Crear una conciencia de la importancia de la seguridad

Sin título-1-Recuperado

¿Qué vulnerabilidad de seguridad suelen pasar por alto las empresas? Una pista: una muy importante.

Para muchas empresas, la seguridad de TI hace referencia a la protección de la infraestructura, los dispositivos y el software frente a infiltraciones y ataques, pero existe un aspecto fundamental que, por lo general, se pasa por alto: el aspecto humano. Por naturaleza, las personas tendemos a ayudarnos y este afán de contribuir puede convertirse en un punto débil en la estructura empresarial. Pese a todos los esfuerzos que pueda emplear el departamento de TI para proteger la empresa, los hackers se las suelen arreglar para burlar a los empleados que son el núcleo de esta. Estas infracciones de la seguridad, que se denominan ataques de ingeniería social y se producen cuando los atacantes se sirven de la interacción con las personas y de técnicas de conducta para recopilar la información necesaria al objeto de infiltrarse en una organización. Para obtener más información, consulte el tema sobre ingeniería social en OUCH!, un boletín de noticias para la concienciación que publica SANS Institute.

En los ataques de ingeniería social, por lo general, el infractor actúa como una persona que finge muestras de interés o que es honrada, como puede ser un compañero de la empresa, un analista del sector o un agente del servicio de atención al cliente para acercarse a una posible fuente de información. Los atacantes de ingeniería social más sofisticados combinan una actitud modesta con preguntas bien orientadas para recopilar la información que necesitan y piratear la empresa. Si los atacantes no pueden recopilar la información necesaria de una fuente, es posible que se pongan en contacto con otra fuente de la misma organización y utilicen los datos inicialmente obtenidos para ser más convincentes.

En muchas ocasiones, los empleados se ven en una situación de engaño y hacen algo que en apariencia es inofensivo, pero que, lamentablemente, desencadena una serie de eventos perjudiciales para una organización. Por ejemplo: un usuario puede recibir una llamada de teléfono de alguien que dice ser el ISP o del servicio técnico. Es posible que pidan información sobre la estructura de la red, las contraseñas o los datos financieros para resolver un problema tecnológico irreal que el atacante describe de ominoso y urgente. El empleado, que intenta ayudar y está alarmado, puede facilitar la información sin comprobar el origen de la solicitud y causar daños de miles o incluso millones de dólares a la empresa.

¿Qué puede hacer una organización para evitar los daños de este tipo de ataques de ingeniería social?

Un primer paso recomendable es crear una conciencia de seguridad en la empresa. Esto conlleva hacer que la seguridad esté presente en todos los procesos y decisiones empresariales. Los empleados deben saber el tipo de preguntas que plantearse antes de compartir información personal y empresarial confidencial, entre las que se incluyen:

  • ¿Estos documentos se pueden tirar o contienen información confidencial y, por tanto, deben destruirse?
  • ¿Qué confianza tengo con esta persona al teléfono y hasta qué punto debo mantener esta conversación con ella?
  • ¿Debo confiar en el remitente de este correo electrónico? ¿Son seguros los datos adjuntos o el vínculo de este correo electrónico?
  • ¿Me está formulando un desconocido preguntas demasiado personales? ¿Estoy facilitando información detallada que podría causar daños si cae en las manos equivocadas?
  • ¿Se podría compartir esta información en los medios sociales y que se haga pública?

 

Kasia Kaplinska y Anne Baker

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *