações sensíveis.

Integridade: Garantir que as informações não sejam modificadas de forma não

autorizada.

Disponibilidade: Garantir que as informações estejam disponíveis quando

necessário, sem interrupções.

Autenticidade: Garantir que a origem das informações possa ser verificada.

Não repúdio: Garantir que as ações realizadas por uma entidade não possam
ser negadas posteriormente.

Esses princípios formam a base para o desenvolvimento de estratégias e

medidas de segurança da informação em uma organização.

2. O Papel Crucial do Fator Humano na Segurança da Informação

Na complexa teia da segurança da informação, o fator humano desempenha

um papel central e muitas vezes subestimado. Enquanto tecnologias avançadas e
protocolos de segurança robustos são implementados para proteger os ativos digitais
de uma organização, é o comportamento e a conscientização dos indivíduos que
podem representar a linha de frente na defesa contra ameaças cibernéticas.
Compreender a importância desse fator humano é essencial para fortalecer as
defesas e mitigar os riscos associados aos ataques, especialmente os induzidos pela
engenharia social.

a. Importância do Fator Humano na Segurança da Informação

O fator humano é uma variável crítica na equação da segurança da informação,

pois mesmo as medidas mais avançadas tecnologicamente podem ser
comprometidas por falhas humanas. Uma política de segurança robusta e a
conscientização dos funcionários são tão vitais quanto as soluções técnicas
implementadas. Funcionários bem treinados e conscientes dos riscos são uma defesa
valiosa contra ameaças como phishing, engenharia social e ataques de malware.

Um ambiente de trabalho seguro depende não apenas da implementação de

políticas e protocolos de segurança, mas também da criação de uma cultura
organizacional que valorize a segurança da informação e promova a conscientização
sobre as melhores práticas de segurança. Os funcionários devem ser educados sobre
os riscos associados ao compartilhamento de informações confidenciais, a
importância de manter senhas seguras e a identificação de sinais de possíveis
ataques.

b. Principais Ataques Causados pela Engenharia Social

A engenharia social é uma das técnicas mais antigas e eficazes utilizadas por
cibercriminosos para obter acesso não autorizado a sistemas e informações
confidenciais. Esses ataques exploram a confiança e a ingenuidade das pessoas,
manipulando-as para realizar ações que comprometam a segurança da informação.
Abaixo estão alguns dos principais ataques causados pela engenharia social,
juntamente com exemplos ilustrativos:

1. Phishing

- Um e-mail fraudulento aparentando ser de uma instituição bancária solicita

que o destinatário clique em um link e forneça suas credenciais de login, levando-os
a um site falso que captura essas informações.

2. Vishing (phishing por telefone)

- Um fraudador liga para um funcionário de uma empresa, fingindo ser um

membro da equipe de TI, e solicita informações confidenciais, como senhas ou
códigos de acesso.

3. Tailgating (carona)

- Um indivíduo não autorizado segue um funcionário autorizado através de

uma porta de acesso restrito sem passar pela autenticação adequada.
4. Pretexting (pretexto)

- Um atacante se faz passar por um funcionário ou autoridade legítima para

obter informações confidenciais, como números de contas bancárias ou números de
previdência social, de um funcionário.

5. Spear Phishing

- Um e-mail personalizado é enviado para um funcionário de uma empresa,

contendo informações específicas sobre sua função e departamento, a fim de enganá-
lo para que compartilhe informações confidenciais ou execute ações prejudiciais.

Estes são apenas alguns exemplos dos muitos tipos de ataques que se
baseiam na engenharia social para explorar as vulnerabilidades humanas e
comprometer a segurança da informação. A conscientização e a educação dos
funcionários são elementos-chave na prevenção desses ataques e na construção de
uma cultura de segurança cibernética resiliente dentro de uma organização.

3. Engenharia Social: Importância do Controle de Acesso

O controle de acesso é uma das medidas mais importantes na proteção dos

ativos digitais de uma organização. Ele se refere à capacidade de controlar quem tem
acesso a quais recursos digitais e em que condições esse acesso é permitido. Existem
várias formas de implementar controle de acesso, incluindo:

Autenticação: Verificação da identidade de um usuário, geralmente por meio de

senhas, biometria, tokens ou certificados digitais.

Exemplos:

• Senhas: Um funcionário precisa digitar sua senha única e segura para

acessar o sistema de recursos humanos da empresa.
• Biometria: Um usuário utiliza sua impressão digital para desbloquear seu
smartphone e acessar os aplicativos.
• Tokens: Um gerente de TI utiliza um token de segurança que gera
códigos únicos a cada 30 segundos para autenticar-se no sistema de
administração de rede.
• Certificados digitais: Um usuário acessa um portal seguro usando um
certificado digital emitido pela autoridade de certificação da empresa.

Autorização: Determinação dos privilégios de acesso de um usuário após a

autenticação, garantindo que apenas as pessoas autorizadas tenham acesso a
determinados recursos.

Exemplos:

• Níveis de acesso: Um funcionário de vendas tem permissão apenas para

visualizar e editar informações de clientes, enquanto um gerente de
vendas tem permissão para criar novos registros de clientes e acessar
relatórios financeiros.
• Acesso por função: Um funcionário temporário tem acesso limitado a
certos arquivos e pastas compartilhadas, enquanto os funcionários em
tempo integral têm acesso total.
• Restrição de recursos: Um usuário em um sistema de gerenciamento de
estoque só pode visualizar e atualizar informações sobre produtos
dentro de sua categoria designada.

Auditoria de Acesso: Monitoramento e registro de todas as atividades de

acesso, permitindo a detecção de possíveis violações de segurança.

Exemplos:

• Registro de login: Todas as tentativas de login bem-sucedidas e mal-

sucedidas são registradas, incluindo o horário, o usuário e o endereço
IP.
• Monitoramento de atividades: As ações realizadas por usuários, como
download de arquivos, acesso a áreas restritas e modificações em
documentos, são registradas e monitoradas.
• Alertas de segurança: Se um usuário tenta acessar um recurso não
autorizado ou realiza uma atividade suspeita, um alerta é gerado para a
equipe de segurança da informação investigar.

Ao implementar um controle de acesso eficaz, as organizações podem reduzir

significativamente o risco de violações de segurança, garantindo que apenas usuários
autorizados tenham acesso aos seus ativos digitais.

4. Referências Bibliográficas

Whitman, M. E., & Mattord, H. J. (2016). Princípios de Segurança da Informação e

Gerenciamento de Riscos. Cengage Learning.

Stallings, W. (2017). Criptografia e Segurança de Redes: Princípios e Práticas.

Pearson.

Ross, R. S., Stoneburner, G., & Hunter, P. H. (2002). National Institute of Standards
and Technology (NIST). Especificação de Segurança da Informação e Documento de
Gerenciamento de Riscos