A grande maioria dos profissionais que militam na área da Tecnologia da Informação e Comunicação - TIC sabe o significado do termo "engenharia social". Porém poucos profissionais, mesmo os da área de Segurança da Informação, dão importância a um problema de segurança envolvendo a "engenharia social" por ser de difícil constatação e acompanhamento, qual seja o vazamento de informações sigilosas em decorrência de conversas entre funcionários da empresa, entre executivos ou entre o pessoal operacional.
Mas existe um elenco de boas práticas que podem minimizar esta vulnerabilidade - são elas:
1. Elabore, juntamente com o pessoal de Treinamento da empresa, um programa de conscientização para todos os funcionários, a começar pela Alta Administração (isto é importante para dar o exemplo e demonstrar a preocupação da empresa para com o assunto) - educar através do treinamento é a chave para a solução de grande parte dos problemas de segurança;
2. Acompanhe a observância do calendário do programa de treinamento;
3. Verifique se houve mudanças sensíveis no comportamento das pessoas;
4. Se necessário faça ajustes no programa de treinamento.
Tudo bem, mas quais devem ser os assuntos a serem incluídos no programa de treinamento? Grosso modo, recomenda-se sejam abordados os seguintes temas, envolvendo os cuidados ao tratar de assuntos sigilosos (inicie conceituando o que são e quais são os assuntos considerados sigilosos);
1. Nas conversas de corredor, nas cafeterias, restaurante e no "happy hour" - regra geral: cuidado com o que se fala em lugares públicos;
2. Ao se falar ao telefone público ou celular, em lugares públicos;
3. Ao se discutir assuntos sensíveis em outros eventos públicos como seminários, cursos, painéis, em reuniões de negócios, etc...
4. Nos bate papos informais nas viagens utilizando meios coletivos de deslocamento (aviões e ônibus) e nos aeroportos e estações rodoviárias.
Regra de ouro: se for necessário conversar assuntos confidenciais em lugares públicos, afaste-se com seu interlocutor ou interlocutores para um local afastado do movimento geral e de pessoas paradas; verifique se não há pessoas próximas que possam escutar a conversa; mantenha o tom de voz baixo - cuidado com as emoções e argumentos inflamados; seja o mais breve possível.
Lembrar que a segurança da organização, aí incluída a segurança da informação, depende principalmente do comportamento humano. Comportamento humano só pode ser ajustado mediante treinamento e disciplina - e este é um assunto para um outro texto.
* Victor Antonio Izquierdo é sócio proprietário da ALLSecurity
Mas existe um elenco de boas práticas que podem minimizar esta vulnerabilidade - são elas:
1. Elabore, juntamente com o pessoal de Treinamento da empresa, um programa de conscientização para todos os funcionários, a começar pela Alta Administração (isto é importante para dar o exemplo e demonstrar a preocupação da empresa para com o assunto) - educar através do treinamento é a chave para a solução de grande parte dos problemas de segurança;
2. Acompanhe a observância do calendário do programa de treinamento;
3. Verifique se houve mudanças sensíveis no comportamento das pessoas;
4. Se necessário faça ajustes no programa de treinamento.
Tudo bem, mas quais devem ser os assuntos a serem incluídos no programa de treinamento? Grosso modo, recomenda-se sejam abordados os seguintes temas, envolvendo os cuidados ao tratar de assuntos sigilosos (inicie conceituando o que são e quais são os assuntos considerados sigilosos);
1. Nas conversas de corredor, nas cafeterias, restaurante e no "happy hour" - regra geral: cuidado com o que se fala em lugares públicos;
2. Ao se falar ao telefone público ou celular, em lugares públicos;
3. Ao se discutir assuntos sensíveis em outros eventos públicos como seminários, cursos, painéis, em reuniões de negócios, etc...
4. Nos bate papos informais nas viagens utilizando meios coletivos de deslocamento (aviões e ônibus) e nos aeroportos e estações rodoviárias.
Regra de ouro: se for necessário conversar assuntos confidenciais em lugares públicos, afaste-se com seu interlocutor ou interlocutores para um local afastado do movimento geral e de pessoas paradas; verifique se não há pessoas próximas que possam escutar a conversa; mantenha o tom de voz baixo - cuidado com as emoções e argumentos inflamados; seja o mais breve possível.
Lembrar que a segurança da organização, aí incluída a segurança da informação, depende principalmente do comportamento humano. Comportamento humano só pode ser ajustado mediante treinamento e disciplina - e este é um assunto para um outro texto.
* Victor Antonio Izquierdo é sócio proprietário da ALLSecurity