Tag Archives: rrhh

Como prevenir ataques de Ingeniería Social

passwordPostItEn este post trataremos el tema de ingeniería social (social engineering).  El mismo se centrara en algunos de los peligros de la ingeniería social y principalmente se enfocara en como una empresa o compañía puede ayudar a preparar mejor a sus empleados para este tipo de situaciones.

Capacitación sobre Seguridad

Lo mas importante y que es algo que no hacemos lo suficiente es la formación básica en concientización sobre Seguridad. Los empleados se debe concientizar sobre ciertas situaciones que ven raras, los mantienen arraigados con la compresión de que, incluso si ellos no quieren o no les gusta, son también parte del equipo de Seguridad. Todos los empleados sin importar cual es su función – también tiene la obligación de proteger la empresa y los activos de la misma. Eso es parte de su trabajo. Si la empresa quiebra debido a información comprometida, ya no tendrán empleo. Esta es la mejor forma para asegurarse esta asegurada de modo que puedan seguir ganando plata y seguir pagando el salario a sus empleados.

Motivaciones

Cuando nos referimos a Seguridad, somos muy buenos para hablar de lo mal que pueden ser las cosas y lo malo que es y cuando alguien ha hecho algo malo, pero cuando estamos tratando de dar formación sobre seguridad a un empleado, esta no es la mejor forma de llegar. Los gerentes tienen que empezar a educar a sus empleados y darles motivaciones. Cuando un empleado hace algo bien, como preguntarle a alguien que esta intentando entrar a un lugar restringido quien es – se les recompensa, le hacemos notar de que “Hiciste un buen trabajo”, es como “Vamos a escribir en el boletín de la empresa que ud fue reconocido por ser consciente de la seguridad”

Si, los empleados reaccionan a eso. Las personas reaccionan a las motivaciones. Y también se vuelven competitivos, porque ahora Florencia reconoce que vio como Carlos que es una persona consciente en materia de Seguridad, obtuvo un reconocimiento. Bueno, ahora ella va a querer tener el mismo reconocimiento, así que va a mantenerse alerta de atrapar a alguien o de no hacer algo que no sea seguro. Es importante centrarse que este tipo de competencia, es importante para capacitar al personal que trata de ser segura y consciente de la seguridad.

Reforzar constantemente la Cultura de Seguridad

No siempre tiene que haber un PenTest. De verdad lo digo, los PenTests no van a salvarte. Reforzar constantemente la cultura de seguridad y las practicas de seguridad son lo que van a mantenerte a salvo. Es mejor tener alguien caminando a través de las diferentes áreas asegurándose que las “políticas de escritorio en orden” (Clean Desk Policy) se estén aplicando, asegurándose que no hay contraseñas escritas debajo del teclado, no estén publicadas en el monitor o ese tipo de cosas.

Porque incluso si no se encuentra nada, los empleados ven eso y en ese caso se darán cuenta y dirán” Oh!, están mirando para asegurarse de que se cumplen las normas. Tengo que asegurarme de que mi zona de trabajo cumple con las políticas, porque no quiero que me llamen la atención diciendo que yo estaba haciendo algo inseguro, porque terminaran reportandolo a mi gerente o supervisor”

Incluso si no se encuentra nada, estarán promoviendo de manera pasiva concientización sobre seguridad y creando un entorno consciente de seguridad. Estas no son cosas pequeñas cosas que pueden hacerse una vez por semana cada mes. Tiene que ser una concientización constante, se tiene que generar un ambiente donde se vea esto constantemente.

Igualdad

Y lo que es bueno para los empleados de correspondencia de nivel mas bajo, el personal de limpieza, los empleados principiantes – Debe ser también para los directores generales y el gerente de sistemas también. Los altos ejecutivos y directores también con este tipo de cultura.

Si la compañía se ve comprometida, esto ocurre con mayor frecuencia desde los altos directivos.Porque cuando delincuentes informáticos va tras una empresa, ellos no van tras la oficina de correo, no van tras el secretario o un empleado principiante, ellos irán tras un CEO o un CIO ¿Por que? Porque por lo general los altos directivos creen que merecen una excepción a las políticas de seguridad. Creen que no necesitan un antivirus actualizado todo el tiempo porque les tilda el sistema y se ejecuta demasiado lento. Ellos no quieren utilizar tokens de autenticación de dos factores, solo quieren usar una contraseña simple. Ellos no quieren tener políticas de longitud de contraseñas, caracteres especiales, etc como todos los demás en la empresa lo hacen. Ellos quieren que sea algo simple como su nombre para que sea mas fácil recordar y entrar.

Y cuando la seguridad de la empresa sea comprometida no van a venir y decir: Oh, mala mía” Ellos van a decir: “¿Por que no me proteges de mi mismo? ¿Por que no estabas haciendo el trabajo de proteger que le haga daño a mi empresa?. Así que esa es una de nuestras responsabilidades, es también decirle a los ejecutivos las cosas que no quieren escuchar. Esto es lo que tenemos que hacer, porque estamos intentando proteger la empresa del factor humano.

Hacer Ingeniería Social a los Empleados

Básicamente haremos ingeniería social a los empleados y el entorno para proteger la compañía de ataques de ingeniería social. Hacer a los empleados mas conscientes, cambiar de repente algo en el entorno para que los empleados sean mas perspicaces, que sean mas cuestionadores de lo que esta pasando. Deben cuestionarse las cosas que pueden estar fuera de lo común

Por lo general tras comprometerse una red o la seguridad en la empresa, la mayoría de los profesionales de seguridad ven y se dan cuenta por las expresiones faciales de las personas, por su lenguaje corporal que ellos sospechaban algo pero igualmente dejaron entrar al intruso. Mas tarde, tras los profesionales de seguridad dicen: “Si, yo sabia que había algo que no estaba bien, pero me dijo que tenia que hacerlo, y no quería desafiarlo”

Esto garantiza que la próxima vez si desafiaran. Esto es parte de una “inoculación”, se los esta estimulando, dándoles confianza y coraje para que la próxima vez digan “Ey! Esto no me parece bien, voy a interrogarte”. Los empleados tienen que entender que tienen que hacer algo en este tipo de situaciones, llamar a personal de seguridad, llamar a la policía, llamar a alguien, reaccionar de alguna manera y no simplemente ignorarlo. Esta es una de las cosas claves que los empleados tienen que entender. No necesariamente tienen que enfrentarse y resolver la situación, pero es un imperativo y parte de su responsabilidad reportar la situación.

Seguridad Informática: Un trabajo de Personas

Uno de los elementos fundamentales de la seguridad informática en las empresas es el personal. Aunque la mayoría no los toma en cuenta. ¿Cómo solucionarlo?

Para que la seguridad informática funcione correctamente en una empresa, es fundamental que el equipo humano también lo haga. Esto es lo que plantean todos los especialistas de Seguridad Informatica, quienes aseguran que un gran porcentaje de las filtraciones que ocurren son por culpa de los mismos empleados y no de la tecnología.

“En verdad son los empleados quienes por error mandan sus correos electrónicos al destinatario equivocado o con el archivo anexo errado, causando potencialmente pérdida de datos o fuga de información confidencial en su organización”, dicen.

Asimismo aseguran que son también los trabajadores quienes incidentalmente descargan contenido ilícito, navegan por sitios de Internet de delincuentes o ingresan accidentalmente en vínculos que infectan el malware.

Para reducir este número de “accidentes”, Los especialistas proponen comenzar a considerar a los empleados, no como parte del problema, sino como parte de la solución. ¿Cuál es su planteamiento?

Educar a los usuarios

Los empleados, usuarios de las plataformas informáticas de las empresas, conocen las restricciones, lo que pueden y no pueden hacer, pero nunca son realmente incluidos dentro del sistema ni alertados o informados apropiadamente.

Bastaría con “apenas un poco de educación y responsabilidad, para que los empleados puedan jugar un gran papel en minimizar las fugas de seguridad y prevenir que los ataques penetren la red en primer lugar”. De hecho, los empleados deberían ser los primeros en la fila cuando se trata de cuidar los datos confidenciales y la red de la compañía.

Existen muchas formas para educar a sus empleados sobre la seguridad TI. Para comenzar las firmas pueden brindar a sus usuarios de red entrenamiento sobre las políticas de seguridad y las responsabilidades que deben seguir. Por ejemplo las compañías pueden exigirles a sus empleados que presenten un examen antes de que se les permita el acceso a la intranet.

Es importante que dichas políticas estén bien alineadas con las prioridades de negocio de la firma y que puedan evolucionar con las necesidades de seguridad en evolución.

Involucrar al personal

Según los especialistas, otra forma de aumentar la consciencia sobre la seguridad en los usuarios es involucrarlos en el proceso de “decisión de la seguridad”. Las tecnologías pueden ayudar a detectar las fugas o bloquear a los usuarios, pero se pueden usar para ayudar a educar a la gente sobre cómo desenvolverse y trabajar con los sistemas, darles autonomía para prevenir y remediar incidentes.

Empujar la decisión de seguridad al usuario hace el proceso de seguridad más fácil, inteligente y más efectivo. Esto aliviana drásticamente la carga de sus administradores de seguridad y en algunos casos ha disminuido la cantidad de incidentes de seguridad que necesitan evaluarse hasta en 98 por ciento.

Bueno para el negocio

“Las soluciones de seguridad TI del siglo XXI deben servir como un habilitador de negocio más que nunca”, aseguran los mismos.

Educar, involucrar y reconocer al usuario en el proceso de negocio permite no solamente resaltar más la eficiencia de la tecnología, sino también mejorar el negocio haciendo de la seguridad una parte integral del proceso.

Los empleados deben tener autonomía para hacer su trabajo y reflejar mejor los requisitos y estrategias de negocio de la organización; y las tecnologías deben servir para reforzar efectivamente el proceso de seguridad.

¿Crees que la inclusión de los empleados en la formulación de la seguridad ayudaría a mejorarla? ¿Te incluyen en este proceso?