Fonte: Fairwarning
A Engenharia Social se trata de uma habilidade de manipulação psicológica para conseguir acesso a informações confidenciais de uma organização, mas sem necessidade de equipamentos e ferramentas tecnológicas para tanto, utilizando-se apenas da persuasão.
Nos ambientes digitais, a Engenharia Social é constantemente utilizada por cibercriminosos que buscam obter informações privilegiadas sobre produtos e lançamentos, acessar servidores que possuem informações confidenciais, cometer fraudes financeiras, sequestrar ativos de informação para obter vantagem ou até mesmo para conseguir acesso a segredos comerciais e industriais para prejudicar concorrentes.
Diversas empresas buscam garantir a integridade, disponibilidade e confidencialidade dos ativos da organização por meio de ferramentas tecnológicas, antivírus e implementação de políticas bem elaboradas de Segurança da Informação, mas falham em deixar de lado um fator extremamente importante em se tratando de segurança: treinamento de equipe.
A interação humana manipulada possibilita que colaboradores que não receberam o devido treinamento e conscientização transmitam informações confidenciais sem nem perceberem, pois em que pese a existência de eventual “termo de confidencialidade” assinado em conjunto com o contrato de trabalho ou prestação de serviços, é provável que estes colaboradores sequer têm conhecimento de que a informação que estão fornecendo a terceiro pode ser importante para a empresa.
As táticas de intimidação pela urgência são as mais comuns e bem sucedidas utilizadas pelos criminosos, que apresentam à vítima uma situação em que não há tempo para raciocinar. Nos meios digitais é frequente a utilização desta tática por e-mail, em que aparentemente há uma situação de urgência para fornecimento de informações importantes, como por exemplo número de conta e senha, com a falsa informação de que há atividades suspeitas ocorrendo na conta bancária da vítima, ou então e-mails cujo remetente é mascarado para parecer que foi enviado por um diretor ou presidente da empresa, solicitando senhas e outras informações confidenciais com urgência.
A elaboração de políticas de Segurança da Informação é essencial, sem dúvida alguma, mas não se deve confiar a segurança dos ativos da organização apenas no documento ou em ferramentas tecnológicas, se as pessoas que acessam as informações não forem devidamente instruídas sobre o uso da tecnologia e os fluxos adequados de transito de informações.
A conscientização de toda a cadeia de colaboradores acerca de quais informações devem ser consideradas confidenciais, a importância dos dados para a empresa e os impactos que um vazamento pode causar é essencial no conjunto de medidas de segurança aplicáveis em uma organização.
A conscientização também deve se estender ao uso das mídias sociais que envolvem a empresa, pois através de plataformas de LinkedIn e Facebook, por exemplo, facilmente é possível obter informações relevantes sobre a organização, como nomes, cargos e equipes, e estabelecer confiança para obtenção dados.
Fornecer periodicamente treinamentos para a equipe sobre fluxos adequados de transmissão de informações, estabelecer e aplicar parâmetros de respostas à e-mails e atendimentos telefônicos e conscientização sobre confidencialidade são medidas que tornam o colaborador mais perspicaz ao se deparar com eventual tentativa de utilização da Engenharia Social e consequentemente, o colaborador também se torna peça fundamental na garantia da segurança da informação da empresa.