Eu estava pensando sobre segurança relacionada a prevenção contra ataques, e conclui algo que entendo como relevante. Para um atacante ou intruso (depende da sua forma de pensar) dizer que quebrou um sistema de segurança, ele só pode utilizar duas ferramentas: engano (engenharia social) e força. O atacante deverá enganar e/ou forçar algum componente envolvido no sistema de segurança para conseguir penetrar no sistema, sendo que uma ação pode implicar na outra. Por exemplo, se uma pessoa tem o objetivo de penetrar em um prédio restrito, onde há vários seguranças, dispositivos identificadores, protocolos de segurança e etc., elea primeiramente irá estudar todo o funcionamento do sistema como também as peças que o compõem. Como esse sistema envolve seres humanos, há uma grande tendência da utilização da tática de engano, como: se passar por outra pessoa importante, apelar para o emocional dos funcionários, conquistar e abusar da confiança dos funcionários durante o período fora do prédio, simular tragédias e etc., o atacante poderá também utilizar a força física e forçar alguém a lhe passar informações importantes ou facilitar o seu acesso (algumas tentativas acabam em tragédia).
Portanto, quando pensamos na prevenção de ataques devemos "imunizar" nosso sistema contra os enganos, ou seja, instruir os funcionários sobre métodos para identificar se as pessoas estão tentando enganá-las para obter informações importantes, pois a falha humana (distração, falsa confiança e etc) é uma porta pouco vigiada e por ela saem as mais importantes informações de uma organização. Outro fator importante é instruir os funcionários sobre como se comportar quando forem forçados (sequestros, torturas, ameaças e etc) a fim de preservarem principalmente a sua vida e também as informações da organização. : )
Lembrete: "Não existe, debaixo do sol, algum sistema de segurança com eficácia 100%, mas com constante manutenção pode-se aproximar."
