Bom, tem um outro livro do Blucher sobre Engenharia Social. Pretendo adquirí-lo.
E outras bibliografias serão de livros com enfoque na segurança da informação, em si.[/quote]
Bom, ainda não estou totalmente convencido que isso seja suficiente. De qualquer forma, eu não sou um especialista em segurança da informação e conheço algumas coisas do ponto de vista da sociologia e da psicologia. Portanto, eu tenho uma visão já tendenciosa para estes pontos de vista.
[quote=drsmachado][quote=Luiz Augusto Prado][quote=drsmachado]
Ah, claro, uma fonte completamente confiável a respeito da questão é um tópico aberto por ti para discutir se é viável ou não o desenvolvimento de um software para gestão…
[/quote]
mas vc já quer começar a criar confusão?
onde vc leu que to dizendo pra ele usar meu trabalho como fonte de referencia?
só apresentei mais uma idéia. Uma opinião. Não gostou? já te convidei pro ringue.
[/quote]
Li na parte em que você diz que existe muito material e, em seguida, referencia o citado tópico… Uma das regras da boa escrita é fazer-se entender por quem irá ler o texto. Isso obrigou a criar sinais de pontuação, por exemplo. Usá-los é uma maneira de facilitar a leitura.
Reler o que escreveu e ver se está realmente passando o que se deseja é outra técnica bem útil.
Segundo o dicionário
fórum
(latim forum, i, praça pública)
s. m.
Além disso, o artigo 5º da Constituição da República Federativa do Brasil diz que:
IV - é livre a manifestação do pensamento, sendo vedado o anonimato;
Assim sendo, você tem o direito de discordar de mim, da mesma forma que eu posso e devo discordar de ti quando achar conveniente. Se você não concorda com o que eu digo, exponha razões lógicas e argumentos sólidos, não me venha com essa de “convidei para o ringue”. Isso só mostra que você não conseguiu encontrar uma sustentação adequada e/ou não sabe como expressá-la de forma que o meu modo de ver seja derrubado.[/quote]
humm sei… vc me lembra o Merovingio do Matrix com esse papo furado.
só to dando uma resposta tão infantil quanto as suas mas com menos rasgação de seda.
o que quero dizer é q vc não precisa ficar de frescura pra isso.
pq não larga do meu pé?
Já pensou na possibilidade de seu professor estar certo? Falando superficialmente você pode até associar a engenharia social com tecnologia, mas ao aprofundar o assunto você invariavelmente vai sair totalmente da área de SI.
Inclusive porque o ambiente informatizado é apenas UM dos contextos onde podem ocorrer os ataques por engenharia social. Lembra do golpe do bilhete premiado? da clonagem de linha telefônica onde você tinha que apertar uma tecla? ou um caso comum atualmente, o falso sequestro? Isso tudo mostra que os sistemas de informação de maneira alguma são o centro desse assunto.
Não é um trabalho de SI que aborda aspectos de psicologia; pelo contrário, é um trabalho de psicologia que aborda um pouco de tecnologia.
Mas o foco seria a segurança das informações dentro do meio corporativo. Como treinar pessoas para tratarem as informações que manipulam de forma correta. Quando falam de segurança da informação muitos já pensam em firewalls, senhas, biometria, mas não pensam no que está por trás disso: o ser humano. Como a segurança da informação é um processo e não apenas um produto, gostaria de focar no elo mais fraco desse processo e como tratá-lo dentro do contexto.
Ok, considerando o que você aprendeu na faculdade, o que faria para proteger o elo mais fraco? Apenas palestras? Cartazes? Um sistema com AI e data mining que reconhece padrões e apresente quando alguém está sendo afetado por engenharia social?
É esta a questão, você tem um tema muito superficial para um TCC, no meu ponto de vista. Você vai acabar, invariavelmente, tendo que usar das condições psicológicas ou sociais da questão e não do ponto de vista tecnológico.
Coisas como:
São mais batidas que campanha por uso de preservativo (e isto é, também, um exemplo de engenharia social).
Outro ponto, você citou dois livros que pretende usar, isso é extremamente pouco. Mesmo que você use muitos livros de segurança da informação, na maioria dos casos eles dirão a mesma coisa, te levando a uma visão tendenciosa do tema.
Vejo um paradoxo quanto a isso: o tema é batido mas ainda sim correponde a uma boa porcentagem com relação a roubo e vazamento de informações nas empresas. Ninguém se preocupa muito com esse tema, por isso continua crescendo. Será que se não houvesse programas de treinamento para tratar esse assunto, o índice não seria menor? A psicologia não trata disso numa empresa. Embora não seja um tema que aponte só para a área de SI (no Jardim do Éden teve Engenharia Social), há um grande direcionamento para essa área, pelo meu ponto de vista.
Jardins do Éden, Tróia, Jesus Cristo, inconfidência mineira e uma série de outros exemplos históricos são exemplos bem claros de que a tecnologia não é o fator principal na questão da engenharia social, não?
Concordo, mas a questão em si é: como essa técnica é utilizada como meio de extrair informações para fins ilícitos dentro das organizações. Se eu tivesse falando de roubo virtual, por exemplo, estaria falando de informática ou de crime? Acho que é por isso que ainda não temos uma legislação eficiente contra crimes de informática, pois a coisa é vista de uma forma muito genérica.
O contexto do roubo virtual, por exemplo, não entraria em Segurança da informação? Ou seria apenas um reflexo social devido ao grande avanço tecnológico, salientando que pelo fato de evoluirmos, os crimes também acompanharam esse ritmo???
[quote=Soruji]Concordo, mas a questão em si é: como essa técnica é utilizada como meio de extrair informações para fins ilícitos dentro das organizações. Se eu tivesse falando de roubo virtual, por exemplo, estaria falando de informática ou de crime? Acho que é por isso que ainda não temos uma legislação eficiente contra crimes de informática, pois a coisa é vista de uma forma muito genérica.
O contexto do roubo virtual, por exemplo, não entraria em Segurança da informação? Ou seria apenas um reflexo social devido ao grande avanço tecnológico, salientando que pelo fato de evoluirmos, os crimes também acompanharam esse ritmo???[/quote]
Depende o foco que você vai dar.
Que este tipo de crime só existe por que temos tecnologia é inegável, agora, a tecnologia não é o elemento fundamental da razão pela qual alguém comete crimes desta natureza. A tecnologia é uma ferramenta que permite este tipo de crime.
Volto a dizer: por isso que não temos uma lei específica para crimes de informática no nosso país. Se existe roubo virtual, simplesmente trata-se como um roubo, a legislação trata assim.
Acho que cai um pouquinho na discussão sobre se meu tema é relevaten pra nossa área de SI ou não. Engenharia Social existe com ou sem informática (assim como o roubo), porém, as formas de se evitar são diferentes. O conceito pode se aplicar a vários contextos diferentes, por isso cada um vai responder de uma forma. (polimorfismo kkkkk). Há muito mais do que senhas envolvendo métodos de prevenção contra engenharia social. O que está em pauta é o valor intangível da informação nas corporações. Quando um hacker não consegue burlar um sistema por meios tecnológicos, ele parte pra E.S., mas o fim será o mesmo: acesso a informações. Os meios de defesa não são psicológicos: não é dizendo não para o Engenheiro Social que eu irei me proteger e evitar que ele obtenha a informação que procura, e é isso que eu gostaria de tratar no TCC também.
Verdade.
Quem conhece as formas de ataque prepara seu sistema para defender-se. Todos os dias devem aparecer métodos novos, mas eles seguem sempre um padrão: Aproveitam-se da inocência ou relaxo de algum funcionário perante aos dados com os quais trabalha. Por isso a importância na seleção e treinamento do contratado.
Dependendo do funcionamento da empresa, existem pontos estratégicos que devemos esconder tais como lista de clientes, fornecedores, estrutura interna, formulas, propriedades intelectuais…
Deixam de existir fraquezas psicológicas e passam a existir técnicas de combate e de busca por vazamentos.
Não dá pra falar de segurança de informação sem ao menos tanger o social.
[quote=Soruji]Volto a dizer: por isso que não temos uma lei específica para crimes de informática no nosso país. Se existe roubo virtual, simplesmente trata-se como um roubo, a legislação trata assim.
Acho que cai um pouquinho na discussão sobre se meu tema é relevaten pra nossa área de SI ou não. Engenharia Social existe com ou sem informática (assim como o roubo), porém, as formas de se evitar são diferentes. O conceito pode se aplicar a vários contextos diferentes, por isso cada um vai responder de uma forma. (polimorfismo kkkkk). Há muito mais do que senhas envolvendo métodos de prevenção contra engenharia social. O que está em pauta é o valor intangível da informação nas corporações. Quando um hacker não consegue burlar um sistema por meios tecnológicos, ele parte pra E.S., mas o fim será o mesmo: acesso a informações. Os meios de defesa não são psicológicos: não é dizendo não para o Engenheiro Social que eu irei me proteger e evitar que ele obtenha a informação que procura, e é isso que eu gostaria de tratar no TCC também.[/quote]
Não existe uma legislação específica por incompetência das áreas responsáveis pela criação de leis, não por que é apenas um roubo. Para que uma legislação seja criada e/ou alterada, é preciso conhecer a fundo o que será afetado, quais os impactos disto em outras esferas do direito (por exemplo, posso afetar o direito à liberdade de expressão, o direito à privacidade, que são direitos inalienáveis e imprescindíveis de qualquer cidadão).
Do ponto de vista técnico, a ES é apenas uma das preocupações, não a principal, embora ela possa passar por cima de firewalls, trilha de auditoria e uma série de outros esforços que podem ser aplicados. E isto não tem a ver com tecnologia. Aliás, uma argumentação que você colocou me faz questionar até que ponto você estudou o assunto. Um “hacker” dificilmente partiria para a interação social (estrutura básica da ES) para conseguir roubar U$ 100 milhões. O caminho para chegar até o ponto onde isso se torna possível é muito maior que simplesmente mudar o alvo ou a técnica de invasão.
Agora, se você me disser que vai tratar da engenharia social como estopim para iniciativas que possam aumentar os níveis de segurança da informação, eu concordo. Você terá uma base social e psicológica como causas e um dos efeitos serão as estratégias de prevenção e detecção. Neste caso, teu argumento é válido.
[quote=drsmachado]
Um “hacker” dificilmente partiria para a interação social (estrutura básica da ES) para conseguir roubar U$ 100 milhões. O caminho para chegar até o ponto onde isso se torna possível é muito maior que simplesmente mudar o alvo ou a técnica de invasão.[/quote]
Sim, tenho ciência disso. Eu somente fiz a analogia com roubos virtuais para salientar como as coisas são tratadas de forma genéricas, principalmente pela nossa legislação.
[quote=drsmachado]
Agora, se você me disser que vai tratar da engenharia social como estopim para iniciativas que possam aumentar os níveis de segurança da informação, eu concordo. Você terá uma base social e psicológica como causas e um dos efeitos serão as estratégias de prevenção e detecção. Neste caso, teu argumento é válido.[/quote]
É sobre isso que quero falar, de fato: como a segurança da informação enxerga a E.S., seus impactos, causas, motivações. Como prevenir, e tratar o elo mais frágil no sistema: o ser humano. Todo o contexto da E.S. seria voltada para a segurança da informação.
[quote=Soruji][quote=drsmachado]
Um “hacker” dificilmente partiria para a interação social (estrutura básica da ES) para conseguir roubar U$ 100 milhões. O caminho para chegar até o ponto onde isso se torna possível é muito maior que simplesmente mudar o alvo ou a técnica de invasão.[/quote]
Sim, tenho ciência disso. Eu somente fiz a analogia com roubos virtuais para salientar como as coisas são tratadas de forma genéricas, principalmente pela nossa legislação.
[quote=drsmachado]
Agora, se você me disser que vai tratar da engenharia social como estopim para iniciativas que possam aumentar os níveis de segurança da informação, eu concordo. Você terá uma base social e psicológica como causas e um dos efeitos serão as estratégias de prevenção e detecção. Neste caso, teu argumento é válido.[/quote]
É sobre isso que quero falar, de fato: como a segurança da informação enxerga a E.S., seus impactos, causas, motivações. Como prevenir, e tratar o elo mais frágil no sistema: o ser humano. Todo o contexto da E.S. seria voltada para a segurança da informação. [/quote]
Olha, penso que considerando o elo mais fraco como sendo o ser humano, estamos partindo para a psicologia… Afinal, o sujeito que deveria guardar as informações tem fragilidades emocionais e não sistêmicas… Ele pode compartilhar os dados, enquanto tenta seduzir a secretária sensual ou enquanto bebe com amigos… Isso não é uma exposição que esteja ligado diretamente à recursos de segurança, não acha?
Sem querer você mesmo afirma o contrário do que quer afirmar 
O que está em pauta é o valor intangível da informação nas corporações -> Isso não tem a ver com tecnologia, se voltássemos no tempo para quando as movimentações da empresa ficavam armazenadas em grandes arquivos de aço nada mudaria.
Quando um hacker não consegue burlar um sistema por meios tecnológicos, ele parte pra E.S. -> Exatamente, são duas coisas distintas. Na primeira a tecnologia é o elemento central (o jeito como o sistema foi construído pode fazer toda a diferença no caso de roubo da informação). A segunda não depende de tecnologia alguma… você pode ligar para a secretária do diretor e aplicar engenharia social para obter uma informação sigilosa; digamos que os sistemas de informação são algo que está “de gaiato” na história: “por acaso” as informações estão hospedadas em um banco de dados, mas isso não altera a essência da coisa.
não é dizendo não para o Engenheiro Social que eu irei me proteger e evitar que ele obtenha a informação que procura -> Aqui vou ter que discordar: dizendo não para o engenheiro social evita sim que ele obtenha a informação que procura. Nesse momento ele terá que procurar outra maneira, seja por meio de outro truque psicológico OU por uma falha técnica na segurança da informação.
Os meios de defesa não são psicológicos -> Na prática não há muito que você possa dizer sobre como se defender da engenharia social com meios não psicológicos (ou seja, com soluções técnicas)
Isso também deixa bem claro que o centro do assunto não é tecnologia!
Esses são princípios gerais de segurança e controle de acesso à informação, não estão ligados à Engenharia Social. Indiretamente até têm alguma influência, pois funcionários menos preparados para as responsabilidades de determinada informação não teriam acesso a ela. Mas essa relação é muito superficial para ser o centro de um TCC.
Soruji,
Não estou dizendo essas coisas para sacanear não… é que você está um pouco inconformado com seu professor que barrou o tema, e compreender as razões dele vai ajudar a eliminar esse sentimento negativo e também vai permitir que você volte a concentrar energia em procurar um tema apropriado para a pesquisa!
Mas o que estou fazendo é tentando pegar um conceito e analisá-lo sobre um contexto: segurança da informação.
Há pessoas que vão falar sobre adaptações de sites para pessoas com deficiências especiais. Esse tema não se restringe somente a SI, certo? Mas o ponto de vista estará sendo focado para esse contexto.
Não sei se estou conseguindo me expressar.
[quote=Soruji]Mas o que estou fazendo é tentando pegar um conceito e analisá-lo sobre um contexto: segurança da informação.
Há pessoas que vão falar sobre adaptações de sites para pessoas com deficiências especiais. Esse tema não se restringe somente a SI, certo? Mas o ponto de vista estará sendo focado para esse contexto.
Não sei se estou conseguindo me expressar.[/quote]
É que, no caso das adaptações, é plenamente possível cobrir o tema com 100% de clareza , apenas falando de tecnologia (uma ou mais).
Já em relação a ES é muito vago. Não existe uma tecnologia que possa ser empregada e que dê um bom percentual de assertividade na questão.
Mas para um tema de TCC de SI eu preciso especificamente falar sobre uma tecnologia pra ser considerada de SI? E temas como governança, por exemplo, não cairia em SI?
Você fez qual curso? Sistemas de informação ou gestão da informação?
Pense no seguinte, até aqui você não encontrou nenhum professor e não está na banca. Como pretende sustentar teus argumentos numa banca (que estará lá como se cada um fosse teu pior inimigo) se nem aqui você consegue estruturar uma fundamentação lógica e plausível o suficiente para evitar questionamentos do tipo “psicologia ou tecnologia?”.
Não queira inventar, se você pretende rumar para gestão da informação, faça uma pós nesse sentido e guarde este assunto para o TCC da pós. Neste momento, seja mais pé no chão, aposte no mais óbvio. Te garanto que só o processo de pesquisa e desenvolvimento do TCC é, por si só, estressante demais para se preocupar com os detalhes de uma análise como esta.