Qual a Relevância deste Assunto?
O motivador desse assunto está na SIMPLICIDADE, sim na SIMPLICIDADE transparente que vive dentro de toda e qualquer imobiliária. Talvez seja a ironia da informação, que transparentemente assombra como um fantasma todo o conhecimento digital ou literário da informação imobiliária.
São os funcionários da imobiliária que cadastram e manipulam todas as informações da empresa, são eles responsáveis por assegurar que essa informação se mantenha dentro das paredes da imobiliária, porém esse manter nem sempre é assim tão confiável. Muitas vezes por qualquer motivo corporativo, o empregador passa de chefe a vilão e nesse momento ninguém ou quase ninguém lembra que a saída ou a repreensão exercida sobre o funcionário desestabiliza a segurança da informação. Apesar de não ser somente esse fato um motivador de vulnerabilidade da informação, ele é um dos integrantes desta lista dentre outros fatos contém: o não funcionário, o Office boy, a recepcionista, a engenharia social, a secretária da diretoria, etc.. Porquê? É o que veremos a seguir.
Classificação de acesso à informação
Somente o proprietário deveria ter acesso pleno à informação, ou seja, somente ele deveria poder lidar e fazer qualquer ato com a mesma, nível 0; Nível 1 seria atribuído aos diretores, que por sua vez teriam acesso completo, porém não pleno, esse acesso seria até o ponto de poderem exercer suas atividades corriqueiras sem o poder de alteração dessa informação; Nível 5 seria atribuído a gerência de setores com poderes plenos de acesso a informações setoriais e autorização de modificação dessa informação (senha de modificação); Nível 10 seria atribuído ao usuário master do setor, esse com acesso de cadastro, alteração e exclusão (inativação) das informações setoriais sempre através da autorização do Nível 5; Nível 99 seria atribuído aos usuários de acesso comum e consulta das informações, nesse grupo estariam as recepcionistas, os Office boys e usuário de atendimento ou seja usuários ditos comuns.
Notemos que existem lacunas entre os níveis e essas devem ser respeitadas para que se possa atribuir usuário com poder intermediário.
Quem está fora da lista
Não colocamos nesta lista todo o pessoal da informática, analistas, programadores, técnicos de campo etc. E isso é um erro enorme, por geralmente eles possuem o Nível 0, podendo com isso fazer qualquer coisa com a informação, o que colabora para o primeiro caso citado, a desavença corporativa, mesmo que a confiança (que está na nossa lista também) seja levada em consideração, não deveria, pois o vazamento da informação pode gerar um prejuízo enorme a empresa.
Quais informações não devem estar disponíveis
Existe um grupo de informações que não deve estar disponível ao grupo 99 (usuário comum), dentre esse grupo pode-se citar alguns: Dados do proprietário, tais como nome, endereço, telefone, CPF, etc. Essa informação é única e exclusiva da imobiliária e deveria ser acessada até o nível 10 (encarregado de entrada e saída da autorização).
A informação disponível ao usuário de acesso comum deve ser até o endereço do imóvel, valores de aluguel, condomínio e taxas, mais nada e existe um porquê disso.
Caso A (Engenharia Social)
Um captador de imóveis vem até a sua imobiliária, senta com o atendente e inicia um ATAQUE SOCIAL, neste ele conquista a CONFIANÇA de imediato desse atendente, ingenuamente este abre uma linha de conversação sincera e nesta conversa disponibiliza a esse HACKER SOCIAL todas as informações do proprietário de um determinado imóvel. De posse dessa informação, o HACKER SOCIAL entra em contato com o dito proprietário e mobiliza um esforço para remover seus imóveis para a imobiliária dele, deixando uma lacuna na carteira da imobiliária em questão. Se esse proprietário possui apenas um (01) imóvel o prejuízo não será tão grande, mas se o dito proprietário possui uma carteira de dez (10) ou mais imóveis, a situação fica consideravelmente delicada. E esse não é o pior cenário.
Agora imagine se o nível de acesso for restrito, o funcionário ingênuo somente poder visualizar informações pertinentes a endereço e valores do imóvel, a informação estará segura e o ataque não surgirá efeitos a empresa.
Caso B (O Não Funcionário)
Em muitos casos os não funcionários (e não são funcionários mesmo, por isso essa posição literária deve ser expressa) ditos colaboradores, que na imobiliária se apresentam como corretores, possuem acesso pleno à informação dos imóveis de venda, justificando a necessidade desse acesso com vários sabores de desculpas que não convencem a ninguém, porém lhes são liberadas pelo administrador do sistema para utilização. Vejamos como isso afeta a empresa através de um caso hipotético.
Notou um gerente de vendas que durante a semana uma conversa povoava a vida de seus corretores, ora um atendia um cliente, ora outro, porém nos intervalos a conversa se fazia abundante. Na sexta-feira ele notou que não existia muita conversa e que todos trabalhavam fervorosamente nas suas estações de trabalho, fazendo consultas e anotando informações. Nesse notar ele iniciou uma pesquisa junto com o pessoal da informática e através de dados estatísticos chegou a conclusão que estava invertida a posição dos seus corretores, pois era na segunda-feira que a pesquisa deveria ser maior, pois passado o final de semana e as interações de vendas, na segunda-feira é que os corretores deveriam pesquisa e responder aos clientes. Não era isso que acontecia e então ele constatou que de posse das informações de imóvel e proprietários, os corretores estavam fazendo vendas individuais excluindo a participação da imobiliária.
Não sendo eles funcionários, a empresa fica vulnerável e refém da CONFIANÇA, pois precisa confiar suas informações e custos aos não funcionários.
As Secretárias
Sendo essas profissionais de extrema confiança é comum que um empresário forneça a senha master ao poder delas, comum mesmo, porém é aí que mora o perigo extremo. Porque perigo extremo? Porque elas estão vulneráveis a todo e qualquer ataque social, moral, pessoal e principalmente relacional. A engenharia social que é exercida sobre uma pessoa com acesso pleno é enorme, não sendo o proprietário da empresa, a vulnerabilidade do profissional é extrema, perigosa e viva.
O Office boy
Office boy é o cara que sabe mais informações sociais dentro da empresa, então, ele não deve ter acesso ao sistema, de forma alguma. Quando ele precisar de informação, ele deve pedir a alguém, que autorizado vai informar a ele qualquer coisa, pois como é sabido, ele geralmente é um tagarela, uma pessoa fácil de se extrair informações.
Enfim muito podemos falar sobre informação e acesso a ela, porém levaríamos muito tempo para falarmos completamente, então fica aqui um alerta que requer atenção nesses aspectos de segurança da informação (people wear).
A Sami Sistemas constantemente implementa em seus sistemas níveis de
acesso e manipulação da informação aos seus programas e em sua nova versão do
sistema SAMI essa preocupação é levada ao extremo da seriedade e
comprometimento em assegurar que suas informações estejam dentro de um
padrão aceitável de acesso.
… [Trackback]
[…] Info on that Topic: blogimobiliario.academiasami.com.br/tecnologia/people-wear-usuario-e-suas-vulnerabilidades-de-acesso-aos-sistemas-de-computadores-voltado-a-imobiliarias/ […]
… [Trackback]
[…] Read More on to that Topic: blogimobiliario.academiasami.com.br/tecnologia/people-wear-usuario-e-suas-vulnerabilidades-de-acesso-aos-sistemas-de-computadores-voltado-a-imobiliarias/ […]
… [Trackback]
[…] There you will find 503 more Information to that Topic: blogimobiliario.academiasami.com.br/tecnologia/people-wear-usuario-e-suas-vulnerabilidades-de-acesso-aos-sistemas-de-computadores-voltado-a-imobiliarias/ […]