O fator humano

Gésley Coelho da Costa*


Alguns anos atrás o termo hacker era usado para descrever uma pessoa que passava grande parte do tempo mexendo com hardware ou software. O termo agora se tornou pejorativo com o significado de “criminoso malicioso”. Uso o termo como sempre o usei – no seu sentido mais antigo e benigno.

Hoje, em dia lidamos com um novo criminoso: o engenheiro social, um mágico inescrupuloso que faz você olhar a sua mão esquerda enquanto que a mão direita rouba seus segredos.

Talvez muitos pensem que computador seguro é o que está desligado. Isso é inteligente, mas é falso: o hacker convence alguém a entrar no escritório e ligar aquele computador.

Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável.

Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.

É natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa ideia de segurança. Veja o caso do responsável e carinhoso proprietário de uma casa que tem um Médico, um cadeado de fechadura conhecido como sendo a prova de roubo, o qual foi instalado na porta da frente para proteger sua esposa, seus filhos e sua casa. Agora ele está certo de que tornou sua família muito mais segura com relação a intrusos. Mas e o intruso que quebra uma janela ou descobre o código que abre a porta da garagem? Que tal instalar um sistema de vigilância resistente? Isso é melhor, mas não garante nada. Com cadeados caros ou não, o proprietário da casa permanece vulnerável. Por quê? Porque o fator humano é o elo mais fraco da segurança.

Com frequência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. Com a mesma atitude do nosso proprietário de casa consciente sobre a segurança, muitos profissionais da tecnologia da informação (TI) conservam a ideia errada de que tornaram suas empresas imunes ao ataque porque usaram produtos de segurança padrão – firewalls, sistemas de detecção de intrusos (Intrusion Detection System) ou dispositivos avançados de autenticação, tais como tokens baseados no tempo ou cartões biométricos inteligentes. Todos que acham que os produtos de segurança sozinhos oferecem a verdadeira segurança estão fadados a sofrer da ilusão da segurança. Esse é o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles serão vítimas de um incidente de segurança.

A segurança não é um produto, ela é um processo. Além disso, a segurança não é um problema para a tecnologia – ela é um problema para as pessoas e a direção.

À medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a “firewall humana” quase sempre é fácil, não exige nenhum investimento além de uma ligação telefônica e envolve um risco mínimo.

É preciso estar alerta!

*Consultor em Segurança Eletrônica