A Engenharia Social e sua influência nas organizações.

Com base em Mitnick e Simon (2003), Engenharia Social é um conjunto de práticas utilizadas para a obtenção de informações relevantes ou sigilosas de uma organização ou indivíduo, por meio da persuasão, manipulação e influência das pessoas, seja com o uso ou não da tecnologia.

Aproveitando-se dos aspectos psicológicos da mente humana e dos padrões de interação social entre as pessoas, faz com que as pessoas cumpram seus desejos. Os aspectos de interação humana, padrões de comportamento humano e estrutura social criam um estado de confiança com a vítima, tornando assim mais fácil reunir informações ou fazer a vítima executar alguma ação involuntária.

Compreende-se que a Engenharia Social pode ser usada por qualquer pessoa no dia-a-dia. Pode ser utilizada na maneira em que professores interagem com seus alunos, na forma em que médicos, advogados ou psicólogos obtêm informações de seus pacientes e clientes, entre outras situações.

Conforme Mann (2008), a segurança humana é a conexão que falta entre segurança de TI e segurança física. O maior risco para a segurança da informação em uma organização não está relacionado à tecnologia, mas sim na omissão ou ação de funcionários da organização que, consequentemente, leva a incidentes de segurança. A segurança da informação é seriamente ameaçada pelos ataques de Engenharia Social. Funcionários desprevenidos tornam-se alvos fáceis, explorados para fornecer informações ou acesso a sistemas.

O presente estudo avaliou dados que confirmam as estatísticas do mercado quanto a incidência de ataques de Engenharia Social e o quanto as empresas conhecem sobre esses ataques. Foi investigado o conhecimento dos entrevistados sobre ataques de Engenharia Social, suas ações em redes sociais e procedimentos de segurança em seus ambientes de trabalho.

Ante o exposto, observa-se que não é prioridade das empresas tratar de assuntos relacionados ao fator humano na segurança da informação, pois grande parte ainda acha que isso é um problema exclusivo da área de Tecnologia da Informação.

Essa pesquisa defende a ideia que ataques de Engenharia Social é um problema de todos os usuários da organização, do nível mais baixo até o alto escalão, que possui a principal tarefa de investir em treinamento e conscientização sobre as questões de segurança cibernética. A consciência da segurança é um forte aliado à visão técnica de hardwares e softwares para o combate ao crime cibernético.

A divulgação de informações em redes sociais é algo que deve ser observado com muita atenção. As empresas estão cada vez mais inseridas nos conceitos de Home-Office, BYOD ou Internet das Coisas, quando uma informação pessoal é inserida em mídias sociais isso pode se tornar uma séria ameaça à sua empresa.

A partir dos dados obtidos na pesquisa, analisa-se principalmente 3 grupos de variáveis importantes para identificar o impacto dos ataques de engenharia Social nas organizações:

• A estrutura social das empresas e empregados;

• O nível de conhecimento dos entrevistados sobre a Segurança da Informação;

• O nível de conhecimento dos entrevistados sobre a Engenharia Social;

O maior erro que as pessoas cometem quando pensam em proteção contra a Engenharia Social é pensar somente em conscientização de equipe, que é a primeira e mais importante camada de defesa, entretanto, confiar somente neste mecanismo de proteção é uma estratégia de alto risco. Para uma prevenção eficaz é necessário combinar camadas de conscientização de equipe com proteção sistêmica.

Motivação e Panorama Mundial

Segundo Allen (2007) uma variedade de motivações existem e motivam um ataque de Engenharia Social, entre eles :

• Ganhos financeiros: por várias razões o indivíduo pode tornar-se fascinado por ganhos monetários. Por exemplo, ele pode acreditar que ganha menos do que merece.

• Interesse próprio: o indivíduo pode querer obter vantagens em benefício próprio, como por exemplo, modificar informações associadas a algum membro da família ou a si mesmo.

• Vingança: Por razões apenas conhecidas ao próprio indivíduo ele pode definir um alvo como sendo um amigo,uma organização ou até mesmo um estranho, apenas para satisfazer o desejo de vingança.

• Pressão Externa: O indivíduo pode receber pressão de amigos, familia ou crime organizado, por razões como ganhos financeiros, vingança, e/ou pressão externa.

De acordo com Kroll (2016), em seu relatório Global Fraud & Risk Report 2016, 82% afirmaram que suas companhias sofreram algum tipo de fraude – em 2015 eram 75%, e em 2013 o percentual era de 70%. O cenário é ainda pior considerando-se ameaças cibernéticas: 85% dos entrevistados disseram ter sofrido incidentes desse tipo.