Segurança da informação, engenharia social: principais ataques ás organizações e o elo mais fraco da segurança

Abstract

O crescente aumento do uso de dispositivos na área de Tecnologia da Informação – TI – e do uso da Internet, bem como a utilização cada vez maior de sistemas de informação desenvolvidos para web, fez com que a Segurança da Informação- SI - seja um aspecto importante para organizações de maneira geral. A SI tem como principal objetivo preservar um dos ativos mais importantes das organizações, que é a informação, visando a continuidade de negócios de instituições, entre outros objetivos. As ameaças à informação englobam aspectos de desastres naturais, hardware, software, instalações físicas, falhas humanas e ataques feitos por indivíduos como crackers e engenheiros sociais. O estabelecimento e uso de normas e regulamentos que compõem políticas de SI podem mitigar muitos efeitos provocados pelas ameaças e ataques, mas questões relacionadas à vulnerabilidade de colaboradores de organizações, no que diz respeito a ataques de engenheiros sociais, formam um conjunto de desafios às políticas de SI. Este trabalho apresenta um estudo sobre alguns tipos de ataques de engenheiros sociais e sobre o elo mais fraco da cadeia de SI que é o ser humano, com o objetivo de propor possíveis ações para mitigar a vulnerabilidade dos colabores das instituições. Para alcançar este objetivo, o autor deste trabalho realizou pesquisas bibliográficas detalhadas sobre SI e políticas de SI, perfis de atacantes e características do ser humano considerado como elo mais fraco da cadeia de SI. Elaborou e aplicou uma pesquisa quantitativa sobre estes aspectos, apresentando os resultados obtidos, bem como sugestões para reduzir a vulnerabilidade dos colaboradores de organizações.

The growing increase in the use of devices in Information Technology - IT - and the use of the Internet, as well as the increasing use of information systems developed for the web, makes Information Security - SI - an aspect important for organizations in general. SI's main objective is to preserve one of the most important assets of organizations, which is information, aiming at the business continuity of institutions, among other objectives. Information threats encompass aspects of natural disasters, hardware, software, physical installations, human failures, and attacks by individuals such as crackers and social engineers. The establishment and use of rules and regulations that make up IS policies can mitigate many effects caused by threats and attacks, but issues related to the vulnerability of employees of organizations, with respect to attacks by social engineers, form a set of policy challenges. of SI. This work presents a study on some types of attacks by social engineers and on the weakest link in the IS chain, which is the human being, with the aim of proposing possible actions to mitigate the vulnerability of the institutions' collaborators. To achieve this goal, the author of this work has carried out detailed bibliographic research on IS and IS policies, profiles of attackers and characteristics of the human being considered as the weakest link in the IS chain. Prepared and applied a quantitative research on these aspects, presenting the results obtained, as well as suggestions to reduce the vulnerability of employees of organizations.