Defensas contra Ataques de Ingeniería Social

El fortalecimiento del entorno para soportar ataques de ingeniería social, especialmente las dirigidas, es más una cuestión de entrenamiento a un control tradicional de seguridad. Un ataque de ingeniería social va directamente hacia el punto más vulnerable en las defensas de la compañía; sus empleados. Por las razones expuestas y conocidas, las personas toman decisiones diarias las cuales impactan o incluso comprometen las medidas de seguridad implementadas. Cada estafador conoce de la existencia de una combinación de palabras y acciones, las cuales harán casi nadie ejecute involuntariamente un acción o revele información no requerida. Esto es porque la mayoría de personas no perciben el riesgo de sus acciones. La falta para percibir el riesgo hasta ser demasiado tarde es el corazón de la mayoría de ataques de ingeniería social.

Un cajero de banco sabe está trabajando en un entorno el cual requiere seguridad y vigilancia. Probablemente no se tenga la necesidad de recordarle sobre la amenaza de robo; son conscientes de esto y entienden el riesgo de un robo es muy real. Desafortunadamente, el nivel de concientización no es la misma en muchos entornos corporativos. Los empleados típicamente perciben la amenaza de un ingeniería social es hipotético y poco probable, incluso si han sido victimas en el pasado. Esto tiene relación con el valor percibido de la información. El dinero tiene un valor manifiesto, mientras la información y los datos no.

La mejor defensa contra un ataque de ingeniería social es un entrenamiento de concientización y ataques dirigidos simulados. Un programa integral ayudará a los empleados a reconocer el valor de los activos siendo protegidos, así como los costos asociados con una brecha. El programa también debe dar ejemplos de ataques del mundo real los cuales demuestren la amenaza. En conjunción con un entrenamiento de concientización, los ataques simulados deben ser realizados regularmente, en un intento por determinar la eficacia del programa de concientización. Los resultados se pueden luego volver a alimentar dentro del proceso, y se incluyen en el entrenamiento continuo de concientización.

Fuentes:

https://www.sans.org/reading-room/whitepapers/engineering/multi-level-de...
https://www.tripwire.com/state-of-security/security-awareness/5-tips-aga...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1